ANOMALY DETECTION IN ENCRYPTED NETWORK TRAFFIC USING DEEP LEARNING

Павло Підгорний; Тетяна Лаврик

doi:10.28925/2663-4023.2025.29.897

Автор(и)

Павло Підгорний Сумський державний університет https://orcid.org/0009-0008-8604-8051
Тетяна Лаврик Сумський державний університет https://orcid.org/0000-0002-7144-7059

DOI:

https://doi.org/10.28925/2663-4023.2025.29.897

Ключові слова:

зашифрований трафік; виявлення аномалій; глибинне навчання; самонавчання; кібербезпека; ET SSL; CNN+LSTM; автокодер; QUIC; атаки нульового дня

Анотація

Зростання частки зашифрованого трафіку в сучасних мережевих комунікаціях створює суттєві труднощі для кібербезпеки, особливо для традиційних систем виявлення вторгнень, що базуються на аналізі вмісту пакетів. У цьому дослідженні розглянуто проблему виявлення аномалій у зашифрованому мережевому трафіку за допомогою методів глибокого навчання, які аналізують метадані без необхідності розшифровування. Проведено комплексне експериментальне порівняння трьох архітектур—Autoencoder, CNN+LSTM та ET SSL (модель контрастного самоконтрольованого навчання)—з використанням трьох відкритих наборів даних: CIC-Darknet2020, UNSW-NB15 та QUIC-TLS, які охоплюють різноманітні типи зашифрованих протоколів і атак. Усі набори даних було попередньо оброблено до формату потоків (flows) із 75 стандартизованими числовими ознаками. Оцінка моделей виконувалася за точністю класифікації, F1-мірою та частотою хибнопозитивних спрацьовувань (FPR). Модель ET SSL показала найбільш стабільні та найкращі результати, досягнувши точності до 96,8%, F1-міри 0,961 та низького FPR—лише 1,2%. CNN+LSTM продемонструвала дещо нижчі, але конкурентні результати, тоді як модель Autoencoder виявила обмеження у здатності адаптуватися до високого рівня обфускації трафіку, особливо для потоків на основі протоколу QUIC. Крім того, було проведено аналіз чутливості гіперпараметрів, зокрема вивчався вплив швидкості навчання, розміру часового вікна та регуляризації dropout. Отримані результати підтвердили важливу роль адаптивного налаштування моделей для оптимізації їхньої продуктивності у конкретних умовах застосування. Наприклад, зменшення швидкості навчання покращувало точність, проте збільшувало час навчання, а подовження часового вікна покращувало F1-міру за рахунок підвищених обчислювальних витрат.

Експериментальні результати підтверджують практичну доцільність застосування моделей глибокого навчання для моніторингу зашифрованого трафіку без необхідності його розшифровування. Особливо перспективною є архітектура ET SSL, що може бути використана у системах виявлення загроз у режимі реального часу завдяки своїй стійкості, високій здатності до узагальнення та низькій частоті хибнопозитивних результатів. Крім того, її здатність працювати в умовах обмеженої кількості розмічених даних або взагалі без них завдяки самоконтрольованому навчанню робить її особливо придатною для виявлення атак нульового дня. Майбутні напрямки досліджень включають розширення різноманітності навчальних наборів даних з урахуванням нових стандартів шифрування (наприклад, Encrypted SNI, DoQ), інтеграцію моделей у масштабовані середовища IDS/IPS з низькою затримкою, застосування методів пояснюваного штучного інтелекту (XAI) для підвищення довіри та прозорості, а також створення моделей, стійких до протидії супротивника. Представлені результати є основою для створення наступного покоління адаптивних і контекстно-орієнтованих систем моніторингу кіберзагроз.

Завантаження

Дані завантаження ще не доступні.

Посилання

Draper-Gil, G., Lashkari, A. H., Mamun, M. S. I., & Ghorbani, A. A. (2016). Characterization of encrypted and VPN traffic using time-related features. In Proceedings of the 2nd International Conference on Information Systems Security and Privacy (ICISSP 2016) (pp. 407–414). https://doi.org/10.5220/0005740704070414

Sharafaldin, I., Lashkari, A. H., & Ghorbani, A. A. (2018). Toward generating a new intrusion detection dataset and intrusion traffic characterization. In Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018). https://www.unb.ca/cic/datasets/ids-2017.html

Liu, Q., Zhang, Y., & Chen, T. (2023). DETD: A deep autoencoder-based anomaly detection framework for encrypted traffic. Computational Intelligence and Neuroscience, 2023, Article 3316642. https://doi.org/10.1155/2023/3316642

Wang, W., Zhu, M., Zeng, X., Ye, X., & Sheng, Y. (2018). HAST-IDS: Learning hierarchical spatial-temporal features using deep neural networks to improve intrusion detection. IEEE Access, 6, 1792–1806. https://doi.org/10.1109/ACCESS.2017.2780250

Fu, C., Li, Q., & Xu, K. (2023). HyperVision: Real-time encrypted traffic anomaly detection with contrastive learning. arXiv preprint arXiv:2301.13686. https://arxiv.org/abs/2301.13686

Sattar, S., Rehman, A., Khan, M., & Hussain, S. (2025). Anomaly detection in encrypted network traffic using self-supervised learning. Scientific Reports, 15, Article 26585. https://www.nature.com/articles/s41598-025-08568-0

Canadian Institute for Cybersecurity. (2020). CIC-Darknet2020 dataset. https://www.unb.ca/cic/datasets/darknet2020.html

Moustafa, N., & Slay, J. (2015). UNSW-NB15: A comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set). In Military Communications and Information Systems Conference (MilCIS 2015) (pp. 1–6). IEEE. https://doi.org/10.1109/MilCIS.2015.7348942

Aceto, G., Persico, V., & Pescapé, A. (2019). A survey on information and communication technologies for Industry 4.0: State-of-the-art, taxonomy, and open challenges. Computer Networks, 159, 99–124. https://doi.org/10.1016/j.comnet.2019.05.010

Rokach, L., & Maimon, O. (2014). Data mining with decision trees: Theory and applications (2nd ed.). World Scientific Publishing. https://doi.org/10.1142/9097

Lotfollahi, M., Shirali Hossein Z., Jafari, S., & Saberian, M. (2020). Deep Packet: A novel approach for encrypted traffic classification using deep learning. Soft Computing, 24, 1999–2012. https://doi.org/10.1007/s00500-019-04106-2

Lashkari, A. H., Draper-Gil, G., Mamun, M. S. I., & Ghorbani, A. A. (2017). Characterization of Tor traffic using time-based features. In Proceedings of the 3rd International Conference on Information Systems Security and Privacy (ICISSP 2017). https://doi.org/10.5220/0006097702530260

Alsoufi, M., Liu, W., Khan, R., & Alazab, M. (2021). A survey of machine and deep learning methods for Internet of Things (IoT) security. Sensors, 21(15), Article 5112. https://doi.org/10.3390/s21155112

Nanda, S., Zulkernine, M., & Haque, A. (2016). Predicting network attack patterns in encrypted traffic using machine learning. In Proceedings of the IEEE International Conference on Big Data (Big Data). https://doi.org/10.1109/BigData.2016.7840625

Shbair, W., Zarpelão, B., & Granville, L. (2016). Efficient early detection of advanced persistent threats using network flow forensics. In Proceedings of the 14th Annual Conference on Privacy, Security and Trust (PST). https://doi.org/10.1109/PST.2016.7906959

Lin, W., Xiao, X., Song, W., & Xue, Y. (2020). ID-RNN: An intrusion detection system based on a recurrent neural network. Security and Communication Networks, 2020, Article 7690423. https://doi.org/10.1155/2020/7690423

Berman, D. S., Buczak, A. L., Chavis, J. S., & Corbett, C. L. (2019). A survey of deep learning methods for cyber security. Information, 10(4), Article 122. https://doi.org/10.3390/info10040122

Nguyen, T. T., & Armitage, G. (2008). A survey of techniques for Internet traffic classification using machine learning. IEEE Communications Surveys & Tutorials, 10(4), 56–76. https://doi.org/10.1109/SURV.2008.080406