Алгоритм первичного обнаружения вредоносного трафика на основе ошибки восстановления автокодировщика и вариационной модели: влияние плотности распределения ошибок на показатели эффективности моделей

Появление новых изощрённых типов атак вынуждает сообщество исследователей в области компьютерной безопасности постоянно совершенствовать инструменты обнаружения и методы реагирования. В данном исследовании рассматриваются различные факторы, влияющие на эффективность автокодировщиков и вариационных моделей при выявлении новых типов атак и вредоносного сетевого трафика. Общая идея предлагаемого алгоритма заключается в построении доверительного интервала для ошибки восстановления обучающей выборки, на основе которого принимается решение о вредоносной природе конкретного трафика. Особое внимание было уделено выбору подходящей метрики ошибок, чтобы минимизировать перекрытие распределений плотности ошибок восстановления для обычного и вредоносного трафика. При изучении вариационной модели было исследовано влияние tраспределения на качество обнаружения новых типов атак. Исследования проводились на наборе данных CICIDS2017 Канадского института кибербезопасности, содержащем до 14 типов трафика и атак. Результаты эксперимента показывают, что при грамотном выборе меры погрешности и пороговых значений доверительного интервала наши модели превосходят существующие аналоги по различным показателям эффективности.