Разработчик программного обеспечения для контроля и анализа трафика VAS Experts провел исследование анализа и классификации сетевого трафика с помощью ИИ, как потенциальной более точной и гибкой альтернативы традиционным методам за счет глубокого обучения нейросети. Результаты экспериментов подтвердили гипотезу высокой эффективности использования ИИ для идентификации маскируемого трафика. А нейросеть ResNet показала самые высокие результаты в распознавании VPN-трафика.

В ходе эксперимента VAS Experts реализовал модели исследования на базе сверточных нейронных сетей (CNN) и архитектуры ResNet, адаптировав их для высокоточной классификации зашифрованного VPN и прокси-трафика.

Для классификации сетевого трафика использовался набор данных в формате Netflow 10 (IPFIX), созданный для стандартизации передачи IP-информации от экспортера к коллектору, поддерживаемый такими производителями, как Cisco, Solera, VMware, Citrix. Спецификации IPFIX приведены в RFC 7011–7015 и RFC 5103.

Сбор данных осуществлялся с помощью машины с системой глубокой инспекции пакетов (DPI), подключенной к другим устройствам, создающим трафик через различные VPN. Это позволило зафиксировать уникальные IP и порты, генерируемые VPN с динамическими назначениями при блокировках. Таким образом был получен богатый массив уникальных комбинаций IP и портов для обучения модели нейронной сети.

Далее данные были разделены на обучающую (80%) и тестовую (20%) выборки. Применялась корректировка по классам для борьбы с дисбалансом, а также разметка на основе данных IPFIX для выделения конкретных классов. Нейронные сети обучались с использованием двух архитектур и подбора гиперпараметров.

Модели оценивались на тестовом наборе с использованием метрик точности, полноты и F1-меры:

•    Recall = TP / (TP + FN)
•    Precision = TP / (TP + FP)
•    F1 Score = 2 * Recall * Precision / (Recall + Precision)
где TP — истинно положительные, FN — ложноотрицательные, FP — ложноположительные классификации.

В результате исследования модель с архитектурой ResNet продемонстрировала более высокую точность в классификации VPN-протоколов.

«Результаты экспериментов подтверждают, что архитектура ResNet, благодаря своей способности извлекать сложные признаки и гибким гиперпараметрам, превосходит классическую CNN в классификации зашифрованного сетевого трафика. Особенность ResNet – остаточные соединения, эффективно решающие проблему градиентного затухания в глубоких нейронных сетях – позволила модели добиться высокой точности классификации протоколов», – подытожил директор по развитию VAS Experts Артем Терещенко.

Современные нейронные сети предлагают высокую точность и гибкость, позволяя эффективно идентифицировать маскируемый трафик, даже когда классические методы оказываются неэффективными. Таким образом, переход к нейросетевым подходам обозначает значительный шаг вперед в области сетевой безопасности.

Справочно:

VAS Experts — разработчик программного обеспечения для контроля и анализа трафика. Компания присутствует на IT-рынке с 2013 года. За время ее существования было произведено более 2000 инсталляций в России и за рубежом. Продукцией VAS Experts пользуются интернет-провайдеры, операторы связи, поставщики IPTV и другие компании в области телекоммуникаций. Многофункциональность решений позволяет применять его в корпоративном сегменте: для организации публичного Wi-Fi, оптимизации и реорганизации сетей, контроля сетей на объектах.