Статистический анализ временных рядов для обнаружения PortScan и DDoS
изучение факторов, влияющих на эффективность алгоритма скользящих окон на основе Z-оценки
Аннотация
В ходе выполнения работы в рамках этой статьи были исследованы статистические методы обработки временных рядов Z-оценка и модифицированная Z-оценка при обнаружении PortScan и DDoS аттак. Составлены 6 временных рядов из следующих характеристик трафика: cреднее количество пакетов, переданных от источников к получателям, скорость передачи данных от источника к приемнику, скорость передачи данных ответа, продолжительность соединения между источником и пунктом назначения, вычисленная энтропия на основе портов назначения каждого источника IP, количество уникальных портов назначения, подключенных каждым источником IP. Для оценки выше перечисленных статистических методов были использованы метрики достоверности, точности, отклика и F1-меры. Полученные численные результаты показывают, что модифицированная Z-оценка вызывает меньше ложно-положительное срабатывание по сравнению с Z-оценкой при обнаружении изучаемых сетевых угроз, что влияет на оценку перечисленных метрик. Достигнутые показатели F1-меры модифицированной Z-оценкой при обнаружении DDoS атак в районе 93%-98% в зависимости от используемой характеристики трафика. F1-мера при обнаружении Portscan не превышает 58% в лучшем случае. Детальный анализ показал, что все обнаруженные PortScan относят к быстрому сканированию портов, так как данный вид сканирование вызывает всплеск трафика. Этот факт отражается через локальное нарушение стационарность временных рядов. Данные выводы подтверждены ADF и KPSS статистическими тестами, проведенными для проверки разных гипотез о стационарности рядов.
Литература
2. Rookard C., Khojandi A. Unsupervised Machine Learning for Cybersecurity Anomaly Detection in Traditional and Software-Defined Networking Environments. IEEE Transactions on Network and Service Management. 2025;22(2):1129-1144. https://doi.org/10.1109/TNSM.2024.3490181
3. Birkinshaw C., Rouka E., Vassilakis V.G. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks. Journal of Network and Computer Applications. 2019;136:71-85. https://doi.org/10.1016/j.jnca.2019.03.005
4. Ayodele B., Buttigieg V. SDN as a defence mechanism: a comprehensive survey. International Journal of Information Security. 2024;23(1):141-185. https://doi.org/10.1007/s10207-023-00764-1
5. Abrantes R., Mestre P., Cunha A. Exploring Dataset Manipulation via Machine Learning for Botnet Traffic. Procedia Computer Science. 2022;196:133-141. https://doi.org/10.1016/j.procs.2021.11.082
6. Hanzlik L., Kutyłowski M., Yung M. Hard Invalidation of Electronic Signatures. In: Lopez J., Wu Y. (eds.) Information Security Practice and Experience. ISPEC 2015. Lecture Notes in Computer Science. Vol. 9065. Cham: Springer; 2015. p. 421-436. https://doi.org/10.1007/978-3-319-17533-1_29
7. Ono D., Guillen L., Izumi S., Abe T., Suganuma T. A proposal of port scan detection method based on Packet-In Messages in OpenFlow networks and its evaluation. International Journal of Network Management. 2021;31(6):e2174. https://doi.org/10.1002/nem.2174
8. Bou-Harb E., Debbabi M., Assi C. Cyber scanning: a comprehensive survey. IEEE Communications Surveys & Tutorials. 2014;16(3):1496-1519. https://doi.org/10.1109/SURV.2013.102913.00020
9. Hartpence B., Kwasinski A. Combating TCP Port Scan Attacks Using Sequential Neural Networks. In: 2020 International Conference on Computing, Networking and Communications (ICNC). Big Island, HI, USA: IEEE Press; 2020. p. 256-260. https://doi.org/10.1109/ICNC47757.2020.9049730
10. Hirsi A., et al. Comprehensive Analysis of DDoS Anomaly Detection in Software-Defined Networks. IEEE Access. 2025;13:23013-23071. https://doi.org/10.1109/ACCESS.2025.3535943
11. Al-Haija Q.A., Saleh E., Alnabhan M. Detecting Port Scan Attacks Using Logistic Regression. In: 2021 4th International Symposium on Advanced Electrical and Communication Technologies (ISAECT). Alkhobar, Saudi Arabia: IEEE Press; 2021. p. 1-5. https://doi.org/10.1109/ISAECT53699.2021.9668562
12. Sarkar S., Roychowdhury S., Das A., Singh B.K. A Hybrid Intrusion Detection Framework for Hypervisor-Based MitM Attack Detection in Medical Cyber-Physical Systems: Leveraging PCA, Anomaly Detection, and KNN. In: 2025 International Conference on Artificial Intelligence and Machine Vision (AIMV). Gandhinagar, India: IEEE Press; 2025. p. 1-6. https://doi.org/10.1109/AIMV66517.2025.11203452
13. Nguyen V.Q., Ngo L.T., Nguyen V.H., Nguyen L.M., Le-Khac N. -A. A Deep Metric Learning Approach for Cyber Reconnaissance Detection. In: 2024 1st International Conference On Cryptography And Information Security (VCRIS). Hanoi, Vietnam: IEEE Press; 2024. p. 1-7. https://doi.org/10.1109/VCRIS63677.2024.10813453
14. Almseidin M., Al-Kasassbeh M., Kovacs S. Detecting Slow Port Scan Using Fuzzy Rule Interpolation. In: 2019 2nd International Conference on new Trends in Computing Sciences (ICTCS). Amman, Jordan: IEEE Press; 2019. p. 1-6. https://doi.org/10.1109/ICTCS.2019.8923028
15. Sangeen M., Bhatti N.A., Kifayat K. PortScout: A Communication Flow-Based Approach to Detect Port Scanning Evasion Attacks. In: ICC 2025 – IEEE International Conference on Communications. Montreal, QC, Canada: IEEE Press; 2025. p. 3045-3050. https://doi.org/10.1109/ICC52391.2025.11160775
16. Nisa M., Kifayat K. Detection of Slow Port Scanning Attacks. In: 2020 International Conference on Cyber Warfare and Security (ICCWS). Islamabad, Pakistan: IEEE Press; 2020. p. 1-7. https://doi.org/10.1109/ICCWS48432.2020.9292389
17. Nithya N., Sakthimuneeswaran S. Combined Approach using Multiattention Graph Convolution Network towards prevention, detection and classification of Phishing attack. In: 2025 2nd International Conference on New Frontiers in Communication, Automation, Management and Security (ICCAMS). Bangalore, India: IEEE Press; 2025. p. 1-6. https://doi.org/10.1109/ICCAMS65118.2025.11233973
18. Sagatov E.S., Mayhoub S., Sukhov A.M., Esposito F., Calyam P. Proactive Detection for Countermeasures on Port Scanning based Attacks. In: 2021 17th International Conference on Network and Service Management (CNSM). Izmir, Turkey: IEEE Press; 2021. p. 402-406. https://doi.org/10.23919/CNSM52442.2021.9615577
19. Seshapriyan T., Dinesh S.M., Ponsam J.G. SentinelScan: Advanced Network Scanner and Packet Detection Suite. In: 2024 8th International Conference on Inventive Systems and Control (ICISC). Coimbatore, India: IEEE Press; 2024. p. 253-258. https://doi.org/10.1109/ICISC62624.2024.00050
20. Huang J,. et al. Research on detection techniques for scanning attacks in software-defined network environments. In: 2023 4th International Conference on Computer Engineering and Application (ICCEA). Hangzhou, China: IEEE Press; 2023. p. 115-118. https://doi.org/10.1109/ICCEA58433.2023.10135250
21. Baah E.K., et al. Enhancing Port Scans Attack Detection Using Principal Component Analysis and Machine Learning Algorithms. In: Ahene E., Li F. (eds.) Frontiers in Cyber Security. FCS 2022. Communications in Computer and Information Science. Vol. 1726. Singapore: Springer; 2022. p. 119-133. https://doi.org/10.1007/978-981-19-8445-7_8
22. Saranya T., et al. Performance Analysis of Machine Learning Algorithms in Intrusion Detection System: A Review. Procedia Computer Science. 2020;171:1251-1260. https://doi.org/10.1016/j.procs.2020.04.133
23. Camacho J., et al. Group-Wise Principal Component Analysis for Exploratory Intrusion Detection. IEEE Access. 2019;7:113081-113093. https://doi.org/10.1109/ACCESS.2019.2935154
24. Ring M., Landes D., Hotho A. Detection of slow port scans in flow-based network traffic. PLOS ONE. 2018;13(9): e0204507. https://doi.org/10.1371/journal.pone.0204507
25. Ring M., Wunderlich S., Grüdl D., Landes D., Hotho A. A Toolset for Intrusion and Insider Threat Detection. In: Palomares Carrascosa I., Kalutarage H., Huang Y. (eds.) Data Analytics and Decision Support for Cybersecurity. Data Analytics. Cham: Springer; 2017. p. 3-31. https://doi.org/10.1007/978-3-319-59439-2_1
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
Редакционная политика журнала основывается на традиционных этических принципах российской научной периодики и строится с учетом этических норм работы редакторов и издателей, закрепленных в Кодексе поведения и руководящих принципах наилучшей практики для редактора журнала (Code of Conduct and Best Practice Guidelines for Journal Editors) и Кодексе поведения для издателя журнала (Code of Conduct for Journal Publishers), разработанных Комитетом по публикационной этике - Committee on Publication Ethics (COPE). В процессе издательской деятельности редколлегия журнала руководствуется международными правилами охраны авторского права, нормами действующего законодательства РФ, международными издательскими стандартами и обязательной ссылке на первоисточник.
Журнал позволяет авторам сохранять авторское право без ограничений. Журнал позволяет авторам сохранить права на публикацию без ограничений.
Издательская политика в области авторского права и архивирования определяются «зеленым цветом» в базе данных SHERPA/RoMEO.
Все статьи распространяются на условиях лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная, которая позволяет другим использовать, распространять, дополнять эту работу с обязательной ссылкой на оригинальную работу и публикацию в этом журналe.
