ПРИМЕНЕНИЕ ГРАФОВЫХ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В КОРПОРАТИВНЫХ СЕТЯХ

GRAPH NEURAL NETWORKS FOR ANOMALIES DETECTION IN CORPORATE NETWORKS

Kalinin Vitalii

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Ivanova Tatyana

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Postnikov Artem

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

АННОТАЦИЯ

В статье рассматривается применение графовых нейронных сетей (GNN) для обнаружения аномалий в корпоративных сетях. Проведено сравнение предложенного подхода с классическими методами машинного обучения — Random Forest и SVM. Эксперименты выполнены на открытых наборах сетевого трафика CICIDS2017 и UNSW-NB15. Показано, что GNN демонстрируют более высокие показатели точности и полноты, а также устойчивость к новым типам атак. Работа подтверждает перспективность использования графовых методов в системах кибербезопасности нового поколения.

ABSTRACT

The article discusses the use of graph neural networks (GNN) for detecting anomalies in corporate networks. The proposed approach is compared with classical machine learning methods — Random Forest and SVM. Experiments were performed on open network traffic sets CICIDS2017 and UNSW-NB15. It is shown that GNN demonstrates higher accuracy and recall, as well as resistance to new types of attacks. The work confirms the promise of using graph methods in next-generation cybersecurity systems.

Ключевые слова: графовые нейронные сети, кибербезопасность, обнаружение аномалий, машинное обучение.

Keywords: graph neural networks, cybersecurity, anomaly detection, machine learning.

Современные корпоративные сети подвергаются возрастающему количеству сложных и целевых атак, что делает традиционные методы защиты недостаточно эффективными. Системы обнаружения вторжений, основанные на сигнатурном или статистическом анализе, ограничены в способности выявлять новые угрозы. В последние годы всё больше внимания уделяется применению методов искусственного интеллекта и в частности графовых нейронных сетей. Их особенность заключается в том, что сетевое взаимодействие моделируется в виде графа, где вершинами выступают пользователи или устройства, а рёбрами — события и соединения. Такая модель позволяет выявлять скрытые закономерности и фиксировать аномальные связи, ускользающие от классических методов анализа. Целью данной работы является исследование эффективности применения GNN для обнаружения сетевых атак в корпоративной инфраструктуре и сопоставление результатов с показателями традиционных алгоритмов машинного обучения [3, 5].

Для проведения экспериментов использовались два общедоступных набора данных сетевого трафика. Первый из них — CICIDS2017 — включает примеры нормальных соединений и различных атак, таких как DoS, DDoS и Infiltration. Второй набор — UNSW-NB15 — отличается большей современностью и разнообразием атакующих сценариев. Модели обучались и тестировались в вычислительной среде, включавшей графический процессор NVIDIA RTX 3060 с 12 ГБ видеопамяти, а также программные библиотеки PyTorch Geometric и Scikit-learn. Архитектура GNN строилась на основе сверточных графовых сетей (Graph Convolutional Networks, GCN). Для сравнения использовались два классических алгоритма: Random Forest и Support Vector Machine [1, 2, 4].

Результаты анализа показали, что графовые нейронные сети превосходят традиционные методы по всем основным метрикам. На наборе данных CICIDS2017 GNN достигли точности 96,8 %, полноты 95,5 %, точности положительных предсказаний 96,2 % и интегрального показателя F1-score 95,8 %. Для сравнения алгоритм Random Forest показал точность 92,3 % и полноту 89,7 %, а Support Vector Machine — точность 90,1 % и полноту 87,4 %. Кроме того, анализ устойчивости к ранее неизвестным атакам показал, что GNN сохраняют высокую способность к обобщению, тогда как традиционные методы демонстрировали лишь средние или низкие результаты. Таблица 1 отражает сводные результаты эксперимента.

Таблица 1.

Сравнение качества моделей на датасете CICIDS2017

Проведённое исследование подтвердило высокую эффективность графовых нейронных сетей при решении задачи обнаружения аномалий в корпоративных сетях. В сравнении с Random Forest и SVM они обеспечивают более высокую точность классификации и лучше справляются с новыми угрозами. Внедрение GNN в практику может существенно повысить надёжность систем обнаружения вторжений и уменьшить риски успешных кибератак.

Список литературы:

1. Hamilton W., Ying Z., Leskovec J. Inductive representation learning on large graphs // Advances in Neural Information Processing Systems. – 2017. – Vol. 30. – P. 1024–1034.
2. Kipf T., Welling M. Semi-Supervised Classification with Graph Convolutional Networks // International Conference on Learning Representations (ICLR). – 2017. – URL: https://arxiv.org/abs/1609.02907 (дата обращения: 20.08.2025).
3. Sharafaldin I., Lashkari A. H., Ghorbani A. A. Toward generating a new intrusion detection dataset and intrusion traffic characterization // ICISSP. – 2018. – P. 108–116.
4. Moustafa N., Slay J. UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set) // Military Communications and Information Systems Conference (MilCIS). – IEEE, 2015. – P. 1–6.
5. Zhang Y., Chen X., Wang D., et al. GNN-ID: Graph Neural Networks for Intrusion Detection in Industrial Internet of Things // IEEE Access. – 2021. – Vol. 9. – P. 80223–80232.