Аналіз ефективності виявлення аномалій межевого трафіку на основі моделей машинного навчання

Савченко, Тетяна; Луцька, Наталія; Власенко, Лідія; Томенко, Наталя

Аналіз ефективності виявлення аномалій межевого трафіку на основі моделей машинного навчання

Files

Analiz_efektyvnosti_vyiavlennia_anomalii_mezhevoho_trafiku_na_osnovi_modelei_mashynnoho_navchannia.pdf (1.07 MB)

Date

2025

Authors

Савченко, Тетяна

Луцька, Наталія

Власенко, Лідія

Томенко, Наталя

Abstract

У статті представлено підхід до побудови моделі виявлення аномалій в реальному часі в мережевому трафіку типу DoS (Denial of Service) та її інтеграцію в систему моніторингу. Це відкриває нові можливості для візуалізації, дослідження та розробки систем виявлення вторгнень (IDS) та побудови їх цифрових двійників, забезпечуючи гнучку платформу для моделювання кіберфізичних загроз і реагування на них. У роботі синтезовано низку моделей з різними архітектурами нейронних мереж, зокрема, різновиди CNN (Convolutional Neural Networks), LSTM (Long Short-Term Memory) та Autoencoder, проведено порівняння та вибір ефективної моделі для задачі прогнозування аномалій у мережевому трафіку за різнотипними метриками. Обрана модель обмінюється даними з середовищем Node-RED, що реалізує систему моніторингу трафіку та забезпечує графічне представлення результатів виявлення вторгнень, автоматичну реакцію, а також додаткову симуляцію мережевого трафіку. Модель слугує цифровим двійником для системи автоматичного виявлення аномалій. Такий підхід дозволяє розробити прототип системи, який може бути швидко розгорнутий без необхідності у складних обчислювальних ресурсах чи кластерних системах. Важливою особливістю застосованого підходу є поєднання використання сучасних моделей нейронних мереж з логікою автоматичного реагування, що дозволяє наблизити її поведінку до автономної системи захисту, здатної оперативно реагувати на кіберфізичні загрози у реальному часі. Це значно розширює можливості цифрових двійників у сфері навчання, тестування і розвитку сучасних систем кібербезпеки, а також підвищує ефективність досліджень і практичних розробок у галузі захисту інформації. Завдяки представленому рішенню відкриваються перспективи подальшої інтеграції складних моделей глибокого навчання, гібридних архітектур та систем автоматичного моніторингу мережевого трафіку.

Description

The article presents an approach to constructing a real-time anomaly detection model for DoS (Denial of Service) network traffic and its integration into a monitoring system. This opens new opportunities for visualization, investigation, and development of intrusion detection systems (IDS) and their digital twins, providing a flexible platform for modeling cyber-physical threats and responding to them. The study synthesizes a range of models with various neural network architectures, including CNN (Convolutional Neural Networks), LSTM (Long Short-Term Memory), and Autoencoder variants, performs a comparative analysis, and selects an effective model for predicting anomalies in network traffic using diverse metrics. The chosen model exchanges data with the Node-RED environment, which implements the traffic monitoring system and provides graphical representation of intrusion detection results, automated responses, and additional network traffic simulation. The model functions as a digital twin of the anomaly detection system. This approach enables the development of a prototype system that can be rapidly deployed without the need for complex computational resources or cluster systems. A key feature of the applied approach is the combination of modern neural network models with automated response logic, which allows its behavior to approximate that of an autonomous protection system capable of responding promptly to cyber-physical threats in real time. This significantly expands the capabilities of digital twins in education, testing, and development of modern cybersecurity systems, while also enhancing the effectiveness of research and practical implementations in the field of information security. The presented solution opens prospects for further integration of complex deep learning models, hybrid architectures, and automated network traffic monitoring systems.

Keywords

виявлення аномалій, нейронні мережі, мережевий трафік, машинне навчання, цифровий двійник, атаки типу DoS, модель, Node-RED, стаття, anomaly detection, neural networks, network traffic, machine learning, digital twin, DoS attacks, model, Node-RED

Citation

111

URI

https://doi.org/10.28925/2663-4023.2025.29.898
https://ekmair.ukma.edu.ua/handle/123456789/39160

Collections

Кафедра інформатики

Full item page