Гібридний метод виявлення аномального трафіку в комп'ютерних мережах

Це дослідження присвячене проблемі виявлення аномалій у мережевому трафіку, спричинених зростаючими загрозами для інформаційно-комунікаційних систем. Традиційні системи виявлення вторгнень часто не можуть адаптуватися до нових загроз, особливо при аналізі вихідного трафіку, який може сигналізувати про внутрішню компрометацію. Для подолання цих обмежень у дослідженні запропоновано гібридний метод виявлення, спрямований на підвищення точності ідентифікації аномалій. Метод складається з трьох компонентів. По-перше, трафік класифікується за допомогою сигнатурного підходу із заздалегідь визначеними наборами дозволених і заборонених сигнатур. По-друге, аналіз самоподібності за допомогою коефіцієнта Херста виявляє довгострокові шаблони трафіку. По-третє, нечітка логіка застосовується для інтерпретації невизначених характеристик трафіку, таких як номери портів, протоколи, інтенсивність та розміри пакетів, з використанням лінгвістичних змінних та нечітких правил. У дослідженні представлені формалізовані моделі поведінки як легітимних, так і зловмисних користувачів, а також комбінована модель сигнатур пакетів для всебічного аналізу трафіку. Такий підхід підвищує адаптивність та зменшує частку некласифікованого трафіку. Експериментальна перевірка з використанням реальних та синтетичних даних підтверджує покращену точність виявлення та менший відсоток хибних спрацьовувань порівняно з традиційними методами. Наукова новизна полягає в поєднанні детермінованої класифікації з нечіткою логікою в єдиному конвеєрі виявлення, з особливим акцентом на моніторинг вихідного трафіку. Практична цінність запропонованої системи полягає в її придатності для інтеграції в існуючі системи кібербезпеки, що сприяє більш ефективному виявленню загроз і зниженню операційних ризиків в мережевих середовищах, що розвиваються.