Использование многоуровневых источников данных для подготовки обучающих наборов для обнаружения кибератак

Анализ сетевого трафика является неотъемлемой частью обеспечения безопасности в информационно-телекоммуникационных системах. Использование машинного обучения обеспечивает современным подходам более высокие показатели обнаружения киберугроз. Предлагается новый подход для формирования обучающих наборов данных, который вводит новую единицу агрегации «сеанс», использует сигнатурный анализ и многоуровневые разнородные источники данных. Сформирован список требований к наборам данных, включающий сохранение первых пакетов соединения, сохранение скрытых областей пакетов, расширенную информацию об источниках трафика (страна, номер автономной системы ASN, тип сети). Дополнительная информация нацелена на выявление атак типа «скрытый канал связи». С использованием предложенного подхода разработан программный комплекс для создания обучающих наборов данных из многоуровневых источников на уровнях L7, L4, L3 модели OSI. В отличие от известных работ, используются реальные данные сетевой активности, а также длительные временные интервалы. Предложенный подход позволяет использовать полученные обучающие наборы для создания более эффективных методов обнаружения и предотвращения вторжения с помощью методов машинного обучения.