Метод обнаружения аномалий сетевого трафика в малых информационных системах на основе поведенческих микропрофилей

Малые информационные системы – корпоративные сети малого и среднего бизнеса, ведомственные локальные сети, специализированные автоматизированные системы управления – уязвимы к автоматизированным атакам подбора учетных данных по протоколам FTP и SSH, поскольку располагают ограниченными вычислительными ресурсами и кадровым потенциалом для развертывания полноценных средств защиты. В работе предложен частично надзорный метод обнаружения аномалий сетевого трафика с минимальными требованиями к разметке, моделирующий нормальное поведение пользователей через поведенческие микропрофили – робастные статистические описания типовых режимов сетевой активности, получаемые адаптивной кластеризацией TCP-потоков алгоритмом K-Means. Каждый профиль задается парой «медиана – масштабированное медианное абсолютное отклонение», а аномальность нового потока оценивается взвешенным Z-показателем относительно профиля ближайшего кластера. Веса признаков определяются по статистике Колмогорова-Смирнова, число кластеров – по критерию насыщения площади под ROC-кривой. Экспериментальная проверка на общедоступном наборе данных CICIDS2017 для атак FTP-Patator и SSH-Patator показала, что предложенный метод существенно превосходит классические безнадзорные детекторы – Isolation Forest, Local Outlier Factor и One-Class SVM – как по ранжирующей способности, так и по доле истинных тревог. Ключевым практическим результатом является работоспособность метода в режиме развертывания, не требующем разметки на целевой системе, так как отбор признаков выполняется однократно по публично доступным данным об атаках, после чего построение профилей и выбор порога обходятся без меток. В этих условиях метод обнаруживает более трех четвертей попыток перебора учетных данных, тогда как конкурирующие методы в аналогичных условиях практически не срабатывают.

1. Maseer Z.K., Yusof R., Bahaman N., et al. Benchmarking of machine learning for anomaly based intrusion detection systems in the CICIDS2017 dataset. IEEE Access. 2021;9:22351–22370. https://doi.org/10.1109/ACCESS.2021.3056614

2. Campazas-Vega A., Crespo-Martínez I.S., Guerrero-Higueras Á.M., et al. Malicious traffic detection on sampled network flow data with novelty-detection-based models. Scientific Reports. 2023;13(1):15446. https://doi.org/10.1038/s41598-023-42618-9

3. Alotibi N., Alshammari M. Deep learning-based intrusion detection: A novel approach for identifying brute-force attacks on FTP and SSH protocol. International Journal of Advanced Computer Science and Applications. 2023;14(6):107–111. https://doi.org/10.14569/IJACSA.2023.0140612

4. Cantone M., Marrocco C., Bria A. Machine learning in network intrusion detection: A cross-dataset generalization study. IEEE Access. 2024;12:144489–144508. https://doi.org/10.1109/ACCESS.2024.3472907

5. Chua W., Pajas A.L.D., Castro C.Sh., et al. Web traffic anomaly detection using Isolation Forest. Informatics. 2024;11(4):83. https://doi.org/10.3390/informatics11040083

6. Rabih R., Vahdat-Nejad H., Mansoor W., et al. Highly accurate anomaly based intrusion detection through integration of the local outlier factor and convolutional neural network. Scientific Reports. 2025;15(1):21147. https://doi.org/10.1038/s41598-025-08175-z

7. Sharafaldin I., Habibi Lashkari A., Ghorbani A.A. Toward Generating a New Intrusion Detection Dataset and Intrusion Traffic Characterization. In: Proceedings of the 4th International Conference on Information Systems Security and Privacy, 22–24 January 2018, Funchal, Madeira, Portugal. SciTePress; 2018. P. 108–116. https://doi.org/10.5220/0006639801080116

8. Awad M., Fraihat S. Recursive feature elimination with cross-validation with decision tree: feature selection method for machine learning-based intrusion detection systems. Journal of Sensor and Actuator Networks. 2023;12(5):67. https://doi.org/10.3390/jsan12050067

9. Goldstein M., Uchida S. A comparative evaluation of unsupervised anomaly detection algorithms for multivariate data. PLoS ONE. 2016;11(4):e0152173. https://doi.org/10.1371/journal.pone.0152173

10. Rai H.M., Yoo J., Agarwal S. The improved network intrusion detection techniques using the feature engineering approach with boosting classifiers. Mathematics. 2024;12(24):3909. https://doi.org/10.3390/math12243909