Статистический анализ временных рядов для обнаружения Port Scan и DDoS
DOI:
https://doi.org/10.17072/1993-0550-2026-1-72-91Keywords:
анализ временных рядов, обнаружение аномалий, Port Scan, DDoS, Z-scoreAbstract
В ходе этой научной статьи статистические методологии анализа временных рядов, в частности Z-оценка и модифицированная Z-оценка, были рассмотрены в контексте обнаружения атак Port Scan и распределенного отказа в обслуживании (DDoS). Было построено шесть различных временных рядов с использованием следующих характеристик трафика: среднее количество пакетов, передаваемых от источников к получателям, скорость передачи данных от источника к получателю, скорость передачи ответных данных, продолжительность соединения между источником и адресатом, вычисленная энтропия на основе портов назначения, связанных с каждым IP-источником, и количество уникальных портов назначения, доступных каждому IP-источнику. Для оценки вышеупомянутых статистических методологий использовались показатели надежности, точности, времени отклика и показатели F1. Полученные численные результаты показывают, что модифицированная Z-оценка снижает количество ложных срабатываний (по сравнению с Z-оценкой) при выявлении исследованных сетевых угроз, что влияет на оценку этих показателей. Результаты измерения F1, полученные с использованием модифицированной Z-оценки при обнаружении DDoS-атак, варьировались от 93 до 98% в зависимости от конкретных проанализированных характеристик трафика. И наоборот, показатель F1 в контексте обнаружения Port Scan в самом оптимальном случае не превышает 58%. Комплексный анализ показал, что все экземпляры, выявленные Port Scan, относятся к категории быстрого сканирования портов, поскольку именно этот метод сканирования приводит к резкому увеличению сетевого трафика. Это явление проявляется в локальном нарушении стационарности временных рядов. Эти выводы были подтверждены статистическими тестами Дики–Фуллера (ADF) и Квятковского–Филлипса–Шмидта–Шина (KPSS), проведенными для оценки различных гипотез относительно стационарности временных рядов.References
Scaranti, G. F., Carvalho, L. F., Barbon, S., Lloret, J. and Proença, M. L. (2022), "Unsupervised online anomaly detection in software defined network environments", Expert Systems with Applications, vol. 191, pp. 4–6.
Birkinshaw, C., Rouka, E. and Vassilakis, V. G. (2019), "Implementing an intrusion detection and prevention system using software‑defined networking: defending against port‑scanning and denial‑of‑service attacks", Journal of Network and Computer Applica-tions, vol. 136, pp. 71–85.
Abrantes, R., Mestre, P. and Cunha, A. (2022), "Exploring dataset manipulation via machine learning for botnet traffic", Procedia Computer Science, vol. 196, pp. 133–141.
Ono, D., Guillen, L., Izumi, S., Abe, T. and Suganuma, T. (2021), "A proposal of port scan detection method based on Packet‑In messages in OpenFlow networks and its evaluation", International Journal of Network Management, vol. 31, pp. 5–8.
Hartpence, B. and Kwasinski, A. (2020), "Combating TCP port scan attacks using sequential neural networks", in 2020 International Conference on Computing, Networking and Communications (ICNC).
Al‑Haija, Q. A., Saleh, E. and Alnabhan, M. (2021), "Detecting port scan attacks using logistic regression", in 2021 4th International Symposium on Advanced Electrical and Communication Technologies (ISAECT).
Almseidin, M., Al‑Kasassbeh, M. and Kovacs, S. (2019), "Detecting slow port scan using fuzzy rule interpolation", in 2019 2nd International Conference on New Trends in Compu-ting Sciences (ICTCS).
Nisa, M. U. and Kifayat, K. (2020), "Detection of slow port scanning attacks", in 2020 International Conference on Cyber Warfare and Security (ICCWS).
Sagatov, E. S., Mayhoub, S., Sukhov, A. M., Esposito, F. and Calyam, P. (2021), "Proactive detection for countermeasures on port scanning based attacks", in 2021 17th International Conference on Network and Service Management (CNSM)
Baah, E. K., Yirenkyi, D., Oppong, S. O., Opoku‑Mensah, E., Partey, B. T., Sackey, A. K., Kornyo, O. and Obu, E. (2022), "Enhancing port scans attack detection using principal component analysis and machine learning algorithms", in Frontiers in Cyber Security, Singapore.
Ring, M., Landes, D. and Hotho, A. (2018), "Detection of slow port scans in flow‑based network traffic", PLOS ONE, vol. 13, pp. 1–18.
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2026 Адейеми Марк Ауреле Эммануэль Джегюеде
This work is licensed under a Creative Commons Attribution 4.0 International License.
Articles are published under license Creative Commons Attribution 4.0 International (CC BY 4.0).
