Neurosymbolic approach for attack detection in satellite communication systems

Neurosymbolic approach for attack detection in satellite communication systems

Abstract: In the context of increasing cyber threats, the pressing task becomes the implementation of new protection systems for satellite communications. The proposed article presents an innovative neurosymbolic method for attack detection that integrates the capabilities of artificial intelligence...

Повний опис

Збережено в:
Бібліографічні деталі
Дата:2024
Автор: Mostovyi, O.S.
Формат: Стаття
Мова:Ukrainian
Опубліковано: PROBLEMS IN PROGRAMMING 2024
Теми:
cybersecurity
satellite communication
neurosymbolic AI
attack detection
system architecture
machine learning
ensemble models
random forest
multilayer perceptron
system adaptability
UDC 681.3
Онлайн доступ:https://pp.isofts.kiev.ua/index.php/ojs1/article/view/640
Теги: Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
Назва журналу:Problems in programming
Завантажити файл: Pdf

Репозитарії

Problems in programming
id pp_isofts_kiev_ua-article-640
record_format ojs
resource_txt_mv ppisoftskievua/9e/929fa90d5a2fc441946b5e3638a3569e.pdf
spelling pp_isofts_kiev_ua-article-6402025-02-15T13:16:22Z Neurosymbolic approach for attack detection in satellite communication systems Нейросимвольний підхід у виявленні атак в системах супутникового зв'язку Mostovyi, O.S. cybersecurity; satellite communication; neurosymbolic AI; attack detection; system architecture; machine learning; ensemble models; random forest; multilayer perceptron; system adaptability UDC 681.3 кібербезпека; супутникові системи; нейро-символьний підхід; системи виявлення вторгнень; машинне навчання; багатошаровий перцептрон УДК 681.3 Abstract: In the context of increasing cyber threats, the pressing task becomes the implementation of new protection systems for satellite communications. The proposed article presents an innovative neurosymbolic method for attack detection that integrates the capabilities of artificial intelligence and neural networks for effective countermeasures against threats in the domain of satellite communication. The foundation of the development is the synthesis of the strengths of symbolic artificial intelligence and deep learning, enabling highly accurate recognition and neutralization of complex attacks. The architecture of the proposed system is thoroughly detailed, including its key components, mechanisms of operation, and implementation process. Analyzing data from satellite and terrestrial networks, the system's effectiveness is evaluated using machine learning methods, demonstrating significant improvements in intrusion detection compared to existing approaches. Special attention is given to the model's ability to adapt to new types of attacks, ensuring its longterm relevance and efficiency. The architecture of the chosen multilayer neural network includes a symbolic layer, designed for analyzing network input data for vulnerabilities or attacks based on a knowledge base. Experiments on datasets of attacks and vulnerabilities such as CTU-13 and STIN allow for the testing and confirmation of the high efficiency of the proposed method. Thus, this research paves the way for improving cybersecurity systems in the field of satellite communication, contributing to the creation of a mor e secure space environment.Prombles in programming 2024; 2-3: 223-230 В умовах зростання кіберзагроз, актуальним завданням стає впровадження нових систем захисту для супутникових комунікацій. Пропонована стаття представляє інноваційний нейросимвольний метод виявлення атак, що інтегрує можливості символьного підходу та нейронних мереж для дієвого протистояння загрозам у сфері супутникового зв'язку. Основа розробки - це синтез сильних сторін символьного штучного інтелекту і глибинного навчання, що уможливлює високоточне розпізнавання та нейтралізацію складних атак. У роботі детально розкривається архітектура запропонованої системи, включно з ключовими компонентами, механізмами роботи та процесом впровадження. Виходячи з аналізу даних з супутникових та наземних мереж, проведено оцінку ефективності системи з використанням методів машинного навчання, що демонструє значні покращення у виявленні вторгнень порівняно з існуючими підходами. Окрему увагу приділено здатності моделі адаптуватися до нових типів атак, що забезпечує її довгострокову ефективність. Архітектура обраної багатошарової нейромережі включає символьний шар, призначений для аналізу вхідних даних мережі на предмет вразливостей чи атак, виходячи з бази знань. Експерименти на наборах даних атак і деяких відомих вразливостей, дозволяють випробувати та підтвердити високу ефективність запропонованого методу. Це дослідження відкриває шляхи до поліпшення систем кібербезпеки у сфері супутникового зв'язку, сприяючи створенню більш захищеного космічного середовища.Prombles in programming 2024; 2-3: 223-230 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2024-12-17 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/640 10.15407/pp2024.02-03.223 PROBLEMS IN PROGRAMMING; No 2-3 (2024); 223-230 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 2-3 (2024); 223-230 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 2-3 (2024); 223-230 1727-4907 10.15407/pp2024.02-03 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/640/692 Copyright (c) 2024 PROBLEMS IN PROGRAMMING
institution Problems in programming
baseUrl_str https://pp.isofts.kiev.ua/index.php/ojs1/oai
datestamp_date 2025-02-15T13:16:22Z
collection OJS
language Ukrainian
topic cybersecurity
satellite communication
neurosymbolic AI
attack detection
system architecture
machine learning
ensemble models
random forest
multilayer perceptron
system adaptability
UDC 681.3
spellingShingle cybersecurity
satellite communication
neurosymbolic AI
attack detection
system architecture
machine learning
ensemble models
random forest
multilayer perceptron
system adaptability
UDC 681.3
Mostovyi, O.S.
Neurosymbolic approach for attack detection in satellite communication systems
topic_facet cybersecurity
satellite communication
neurosymbolic AI
attack detection
system architecture
machine learning
ensemble models
random forest
multilayer perceptron
system adaptability
UDC 681.3
кібербезпека
супутникові системи
нейро-символьний підхід
системи виявлення вторгнень
машинне навчання
багатошаровий перцептрон
УДК 681.3
format Article
author Mostovyi, O.S.
author_facet Mostovyi, O.S.
author_sort Mostovyi, O.S.
title Neurosymbolic approach for attack detection in satellite communication systems
title_short Neurosymbolic approach for attack detection in satellite communication systems
title_full Neurosymbolic approach for attack detection in satellite communication systems
title_fullStr Neurosymbolic approach for attack detection in satellite communication systems
title_full_unstemmed Neurosymbolic approach for attack detection in satellite communication systems
title_sort neurosymbolic approach for attack detection in satellite communication systems
title_alt Нейросимвольний підхід у виявленні атак в системах супутникового зв'язку
description Abstract: In the context of increasing cyber threats, the pressing task becomes the implementation of new protection systems for satellite communications. The proposed article presents an innovative neurosymbolic method for attack detection that integrates the capabilities of artificial intelligence and neural networks for effective countermeasures against threats in the domain of satellite communication. The foundation of the development is the synthesis of the strengths of symbolic artificial intelligence and deep learning, enabling highly accurate recognition and neutralization of complex attacks. The architecture of the proposed system is thoroughly detailed, including its key components, mechanisms of operation, and implementation process. Analyzing data from satellite and terrestrial networks, the system's effectiveness is evaluated using machine learning methods, demonstrating significant improvements in intrusion detection compared to existing approaches. Special attention is given to the model's ability to adapt to new types of attacks, ensuring its longterm relevance and efficiency. The architecture of the chosen multilayer neural network includes a symbolic layer, designed for analyzing network input data for vulnerabilities or attacks based on a knowledge base. Experiments on datasets of attacks and vulnerabilities such as CTU-13 and STIN allow for the testing and confirmation of the high efficiency of the proposed method. Thus, this research paves the way for improving cybersecurity systems in the field of satellite communication, contributing to the creation of a mor e secure space environment.Prombles in programming 2024; 2-3: 223-230
publisher PROBLEMS IN PROGRAMMING
publishDate 2024
url https://pp.isofts.kiev.ua/index.php/ojs1/article/view/640
work_keys_str_mv AT mostovyios neurosymbolicapproachforattackdetectioninsatellitecommunicationsystems
AT mostovyios nejrosimvolʹnijpídhíduviâvlenníatakvsistemahsuputnikovogozvâzku
first_indexed 2025-07-17T09:57:44Z
last_indexed 2025-07-17T09:57:44Z
_version_ 1850410394859864065
fulltext 223 Програмні засоби захисту інформації УДК 681.3 http://doi.org/10.15407/pp2024.02-03.223 О. С. Мостовий НЕЙРОСИМВОЛЬНИЙ ПІДХІД У ВИЯВЛЕННІ АТАК В СИСТЕМАХ СУПУТНИКОВОГО ЗВ'ЯЗКУ В умовах зростання кіберзагроз, актуальним завданням стає впровадження нових систем захисту для супутникових комунікацій . Пропонована стаття представляє інноваційний нейросимвольний метод виявлення атак, що інтегрує можливості символьного підходу та нейронних мереж для дієвого проти- стояння загрозам у сфері супутникового зв'язку. Основа розробки - це синтез сильних сторін символь- ного штучного інтелекту і глибинного навчання, що уможливлює високоточне розпізнавання та нейт- ралізацію складних атак. У роботі детально розкривається архітектура запропонованої системи, вклю- чно з ключовими компонентами, механізмами роботи та процесом впровадження. Виходячи з аналізу даних з супутникових та наземних мереж, проведено оцінку ефективності системи з використанням методів машинного навчання, що демонструє значні покращення у виявленні вторгнень порівняно з існуючими підходами. Окрему увагу приділено здатності моделі адаптуватися до нових типів атак, що забезпечує її довгострокову ефективність. Архітектура обраної багатошарової нейромережі включає символьний шар, призначений для аналізу вхідних даних мережі на предмет вразливостей чи атак, виходячи з бази знань. Експерименти на наборах даних атак і деяких відомих вразливостей, дозволя- ють випробувати та підтвердити високу ефективність запропонованого методу. Це дослідження відк- риває шляхи до поліпшення систем кібербезпеки у сфері супутникового зв'язку, сприяючи створенню більш захищеного космічного середовища. Ключові слова: кібербезпека, супутникові системи, нейро-символьний підхід, системи виявлення вто- ргнень, машинне навчання, багатошаровий перцептрон. O. S. Mostovyi NEUROSYMBOLIC APPROACH FOR ATTACK DETECTION IN SATELLITE COMMUNICATION SYSTEMS Abstract: In the context of increasing cyber threats, the pressing task becomes the implementation of new protection systems for satellite communications. The proposed article presents an innovative neurosymbolic method for attack detection that integrates the capabilities of artificial intelligence and neural networks for effective countermeasures against threats in the domain of satellite communication. The foundation of the development is the synthesis of the strengths of symbolic artificial intelligence and deep learning, enabling highly accurate recognition and neutralization of complex attacks. The architecture of the proposed system is thoroughly detailed, including its key components, mechanisms of operation, and implementation process. Analyzing data from satellite and terrestrial networks, the system's effectiveness is evaluated using machine learning methods, demonstrating significant improvements in intrusion detection compared to existing ap- proaches. Special attention is given to the model's ability to adapt to new types of attacks, ensuring its long- term relevance and efficiency. The architecture of the chosen multilayer neural network includes a symbolic layer, designed for analyzing network input data for vulnerabilities or attacks based on a knowledge base. Experiments on datasets of attacks and vulnerabilities such as CTU-13 and STIN allow for the testing and confirmation of the high efficiency of the proposed method. Thus, this research paves the way for improving cybersecurity systems in the field of satellite communication, contributing to the creation of a more secure space environment. Keywords: cybersecurity, satellite communication, neurosymbolic AI, attack detection, system architecture, machine learning, ensemble models, random forest, multilayer perceptron, system adaptability. Вступ Широкосмугові супутникові мережі мають великий вплив серед бездротових мереж, бо мають переваги в розповсюдже- ності та доступності зв’язку порівняно з ін- шими мережами. Можливість викорис- тання супутникових мереж у складнодо- ступних локаціях та умовах як фізичних, так і технологічних мають ключове зна- чення. © О.С. Мостовий, 2024 ISSN 1727-4907. Проблеми програмування. 2024. №2-3 224 Програмні засоби захисту інформації Наявність бездротового з'єднання в супутникових системах зв'язку підвищує їхню вразливість від різноманітних загроз безпеки. Можливість несанкціонованого прослуховування або захоплення даних є прикладами потенційних атак. Тому пи- тання безпеки стає критично важливим у розробці архітектури супутникових мереж. Для захисту супутникової мережі використуваются різні системи виявлення вторгнень (СВВ)[1], які дають можливість ідентифікувати потенційні вразливості, за- хистити мережу та забезпечити безпеку да- них та цілісність роботи всієї мережі. СВВ можуть бути мережевими, як розгорнуті в мережі (МСВВ), або вузловими, тобто роз- міщені на конкретному вузлі (ВСВВ). МСВВ аналізують мережевий трафік щодо наявності підозрілих дій або атак, аналізу- ючи копії пакетів, що проходять через кон- кретний сегмент мережі. ВСВВ виявляють атаки або зловмисні дії на конкретному ву- злі, допомагаючи забезпечити безпеку та захист системи чи об'єкта в реальному часі. Архітектура сучасних систем вияв- лення вторгнень часто включає застосу- вання алгоритмів машинного навчання [2][3] та глибинного навчання[4] для підви- щення ефективності виявлення та класифі- кації кібератак. Використання таких алго- ритмів дозволяє МСВВ адаптуватися до но- вих та еволюційних загроз без необхідності ручного оновлення правил або підписів. Розвиток та адаптація рішень для атак на супутникові мережі є постійним процесом, який включає оновлення та мо- дифікацію атаки для обходу захисних меха- нізмів. Це створює виклики для ідентифіка- ції та протидії новим загрозам, оскільки за- хисники повинні постійно адаптувати свої системи безпеки для захисту від постійно еволюціонуючих атак. Ефективний захист вимагає комплексного підходу, включно із передовими технологіями розпізнавання, швидким реагуванням на інциденти та ре- гулярним оновленням захисних систем і процедур. Дана робота пропонує нову струк- туру для систем виявлення вторгнень, яка базується на інтеграції символьного шару в нейромережі глибокого навчання. Цей інноваційний підхід до поєднання символь- ного методу та глибокого навчання має на меті підвищити здатність системи виявляти складні та адаптивні кіберзагрози. Інтегра- ція символьного аналізу дозволяє системі глибше розуміти контекст і логіку потен- ційних атак, тим самим підвищуючи її ефе- ктивність у протидії найновішим загрозам в кіберпросторі. Огляд супутникових мереж та загроз безпеці Супутникова мережа представляє собою складну систему, що об'єднує космі- чні елементи (супутники) та наземні компо- ненти, включаючи супутникові термінали, шлюзи для зв'язку із земними мережами та центри управління мережею. Супутникові смуги є частиною еле- ктромагнітного спектру, який використову- ється для супутникового зв'язку. Ці смуги визначаються діапазонами частот, які вико- ристовуються для передачі сигналів між ко- смічними супутниками і наземними станці- ями. Наприклад, L-смуга використовується для мобільного супутникового зв’язку, а С- смуга для дистанційного зондування Землі. Ка-смуга та Ku-смуга використовуються для телебачення та інтернету. Кожна зі смуг має свої переваги та обмеження залежно від застосування, включаючи чутливість до атмосферних умов, дальність зв'язку та потенціал для пе- решкод з іншими видами зв'язку. На їх базі створені супутникові системи, найпошире- ніші з яких є наступні: 1) SpaceX пропонує послуги інтер- нет-зв’язку та має глобальне покриття на Ka- та Ku-смугах із затримкою від 20 до 40 мс. 2) Telesat використовує Ka та Ku- смуги для надання послуг інтернет-зв’язку з затримкою близько 50 мс на глобальному рівні. 3) Viasat використовує Ka та Ku- смуги для надання широкого спектру пос- луг(телебачення, інтернет-зв’язок) з затри- мкою від 40 до 600 мс 4) Iridium, який використовує L- смугу - та надає послуги інтернет-звʼязку. 5) Inmarsat надає послуги інтернет- зв’язку та телефонного зв’язку. Використо- 225 Програмні засоби захисту інформації вує різні смуги частот, включаючи L-смугу, C-смугу, і в основному Ka-смугу із затрим- кою від 40 до 800 мс. 6) China Satcom використовує різні смуги частот для надання послуг інтернет- зв’язку такі як: C-смугу , Ka- та Ku-смуги затримкою від 20 до 800 мс. Центри керування та управління су- путниковою системою відіграють ключову роль у контролі супутникових мереж, об'є- днуючи в собі апаратне та програмне забез- печення. Відповідальність за виявлення не- санкціонованих доступів та неправильних дій передана до системи управління мере- жею (Рис 1) Загрози безпеці Потенційні загрози та атаки на супу- тникові мережі можна розділити на пасивні та активні. Пасивні атаки пов'язані з мож- ливістю налаштування на різні частоти та приймання трафіку, призначеного для ін- ших терміналів, використовуючи супутни- ковий термінал і базові знання комунікацій- них протоколів. Така атака може розкрити потенційно чутливі або цінні дані, і її важко виявити, оскільки для її здійснення не пот- рібно змінювати або вносити альтернації в дані. Активні атаки: 1) Атаки типу "Відмова в обслугову- ванні" (DoS-атаки) відбуваються, коли зло- вмисник намагається перевантажити, виве- сти з ладу або зруйнувати ресурс системи, відправляючи величезну кількість трафіку протягом короткого проміжку часу. Зага- лом, метою є заповнення всієї доступної пропускної спроможності, внаслідок чого легітимні користувачі не можуть отримати доступ до мережевих ресурсів. 2) Атака R2L з віддаленого доступу відбувається, коли нападник намагається отримати доступ до системи як локальний користувач, не будучи легітимним користу- вачем цієї системи. Для цього зловмисники відправляють нелегальні пакети даних. 3) Атака з метою розвідки (Probe Attack) відбувається, коли нападник нама- гається отримати інформацію про цільову комп'ютерну мережу. Основна мета - знайти вразливості у цій мережі. Вони відс- тежують топологію мережі цільової сис- теми та намагаються виявити запущені на ній служби. Для цього можуть використо- вуватись інструменти атак, такі як Nmap, Ipseewp, Satan. 4) Атака від користувача на адмініс- тратора (U2R-атака) відбувається, коли за допомогою загальних технік, таких як соці- альна інженерія, перехоплення паролів, спуфінг, SQL-ін'єкції, крос-сайтові скрип- тові атаки тощо, хакер намагається отри- мати права адміністратора цільової сис- теми. 5) Атаки на програмне забезпечення (Exploit Attacks): Використання вразливос- тей у програмному забезпеченні для вико- нання шкідливого коду або отримання не- санкціонованого доступу Тренувальні набори даних Це дослідження аналізує два на- бори даних для оцінки продуктивності за- пропонованої мережевої системи вияв- лення вторгнень. Інформація про набір даних CTU-13[5] описана та представлена в таблиці 1. CTU-13 це мережевий набір даних, призначений для дослідження ви- явлення мережевих вторгнень і аналізу шкідливого програмного забезпечення. Він був створений Чеським технічним університетом у рамках проєкту CTU (Czech Technical University) і містить реа- льний мережевий трафік, який включає нормальну активність та різноманітні атаки. Рис. 1. Супутникова мережа, яка зв’язує супутники з абонентськими терміналами та центрами управління на Землі. 226 Програмні засоби захисту інформації Таблиця 1 Структура набору даних CTU-13 Клас Опис Нормальний трафік Дані, що відображають звичайну поведінку ко- ристувачів і служб у ме- режі без виявлених атак або інших шкідливих дій. Шкідливий трафік (Ботнети) Трафік від різних типів ботнетів, мереж інфіко- ваних комп'ютерів, що можуть бути викорис- тані для проведення атак, розсилки спаму, крадіжки даних. Атаки на відмову в об- слуговуванні (DoS і DDoS) Дані про атаки, які ма- ють на меті зробити ре- сурс недоступним для його користувачів, пе- ревантажуючи мере- жеву інфраструктуру або сервери. Сканування портів Трафік, що вказує на спроби виявити враз- ливі порти на комп'юте- рах в мережі з метою подальшого вторгнення або атак. Набір даних STIN[6] (Satellite and Terrestrial Integrated Networks) – це спеціа- лізований набір даних, розроблений для до- слідження та аналізу безпеки в інтегрова- них супутникових та наземних мережах. Він був створений з метою допомогти в ро- зробці та вдосконаленні систем виявлення атак, які можуть виникати в таких складних мережевих середовищах. STIN містить дані про різні типи атак, зібраних або симу- льованих в умовах, які імітують реальне ме- режеве середовище, що об'єднує супутни- кові та наземні технології. У таблиці 2. на- ведена структура набору даних STIN, де атаки розділені на дві категорії: 1) Наземні атаки – це атаки на сервіси центру управління 2) Супутникові атаки – це атаки на супутники Таблиця 2 Структура набору даних STIN Домен Тип Атаки Наземні атаки Botnet Web attack Backdoor LDAP DDoS MSSQL DDoS NetBIO DDoS Portmap DDoS Супутникові атаки Syn DDoS UDP DDoS Архітектура СВВ із використанням глибокого навчання та символьного підходу Архітектура систем виявлення вторгнень із застосуванням нейромереж глибокого навчання та нейромереж із символьним вхідним шаром в СВВ є багатообіцяючим підходом у сфері кібербезпеки . Цей під- хід дозволяє аналізувати та ідентифіку- вати потенційні загрози та атаки на мере- жеву інфраструктуру, використовуючи синергію нейромереж та символьних ме- тодів. Розглянемо архітектуру такої сис- теми. Нейромережа глибокого нав- чання. Нейромережі глибокого навчання стають важливим інструментом у вияв- ленні кібератак та аномалій у мережевому трафіку, дозволяючи аналізувати великі на- бори даних і автоматично ідентифікувати складні статистичні залежності. Вони вико- ристовуються для виявлення прихованих властивостей даних, що робить їх ефектив- ними проти нових і невідомих загроз. Сис- теми на основі глибокого навчання включа- ють вхідний шар, який приймає дані; один або кілька прихованих шарів, що виявля- ють залежності, і вихідний шар, який гене- рує прогнози моделі. Вони застосовують рі- зноманітні функції активації, такі як ReLU та сігмоїд, і використовують методи зворо- тного поширення помилки та градієнтного спуску для оптимізації ваги. Оглядова 227 Програмні засоби захисту інформації стаття[7] детально описує ці процеси, надає порівняльний аналіз різних підходів та ви- значає майбутні напрямки досліджень у цій галузі. Нейромережа із символьним вхід- ним шаром. Нейромережі використовують символьний вхідний шар для трансформа- ції категоріальних та текстових даних мере- жевого трафіку в чисельні параметри, які потім можуть бути аналізовані за допомо- гою символьних правил. Ці правила вбудо- вуються в нейромережі як центр знань, до- зволяючи не лише обробляти вхідні дані на основі їхніх чисельних характеристик, а й використовувати логічні або символьні правила для виведення та інтерпретації да- них. Такий підхід дозволяє ефективно об'є- днувати переваги символьного мислення (наприклад, можливість роботи з абстракт- ними концепціями та виконання логічного виведення) з потужністю нейромережевих моделей глибокого навчання. Символьний шар. Даний шар є пе- ршим, що приймає вхідні дані. Кожен ней- рон у цьому шарі відповідає одному вхід- ному параметру. На даному етапі вбудову- ються символьні обмеження, які представ- ляють алгоритми класифікатори, що аналі- зують параметри для виявлення вразливо- сті чи атаки. В дослідженні використано на- бір алгоритмів, які аналізують вхідні пара- метри і повертають відповідь як число з плаваючою точкою , яке слугує штрафом для оновлення ваги. Нехай 𝑋𝑋𝑖𝑖 буде вхідними даними для i-го шару, тоді вихід 𝑌𝑌𝑖𝑖 перед застосуван- ням символьного обмеження можна визна- чити як: 𝑌𝑌𝑖𝑖 = 𝜎𝜎(𝑋𝑋𝑖𝑖𝑊𝑊𝑖𝑖 + 𝐵𝐵𝑖𝑖) де 𝑊𝑊𝑖𝑖 і 𝐵𝐵𝑖𝑖 - ваги та зміщення для 𝑖𝑖-го шару відповідно,𝜎𝜎 – функція активації Для застосування символьного обмеження, запропоновано новий параметр 𝑃𝑃 , який є вектором штрафних балів з розмірами, від- повідними до кількості вибірок даних в 𝑋𝑋𝑖𝑖, де кожен елемент вказує штрафний бал для відповідної вибірки, індукуючи імовірність того, що вибірка є частиною трафіку атаки. Тоді скоригований вихід 𝑌𝑌𝑖𝑖′ можна визна- чити як: 𝑌𝑌𝑖𝑖 ′ = 𝑌𝑌𝑖𝑖 ⋅ (1 − 𝑃𝑃) Ця формула дозволяє адоптивно ко- ригувати вихід нейронного шару на основі оцінки трафіку атаки, зменшуючи вплив кожної вибірки, які ідентифіковані як атаки, на подальшу обробку мережею. Оцінка ефективності та метрики Для оцінки ефективності та порів- няння алгоритмів використовувались такі метрики, як влучність (Accuracy), точність (Precision), повнота (Recall) та метрика F1- бал (F1). Ці метрики оцінюються з викори- Рис. 2. Структура нейромережі глибокого навчання Рис. 3. Структура нейромережі глибокого навчання із символьним вхідним шаром 228 Програмні засоби захисту інформації станням матриці помилок, де TP позначає істинно позитивні випадки, TN - істинно негативні, FP - хибно позитивні, а FN - хи- бно негативні випадки та визначаються на- ступним чином Accuracy = 𝑇𝑇𝑇𝑇+𝑇𝑇𝑇𝑇 𝑇𝑇𝑇𝑇+𝑇𝑇𝑇𝑇+𝐹𝐹𝑇𝑇+𝐹𝐹𝑇𝑇 Precision = 𝑇𝑇𝑇𝑇 𝑇𝑇𝑇𝑇+𝐹𝐹𝑇𝑇 Recall = 𝑇𝑇𝑇𝑇 𝑇𝑇𝑇𝑇+𝐹𝐹𝑇𝑇 F1 = 2 × Precision×Recall Precision+Recall Результати експерименту Запропоновані нейромережі були протестовані на двох наборах даних - CTU- 13 і STIN з метою оцінки їхньої ефективно- сті та здатності до виявлення та класифіка- ції атак у мережі. Налаштування експерименту Набір даних, які використовуються в експерименті, розділений на набір трену- вань і набір тестів у співвідношенні 0,6 і 0,4 відповідно. Запропоновані нейромережі оцінюються з точки зору точності, влучно- сті та оцінки F1. Експерименти проводяться з використанням графічного процесора Radeon Pro 555X на 4 ГБ на 2,2 GHz 6‑ядер- ний процесор Intel Core i7 машини з 16Гб DDR4 оперативної памʼяті (RAM). Нейро- мережі розроблені на основі мови програ- мування Python 3.9. Продуктивність нейромереж Результати використання декількох нейромереж у класифікації трафіку пока- зано в Табл. 3 . Для ідентифікації звичай- ного трафіку стандартна нейромережа по- казує точність 96.1%, тоді як покращена си- мвольна нейромережа демонструє вищу то- чність — 98.7%. У разі виявлення шкідли- вого трафіку від ботнетів стандартна нейро- мережа досягає точності 96.3%, тоді як си- мвольна нейромережа знову ж таки показує кращі результати з точністю 98.9%. Під час ідентифікації атак на відмову в обслугову- ванні, включно із DoS та DDoS, стандартна нейромережа має точність 97.5%, тоді як символьна нейромережа досягає навіть ви- щої точності — 99.2%. Нарешті для вияв- лення сканування портів стандартна нейро- мережа показує точність 96.8% у порів- нянні з 99.1% точності символьної нейро- мережі. Таблиця 3 Влучність класифікатор ів на наборі даних CTU-13 Тип Атаки Нейроме- режа Нейроме- режа з сим- вольним ша- ром Нормальний трафік 96.1 98.7 Шкідливий трафік (Бот- нети) 96.3 98.9 Атаки на від- мову в обслу- говуванні (DoS і DDoS) 97.5 99.2 Таблиця 4 показує результати для набору супутникових даних STIN. У випа- дку атак типу UDP Dos, стандартна нейро- мережа показує точність 93.12%, тоді як нейромережа з символьним шаром має вищу точність — 96.73%. Для атак типу Syn DDoS, точність стандартної нейромережа складає 89.17%, а символьна DNN значно ефективніша з результатом 95.16%. Таблиця 4 Влучність класифікаторів на наборі да- них супутникових даних STIN Тип Атаки Нейроме- режа Нейроме- режа з сим- вольним ша- ром UDP_Dos 93.12 96.73 Syn_DDoS 89.17 95.16 229 Програмні засоби захисту інформації Результати ефективності, які пока- зані в Таблиці 5, свідчать, що нейромережа із символьною компонентою постійно де- монструє кращі результати порівняно зі стандартною нейромережою. Наприклад, для виявлення атак типу "Backdoor" нейро- мережа має точність 94.22%, тоді як симво- льна нейромережа підвищує цей показник до 96.72%. Схожа тенденція спостеріга- ється і для інших типів атак: символьна нейромережа покращує результати з 89.13% до 95.14% для LDAP DDoS, з 92.54% до 96.31% для MSSQL DDoS, і так далі за списком. Найбільше поліпшення то- чності відзначено під час виявлення атаки Syn DDoS, де точність зросла з 93.14% до майже ідеальних 98.95%. Таблиця 5 Влучність класифікаторів на наборі даних супутникових даних STIN Тип Атаки Нейроме- режа Нейроме- режа з сим- вольним ша- ром Backdoor 94.22 96.72 LDAP DDoS 89.13 95.14 MSSQL DDoS 92.54 96.31 NetBIO DDoS 90.25 95.74 Portmap DDoS 91.45 97.29 Syn DDoS 93.14 98.95 UDP DDoS 91.81 94.67 Backdoor 94.22 96.72 У табл. 6 показано середнє значення результатів нейромереж на наборах даних CTU-13 та STIN. На основі впровадження символьного шару в нейромережу збільшу- ють ефективність усіх запропонованих ме- трик та покращують здатність моделі до класифікації та виявлення шкідливої пове- дінки. Таблиця 6 Середнє значення класифікаторів на наборі даних CTU-13 та супутникових даних STIN Висновки Інноваційний нейросимвольний ме- тод, запропонований у дослідженні, успі- шно інтегрує символьний штучний інте- лект та технології глибинного навчання, створюючи потужну систему для вияв- лення та нейтралізації атак у сфері супутни- кового зв'язку. Експериментальні резуль- тати підтверджують, що представлена мо- дель перевершує традиційні підходи, забез- печуючи високу точність виявлення навіть у складних умовах. Важливою є здатність системи адаптуватися до нових та раніше невідомих типів загроз, що робить її не лише актуальною, а й перспективною. Ос- новою для такої ефективності стає вдоско- налена архітектура, в тому числі символь- ний шар, що аналізує мережеві дані на ос- нові розгорнутої бази знань про вразливості та атаки. Результати, отримані на таких на- борах даних, як CTU-13 та супутниковий набір STIN, не лише демонструють високу ефективність методу, а й відкривають нові можливості для покращення кіберзахисту у сфері супутникового зв'язку, що важливо для забезпечення безпеки сучасного космі- чного середовища. Література 1. Ляо, Х.Дж.; Lin, C.H.R.; Лін, Y.C.; Тунг, К.Й. Система виявлення вторгнень: ком- плексний огляд. J. Netw. обчис. апл. 2013, 36, 16–24 Тип нейро- мержи Влу- чість Точ- ність Повнота F1- бал Ней- роме- режа 93.00 92.68 91.60 92.14 Ней- роме- режа з симво- льним шаром 96.94 96.56 96.93 96.75 230 Програмні засоби захисту інформації 2. Хусейн, Дж.; Лалмуанавма, С.; Чхакчхуак, Л. Двоетапна гібридна техніка класифікації для системи виявлення вторгнень у мережу. Міжн. Ж. Обчисл. Intell. сист. 2016, 9, 863– 875. 3. Ахмад, М. Башері, М. Дж. Ікбал, А. Рахім, Порівняння продуктивності векторної ма- шини підтримки, випадкового лісу та екст- ремальної навчальної машини для вияв- лення вторгнень. IEEE Access 6, 33789– 33795 (2018). https://doi.org/10.1109/access.2018.2841987 4. Чжун, В.; Ю, Н.; Ai, C. Застосування сис- теми глибокого навчання на основі великих даних для виявлення вторгнень. Великі дані Мін. анальний 2020, 3, 181-195. https://ieeexplore.ieee.org/document/9142151 5. Себастьян Гарсія, Мартін Ґрілл, Ян Стібо- рек і Алехандро Зуніно "Емпіричне порів- няння методів виявлення ботнетів. Журнал комп'ютерів і безпеки, Elsevier. 2014. Том 45, стор. 100-123. http://dx.doi.org/10.1016/j.cose.2014.05.011 6. Лі, К.; Чжоу, Х.; Ту, З.; Ван, В.; Чжан, Х. Розподілена мережева система виявлення вторгнень у супутниково-наземних інтегро- ваних мережах з використанням федерати- вного навчання. IEEE Access 2020, 8, 214852–214865. 7. Ланскі, Джан і Алі, Сакіб і Мохаммаді, Мо- хтар і Маджід, Мохаммед і Карім, Сархель і Рашиді, Шима і Хоссейнзаде, Мехді і Рах- мані, Амір. (2021). Системи виявлення вто- ргнень на основі глибокого навчання: сис- тематичний огляд 9. 101574-101599. 10.1109/ACCESS.2021.3097247 References 1. Liao, H.J.; Lin, C.H.R.; Lin, Y.C.; Tung, K.Y. Intrusion detection system: A comprehensive review. J. Netw. Comput. Appl. 2013, 36, 16– 24. 2. Hussain, J.; Lalmuanawma, S.; Chhakchhuak, L. A two-stage hybrid classification technique for network intrusion detection system. Int. J. Comput. Intell. Syst. 2016, 9, 863–875 3. Ahmad, M. Basheri, M.J. Iqbal, A. Rahim, Performance comparison of support vectormachine, random forest, and extreme learning machine for intrusion detection. IEEE Access 6, 33789–33795 (2018). https://doi.org/10.1109/access.2018.2841987 4. Zhong, W.; Yu, N.; Ai, C. Applying big data based deep learning system to intrusion detection. Big Data Min. Anal. 2020,3, 181– 195. https://ieeexplore.ieee.org/document/914215 1 5. "An empirical comparison of botnet detection methods" Sebastian Garcia, Martin Grill, Jan Stiborek and Alejandro Zunino. Computers and Security Journal, Elsevier. 2014. Vol 45, pp 100- 123. http://dx.doi.org/10.1016/j.cose.2014.05 .011 6. Li, K.; Zhou, H.; Tu, Z.; Wang, W.; Zhang, H. Distributed Network Intrusion Detection System in Satellite-Terrestrial Integrated Networks Using Federated Learning. IEEE Access 2020, 8, 214852–214865 7. Li, K.; Zhou, H.; Tu, Z.; Wang, W.; Zhang, H. Distributed Network Intrusion Detection System in Satellite-Terrestrial Integrated Networks Using Federated Learning. IEEE Access 2020, 8, 214852–214865 Одержано: 06.03.2024 Внутрішня рецензія отримана:21.03.2024 Зовнішня рецензія отримана:27.03.2024 Про автора: 1Мостовий Олександр Сергійович, аспірант першого курсу . https://orcid.org/0009-0006-6687-866X Місце роботи автора: Інститут кібернетики НАН України, Тел. (+38) (096) 822-70-78 E-mail: adsmander@gmail.com

Схожі ресурси