Поделиться
VAS Experts провел исследование распознавания маскируемого сетевого трафика нейросетями
Разработчик программного обеспечения для контроля и анализа трафика VAS Experts провел исследование анализа и классификации сетевого трафика с помощью ИИ, как потенциальной более точной и гибкой альтернативы традиционным методам за счет глубокого обучения нейросети. Результаты экспериментов подтвердили гипотезу высокой эффективности использования ИИ для идентификации маскируемого трафика. А нейросеть ResNet показала самые высокие результаты в распознавании V**-трафика. Об этом CNews сообщили представители VAS Experts.
В ходе эксперимента VAS Experts реализовал модели исследования на базе сверточных нейронных сетей (CNN) и архитектуры ResNet, адаптировав их для высокоточной классификации зашифрованного V** и прокси-трафика.
Для классификации сетевого трафика использовался набор данных в формате Netflow 10 (IPFIX), созданный для стандартизации передачи IP-информации от экспортера к коллектору, поддерживаемый такими производителями, как Cisco, Solera, VMware, Citrix. Спецификации IPFIX приведены в RFC 7011–7015 и RFC 5103.
Сбор данных осуществлялся с помощью машины с системой глубокой инспекции пакетов (DPI), подключенной к другим устройствам, создающим трафик через различные V**. Это позволило зафиксировать уникальные IP и порты, генерируемые V** с динамическими назначениями при блокировках. Таким образом был получен массив уникальных комбинаций IP и портов для обучения модели нейронной сети.
Далее данные были разделены на обучающую (80%) и тестовую (20%) выборки. Применялась корректировка по классам для борьбы с дисбалансом, а также разметка на основе данных IPFIX для выделения конкретных классов. Нейронные сети обучались с использованием двух архитектур и подбора гиперпараметров.
Модели оценивались на тестовом наборе с использованием метрик точности, полноты и F1-меры: Recall = TP / (TP + FN); Precision = TP / (TP + FP); F1 Score = 2 * Recall * Precision / (Recall + Precision), где TP — истинно положительные, FN — ложноотрицательные, FP — ложноположительные классификации.
В результате исследования модель с архитектурой ResNet продемонстрировала более высокую точность в классификации V**-протоколов.
«Результаты экспериментов подтверждают, что архитектура ResNet, благодаря своей способности извлекать сложные признаки и гибким гиперпараметрам, превосходит классическую CNN в классификации зашифрованного сетевого трафика. Особенность ResNet – остаточные соединения, эффективно решающие проблему градиентного затухания в глубоких нейронных сетях – позволила модели добиться высокой точности классификации протоколов», – сказал директор по развитию VAS Experts Артем Терещенко.
Современные нейронные сети предлагают высокую точность и гибкость, позволяя идентифицировать маскируемый трафик, даже когда классические методы оказываются неэффективными. Таким образом, переход к нейросетевым подходам обозначает значительный шаг вперед в области сетевой безопасности.
Поделиться
Короткая ссылка
