Bibliographic Details
| Title: |
Обнаружение вредоносной активности в зашифрованном трафике, представленном в виде временных рядов |
| Source: |
Международный научный журнал "Современные информационные технологии и ИТ-образование". 18 |
| Publisher Information: |
Internet Media League, 2022. |
| Publication Year: |
2022 |
| Subject Terms: |
machine learning, intrusion detection systems, системы обнаружения вторжений, time series, машинное обучение, временные ряды |
| Description: |
В данный момент большая часть трафика в Интернете зашифрована; вредоносные программы также всё чаще используют шифрование. Чтобы анализировать зашифрованный трафик на предмет вредоносной активности, используются его метаданные. За «единицу» трафика принимается поток ‒ соединение между двумя хостами. Тема данной работы ‒ анализ зашифрованного трафика, представленного в виде временных рядов, с помощью машинного обучения. Этот подход рассматривается в сравнении с более традиционным подходом к классификации потоков. Задача рассмотрена в контексте обучения с учителем и без учителя. Также поставлена задача принятия решения о наличии заражения на хосте по совокупности данных, и описана модель детектора заражения. Эксперименты проводились на примере сетевой активности вируса-шифровальщика. Для анализа временных рядов применялись специализированные инструменты: рекуррентные и конволюционные нейросети, алгоритм динамической трансформации временной шкалы. At the moment, traffic on the Internet is mostly encrypted; malware is also increasingly using encryption. To scan encrypted traffic for malicious activity, its metadata is used. For that purpose, traffic is divided into flows – sessions between two hosts. This paper is devoted to machine learning for analysis of encrypted traffic presented in the form of time series. This approach is considered in comparison with a more traditional approach to flow classification. The task is considered in the context of both supervised and unsupervised machine learning. Regarding decision-making on whether the host is infected as a whole, a model of a malware detector is proposed. The experiments were conducted on the case study of the network activity of ransomware. Specialized tools were used to analyze time series: recurrent and convolutional neural networks, dynamic time warping. |
| Document Type: |
Article |
| Language: |
Russian |
| ISSN: |
2411-1473 |
| DOI: |
10.25559/sitito.18.202201.144-151 |
| Accession Number: |
edsair.doi...........7dd2254610a3f4872555ca937a3d8ba8 |
| Database: |
OpenAIRE |