СТАБІЛЬНІСТЬ МОДЕЛЕЙ ГЛИБОКОГО ВИЯВЛЕННЯ ВТОРГНЕНЬ В УМОВАХ МАСОВАНИХ КІБЕРАТАК: СТРЕС-ТЕСТУВАННЯ ТА АРХІТЕКТУРНІ ОСОБЛИВОСТІ HYBRID AWRED

Анотація

Еволюція кіберзагроз досягла етапу, коли масовані DDoS-атаки та скоординована активність ботнетів здатні миттєво змінювати статистичний профіль мережевого трафіку, перетворюючи аномалію на домінуючий патерн поведінки. У критичних сценаріях, коли частка шкідливих пакетів сягає 50%, традиційні системи виявлення вторгнень (NIDS) на базі глибокого навчання втрачають ефективність. Фундаментальна гіпотеза методів Deep SVDD або DAGMM про рідкісність аномалій руйнується, що призводить до феномену «отруєння моделі»: нейромережа адаптується до щільного потоку атак, помилково сприймаючи його як нову норму. У цій роботі запропоновано комплексне вирішення проблеми адверсарної нестійкості - метод Hybrid AWRED. На відміну від існуючих підходів, наша архітектура базується на синергії трьох механізмів: адаптивного зважування помилок реконструкції, осцилюючої функції втрат та, що є вирішальним фактором, гібридизації вхідних даних.

Вперше для стабілізації глибокої мережі застосовано технологію «топологічного якоря» (Density-Aware Input Augmentation): стандартний вектор із 41 ознаки розширено до 42-х шляхом інтеграції оцінки локальної щільності, попередньо обчисленої алгоритмом kNN. Ця метрична ознака надає моделі орієнтир, незалежний від глобального розподілу, дозволяючи розрізняти щільні кластери легітимного трафіку та атак навіть за умови їх рівного співвідношення. Результати стрес-тестування на синтетичному наборі даних «Hard Mode» підтвердили ефективність підходу: у сценарії екстремального забруднення (50%) конкурентні SOTA-методи деградували до рівня випадкового вгадування (AUC < 0.35) через колапс простору ознак, тоді як Hybrid AWRED зберіг високу роздільну здатність із показниками AUC-ROC 0.725 та Average Precision 0.619. Дослідження доводить, що інтеграція детермінованих метричних алгоритмів у структуру глибоких нейронних мереж є безальтернативним шляхом для створення надійних NIDS, здатних функціонувати у ворожому середовищі.

Ключові слова: виявлення вторгнень, NIDS, глибоке навчання, Hybrid AWRED, стійкість до забруднення, гібридний простір ознак, Deep SVDD, kNN

Список використаної літератури

1. Довженко Т.П. (2026). HYBRID AWRED: Синергія адаптивної реконструкції та топологічної кластеризації для виявлення аномалій у мультимодальних даних.- Зв’язок. – 2026.- № 1 – с. 81-89.
2. Mirsky, Y., Doitshman, T., Elovici, Y., & Shabtai, A. (2018). Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection. Proceedings of the Network and Distributed System Security Symposium (NDSS). URL: https://arxiv.org/abs/1802.09089 
3. Zong, B., Song, Q., Min, M. R., Cheng, W., Lumezanu, C., Cho, D., & Chen, H. (2018). Deep Autoencoding Gaussian Mixture Model for Unsupervised Anomaly Detection. International Conference on Learning Representations (ICLR). URL: https://openreview.net/forum?id=BJJLHbb0-
4. Ruff, L., Vandermeulen, R., Goernitz, N., Deecke, L., Siddiqui, S. A., Binder, A., ... & Kloft, M. (2018). Deep one-class classification. International Conference on Machine Learning (ICML), 4393-4402. URL: https://proceedings.mlr.press/v80/ruff18a.html
5. Goodfellow, I., Bengio, Y., & Courville, A. (2016). Deep Learning. MIT Press. URL: https://www.deeplearningbook.org/
6. Kwon, D., Kim, H., Kim, J., Suh, S. C., Kim, I., & Kim, K. J. (2019). A Survey of Deep Learning-based Network Anomaly Detection. Cluster Computing, 22(1), 949-961. URL: https://link.springer.com/article/10.1007/s10586-017-1117-8
7. Ring, M., Wunderlich, S., Scheuring, D., Landes, D., & Hotho, A. (2019). A Survey of Network Intrusion Detection Data Sets. Computers & Security, 86, 147-163. URL: https://arxiv.org/abs/1903.02460 
8. Kingma, D. P., & Ba, J. (2014). Adam: A Method for Stochastic Optimization. arXiv preprint arXiv:1412.6980. URL: https://arxiv.org/abs/1412.6980