УДК 681.322
ПРИМЕНЕНИЕ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ В ЗАДАЧЕ ОБНАРУЖЕНИЯ АТАК ТИПА ПОДМЕНА АДРЕСА РЕСУРСА В СЕТИ ИНТЕРНЕТ
А. С. Найденов, Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Рассматривается задача обнаружения атак типа подмена адреса ресурса в сети Интернет. Целью работы является исследование взаимосвязи между внешними свойствами ресурса и наличием подмены адреса. В рамках исследования выполняется построение модели классификации адреса ресурса по принципу «оригинальный/подмененный» на основе внешней информации о ресурсе с использованием методов машинного обучения. Для построения модели проведен сбор адресов оригинальных и подмененных ресурсов сети Интернет из открытых источников («Open Directory Project» и «PhishTank»). В работе производится лексический анализ адреса ресурса: выделение шаблонов, проверка на наличие ключевых слов, выделение структуры адреса ресурса, анализ подключения к ресурсу: протокол соединения, порт подключения. Данные обогащаются информацией о домене с помощью службы Whois. Отбор значимых атрибутов производится на основе модели. Проведена оценка каче- ства модели классификации, анализ ошибок; определена возможность ее практического применения.
Ключевые слова: вычислительные системы и сети, обнаружение компьютерных атак, подмена адреса в сети Интернет, машинное обучение, алгоритмы классификации, n-граммный метод, ROC- анализ.