Гібридна модель виявлення мережевих аномалій з використанням машинного навчання

Abstract

Зважаючи на зростання складності кіберзагроз, необхідне розроблення ефективних методів виявлення та класифікації атак у мережевому трафіку. У цьому дослідженні проаналізовано ефективність трьох популярних алгоритмів машинного навчання: Random Forest, який використовують для виявлення аномалій, Support Vector Machines (SVM), що виконує класифікацію кіберзагроз, та автоенкодерів, які застосовують для попередньої обробки даних та глибокого аналізу трафіку. Враховуючи переваги кожного з методів, ми пропонуємо ком- біновану модель, яка поєднує можливості цих алгоритмів, підвищуючи ефективність вияв- лення загроз та оптимізуючи процес класифікації атак. Виконані експерименти демонст- рують, що запропонований підхід забезпечує збільшення точності виявлення атак на 3–7 % та зменшення часу реагування порівняно з використанням окремих алгоритмів машинного навчання. Окрім того, комбінована модель сприяє оптимізації ресурсів, що є критично важливим фактором для розгортання масштабованих рішень у реальних умовах. Особливу увагу приділено гібридній моделі, яка поєднує автоенкодери та алгоритм Random Forest. Її ефективність підтверджена у тестових середовищах, де продемонстровано кращі результати виявлення мережевих аномалій порівняно із застосуванням лише одного алгоритму. Запропонований підхід дає змогу не лише підвищити рівень захисту інформаційних систем, а й забезпечити гнучкість у налаштуванні, завдяки чому модель придатна для широкого спектра кібербезпекових завдань. Отримані результати можна використовувати для вдоско- налення методів кіберзахисту, зокрема у сфері захисту критичної інфраструктури, де своє- часне виявлення загроз є ключовим фактором безпеки. Висока ефективність комбінованого підходу підтверджує його доцільність для впровадження у системах моніторингу мережевого трафіку та кібербезпеки загалом.The increasing complexity of cyber threats requires the development of effective methods for detecting and classifying attacks in network traffic. This study analyzes the effectiveness of three popular machine learning algorithms: Random Forest, which is used for anomaly detection, Support Vector Machines (SVM), which performs cyber threat classification, and autoencoders, which are used for data preprocessing and deep traffic analysis. Considering each method's advantages, a combined model is proposed that combines the capabilities of these algorithms, increasing the efficiency of threat detection and optimizing the attack classification process. The experiments demonstrate that the proposed approach increases attack detection accuracy by 3–7 % and reduces response time compared to using individual machine learning algorithms. In addition, the combined model contributes to resource optimization, which is a critical factor for deploying scalable solutions in real-world conditions. Special attention is paid to the hybrid model that combines autoencoders and the Random Forest algorithm. Its effectiveness has been confirmed in test environments, where better results in detecting network anomalies were demonstrated compared to the use of only one algorithm. The proposed approach allows not only to increase the level of protection of information systems, but also to provide flexibility in configuration, which makes the model suitable for use in a wide range of cybersecurity tasks. The results obtained can be used to improve existing cyber protection methods, in particular in the field of critical infrastructure protection, where timely detection of threats is a key security factor. The high efficiency of the combined approach confirms its feasibility for implementation in network traffic monitoring systems and cybersecurity in general.