Сибирский федеральный университет

Тип публикации: статья из журнала

Год издания: 2023

Идентификатор DOI: 10.17513/snt.39501

Ключевые слова: network traffic analysis, machine learning, rule generation, artificial neural network, signature, анализ сетевого трафика, машинное обучение, генерация правил, искусственная нейронная сеть, сигнатура

Аннотация: В данной работе, в рамках создания автономного программно-аппаратного комплекса по выявлению вредоносных сетевых воздействий, рассматривается возможность применения методов обработки естественного языка (NLP) для генерации правил системы Snort. Оценивается возможность создания автоматического модуля генерации правил, что позволит говорить о возможности создания полностью автономного программно-аппаратного комплекса. Предлагается техника NLP для упрощения процесса составления правил и, таким образом, повышения скорости реакции на возникновение новых сетевых угроз. С помощью методов обработки естественного языка и методов машинного обучения новые правила генерируются на основе выделенного обучающего набора сетевого трафика (сетевых пакетов), который может формироваться как на основе уже известных сетевых угроз, так и на основе только что выделенных вредоносных пакетов. Для создания модуля генерации трафика выбран новый класс нейросетей - трансформеров, используемый для решения задач обработки естественного языка, учитывающий сильные зависимости. Выполнено сравнение стационарного типового набора правил выделения сетевых угроз с динамически сформированным набором с точки зрения обнаружения существующих типов вредоносного трафика и количества «ложноположительных» срабатываний, показано достаточно высокое качество полученного набора и минимальные показатели ошибок. In this paper, within the framework of creating an autonomous hardware-software complex for detecting malicious network influences, the possibility of applying natural language processing (NLP) methods for generating Snort system rules is considered. The possibility of creating an automatic module for rule generation is assessed, which will allow talking about the possibility of creating a fully autonomous hardware and software complex. We propose an NLP technique to simplify the rule generation process and thus increase the speed of response to the emergence of new network threats. Using natural language processing and machine learning techniques, new rules are generated from a dedicated training set of network traffic (network packets), which can be generated from both already known network threats and newly identified malicious packets. To create a traffic generation module, a new class of neural networks - transformers - is selected, which is used to solve natural language processing problems, taking into account strong dependencies. The comparison of the stationary typical set of rules for detection of network threats and dynamically generated set-in terms of detection of existing types of malicious traffic and number of “false positives” is performed, it is shown that the obtained set is of high enough quality and minimal error rates.

Журнал: Современные наукоемкие технологии

Выпуск журнала: №1

Номера страниц: 83-88

ISSN журнала: 18127320

Место издания: Москва

Издатель: ООО "Издательский дом "Академия естествознания"

• Шнайдер А.В. (ФГАОУ ВО «Сибирский федеральный университет»)
• Казаков Ф.А. (ФГАОУ ВО «Сибирский федеральный университет»)

• РИНЦ (eLIBRARY.RU)
• Список ВАК