Применение машинного обучения для профилирования устройств Интернета вещей с целью обнаружения вредоносной активности

Защита устройств Интернета вещей представляет собой актуальную и значимую задачу в условиях постоянного увеличения числа подключенных к сети устройств и нарастающей угрозы кибератак. Одним из ключевых решений данной проблемы является профилирование таких устройств с целью повышения уровня безопасности систем, в которых они функционируют.

Применение методов машинного обучения является перспективным подходом к решению подобной задачи. В настоящем исследовании представлен подход к профилированию устройств Интернета вещей, направленный на обнаружение вредоносной активности. Представленное решение позволяет обнаруживать сетевые события, которые могут свидетельствовать о наличии кибератак.

Метод. Сущность метода заключается в создании индивидуальных профилей поведения для каждого устройства Интернета вещей с использованием алгоритмов машинного обучения. Профили создаются на основе анализа сетевого трафика. Модели машинного обучения выполняют задачи классификации и обнаружения аномалий. В работе подробно описаны основные этапы предложенного подхода, которые включают процессы сбора и предварительной обработки данных, выбора и обучения моделей, тестирования и оценки эффективности разработанного решения.

Основные результаты. В ходе исследования построено 26 профилей устройств на основе набора данных CIC IoT 2022. В исходный набор данных добавлен 21 новый признак. Обновленный набор сбалансирован методами оверсемплинга и андерсемплинга. Для каждого устройства получены сравнительные оценки эффективности моделей Random Forest, XGBoost, CatBoost для задачи обнаружения атак, а также Isolation Forest, Elliptic Envelope, One-Class Support Vector Machine для задачи обнаружения аномалий.

Показано, что предложенные в исследовании новые признаки входят в число наиболее информативных.