Метод машинного навчання для аналізу шкідливого мережевого трафіку на прикладному рівні (DHCP Spoof)

Автор(и)

  • Володимир Палагін Черкаськийдержавнийтехнологічнийуніверситет, Україна
  • Олександр Івченко Черкаський державний технологічний університет, Україна
  • Олена Палагіна Черкаський державний технологічний університет, Україна
  • Віталій Філіпов Черкаський державний технологічний університет, Україна
  • Анатолій Байрак Черкаський державний технологічний університет, Україна
  • Олександр Проценко Черкаський державний технологічний університет, Україна

DOI:

https://doi.org/10.32626/2308-5916.2025-27.102-121

Анотація

DHCP (Dynamic Host Configuration Protocol) є критично важливим елементом мережевої інфраструктури, що забезпечує автоматичну видачу IP-адрес і параметрів конфігурації клієнтам. Проте через відсутність механізмів аутентифікації в базовому протоколі він є вразливим до атак типу DHCP spoofing, коли зловмисник імітує роботу легітимного сервера та видає клієнтам шкідливі налаштування. У цій роботі запропоновано підхід до виявлення таких атак із використанням методів машинного навчання, що дозволяє ідентифікувати як типові варіанти атак із фальшивими IP-адресами, так і складніші – із підміною MAC-адрес при справжньому IP сервера.

У межах дослідження розроблено інструмент для генерації DHCP-трафіку з різноманітними сценаріями поведінки, включно з нормальними сесіями, атаками з різними IP-адресами зловмисників та маскуванням під легітимного сервера. Запропоновано застосування методів машинного навчання (Machine learning – ML) для аналізу даних про трафіку, які отримані в режимі реального часу. На основі отриманого PCAP-файлу було автоматизовано процес побудови датасету зі стисненим, але інформативним набором ознак (кількість унікальних IP/MAC-адрес, перший MAC-відповідач, відповідність IP до MAC тощо). Побудована модель класифікації на основі дерева рішень продемонструвала високу точність і здатність виявляти обидва типи атак.

Запропонований підхід має перевагу над класичними методами, такими як DHCP Snooping, які потребують ручного налаштування та не виявляють атак із підміною MAC-адрес і можуть бути застосовані тільки в мережах з дротовим з’єднанням. Розроблена модель та метод демонструють виняткову надійність, досягаючи 100% точності виявлення DHCP – спуфінгу, що має вирішальне значення для підтримки швидкості реагування мережі. Результати роботи засвідчують ефективність застосування поведінкового аналізу DHCP-сесій у поєднанні з машинним навчанням для виявлення аномалій, що відкриває перспективи впровадження моделі в практичні системи моніторингу та захисту мережевого трафіку.

Опубліковано

2025-06-14