Перенос обучения в сетевых системах обнаружения вторжений: обзор методов и подходов

А. Ю. Покидько^a, И. А. Степанов^ab, А. И. Гетьман<sup>abcd

a</sup> Институт системного программирования им. В.П. Иванникова РАН
^b Московский физико-технический институт (государственный университет)
^c Национальный исследовательский университет "Высшая школа экономики"
^d Московский государственный университет имени М. В. Ломоносова

Аннотация: Статья представляет обзор современных методов переноса обучения (transfer learning) в сетевых системах обнаружения вторжений (СОВ), ориентируясь на проблему устойчивости моделей в условиях дрейфа сетевых данных, изменчивости трафика и появления новых типов атак. Рассматриваются основные парадигмы переноса – параметрический, признаковый и основанный на отношениях – и их адаптация к задаче обнаружения аномалий и классификации сетевых вторжений. Особое внимание уделено различиям между методами на основе анализа статистических свойств сетевых потоков и методами на основе анализа пакетов. На основе анализа существующих работ демонстрируется, что использование переноса обучения позволяет существенно повысить устойчивость сетевых СОВ к изменениям инфраструктуры и распределений данных, однако сталкивается с проблемами негативного переноса, недостатка репрезентативных источников домена и усложнения архитектур. В завершение формулируются ключевые направления дальнейших исследований, включая адаптивные модели с учётом дрейфа, перенос в условиях ограниченных данных и интеграцию с потоковыми методами машинного обучения.

Ключевые слова: сетевая система обнаружения вторжений (СОВ), перенос обучения

DOI: 10.15514/ISPRAS-2025-37(6)-37