Обнаружение аномалий и признаков атак в сетевом трафике с использованием TCN-автокодировщика

Существует множество сетевых атак, обнаружение которых при помощи только сигнатур нецелесообразно или невозможно. К таким атакам можно отнести: атаки нулевого дня, таргетированные атаки (APT), атаки Living off the land (LotL) и другие. Повысить точность их обнаружения позволяют методы машинного обучения, способные исследовать сложные временные зависимости в потоковых данных. Предлагаемый в докладе метод базируется на автоассоциативной TCN-модели, позволяющей обнаруживать аномальные участки сетевого трафика. Эффективность метода проверена с использованием синтетических и реальных размеченных данных.