МЕТОД ВИЯВЛЕННЯ АТАК НА КОРПОРАТИВНІ ВЕБ-ДОДАТКИ НА ОСНОВІ ГРАДІЄНТНОГО БУСТИНГУ

Анна Бойко

doi:10.28925/2663-4023.2025.31.1062

Автор(и)

Анна Бойко Державний університет інформаційно-комунікаційних технологій https://orcid.org/0009-0001-3709-6283

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1062

Ключові слова:

веб-атаки, виявлення атак, мережевий трафік, HTTP, машинне навчання, градієнтний бустинг, LightGBM, XGBoost

Анотація

У роботі розглянуто задачу виявлення веб-атак у мережевому трафіку корпоративних веб-додатків в умовах переваги кількості шифрованих з’єднань, коли аналіз вмісту запитів є обмеженим, а ключову роль відіграють потокові та поведінкові характеристики. Запропоновано підхід, що базується на ансамблевих моделях градієнтного бустингу дерев рішень і орієнтований на класифікацію мережевих потоків на нормальні та атакувальні. Експериментальну перевірку виконано на даних CSE-CIC-IDS2018; застосовано очищення та нормалізацію даних, а також балансування класів через контрольоване зменшення кількості нормальних потоків для зниження впливу дисбалансу. Для виявлення атак використано моделі LightGBM і XGBoost із типовими налаштуваннями для бінарної класифікації табличних ознак; оцінювання здійснено на відкладеній тестовій множині із застосуванням стандартних метрик якості та аналізом матриці помилок. Отримані результати демонструють дуже високу відокремлюваність класів і малу кількість помилок класифікації, причому XGBoost показує дещо кращий баланс між повнотою виявлення атак і кількістю помилкових спрацювань порівняно з LightGBM. Проаналізовано внесок ознак у рішення моделей; найбільш інформативними виявляються статистики довжин пакетів, часових інтервалів, співвідношення напрямків трафіку та атрибути транспортного рівня, що відображають структуру й динаміку мережевої взаємодії. Разом з тим відзначено, що близькі до граничних значення метрик у контрольованих умовах можуть частково залежати від специфіки формування датасету та наявності ознак, пов’язаних із сценаріями генерації трафіку, тому інтерпретацію результатів подано з урахуванням загроз валідності. Практична цінність роботи полягає у відтворюваному підході до побудови детектора веб-атак на потокових ознаках, порівнянні двох реалізацій градієнтного бустингу та формуванні рекомендацій щодо подальшої перевірки узагальнюваності на альтернативних схемах валідації та додаткових вибірках.

Завантаження

Дані завантаження ще не доступні.

Посилання

Applebaum, S., Gaber, T., & Ahmed, A. (2021). Signature-based and machine-learning-based web application firewalls: A short survey. Procedia Computer Science, 189, 358–367. https://doi.org/10.1016/j.procs.2021.05.105

OWASP Core Rule Set Project. (n.d.). False positives and tuning. CRS Documentation. https://coreruleset.org/docs/

Velan, P., Čermák, M., Čeleda, P., & Drašar, M. (2015). A survey of methods for encrypted traffic classification and analysis. International Journal of Network Management, 25(5), 355–374. https://doi.org/10.1002/nem.1901

Sharafaldin, I., Lashkari, A. H., & Ghorbani, A. A. (2018). Toward generating a new intrusion detection dataset and intrusion traffic characterization. Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP), 108–116. https://doi.org/10.5220/0006639801080116

Canadian Institute for Cybersecurity. (2018). IDS 2018 dataset. University of New Brunswick. https://www.unb.ca/cic/datasets/ids-2018.html

Registry of Open Data on AWS. (n.d.). A realistic cyber defense dataset (CSE-CIC-IDS2018). https://registry.opendata.aws/cse-cic-ids2018/

Sarhan, M., Layeghy, S., & Portmann, M. (2022). Evaluating standard feature sets towards increased generalisability and explainability of ML-based network intrusion detection. Big Data Research, 30, 100345. https://doi.org/10.1016/j.bdr.2022.100345

Ke, G., Meng, Q., Finley, T., Wang, T., Chen, W., Ma, W., Ye, Q., & Liu, T.-Y. (2017). LightGBM: A highly efficient gradient boosting decision tree. Advances in Neural Information Processing Systems, 30.

Chen, T., & Guestrin, C. (2016). XGBoost: A scalable tree boosting system. Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, 785–794. https://doi.org/10.1145/2939672.2939785

Friedman, J. H. (2001). Greedy function approximation: A gradient boosting machine. The Annals of Statistics, 29(5), 1189–1232.

OWASP. (2021). OWASP Top 10: 2021. https://owasp.org/Top10/