В настоящее время основным способом защиты от сетевых атак, не учитывая программное устранение уязвимостей, является - сигнатурный метод. Такой подход позволяет детектировать атаки на основе выделенного ранее паттерна. Для защиты используется совокупность мер по предостережению самой атаки и распределению нагрузки, в случае атаки типа dos(denial of service). В данной работе рассматривается и демонстрируется новый подход к обнаружению аномальной активности в трафике: на основе глубокого анализа пакетов трафика для определения flood-атак и полезной нагрузки для систем NGFW, используя классические алгоритмы машинного обучения и нейронные сети. Предполагается, что в будущем подобные решения значительно расширят возможности анализировать события кибербезопасности, соотнося между собой аномалии обнаруженные сигнатурным методом и методом основанным на машинном обучении.
Введение 6
1. Данные и методы 7
1.1. Обзор литературы 7
1.2. Выбор датасетов для обучения 8
1.3. Обзор датасетов 9
1.4. Обзор методов машинного обучения 11
1.5. Обзор метрик 14
1.6. Выводы по разделу 15
2. Реализация практических задач 16
2.1. Реализация детектирования аномалий по netflow данным трафика 16
2.2. Детектирование полезной нагрузки для систем NGFW 34
2.5. Выводы по разделу 41
Заключение 42
Список использованных источников 43
1. Исходный код инструмента детектирования аномалий в трафике по netflow– URL:
2. Исходный код инструмента детектирования полезной нагрузки для NGFW – URL:
3. Malicious Intent Detection Challenge – URL:
4. A Survey on Explainable Artificial Intelligence for Network Cybersecurity – URL:
5. Signature-Based vs. Rule-Based WAFs: A Detailed Comparison – URL: