Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof)
DOI:
https://doi.org/10.32626/2308-5916.2025-27.102-121Анотація
DHCP (Dynamic Host Configuration Protocol) є критично важливим елементом мережевої інфраструктури, що забезпечує автоматичну видачу IP-адрес і параметрів конфігурації клієнтам. Проте через відсутність механізмів аутентифікації в базовому протоколі він є вразливим до атак типу DHCP spoofing, коли зловмисник імітує роботу легітимного сервера та видає клієнтам шкідливі налаштування. У цій роботі запропоновано підхід до виявлення таких атак із використанням методів машинного навчання, що дозволяє ідентифікувати як типові варіанти атак із фальшивими IP-адресами, так і складніші – із підміною MAC-адрес при справжньому IP сервера.
У межах дослідження розроблено інструмент для генерації DHCP-трафіку з різноманітними сценаріями поведінки, включно з нормальними сесіями, атаками з різними IP-адресами зловмисників та маскуванням під легітимного сервера. Запропоновано застосування методів машинного навчання (Machine learning – ML) для аналізу даних про трафіку, які отримані в режимі реального часу. На основі отриманого PCAP-файлу було автоматизовано процес побудови датасету зі стисненим, але інформативним набором ознак (кількість унікальних IP/MAC-адрес, перший MAC-відповідач, відповідність IP до MAC тощо). Побудована модель класифікації на основі дерева рішень продемонструвала високу точність і здатність виявляти обидва типи атак.
Запропонований підхід має перевагу над класичними методами, такими як DHCP Snooping, які потребують ручного налаштування та не виявляють атак із підміною MAC-адрес і можуть бути застосовані тільки в мережах з дротовим з’єднанням. Розроблена модель та метод демонструють виняткову надійність, досягаючи 100% точності виявлення DHCP – спуфінгу, що має вирішальне значення для підтримки швидкості реагування мережі. Результати роботи засвідчують ефективність застосування поведінкового аналізу DHCP-сесій у поєднанні з машинним навчанням для виявлення аномалій, що відкриває перспективи впровадження моделі в практичні системи моніторингу та захисту мережевого трафіку.
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Authors who publish with this journal agree to the following terms:- Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.
- Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.
- Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).