Специалисты разработали гибридную модель глубокого обучения для выявления ботнет-атак в сетях интернета вещей. Алгоритм показал точность 99,77 процента при распознавании вредоносного трафика.
Количество подключенных устройств растет с каждым днем. Умные колонки, камеры видеонаблюдения, датчики, холодильники и медицинские приборы создают огромную поверхность для атак. Хакеры используют эти устройства для создания ботнетов — сетей зараженных машин, которые атакуют серверы, крадут данные и нарушают работу критической инфраструктуры. Традиционные методы защиты часто не справляются из-за ограниченных ресурсов самих устройств и огромных объемов трафика, пишет gazeta.spb.ru.
Исследователи применили двухэтапную обработку данных. Сначала они отобрали восемь наиболее информативных характеристик сетевых пакетов из 29 исходных, чтобы снизить шум и уменьшить вероятность переобучения модели. Затем использовали метод SMOTE, который искусственно создает примеры нормального трафика для балансировки классов.
Модель представляет собой гибрид из двух типов нейросетей. Сверточная нейронная сеть выделяет пространственные закономерности в данных, а сеть долговременной кратковременной памяти учитывает, как характеристики трафика меняются со временем. Такое сочетание позволяет улавливать даже сложные, распределенные во времени атаки.
На сбалансированном наборе данных точность достигла 99,77 процента, а полнота и точность — 100 процентов. Алгоритм одинаково хорошо распознает оба класса трафика. Гибрид CNN-LSTM показал лучшие результаты по сравнению с другими методами. Среднее время обработки одного пакета на обычном процессоре составило 15 миллисекунд, что достаточно для работы в реальном времени на большинстве сетевых устройств.
