Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof)

Автор(и)

  • Володимир Палагін Черкаськийдержавнийтехнологічнийуніверситет, Україна
  • Олександр Івченко Черкаський державний технологічний університет, Україна
  • Олена Палагіна Черкаський державний технологічний університет, Україна
  • Віталій Філіпов Черкаський державний технологічний університет, Україна
  • Анатолій Байрак Черкаський державний технологічний університет, Україна
  • Олександр Проценко Черкаський державний технологічний університет, Україна

DOI:

https://doi.org/10.32626/2308-5916.2025-27.102-121

Анотація

DHCP (Dynamic Host Configuration Protocol) є критично важливим елементом мережевої інфраструктури, що забезпечує автоматичну видачу IP-адрес і параметрів конфігурації клієнтам. Проте через відсутність механізмів аутентифікації в базовому протоколі він є вразливим до атак типу DHCP spoofing, коли зловмисник імітує роботу легітимного сервера та видає клієнтам шкідливі налаштування. У цій роботі запропоновано підхід до виявлення таких атак із використанням методів машинного навчання, що дозволяє ідентифікувати як типові варіанти атак із фальшивими IP-адресами, так і складніші – із підміною MAC-адрес при справжньому IP сервера.

У межах дослідження розроблено інструмент для генерації DHCP-трафіку з різноманітними сценаріями поведінки, включно з нормальними сесіями, атаками з різними IP-адресами зловмисників та маскуванням під легітимного сервера. Запропоновано застосування методів машинного навчання (Machine learning – ML) для аналізу даних про трафіку, які отримані в режимі реального часу. На основі отриманого PCAP-файлу було автоматизовано процес побудови датасету зі стисненим, але інформативним набором ознак (кількість унікальних IP/MAC-адрес, перший MAC-відповідач, відповідність IP до MAC тощо). Побудована модель класифікації на основі дерева рішень продемонструвала високу точність і здатність виявляти обидва типи атак.

Запропонований підхід має перевагу над класичними методами, такими як DHCP Snooping, які потребують ручного налаштування та не виявляють атак із підміною MAC-адрес і можуть бути застосовані тільки в мережах з дротовим з’єднанням. Розроблена модель та метод демонструють виняткову надійність, досягаючи 100% точності виявлення DHCP – спуфінгу, що має вирішальне значення для підтримки швидкості реагування мережі. Результати роботи засвідчують ефективність застосування поведінкового аналізу DHCP-сесій у поєднанні з машинним навчанням для виявлення аномалій, що відкриває перспективи впровадження моделі в практичні системи моніторингу та захисту мережевого трафіку.

Завантаження

Дані завантаження ще не доступні.

##submission.downloads##

Опубліковано

2025-06-14

Номер

2025: Математичне та комп'ютерне моделювання. Серія: Технічні науки. Випуск 27

Розділ

Статті

Ліцензія

Автори, які публікуються в цьому журналі, погоджуються з наступними умовами:

Автори зберігають авторські права та надають журналу право першої публікації роботи, одночасно ліцензованої за ліцензією Creative Commons Attribution License, яка дозволяє іншим поширювати роботу з посиланням на авторство роботи та її першу публікацію в цьому журналі.
Автори можуть укладати окремі додаткові договірні угоди щодо неексклюзивного розповсюдження опублікованої в журналі версії роботи (наприклад, розміщувати її в інституційному репозиторії або публікувати в книзі) з посиланням на її першу публікацію в цьому журналі.
Авторам дозволяється та заохочується публікувати свої роботи онлайн (наприклад, в інституційних репозиторіях або на своєму вебсайті) до та під час процесу подання, оскільки це може призвести до продуктивного обміну, а також до більш раннього та більшого цитування опублікованих робіт (див. The Effect of Open Access).