Обнаружение аномалий в сетевом трафике на основе информативных признаков

Abstract

RU: Актуальность. Решена актуальная задача оценки информативности признаков данных большой размерности. Объектом исследования являлся сетевой трафик. Цель работы – анализ данных сетевого трафика на предмет информативности для выявления аномалий в сетевом трафике с целью сокращения пространства признаков. Метод. Предложен подход для оценки информативности признаков данных большой размерности, обеспечивающий повышение точности выявления аномалий в сетевом трафике и существенно увеличивающий скорость работы алгоритмов классификации. Проанализированы особенности алгоритмов случайного леса и Firefly. В работе для отбора признаков предложен подход на основе интеграции данных алгоритмов. Признаки сортируются в порядке убывания оценки их важности, наименее информативные не рассматриваются. В качестве классификаторов были рассмотрены деревья решений, наивный Байес, Байесовский классификатор, аддитивная логистическая регрессия и метод к-ближайших соседей. Результаты классификации были оценены с использованием пяти метрик: вероятности истинно-положительных и ложно-положительных результатов, F-меры, мер точности и полноты. Результаты. Эксперименты были проведены в среде Matlab 2016a, где был реализован предложенный алгоритм на наборе данных NSL-KDD. Наилучшие результаты классификации для отобранных признаков были получены методом к-ближайших соседей. Выводы. Проведенные эксперименты подтвердили работоспособность предложенного подхода, что позволяет рекомендовать его для применения на практике при оценке информативности с целью сокращения пространства признаков и повышения скорости работы алгоритмов классификации. Кроме того, в целях дальнейшего изучения эффективности обнаружения аномалий в сетевом трафике, будет использован набор реальных данных. UK: Актуальність. Вирішено актуальне завдання оцінки інформативності ознак даних великої розмірності. Об’єктом дослідження був мережевий трафік. Мета роботи – аналіз даних мережевого трафіку на предмет інформативності для виявлення аномалій в мережевому трафіку з метою скорочення простору ознак. Метод. Запропоновано підхід для оцінки інформативності ознак даних великої розмірності, що забезпечує підвищення точності виявлення аномалій в мережевому трафіку і істотно збільшує швидкість роботи алгоритмів класифікації. Проаналізовано особливості алгоритмів випадкового лісу і Firefly. В роботі для відбору ознак запропонований підхід на основі інтеграції даних алгоритмів. Ознаки сортуються в порядку убування оцінки їх важливості, найменш інформативні не розглядаються. Як класифікаторів були розглянуті дерева рішень, наївний Байес, Байєсівський класифікатор, аддитивная логістична регресія і метод до найближчих сусідів. Результати класифікації були оцінені з використанням п’яти метрик: ймовірності істинно-позитивних і хибно-позитивних результатів, F-заходи, заходів точності і повноти. Результати. Експерименти були проведені в середовищі Matlab 2016a, де був реалізований запропонований алгоритм на наборі даних NSL-KDD. Найкращі результати класифікації для відібраних ознак були отримані методом к-найближчих сусідів. Висновки. Проведені експерименти підтвердили працездатність запропонованого підходу, що дозволяє рекомендувати його для застосування на практиці при оцінці інформативності з метою скорочення простору ознак і підвищення швидкості роботи алгоритмів класифікації. Крім того, з метою подальшого вивчення ефективності виявлення аномалій в мережевому трафіку, буде використаний набір реальних даних. EN: Context. The urgent task for feature informativeness evaluation of a large amount of data has been solved. The object of the study was a network traffic. Objective is to analyze the data informativeness for network traffic anomalies detection in order to reduce the feature space. Method. The approach for feature informativeness evaluation of a large amount of data is proposed to increase the accuracy of the anomaly detection in network traffic. It also substantially increases the computation speed of the classification algorithms. The characteristics of a random forest and Firefly algorithms are considered. In the paper, an algorithm for feature selection based on the integration of these algorithms is proposed. Features are sorted in descending order according to their importance, the least informative ones are not considered. The decision trees, naive Bayes, Bayesian classifier, additive logistic regression and k-nearest neighbors method are considered as classifiers. The quality of the classification results is estimated using six evaluation metrics: true positive rate, false positive rate, precision, recall, F-measure and AUC. Results. The experiments have been performed in the Matlab environment (2016a) on the NSL-KDD data set, using the proposed algorithm. The best classification results for the selected features have been obtained using k-nearest neighbors method. Conclusions. The conducted experiments have confirmed the efficiency of the proposed approach and allow recommending it for practical use in feature informativeness evaluation in order to reduce the feature space and increase the computation speed of the classification algorithms. In addition, in order to further study the effectiveness of anomaly detection in network traffic, a real data set will be used.