Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof)
DHCP (Dynamic Host Configuration Protocol) is a critically important component of network infrastructure that provides automatic assignment of IP addresses and configuration parameters to clients. However, due to the lack of authentication mechanisms in the basic protocol, it is vulnerable to DHCP s...
Gespeichert in:
| Datum: | 2025 |
|---|---|
| Hauptverfasser: | , , , , , |
| Format: | Artikel |
| Sprache: | Ukrainian |
| Veröffentlicht: |
Kamianets-Podilskyi National Ivan Ohiienko University
2025
|
| Online Zugang: | http://mcm-tech.kpnu.edu.ua/article/view/332335 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Mathematical and computer modelling. Series: Technical sciences |
Institution
Mathematical and computer modelling. Series: Technical sciences| id |
mcmtechkpnueduua-article-332335 |
|---|---|
| record_format |
ojs |
| institution |
Mathematical and computer modelling. Series: Technical sciences |
| baseUrl_str |
|
| datestamp_date |
2025-07-29T19:23:08Z |
| collection |
OJS |
| language |
Ukrainian |
| format |
Article |
| author |
Палагін, Володимир Івченко, Олександр Палагіна, Олена Філіпов, Віталій Байрак, Анатолій Проценко, Олександр |
| spellingShingle |
Палагін, Володимир Івченко, Олександр Палагіна, Олена Філіпов, Віталій Байрак, Анатолій Проценко, Олександр Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| author_facet |
Палагін, Володимир Івченко, Олександр Палагіна, Олена Філіпов, Віталій Байрак, Анатолій Проценко, Олександр |
| author_sort |
Палагін, Володимир |
| title |
Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| title_short |
Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| title_full |
Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| title_fullStr |
Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| title_full_unstemmed |
Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) |
| title_sort |
метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (dhcp spoof) |
| title_alt |
Machine Learning Method for Malicious Network Traffic Analysis at the Application Level (DHCP Spoof) |
| description |
DHCP (Dynamic Host Configuration Protocol) is a critically important component of network infrastructure that provides automatic assignment of IP addresses and configuration parameters to clients. However, due to the lack of authentication mechanisms in the basic protocol, it is vulnerable to DHCP spoofing attacks, in which an attacker impersonates a legitimate server and delivers malicious configuration settings to clients. This paper proposes a machine learning–based approach for detecting such attacks, capable of identifying both standard spoofing scenarios involving fake IP addresses and more sophisticated ones involving MAC address spoofing under a legitimate IP address.
As part of the study, a tool was developed to generate DHCP traffic simulating a variety of behaviors, including normal sessions, attacks from rogue IP addresses, and impersonation of legitimate servers. The application of machine learning (ML) methods is proposed for traffic analysis based on real-time data capture using the Wireshark platform. Based on the captured PCAP files, the dataset generation process was automated, producing a compact yet informative set of features (e.g., the number of unique IP/MAC addresses, the MAC address of the first responder, and IP-to-MAC consistency). The classification model built using a decision tree demonstrated high accuracy and the ability to detect both types of attacks.
The proposed method offers significant advantages over classical approaches, such as DHCP Snooping, which require manual configuration and are ineffective against attacks involving MAC spoofing. The developed model and methodology demonstrate exceptional reliability, achieving 100% detection accuracy for DHCP spoofing attacks, which is critical for maintaining real-time network responsiveness. The results confirm the effectiveness of behavioral analysis of DHCP sessions combined with machine learning techniques for anomaly detection, opening up new possibilities for integration into practical traffic monitoring and network security systems. |
| publisher |
Kamianets-Podilskyi National Ivan Ohiienko University |
| publishDate |
2025 |
| url |
http://mcm-tech.kpnu.edu.ua/article/view/332335 |
| work_keys_str_mv |
AT palagínvolodimir machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT ívčenkooleksandr machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT palagínaolena machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT fílípovvítalíj machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT bajrakanatolíj machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT procenkooleksandr machinelearningmethodformaliciousnetworktrafficanalysisattheapplicationleveldhcpspoof AT palagínvolodimir metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof AT ívčenkooleksandr metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof AT palagínaolena metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof AT fílípovvítalíj metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof AT bajrakanatolíj metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof AT procenkooleksandr metodmašinnogonavčannâdlâanalízuškídlivogomereževogotrafíkunaprikladnomurívnídhcpspoof |
| first_indexed |
2025-09-17T09:25:52Z |
| last_indexed |
2025-09-17T09:25:52Z |
| _version_ |
1850409865891020800 |
| spelling |
mcmtechkpnueduua-article-3323352025-07-29T19:23:08Z Machine Learning Method for Malicious Network Traffic Analysis at the Application Level (DHCP Spoof) Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof) Палагін, Володимир Івченко, Олександр Палагіна, Олена Філіпов, Віталій Байрак, Анатолій Проценко, Олександр DHCP (Dynamic Host Configuration Protocol) is a critically important component of network infrastructure that provides automatic assignment of IP addresses and configuration parameters to clients. However, due to the lack of authentication mechanisms in the basic protocol, it is vulnerable to DHCP spoofing attacks, in which an attacker impersonates a legitimate server and delivers malicious configuration settings to clients. This paper proposes a machine learning–based approach for detecting such attacks, capable of identifying both standard spoofing scenarios involving fake IP addresses and more sophisticated ones involving MAC address spoofing under a legitimate IP address. As part of the study, a tool was developed to generate DHCP traffic simulating a variety of behaviors, including normal sessions, attacks from rogue IP addresses, and impersonation of legitimate servers. The application of machine learning (ML) methods is proposed for traffic analysis based on real-time data capture using the Wireshark platform. Based on the captured PCAP files, the dataset generation process was automated, producing a compact yet informative set of features (e.g., the number of unique IP/MAC addresses, the MAC address of the first responder, and IP-to-MAC consistency). The classification model built using a decision tree demonstrated high accuracy and the ability to detect both types of attacks. The proposed method offers significant advantages over classical approaches, such as DHCP Snooping, which require manual configuration and are ineffective against attacks involving MAC spoofing. The developed model and methodology demonstrate exceptional reliability, achieving 100% detection accuracy for DHCP spoofing attacks, which is critical for maintaining real-time network responsiveness. The results confirm the effectiveness of behavioral analysis of DHCP sessions combined with machine learning techniques for anomaly detection, opening up new possibilities for integration into practical traffic monitoring and network security systems. DHCP (Dynamic Host Configuration Protocol) є критично важливим елементом мережевої інфраструктури, що забезпечує автоматичну видачу IP-адрес і параметрів конфігурації клієнтам. Проте через відсутність механізмів аутентифікації в базовому протоколі він є вразливим до атак типу DHCP spoofing, коли зловмисник імітує роботу легітимного сервера та видає клієнтам шкідливі налаштування. У цій роботі запропоновано підхід до виявлення таких атак із використанням методів машинного навчання, що дозволяє ідентифікувати як типові варіанти атак із фальшивими IP-адресами, так і складніші – із підміною MAC-адрес при справжньому IP сервера. У межах дослідження розроблено інструмент для генерації DHCP-трафіку з різноманітними сценаріями поведінки, включно з нормальними сесіями, атаками з різними IP-адресами зловмисників та маскуванням під легітимного сервера. Запропоновано застосування методів машинного навчання (Machine learning – ML) для аналізу даних про трафіку, які отримані в режимі реального часу. На основі отриманого PCAP-файлу було автоматизовано процес побудови датасету зі стисненим, але інформативним набором ознак (кількість унікальних IP/MAC-адрес, перший MAC-відповідач, відповідність IP до MAC тощо). Побудована модель класифікації на основі дерева рішень продемонструвала високу точність і здатність виявляти обидва типи атак. Запропонований підхід має перевагу над класичними методами, такими як DHCP Snooping, які потребують ручного налаштування та не виявляють атак із підміною MAC-адрес і можуть бути застосовані тільки в мережах з дротовим з’єднанням. Розроблена модель та метод демонструють виняткову надійність, досягаючи 100% точності виявлення DHCP – спуфінгу, що має вирішальне значення для підтримки швидкості реагування мережі. Результати роботи засвідчують ефективність застосування поведінкового аналізу DHCP-сесій у поєднанні з машинним навчанням для виявлення аномалій, що відкриває перспективи впровадження моделі в практичні системи моніторингу та захисту мережевого трафіку. Kamianets-Podilskyi National Ivan Ohiienko University 2025-06-14 Article Article application/pdf http://mcm-tech.kpnu.edu.ua/article/view/332335 10.32626/2308-5916.2025-27.102-121 Mathematical and computer modelling. Series: Technical sciences; 2025: Mathematical and computer modelling. Series: Technical sciences. Issue 27; 102-121 Математичне та комп'ютерне моделювання. Серія: Технічні науки ; 2025: Математичне та комп'ютерне моделювання. Серія: Технічні науки. Випуск 27; 102-121 2308-5916 10.32626/2308-5916.2025-27 uk http://mcm-tech.kpnu.edu.ua/article/view/332335/325224 Авторське право (c) 2025 Математичне та комп'ютерне моделювання. Серія: Технічні науки |