159
“Al-Fa g‘oniy a lodla i” elek on ilmiy
ju nali
ISSN 2181-4252. Tom: 1 | Son: 3 | 2025-yil
"Descendan s o Al-Fa ghani" elec onic scien i ic
jou nal.
ISSN 2181-4252. Vol: 1 | Iss: 3 | 2025 yea
Электронный научный журнал "Потомки Аль-
Фаргани"
ISSN 2181-4252. Том: 1 | Выпуск: 3 | 2025 год
h ps://al- a goniy.uz/
МЕТОДИЧЕСКИЕ ПОДХОДЫ К ПОСТРОЕНИЮ ЭФФЕКТИВНЫХ СИСТЕМ
ОБНАРУЖЕНИЯ СЕТЕВЫХ АНОМАЛИЙ
Абдулхамидова Нилуфар Кахрамоновна,
Ассистент кафедры
«Программный инжиниринг и
кибербезопасность», ФГТУ
abdulkhamido anilu a [email protected]
Аннотация. В работе представлен методологический подход к классификации аномалий
сетевого трафика и описана взаимосвязь их источников, областей проявления и характерных
признаков. Рассмотрены оптимизированные схемы детекции аномалий и злоупотреблений на
основе пороговых, статистических и машинно-обученных методов. Предложена формальная
модель для выявления и классификации аномальных событий в распределённых сетях,
обеспечивающая высокую точность обнаружения и адаптивную настройку параметров.
Ключевые слова: сетевая аномалия, классификация, детекция, машинное обучение,
пороговые методы, адаптивная модель.
Введение. Современные компьютерные
сети становятся всё более подверженными
различным видам угроз, включая DDoS-атаки,
вредоносную активность, эксплуатацию
уязвимостей и инсайдерские вмешательства.
Эффективное обнаружение аномалий в сетевом
трафике требует применения комплексных
алгоритмических решений и автоматизированных
систем, способных распознавать как известные, так
и новые типы атак. Ключевой задачей является
создание модели нормального поведения, с
последующим выявлением любых отклонений как
потенциально аномальных. Однако процесс
построения такой модели осложнён рядом
факторов: неопределённостью в определении
«нормы», шумностью данных, ограниченным
доступом к меткам и наличием скрытых угроз.
Литературный обзор и методология.
Исследования последних лет, включая работы
Юсупова и Гуломова (2020) [1], Будько (2020) [2],
а также Курбанова (2024) [3], подтверждают
важность многослойного подхода к классификации
и обнаружению сетевых аномалий. Обобщённо,
источники аномалий делятся на пользовательские
(сотрудники, внешние пользователи) и машинные
(аппаратное обеспечение, сетевые устройства,
программное обеспечение). Типы аномалий
включают альфа-аномалии, всплески DDoS,
перегрузки, сбои, перекрёстные потоки и другие.
Методы обнаружения делятся на статистические,
сигнатурные, эвристические, методы машинного
обучения (ML) и методы глубокого обучения (DL).
Курбанов описал модель нейронной сети с
точностью до 92% и полнотой 85%, что
подтверждает её практическую применимость в
условиях реального трафика.
Классификация сетевых аномалий. При
выявлении сетевой аномалии для обоснованного
выбора дальнейших мер требуется всесторонне
изучить её характер, оценить степень
потенциальной угрозы и возможные последствия.
Это предъявляет задачу классификации аномалий
сетевого трафика. В настоящей работе
предлагается следующий метод их систематизации
(см. Рис. 1).
160
“Al-Fa g‘oniy a lodla i” elek on ilmiy
ju nali
ISSN 2181-4252. Tom: 1 | Son: 3 | 2025-yil
"Descendan s o Al-Fa ghani" elec onic scien i ic
jou nal.
ISSN 2181-4252. Vol: 1 | Iss: 3 | 2025 yea
Электронный научный журнал "Потомки Аль-
Фаргани"
ISSN 2181-4252. Том: 1 | Выпуск: 3 | 2025 год
h ps://al- a goniy.uz/
При оценке возможных сетевых атак
ключевыми признаками являются источник их
возникновения, зона проявления и характер
модификаций трафика [4-5]. В таблице №1
приведено детальное описание взаимосвязей
между аномалиями, сгруппированными по
указанным параметрам изменений в сетевом
трафике.
Таблица №1. Типы и признаки сетевых
аномалий.
Тип аномалии
Описание
Характеристик
а изменения
трафика
DoS / DDoS-
атака
Распределённо
е создание
перегрузки на
одном или
нескольких
хостах
Всплеск
байт/пакетов от
множества
источников в
адрес
назначения
Перегрузка
ресурса
Необычно
высокий спрос
на конкретный
IP-адрес или
сервис
Кратковременно
е повышение
трафика по
одному порту
Черви
Самораспростр
аняющийся
вредоносный
код
Равномерный
рост трафика по
множеству
портов
назначения
Отключения
Сбой
оборудования
или
маршрутизаци
и
Падение трафика
до нуля на
одном или
нескольких
потоках
Переключение
потоков
Необычное
перенаправлен
ие линка
между
интерфейсами
Снижение
трафика на
одном потоке и
одновременный
рост на другом
Схема обнаружения аномалий в сетевом
трафике. Системы обнаружения сетевых атак по
способу обнаружения делятся на модули
выявления аномалий и модули обнаружения
известных шаблонов злоупотреблений. Общая
процедура обнаружения аномалий выглядит
следующим образом: в качестве исходных данных
берётся сетевой трафик в виде набора IP-пакетов.
Эти пакеты служат основой для дальнейшего
формирования аналитической информации. На
Рис. 2 представлена схема базового алгоритма
обнаружения сетевых аномалий.
Рис.2. Схема обнаружения сетевых
аномалий
161
“Al-Fa g‘oniy a lodla i” elek on ilmiy
ju nali
ISSN 2181-4252. Tom: 1 | Son: 3 | 2025-yil
"Descendan s o Al-Fa ghani" elec onic scien i ic
jou nal.
ISSN 2181-4252. Vol: 1 | Iss: 3 | 2025 yea
Электронный научный журнал "Потомки Аль-
Фаргани"
ISSN 2181-4252. Том: 1 | Выпуск: 3 | 2025 год
h ps://al- a goniy.uz/
Представленная на Рис. 2 схема
иллюстрирует поэтапную архитектуру системы
обнаружения сетевых аномалий, основанную на
анализе поведенческих характеристик трафика и
сравнении их с эталонной моделью «нормального»
поведения. Такой подход ориентирован не на
сигнатурную идентификацию угроз, а на
выявление отклонений, что делает его особенно
актуальным для обнаружения атак нулевого дня и
новых, ранее неизвестных аномалий [4].
Процесс начинается с анализа входящего
сетевого трафика, представленного в виде набора
IP-пакетов 𝑃 ={𝑝1,𝑝2,…,𝑝𝑛}, поступающих в
реальном времени. Эти данные агрегируются за
заданный временной интервал 𝑇 , в течение
которого происходит предварительная фильтрация
и выделение подозрительных потоков. На данном
этапе формируется выборка трафика 𝑃′⊂𝑃,
подлежащая дальнейшему исследованию.
Следующий этап включает извлечение
признаков — атрибутов, характеризующих
сетевую активность. За каждый интервал времени
строится вектор признаков:
𝑥 =(𝑥1,𝑥2,…,𝑥𝑑)
где 𝑥𝑖 могут включать количество
соединений, среднюю длительность сессий, объём
переданных данных, долю входящего и
исходящего трафика и другие параметры. Для
корректного анализа значения нормализуются с
применением 𝑧-преобразования:
𝑧𝑖=𝑥𝑖−𝜇𝑖
𝜎𝑖
где 𝜇𝑖 и 𝜎𝑖 — среднее значение и
стандартное отклонение соответствующего
признака в нормальной выборке.
Сформированный профиль текущей
активности затем сравнивается с эталонной
моделью нормального поведения. Последняя
может быть реализована как на основе
статистических методов, так и с применением
алгоритмов машинного обучения. Одним из
наиболее эффективных статистических подходов
является использование расстояния Махаланобиса:
𝐷𝑀=√(𝑧−𝜇)𝑇𝛴−1(𝑧−𝜇)
где 𝜇 — вектор средних значений
нормального поведения, а 𝛴— ковариационная
матрица. Если рассчитанное значение 𝐷𝑀
превышает пороговое значение 𝛿, то наблюдаемая
активность классифицируется как аномальная.
В качестве дополнительного критерия
может использоваться энтропийный анализ,
позволяющий оценить степень неопределённости
трафика. Формула Шеннона:
𝐻(𝑥)=−∑𝑃(𝑥𝑖)𝑙𝑜𝑔2𝑃(𝑥𝑖)
𝑛
𝑖=1
применяется для выявления резких спадов
энтропии, что также может служить индикатором
аномалии (например, при DDoS-атаках или
сканировании портов).
В случае отсутствия значительных
отклонений профиль обновляется с
использованием новых данных, что позволяет
системе адаптироваться к изменяющимся
условиям и снижает риск деградации модели.
Обратное же — значительное расхождение
текущего поведения с нормой — фиксируется как
«сетевая аномалия».
Важно подчеркнуть, что хотя простая
реализация может опираться на сравнение
признаков с фиксированными порогами, данный
подход уязвим к шуму и нестабильным сетевым
условиям. Например, даже легитимные
диагностические запросы (ping, ace ou e),
отправленные администратором, могут ошибочно
трактоваться как аномалия. Это подчёркивает
необходимость в адаптивных, устойчивых и
обучаемых моделях [6].
Для подтверждения эффективности
предложенной модели была проведена серия
экспериментов с использованием открытого и
репрезентативного датасета CICIDS2017,
разработанного Канадским институтом
кибербезопасности. Данный набор данных
содержит как нормальный трафик, так и различные
виды атак, включая DoS, DDoS, Po Scan, Bo ne и
B u e Fo ce [8].
162
“Al-Fa g‘oniy a lodla i” elek on ilmiy
ju nali
ISSN 2181-4252. Tom: 1 | Son: 3 | 2025-yil
"Descendan s o Al-Fa ghani" elec onic scien i ic
jou nal.
ISSN 2181-4252. Vol: 1 | Iss: 3 | 2025 yea
Электронный научный журнал "Потомки Аль-
Фаргани"
ISSN 2181-4252. Том: 1 | Выпуск: 3 | 2025 год
h ps://al- a goniy.uz/
Датасет CICIDS2017 включает более 2
миллионов сетевых потоков, каждый из которых
описан по 80 признакам ( ea u es), включая:
− длительность соединения,
− количество переданных и полученных
байт,
− количество пакетов,
− соотношение входящего и исходящего
трафика,
− протокол (TCP/UDP/ICMP),
− флаги TCP и др.
Для эксперимента использовалась
сбалансированная подвыборка объёмом 100 000
записей, из которых:
− 50 000 – нормальный трафик,
− 50 000 – аномальный трафик разных
классов.
Результаты
Таблица 1. Результаты оценки
эффективности модели обнаружения
аномального трафика
Метрика
Значение
Точность (Accu acy)
93,5%
Полнота (Recall)
89,7%
Точность (P ecision)
91,2%
F1-мера
90,4%
Ложноположительный уровень
4,1%
− Модель успешно выявила как массовые
атаки (DDoS), так и малозаметные типы
нарушений (Po Scan).
− Наблюдалось чёткое снижение энтропии на
временных интервалах, соответствующих
DDoS-атакам.
− Визуализация (графики плотности, ROC-
кривые) показали устойчивость модели к
всплескам трафика.
Эксперименты подтвердили применимость
предложенной модели в реальных условиях.
Использование Махаланобис-метрики в сочетании
с энтропийной фильтрацией позволило
значительно снизить количество ложных
срабатываний при сохранении высокой
чувствительности к аномалиям.
Таким образом, представленная схема
сочетает элементы статистического и
эвристического анализа, позволяя выявлять
широкий спектр сетевых аномалий с высокой
точностью. Интеграция формализованных
методов, таких как расстояние Махаланобиса и
энтропийные оценки, существенно усиливает
аналитический потенциал системы и снижает
уровень ложных срабатываний, что критически
важно для построения современных систем
обеспечения информационной безопасности.
Заключение
В данной статье был представлен
комплексный и системный подход к построению
архитектуры систем обнаружения сетевых
аномалий, основанный на анализе поведенческих
характеристик сетевого трафика. Рассмотренная
модель включает в себя ключевые компоненты:
предварительную классификацию трафика по
характерным признакам, адаптивное построение и
динамическое обновление профиля нормального
поведения, а также комбинированные механизмы
детекции как аномалий, так и потенциальных
злоупотреблений. Такой интегрированный подход
позволяет достичь высокой степени
чувствительности при одновременном снижении
уровня ложноположительных срабатываний, что
критически важно для обеспечения надёжности
систем информационной безопасности.
Кроме того, предложенное решение
демонстрирует потенциальную применимость в
условиях реальных сетевых инфраструктур, где
присутствует высокая изменчивость трафика и
необходимость автоматизированного
мониторинга. В перспективе планируется
проведение экспериментальной валидации на
репрезентативных выборках реальных сетевых
данных, а также разработка демонстрационного
прототипа программного обеспечения, способного
в режиме реального времени осуществлять анализ,
классификацию и визуализацию аномальной
сетевой активности. Реализация прототипа
163
“Al-Fa g‘oniy a lodla i” elek on ilmiy
ju nali
ISSN 2181-4252. Tom: 1 | Son: 3 | 2025-yil
"Descendan s o Al-Fa ghani" elec onic scien i ic
jou nal.
ISSN 2181-4252. Vol: 1 | Iss: 3 | 2025 yea
Электронный научный журнал "Потомки Аль-
Фаргани"
ISSN 2181-4252. Том: 1 | Выпуск: 3 | 2025 год
h ps://al- a goniy.uz/
позволит подтвердить практическую
состоятельность предложенного метода и
расширить область его применения в современных
системах защиты от угроз.
Список использованных литературы:
1. Юсупов, С. Ю., & Гуломов, Ш. Р. (2020).
Совершенствование схем и моделей обнаружения
сетевых аномалий в компьютерных системах.
P oceedings o he In e na ional Con e ence on
Applica ion o In o ma ion and Communica ion
Technologies (AICT), Ташкент, Узбекистан.
h ps://doi.o g/10.1109/AICT50176.2020.9368781
2. Будько М. Б., Малько А. Д., Стародубова Д.
Д., Стародубов Р. Д. Обнаружение аномалий
сетевого трафика: основные аспекты, проблемы и
методы // Известия ТУИТ, 2020.
3. Абдулхамидова, Н. (2024).
ИНТЕЛЛЕКТУАЛЬНЫЙ АНАЛИЗ СЕТЕВОГО
ТРАФИКА: ВОЗМОЖНОСТИ И
ПЕРСПЕКТИВЫ. Resea ch and implemen a ion,
2(2), 35-37.
4. Курбанов С. Н. Алгоритмы обнаружения
аномалий в сетевом трафике с использованием
машинного обучения // Scopus Academia, 2024.
5. Гуломов Ш. Р., Каримова Д., Акбарова Ш.
А., Косимова Г. И. «Сравнительный анализ
методов контентной фильтрации сетевого
трафика», Международный журнал.
6. Мухтаров, Ф. М., & Абдулхамидова, Н. К.
(2024). Обнаружение Ddos-Атак В Реальном
Времени. Mias o P zyszłości, 55, 824-829.
7. Хусанова, М. К., & Абдулхамидова, Н. К.
(2024). Проблемы, Связанные С Аномалиями В
Сетевом Трафике. Mias o P zyszłości, 55, 190-194.
8. Мухтаров, Ф. М., & Абдулхамидова, Н. К.
(2024). СИСТЕМЫ И ИНСТРУМЕНТЫ ДЛЯ
ОБНАРУЖЕНИЯ АНОМАЛИЙ В СЕТЕВОМ
ТРАФИКЕ. Indexing, 1(1).
