Разработчик программного обеспечения для контроля и анализа трафика VAS Experts провел исследование анализа и классификации сетевого трафика с помощью ИИ, как потенциальной более точной и гибкой альтернативы традиционным методам за счет глубокого обучения нейросети. Результаты экспериментов подтвердили гипотезу высокой эффективности использования ИИ для идентификации маскируемого трафика. А нейросеть ResNet показала самые высокие результаты в распознавании VPN-трафика.
В ходе эксперимента VAS Experts реализовал модели исследования на базе сверточных нейронных сетей (CNN) и архитектуры ResNet, адаптировав их для высокоточной классификации зашифрованного VPN и прокси-трафика.
Для классификации сетевого трафика использовался набор данных в формате Netflow 10 (IPFIX), созданный для стандартизации передачи IP-информации от экспортера к коллектору, поддерживаемый такими производителями, как Cisco, Solera, VMware, Citrix. Спецификации IPFIX приведены в RFC 7011–7015 и RFC 5103.
Сбор данных осуществлялся с помощью машины с системой глубокой инспекции пакетов (DPI), подключенной к другим устройствам, создающим трафик через различные VPN. Это позволило зафиксировать уникальные IP и порты, генерируемые VPN с динамическими назначениями при блокировках. Таким образом был получен богатый массив уникальных комбинаций IP и портов для обучения модели нейронной сети.
Далее данные были разделены на обучающую (80%) и тестовую (20%) выборки. Применялась корректировка по классам для борьбы с дисбалансом, а также разметка на основе данных IPFIX для выделения конкретных классов. Нейронные сети обучались с использованием двух архитектур и подбора гиперпараметров.
Модели оценивались на тестовом наборе с использованием метрик точности, полноты и F1-меры:
- Recall = TP / (TP + FN)
- Precision = TP / (TP + FP)
- F1 Score = 2 * Recall * Precision / (Recall + Precision)
где TP — истинно положительные, FN — ложноотрицательные, FP — ложноположительные классификации.
В результате исследования модель с архитектурой ResNet продемонстрировала более высокую точность в классификации VPN-протоколов.
«Результаты экспериментов подтверждают, что архитектура ResNet, благодаря своей способности извлекать сложные признаки и гибким гиперпараметрам, превосходит классическую CNN в классификации зашифрованного сетевого трафика. Особенность ResNet – остаточные соединения, эффективно решающие проблему градиентного затухания в глубоких нейронных сетях – позволила модели добиться высокой точности классификации протоколов», – подытожил директор по развитию VAS Experts Артем Терещенко.
Современные нейронные сети предлагают высокую точность и гибкость, позволяя эффективно идентифицировать маскируемый трафик, даже когда классические методы оказываются неэффективными. Таким образом, переход к нейросетевым подходам обозначает значительный шаг вперед в области сетевой безопасности.
