ІНТЕРАКТИВНА СИСТЕМА ВИЯВЛЕННЯ МЕРЕЖЕВИХ ВТОРГНЕНЬ У РЕАЛЬНОМУ ЧАСІ НА ОСНОВІ ГЛИБОКОГО НАВЧАННЯ

A. O. Nikitenko; Y. A. Sobol

A. O. Nikitenko Донецький національний технічний університет https://orcid.org/0009-0006-1363-2324
Y. A. Sobol Донецький національний технічний університет https://orcid.org/0009-0001-1607-8289

Ключові слова: система виявлення мережевих вторгнень, TraceRanger, CNN–BiGRU–Attention, механізм уваги, глибоке навчання

Анотація

У статті розглядається актуальна проблема виявлення мережевих вторгнень у режимі реального часу, що є критично важливою в сучасних умовах зростання кількості кіберзагроз та складності атак. Класичні методи детектування, як сигнатурні чи статистичні, мають низку обмежень — зокрема, неспроможність виявляти нові або модифіковані атаки, високу чутливість до налаштувань та обмежену адаптивність. З метою підвищення ефективності виявлення загроз запропоновано програмну систему TraceRanger, яка реалізує сучасну архітектуру мережевої системи виявлення вторгнень на основі глибокого навчання. Система має повнофункціональний графічний інтерфейс, підтримує обробку мережевого трафіка в реальному часі та аналіз за PCAP-файлами. Ключовим компонентом є модифікована гібридна модель CNN–BiGRU–Attention, що поєднує згорткові мережі, двонаправлені рекурентні шари GRU та гібридний механізм уваги для глибшого аналізу потокових характеристик трафіка.
Застосовано методи попередньої обробки та зменшення розмірності (PCA, метаевристичні алгоритми), а також оптимізацію гіперпараметрів для покращення узагальнюючої здатності моделі. Проведено експериментальні дослідження у віртуалізованому середовищі та на основі відкритого набору даних CSE-CIC-IDS-2018, включаючи атаки різного типу (DoS, DDoS, Bruteforce, Bot, SQLi, тощо). За результатами тестування зафіксовано високу точність виявлення загроз, а також підтверджено відповідність типів атак, джерел і IP-адрес, визначених системою, із ground-truth розміткою датасету. Додатково здійснено порівняльний
аналіз із системами BGPGuard та Dique, який показав перевагу TraceRanger за точністю, гнучкістю налаштувань і рівнем інтеграції користувача.
Наукова новизна полягає у запропонованій програмній системі TraceRanger, яка забезпечує практичну інтеграцію моделей глибокого навчання у повноцінне середовище виявлення мережевих загроз. На відміну від більшості існуючих досліджень, зосереджених лише на теоретичних аспектах побудови NIDS-моделей, запропонована система реалізує механізм динамічного керування та валідації моделей через стандарт ONNX, а також надає графічний інтерфейс для моніторингу трафіка в реальному часі. Практична значущість полягає у можливості використання системи для навчання фахівців з кібербезпеки, тестування NIDS-моделей, а також для розгортання у лабораторних або корпоративних середовищах моніторингу мережевого трафіка.

Завантаження

Дані завантаження ще не доступні.