ПРИКАСПИЙСКИЙ ЖУРНАЛ

УПРАВЛЕНИЕ И ВЫСОКИЕ ТЕХНОЛОГИИ

REALIZATION OF EXPERT INTRUSION DETECTION SYSTEM BASED ON THE RESULTS OF DATASETS AND MACHINE LEARNING ALGORITHM ANALYSIS

Читать

Ивкин Андрей Николаевич, Бурлаков Михаил Евгеньевич REALIZATION OF EXPERT INTRUSION DETECTION SYSTEM BASED ON THE RESULTS OF DATASETS AND MACHINE LEARNING ALGORITHM ANALYSIS // Прикаспийский журнал:  управление и высокие технологии. — 2020. — №2. — Стр. 100-107.

Ивкин Андрей Николаевич - Самарский национальный исследовательский университет имени академика С. П. Королева, Ivkin.92@bk.ru

Бурлаков Михаил Евгеньевич - Самарский национальный исследовательский университет имени академика С. П. Королева, knownwhat@gmail.com

Система обнаружения вторжений выявляет факт применения различного вредоносного программного обеспечения, всевозможных аномальных действий, наносящих ущерб целостности и безопасности компьютерной системы. Главной задачей системы обнаружения вторжений является корректное и своевременное оповещение об атаках на информационную систему. Ключевым моментом успешного обнаружения вторжений является выбор набора правил для детектирования угроз. С целью улучшения эффективности работы СОВ в данной исследовательской работе предлагается использовать экспертные правила, полученные из инструмента машинного обучения, что также даст возможность детектировать атаки, не представленные в базах сигнатур. Для реализации системы обнаружения вторжений, основанной на экспертных правилах, необходим корректный набор данных. Существует целый ряд наборов данных, таких как KDD99, ISC2012, ADFA2013 и т.д., которые используются для оценки эффективности предлагаемых методов обнаружения и предотвращения вторжений. Большинство наборов данных содержат устаревшую информацию, недостаточно разнообразный трафик, однотипные атаки, сильно урезанную информацию о пакетах, также имеет место нехватка некоторых атрибутов. В статье проведен сравнительный анализ 15-ти общедоступных наборов данных для поддержки разработки/тестирования СОВ. Также оценивается эффективность применения 8-ми различных алгоритмов машинного обучения к набору данных CICIDS. Мерами оценки эффективности рассмотренных алгоритмов выступает следующее: точность, полнота, Fмера. Предлагаемая система обнаружения вторжений, основанная на системе обнаружении Snort, обеспечивает высокие (свыше 98 %) показатели обнаружения вторжений.

Ключевые слова: система обнаружения вторжений, наборы данных, машинное обучение, CICIDS, WEKA, Snort, сигнатуры, intrusion detection system, Snort, machine learning, WEKA, j48 algorithm, CICIDS dataset, signatures