Адаптивные методы и средства поверхностного анализа пакетов для обнаружения аномалий в зашифрованном трафике

Массовое шифрование сетевого трафика делает традиционный глубокий анализ пакетов неприменимым, что требует перехода к поверхностному анализу на основе метаданных уровней OSI L2–L4. В данной работе предложен адаптивный подход к обнаружению аномалий в зашифрованном трафике, сочетающий высокопроизводительный сбор статистик, модифицированный жадный алгоритм отбора признаков и динамическую настройку гиперпараметров моделей машинного обучения. Реализация выполнена в виде NDIS-драйвера RuStatExt для Hyper-V Extensible Switch, обеспечивающего агрегацию трафика и извлечение признаков без снижения пропускной способности канала. На основе данных, собранных с более чем 2000 виртуальных машин в промышленной облачной среде, проведено сравнение методов отбора признаков (LASSO, RFE, жадный алгоритм) и моделей (Isolation Forest, Local Outlier Factor, One-Class SVM) при статической и динамической настройке параметров. Наилучший результат F1-меры, равный 0.78, достигнут моделью Isolation Forest с признаками, отобранными предложенным алгоритмом, при статической настройке гиперпараметров, что почти в 2 раза превосходит базовый подход с полным набором признаков. Драйвер не вносит статистически значимых накладных расходов при нагрузке 1 Гбит/с. Результаты подтверждают, что точное обнаружение аномалий возможно без расшифровки трафика, что обеспечивает применимость решения в современных облачных инфраструктурах.

1. Ахременко А.С., Стукал Д.К., Петров А.П. Сеть или текст? Факторы распространения протеста в социальных медиа: теория и анализ данных. Полис. Политические исследования, 2020, № 2, c. 73-91. DOI: 10.17976/jpps/2020.02.06. / Akhremenko A.S., Stukal D.K., Petrov A.P. Network or text? Factors of protest diffusion in social media: theory and data analysis. Polis. Political Studies, 2020, no. 2, pp. 73-91 (in Russian). DOI: 10.17976/jpps/2020.02.06.

2. Михайлов А.П., Петров А.П., Прончев Г.Б., Прончева О.Г. Моделирование спада общественного внимания к прошедшему разовому политическому событию. Доклады Академии наук, 2018, т. 480, № 4, с. 397-400. DOI: 10.7868/S0869565218160028. / Mikhailov A.P., Petrov A.P., Pronchev G.B., Proncheva O.G. Modeling the decline of public attention to a past single political event. Reports of the Russian Academy of Sciences, 2018, vol. 480, no. 4, pp. 397-400 (in Russian). DOI: 10.7868/S0869565218160028.

3. Taher K. A., Jisan B. M. Y., Rahman M. M. Network intrusion detection using supervised machine learning technique with feature selection. In: 2019 International Conference on Robotics, Electrical and Signal Processing Techniques (ICREST), IEEE, 2019, pp. 643-646.

4. Kumar K., Batth J. S. Network intrusion detection with feature selection techniques using machine-learning algorithms. International Journal of Computer Applications, 2016, vol. 150, no. 12.

5. Djidjev C. siForest: Detecting Network Anomalies with Set‑Structured Isolation Forest. Department of Computer Science, University of Texas at Austin, 2024.

6. Zhang P., He F., Zhang H., Hu J., Huang X., Wang J., Yin X., Zhu H., Li Y. Real-Time Malicious Traffic Detection With Online Isolation Forest Over SD-WAN, IEEE Transactions on Information Forensics and Security, vol. 18, pp. 2105-2119, 2023. DOI: 10.1109/TIFS.2023.3262121.

7. Mirsky Y., Doitshman T., Elovici Y., Shabtai A., Kitsune: An ensemble of autoencoders for online network intrusion detection, arXiv preprint. Available at: https://arxiv.org/pdf/1802.09089, accessed 21.03.2026.

8. Sharafaldin I., Lashkari A.H., Ghorbani A.A., Toward generating a new intrusion detection dataset and intrusion traffic characterization. In Proc. 4th Int. Conf. Inf. Syst. Secur. Privacy (ICISSp), 2018, pp. 108-116.

9. Ding Z., Fei M. An anomaly detection approach based on isolation forest algorithm for streaming data using sliding window. IFAC Proc. Vol., vol. 46, no. 20, pp. 12-17, 2013.

10. Kaushik A.K., Pilli E.S., Joshi R.C. Network forensic analysis by correlation of attacks with network attributes. In: Information and Communication Technologies: International Conference, ICT 2010, Kochi, Kerala, India, September 7-9, 2010. Proceedings. Springer, Berlin, Heidelberg, 2010, pp. 124-128.

11. Network-layer DDoS attack trends for Q2 2020: website. Available at: https://blog.cloudflare.com/ru-ru/network-layer-ddos-attack-trends-for-q2-2020/, accessed 02.12.2024.

12. Ramaswamy S., et al. Multiclass cancer diagnosis using tumor gene expression signatures. Proceedings of the National Academy of Sciences, 2001, vol. 98, no. 26, pp. 15149-15154.

13. Packet Flow through the Extensible Switch Data Path: сайт. Available at: https://learn.microsoft.com/en-us/windows-hardware/drivers/network/packet-flow-through-the-extensible-switch-data-path, accessed 09.04.2024.

14. Benchmarking Methodology for Network Interconnect Devices: сайт. Available at: https://datatracker.ietf.org/doc/html/rfc2544, accessed 01.04.2024.

15. Vedula V., Lama P., Boppana R., Trejo L.A. On the detection of low-rate denial of service attacks at transport and application layers. August 2021. Available at: https://www.researchgate.net/figure/The-impact-of-a-pulse-shaped-SYN-flooding-attack-with-an-average-rate-of-25-rps-and_fig1_354227118, accessed 21.03.2026.

16. Kocyigit E. et al. Enhanced feature selection using genetic algorithm for machine‑learning‑based phishing URL detection. Applied Sciences, 2024, vol. 14, no. 14, article 6081.

17. Tsaplin N. S., Petrov A. P., Kovalev D. V. Greedy Feature Selection for Network Traffic Shallow Packet Inspection. In Proceedings of the XXVII International Conference on Data Analytics and Management in Data Intensive Domains (DAMDID / RDD 2025), 2025.

18. Цаплин Н. А., Петров А. П., Ковалев Д. Ю. Анонимизированный датасет сетевого трафика. GitHub, 2025. Доступно по адресу: https://github.com/ntsaplin/greedy_search_mod, дата обращения: 21.03.2026.