ПОРІВНЯЛЬНИЙ АНАЛІЗ МЕТОДІВ ГЛИБОКОГО ТА МАШИННОГО НАВЧАННЯ ДЛЯ ВИЯВЛЕННЯ МЕРЕЖЕВИХ ВТОРГНЕНЬ
DOI:
https://doi.org/10.28925/2663-4023.2026.32.1115Ключові слова:
глибоке навчання, машинне навчання, CNN, LSTM, LightGBM, Transformer, Mamba, класифікація мережевого трафіку, система виявлення вторгненьАнотація
У статті представлено результати комплексного порівняльного дослідження шести методів машинного та глибокого навчання для задачі багатокласової класифікації мережевих атак. Досліджено ефективність згорткової нейронної мережі (CNN-IDS), мережі довгої короткочасної пам’яті (LSTM-IDS), градієнтного бустингу LightGBM та CatBoost, архітектури Transformer-IDS на основі механізму самоуваги, а також моделі Mamba-IDS на базі селективних просторів станів (Selective State Space Model, S6). Експерименти проведено на чотирьох еталонних наборах даних мережевого трафіку: CIC-IDS2017, CIC-IDS2018, UNSW-NB15 та CICIoT2023. Для забезпечення відтворюваності результатів застосовано єдиний протокол попередньої обробки даних із стандартизацією ознак, стратифікованим розділенням 70/15/15 та зваженою функцією втрат для подолання дисбалансу класів. Оцінювання проведено за метриками Accuracy, Macro F1-score, MCC (коефіцієнт кореляції Метьюза) та Weighted F1-score. Результати показали, що градієнтний бустинг LightGBM забезпечує найвищу точність на всіх чотирьох наборах даних. Моделі глибокого навчання (CNN, LSTM, Transformer, Mamba) продемонстрували кращу здатність до узагальнення на незбалансованих наборах даних, зокрема вищий Macro Recall для рідкісних класів атак. Модель Mamba-IDS показала конкурентоспроможні результати порівняно з Transformer-IDS за лінійної обчислювальної складності O(n) замість квадратичної O(n²), що робить її перспективною для обробки довгих послідовностей мережевого трафіку в реальному часі. Аналіз per-class F1-score виявив суттєві відмінності у здатності моделей розпізнавати рідкісні класи атак, що підкреслює необхідність багатокласового оцінювання замість загальної точності.
Дослідження робить внесок у розуміння переваг та обмежень сучасних архітектур нейронних мереж для систем виявлення вторгнень, а також надає практичні рекомендації щодо вибору оптимального методу залежно від характеристик набору даних та вимог до часу обробки.
Завантаження
Посилання
Momand, A., Jan, S. U., & Ramzan, N. (2023). A systematic and comprehensive survey of recent advances in intrusion detection systems using machine learning: Deep learning, datasets, and attack taxonomy. Journal of Sensors, 2023, Article 6048087. https://doi.org/10.1155/2023/6048087
Lansky, J., et al. (2021). Deep learning-based intrusion detection systems: A systematic review. IEEE Access, 9, 112054–112072. https://doi.org/10.1109/ACCESS.2021.3097247
Ahmad, Z., et al. (2021). Network intrusion detection system: A systematic study of machine learning and deep learning approaches. Transactions on Emerging Telecommunications Technologies, 32(12), e4150. https://doi.org/10.1002/ett.4150
Halbouni, A., et al. (2022). CNN-LSTM: Hybrid deep neural network for network intrusion detection system. IEEE Access, 10, 99855–99873. https://doi.org/10.1109/ACCESS.2022.3206425
Liu, G., Zhao, W., & Wang, Q. (2021). A fast network intrusion detection system using adaptive synthetic oversampling and LightGBM. Computers & Security, 102, Article 102289. https://doi.org/10.1016/j.cose.2021.102289
Douiba, M., Benber, S., Idri, S., & Nassih, B. (2023). An improved anomaly detection model for IoT security using decision tree and gradient boosting. The Journal of Supercomputing, 79, 16261–16285. https://doi.org/10.1007/s11227-022-04783-y
Manocchio, L., et al. (2024). FlowTransformer: A transformer framework for flow-based network intrusion detection systems. Expert Systems with Applications, 237, Article 122564. https://doi.org/10.1016/j.eswa.2023.122564
Lin, X., et al. (2022). ET-BERT: A contextualized datagram representation with pre-training transformers for encrypted traffic classification. In Proceedings of the ACM Web Conference 2022 (pp. 2230–2240). https://doi.org/10.1145/3485447.3512217
Ferrag, M. A., et al. (2022). Edge-IIoTset: A new comprehensive realistic cybersecurity dataset of IoT and IIoT applications for centralized and federated learning. IEEE Access, 10, 40281–40306. https://doi.org/10.1109/ACCESS.2022.3165809
Gu, A., & Dao, T. (2023). Mamba: Linear-time sequence modeling with selective state spaces. arXiv. https://doi.org/10.48550/arXiv.2312.00752
Gu, A., Goel, K., & Ré, C. (2022). Efficiently modeling long sequences with structured state spaces. In International Conference on Learning Representations (ICLR 2022). https://openreview.net/forum?id=uYLFoz1vlAC
Engelen, G., Rimmer, V., & Joosen, W. (2021). Troubleshooting an intrusion detection dataset: The CICIDS2017 case study. In IEEE Security and Privacy Workshops (SPW 2021) (pp. 96–102). https://doi.org/10.1109/SPW53761.2021.00009
Neto, E. C. P., et al. (2023). CICIoT2023: A real-time dataset and benchmark for large-scale attacks in IoT environment. Sensors, 23(13), Article 5941. https://doi.org/10.3390/s23135941
Chicco, D., Tötsch, N., & Jurman, G. (2021). The Matthews correlation coefficient (MCC) is more reliable than balanced accuracy, bookmaker informedness, and markedness in two-class confusion matrix evaluation. BioData Mining, 14, Article 13. https://doi.org/10.1186/s13040-021-00244-z
Grinsztajn, L., Oyallon, E., & Varoquaux, G. (2022). Why do tree-based models still outperform deep learning on typical tabular data? In Advances in Neural Information Processing Systems (NeurIPS 2022). https://proceedings.neurips.cc/paper_files/paper/2022/hash/0378c7692da36807bdec87ab043cdadc-Abstract-Datasets_and_Benchmarks.html
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Володимир Рихва, Ганна Солодовник
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
