Using support vectors to build a rule-based system for detecting malicious processes in an organisation's network traffic

The growing complexity and sophistication of cyberattacks on organisational information resources and the variety of malware processesin unprotected networks necessitate the development of advanced methods for detecting malicious processes in network traffic.Systems for detecting malicious processes based on machine learning and rule-based methods have their advantages and disadvantages. We have investigated the possibilityof using support vectors to create a rule-based system for detecting malicious processes in an organisation's network traffic. We propose a methodfor building arule-based system for detecting malicious processes in an organisation's network traffic using the distribution data of the relevant featuresof support vectors. The application of this method on real CSE-CIC-IDS2018 network traffic data containing characteristics of malicious processeshas shown acceptable accuracy, high clarity and computational efficiency in detecting malicious processes in network traffic.In our opinion, the resultsof this study will be useful in creating automatic systems for detecting malicious processes in the network traffic of organisations and in creating and using synthetic data in such systems.

---

Rosnąca złożoność i wyrafinowanie cyberataków na zasoby informacyjne organizacji oraz różnorodność procesów złośliwego oprogramowania w niezabezpieczonych sieciach wymagają opracowania zaawansowanych metod wykrywania złośliwych procesów w ruchusieciowym. Systemy wykrywania złośliwego oprogramowania oparte na uczeniu maszynowym i metodach regułowych mają swoje zalety i wady. Zbadaliśmy możliwość wykorzystania wektorów wspierających do stworzenia opartego na regułach systemu wykrywania złośliwych procesów w ruchu sieciowym organizacji. Proponujemy metodę budowania hybrydowego systemu regułowego do wykrywania złośliwych procesów w ruchu sieciowym organizacji przy użyciu danych o dystrybucji odpowiednich cech wektorów podporowych. Zastosowanie tej metody na rzeczywistych danych o ruchu sieciowym CSE-CIC-IDS2018 zawierających charakterystykę złośliwych procesówwykazało akceptowalną dokładność, wysoką zrozumiałość i wydajność obliczeniową w wykrywaniu złośliwych procesów w ruchu sieciowym. Naszym zdaniem wyniki tego badania będą przydatne w tworzeniu automatycznych systemów wykrywania złośliwych procesów w ruchusieciowym organizacji oraz w tworzeniu i wykorzystywaniu danych syntetycznych w takich systemach.