<?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE article PUBLIC "-//NLM/DTD JATS (Z39.96) Journal Publishing DTD v1.2 20120330//EN" "http://jats.nlm.nih.gov/publishing/1.2/JATS-journalpublishing1.dtd">
    <!--<?xml-stylesheet type="text/xsl" href="article.xsl">-->
<article xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:ns1="http://www.w3.org/1999/xlink" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" article-type="research-article" dtd-version="1.2" xml:lang="en">
	<front>
		<journal-meta>
			<journal-id journal-id-type="issn">2303-9868</journal-id>
			<journal-id journal-id-type="eissn">2227-6017</journal-id>
			<journal-title-group>
				<journal-title>Международный научно-исследовательский журнал</journal-title>
			</journal-title-group>
			<issn pub-type="epub">2303-9868</issn>
			<publisher>
				<publisher-name>ООО Цифра</publisher-name>
			</publisher>
		</journal-meta>
		<article-meta>
			<article-id pub-id-type="doi">10.60797/IRJ.2026.169.85</article-id>
			<article-categories>
				<subj-group>
					<subject>Brief communication</subject>
				</subj-group>
			</article-categories>
			<title-group>
				<article-title>МЕТОД ПРОФИЛИРОВАНИЯ СЕТЕВЫХ АНОМАЛИЙ НА ОСНОВЕ ТЕРНАРНОГО ЗНАКОВОГО ПРЕДСТАВЛЕНИЯ И АВТОМАТИЧЕСКОГО ЖИЗНЕННОГО ЦИКЛА ПРОФИЛЕЙ</article-title>
			</title-group>
			<contrib-group>
				<contrib contrib-type="author" corresp="yes">
					<contrib-id contrib-id-type="orcid">https://orcid.org/0009-0008-6299-9733</contrib-id>
					<name>
						<surname>Колесников</surname>
						<given-names>Никита Дмитриевич</given-names>
					</name>
					<email>nezgzokd@gmail.com</email>
					<xref ref-type="aff" rid="aff-1">1</xref>
				</contrib>
			</contrib-group>
			<aff id="aff-1">
				<institution-wrap>
					<institution-id institution-id-type="ROR">https://ror.org/04txgxn49</institution-id>
					<institution content-type="education">Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики</institution>
				</institution-wrap>
			</aff>
			<pub-date publication-format="electronic" date-type="pub" iso-8601-date="2026-07-17">
				<day>17</day>
				<month>07</month>
				<year>2026</year>
			</pub-date>
			<pub-date pub-type="collection">
				<year>2026</year>
			</pub-date>
			<volume>10</volume>
			<issue>169</issue>
			<fpage>1</fpage>
			<lpage>10</lpage>
			<history>
				<date date-type="received" iso-8601-date="2026-05-28">
					<day>28</day>
					<month>05</month>
					<year>2026</year>
				</date>
				<date date-type="accepted" iso-8601-date="2026-06-23">
					<day>23</day>
					<month>06</month>
					<year>2026</year>
				</date>
			</history>
			<permissions>
				<copyright-statement>Copyright: &amp;#x00A9; 2022 The Author(s)</copyright-statement>
				<copyright-year>2022</copyright-year>
				<license license-type="open-access" xlink:href="http://creativecommons.org/licenses/by/4.0/">
					<license-p>
						This is an open-access article distributed under the terms of the Creative Commons Attribution 4.0 International License (CC-BY 4.0), which permits unrestricted use, distribution, and reproduction in any medium, provided the original author and source are credited. See 
						<uri xlink:href="http://creativecommons.org/licenses/by/4.0/">http://creativecommons.org/licenses/by/4.0/</uri>
					</license-p>
					.
				</license>
			</permissions>
			<self-uri xlink:href="https://research-journal.org/archive/7-169-2026-july/10.60797/IRJ.2026.169.85"/>
			<abstract>
				<p>В статье описан метод профилирования сетевых аномалий. Метод сам строит и поддерживает библиотеку профилей сетевых атак, опираясь на поток аномалий от произвольного базового детектора. В его основе три механизма: тернарное знаковое кодирование наблюдений в пространство {–1, 0, +1}, информационно-взвешенное ядро попарного сходства сигнатур и жизненный цикл профилей из пяти стадий, который сам выбраковывает устаревшие паттерны – без аналитика и без обращения к LLM. Метод проверен на двух открытых наборах данных (CIC-IDS2017 и Gotham-2025) и четырех базовых детекторах разной природы (kNN, COPOD, HBOS, OCSVM). Эксперименты дали ускорение принятия решений в 1.29–1.97 раза благодаря повторному использованию активных профилей. F1-мера базового детектора при этом практически не изменяется.</p>
			</abstract>
			<kwd-group>
				<kwd>профилирование сетевых атак</kwd>
				<kwd> обнаружение аномалий</kwd>
				<kwd> тернарное кодирование</kwd>
				<kwd> спектральная кластеризация</kwd>
				<kwd> жизненный цикл профилей</kwd>
				<kwd> информационная безопасность</kwd>
			</kwd-group>
		</article-meta>
	</front>
	<body>
		<sec>
			<title>HTML-content</title>
			<p>1. Введение</p>
			<p>Корпоративная инфраструктура сегодня практически целиком построена на сетевом взаимодействии различных узлов в эту инфраструктуру входящих. Из-за этого обнаружение сетевых атак стало одной из ключевых задач защиты информации. Вопрос о необходимости обнаружения сетевых атак подтверждает и статистика, так, по данным Check Point Research </p>
			<p>[1][2][3][4]</p>
			<p>Из этого вытекают две связанные между собой проблемы. Первая — нагрузка на детекторы атак растет быстрее, чем железо организаций успевает за ней, задача ускорения принятия решений становится как никогда актуальной. Вторая — атаки меняются, и любой жестко зафиксированный набор сигнатур стареет за считанные месяцы. Отсюда нужен метод, который одновременно накапливает актуальную библиотеку профилей атак сам и использует ее для ускорения работы на повторяющемся трафике.</p>
			<p>2. Анализ предметной области</p>
			<p>Анализ работ по профилированию сетевых атак показывает, что существующие решения делятся на три ключевых семейства, и у каждого есть свои ограничения:</p>
			<p>1) подходы с участием оператора. Типичный пример </p>
			<p>—[5]—</p>
			<p>2) подходы с автоматической инкрементальной кластеризацией. Сюда относятся AECID </p>
			<p>[6][7][9][10][11]—</p>
			<p>3) подходы на основе больших языковых моделей (LLM). Свежий пример </p>
			<p>—[8]——</p>
			<p>4) ещё один смежный класс работ </p>
			<p>—[12][13][14][15]——</p>
			<p>Анализ показал, что ни один из существующих подходов не сочетает сразу двух желаемых свойств: компактного масштабно-инвариантного представления аномалий и автоматической выбраковки устаревших профилей без аналитика и необходимости обращения к ресурсоемким языковым моделям. Именно отсюда и возникла задача разработать метод, обладающий всеми этими свойствами разом.</p>
			<p>3. Метод профилирования сетевых аномалий на основе
тернарного знакового представления и автоматического жизненного цикла профилей</p>
			<p>Разработанный метод сам выделяет, оценивает и держит в актуальном состоянии библиотеку профилей сетевых атак. От рассмотренных в разделе 2 решений он отличается тем, что не требует ни ручной разметки, ни LLM. Метод не привязан к конкретному базовому детектору: на вход ему достаточно предоставить вектор признаков, бинарную отметку об аномальности и оценку аномальности.</p>
			<p>Общая схема метода такая:</p>
			<p>1) на вход поступают результаты работы базового детектора аномалий: 35-мерный вектор признаков сетевого трафика, бинарное решение об аномальности и оценка аномальности;</p>
			<p>2) наблюдение проходит через тернарное знаковое кодирование относительно скользящего benign-эталона;</p>
			<p>3) полученная сигнатура сравнивается с библиотекой профилей через информационно-взвешенное ядро;</p>
			<p>4) если набралось достаточно несвязанных сигнатур, запускается спектральная кластеризация и в библиотеку добавляются новые кандидаты;</p>
			<p>5) по результатам совпадений и согласованности с другими активными профилями каждый профиль автоматически меняет состояние в жизненном цикле;</p>
			<p>6) арбитр и вето-движок принимают итоговое решение об аномальности с учетом найденных профилей.</p>
			<p>Подробнее остановимся на этапах 2–6 </p>
			<p>—</p>
			<p>Этап 2. Тернарное знаковое кодирование. Метод использует скользящие оценки среднего μ_f и стандартного отклонения σ_f. Для каждого признака f строится тернарная сигнатура наблюдения по формуле (1):</p>
			<mml:math display="inline">
				<mml:mrow>
					<mml:msub>
						<mml:mi>s</mml:mi>
						<mml:mrow>
							<mml:mi>f</mml:mi>
						</mml:mrow>
					</mml:msub>
					<mml:mo stretchy="false">(</mml:mo>
					<mml:mi>x</mml:mi>
					<mml:mo stretchy="false">)</mml:mo>
					<mml:mo>=</mml:mo>
					<mml:mrow>
						<mml:mo stretchy="true" fence="true" form="prefix">{</mml:mo>
						<mml:mtable>
							<mml:mtr>
								<mml:mtd columnalign="left">
									<mml:mo>+</mml:mo>
									<mml:mn>1</mml:mn>
									<mml:mo>,</mml:mo>
									<mml:mtext> если </mml:mtext>
									<mml:mfrac>
										<mml:mrow>
											<mml:msub>
												<mml:mi>x</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
											<mml:mo>−</mml:mo>
											<mml:msub>
												<mml:mi>μ</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
										</mml:mrow>
										<mml:mrow>
											<mml:msub>
												<mml:mi>σ</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
										</mml:mrow>
									</mml:mfrac>
								</mml:mtd>
								<mml:mtd columnalign="left">
									<mml:mi>g</mml:mi>
									<mml:mi>t</mml:mi>
									<mml:mi>;</mml:mi>
									<mml:mi>k</mml:mi>
								</mml:mtd>
							</mml:mtr>
							<mml:mtr>
								<mml:mtd columnalign="left">
									<mml:mo>−</mml:mo>
									<mml:mn>1</mml:mn>
									<mml:mo>,</mml:mo>
									<mml:mtext> если </mml:mtext>
									<mml:mfrac>
										<mml:mrow>
											<mml:msub>
												<mml:mi>x</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
											<mml:mo>−</mml:mo>
											<mml:msub>
												<mml:mi>μ</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
										</mml:mrow>
										<mml:mrow>
											<mml:msub>
												<mml:mi>σ</mml:mi>
												<mml:mrow>
													<mml:mi>f</mml:mi>
												</mml:mrow>
											</mml:msub>
										</mml:mrow>
									</mml:mfrac>
								</mml:mtd>
								<mml:mtd columnalign="left">
									<mml:mi>l</mml:mi>
									<mml:mi>t</mml:mi>
									<mml:mi>;</mml:mi>
									<mml:mo>−</mml:mo>
									<mml:mi>k</mml:mi>
								</mml:mtd>
							</mml:mtr>
							<mml:mtr>
								<mml:mtd columnalign="left">
									<mml:mn>0</mml:mn>
									<mml:mo>,</mml:mo>
									<mml:mtext> иначе. </mml:mtext>
								</mml:mtd>
							</mml:mtr>
						</mml:mtable>
						<mml:mo stretchy="true" fence="true" form="postfix"/>
					</mml:mrow>
				</mml:mrow>
			</mml:math>
			<p>где k = 1.5 </p>
			<p>—</p>
			<p>Получаемый 35-мерный вектор фиксирует отклонения свыше 1.5σ и сохраняет их знак </p>
			<p>——</p>
			<p>Этап 3. Сравнение через информационно-взвешенное ядро. Сходство двух тернарных сигнатур s_i и s_j считается по формуле (2):</p>
			<mml:math display="inline">
				<mml:mrow>
					<mml:mi>K</mml:mi>
					<mml:mrow>
						<mml:mo stretchy="true" fence="true" form="prefix">(</mml:mo>
						<mml:msub>
							<mml:mi>s</mml:mi>
							<mml:mrow>
								<mml:mi>i</mml:mi>
							</mml:mrow>
						</mml:msub>
						<mml:mo>,</mml:mo>
						<mml:msub>
							<mml:mi>s</mml:mi>
							<mml:mrow>
								<mml:mi>j</mml:mi>
							</mml:mrow>
						</mml:msub>
						<mml:mo stretchy="true" fence="true" form="postfix">)</mml:mo>
					</mml:mrow>
					<mml:mo>=</mml:mo>
					<mml:mfrac>
						<mml:mrow>
							<mml:msub>
								<mml:mo>∑</mml:mo>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
							<mml:msub>
								<mml:mi>w</mml:mi>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
							<mml:mi>·</mml:mi>
							<mml:msub>
								<mml:mi>a</mml:mi>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
						</mml:mrow>
						<mml:mrow>
							<mml:msub>
								<mml:mo>∑</mml:mo>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
							<mml:msub>
								<mml:mi>w</mml:mi>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
							<mml:mi>·</mml:mi>
							<mml:msub>
								<mml:mi>e</mml:mi>
								<mml:mrow>
									<mml:mi>f</mml:mi>
								</mml:mrow>
							</mml:msub>
						</mml:mrow>
					</mml:mfrac>
				</mml:mrow>
			</mml:math>
			<p>где a_f равен +1 при совпадении ненулевых знаков, -1 при противоположных и 0, если хотя бы один из векторов нулевой в этой позиции; e_f </p>
			<p>——</p>
			<p>Ядро возвращает значение из [–1; +1]: K = +1 – это идентичные плотные сигнатуры, K = –1 </p>
			<p>———</p>
			<p>Этап 4. Спектральная кластеризация и формирование кандидатов. Сигнатуры аномалий копятся в буфере. Как только буфер достигает порога (100 сигнатур) или с предыдущего запуска прошло 30 минут, начинается спектральная кластеризация. Из попарных значений ядра строится матрица аффинности A_ij = (K_ij + 1) / 2, после чего считаются собственные значения нормированного лапласиана. Число кластеров определяется автоматически </p>
			<p>——</p>
			<p>Этап 5. Жизненный цикл профилей. Каждый профиль в библиотеке проходит конечный автомат из пяти состояний. «Кандидат» </p>
			<p>—————</p>
			<fig id="F1">
				<label>Figure 1</label>
				<caption>
					<p>Состояния и переходы жизненного цикла профиля</p>
				</caption>
				<alt-text>Состояния и переходы жизненного цикла профиля</alt-text>
				<graphic ns1:href="/media/images/2026-07-03/07ed329d-fb95-4e2b-a05d-197c42166f09.png"/>
			</fig>
			<p>———</p>
			<p>Этап 6. Принятие решения арбитром и вето. Для нового наблюдения сначала считается его тернарная сигнатура, потом ищутся top-K (K = 5) ближайших профилей в библиотеке. Арбитр выносит вердикт по правилу консенсуса. Если совпали два и более активных профиля с близкими метками </p>
			<p>————</p>
			<p>IDEF0-диаграмма метода показана на рисунке 2.</p>
			<fig id="F2">
				<label>Figure 2</label>
				<caption>
					<p>IDEF0-диаграмма метода профилирования сетевых аномалий</p>
				</caption>
				<alt-text>IDEF0-диаграмма метода профилирования сетевых аномалий</alt-text>
				<graphic ns1:href="/media/images/2026-07-03/841bc7e7-4d8b-402d-8284-c99f04554487.png"/>
			</fig>
			<p>4. Экспериментальное исследование</p>
			<p>Программная реализация метода написана на Python 3.10. Из библиотек задействованы numpy и scipy (численные расчеты и линейная алгебра), scikit-learn (спектральная кластеризация и базовые детекторы), pyod (расширенные реализации COPOD и HBOS).</p>
			<p>Для проверки метода взяты два эталонных набора данных, охватывающих разные сегменты сетевой инфраструктуры:</p>
			<p>1) CIC-IDS2017 </p>
			<p>[18]—[17]</p>
			<p>2) Gotham-2025 </p>
			<p>[19]—,</p>
			<p>Такая пара наборов нужна, чтобы проверить метод и в традиционных корпоративных сетях, и в сетях с IoT-устройствами.</p>
			<p>Поток аномалий в метод поставляли четыре базовых детектора разной природы:</p>
			<p>1) kNN </p>
			<p>—</p>
			<p>2) COPOD (Copula-Based Outlier Detection) </p>
			<p>—</p>
			<p>3) HBOS (Histogram-Based Outlier Score) </p>
			<p>—</p>
			<p>4) OCSVM (One-Class Support Vector Machine) </p>
			<p>—</p>
			<p>Эти четыре детектора покрывают четыре непохожих семейства подходов к обнаружению аномалий </p>
			<p>—</p>
			<p>На первом этапе проверялось, насколько корректно метод выделяет профили атак из потока аномалий. Для каждой пары «базовый детектор + набор данных» фиксировались две вещи: распределение профилей по состояниям жизненного цикла на момент окончания эксперимента и изменение F1-меры базового детектора при подключении метода. Сводные числа </p>
			<p>—</p>
			<table-wrap id="T1">
				<label>Table 1</label>
				<caption>
					<p>Распределение профилей по состояниям жизненного цикла</p>
				</caption>
				<table>
					<tr>
						<td>Детектор + Датасет</td>
						<td>Всего</td>
						<td>Кандидаты</td>
						<td>Испытание</td>
						<td>Активные</td>
						<td>Реплей, %</td>
						<td>ΔF1</td>
					</tr>
					<tr>
						<td>OCSVM + CIC-IDS2017</td>
						<td>23</td>
						<td>8</td>
						<td>2</td>
						<td>13</td>
						<td>64,8</td>
						<td>+0,0021</td>
					</tr>
					<tr>
						<td>OCSVM + Gotham-2025</td>
						<td>64</td>
						<td>21</td>
						<td>6</td>
						<td>37</td>
						<td>68,7</td>
						<td>0,0000</td>
					</tr>
					<tr>
						<td>kNN + CIC-IDS2017</td>
						<td>23</td>
						<td>4</td>
						<td>6</td>
						<td>13</td>
						<td>54,5</td>
						<td>−0,0143</td>
					</tr>
					<tr>
						<td>COPOD + CIC-IDS2017</td>
						<td>10</td>
						<td>5</td>
						<td>0</td>
						<td>5</td>
						<td>49,7</td>
						<td>+0,0043</td>
					</tr>
					<tr>
						<td>HBOS + CIC-IDS2017</td>
						<td>12</td>
						<td>3</td>
						<td>5</td>
						<td>4</td>
						<td>40,1</td>
						<td>0,0000</td>
					</tr>
					<tr>
						<td>COPOD + Gotham-2025</td>
						<td>55</td>
						<td>12</td>
						<td>26</td>
						<td>17</td>
						<td>22,5</td>
						<td>−0,0188</td>
					</tr>
					<tr>
						<td>kNN + Gotham-2025</td>
						<td>71</td>
						<td>19</td>
						<td>51</td>
						<td>0</td>
						<td>0</td>
						<td>0,0000</td>
					</tr>
					<tr>
						<td>HBOS + Gotham-2025</td>
						<td>73</td>
						<td>20</td>
						<td>52</td>
						<td>0</td>
						<td>0</td>
						<td>0,0000</td>
					</tr>
				</table>
			</table-wrap>
			<p>Из таблицы 1 видно несколько закономерностей. Начнем с того, что далеко не все профили доходят до состояния «активный»: в среднем 35–65% остаются в «кандидате» или «испытании». Это и есть консервативность жизненного цикла </p>
			<p>—,——</p>
			<p>На втором этапе оценивалось ускорение принятия решений благодаря режиму fast-path. Для каждой пары измерялось две величины: среднее время полного цикла принятия решения базовым детектором (t_детектор) и среднее время принятия решения при включенном методе (T_с_профилями). Результаты сведены в таблицу 2.</p>
			<table-wrap id="T2">
				<label>Table 2</label>
				<caption>
					<p>Ускорение принятия решений через fast-path по библиотеке профилей</p>
				</caption>
				<table>
					<tr>
						<td>Детектор + Датасет</td>
						<td>Активные</td>
						<td>Реплей, %</td>
						<td>t_детектор, мкс</td>
						<td>T_с_профилями, мкс</td>
						<td>Ускорение</td>
					</tr>
					<tr>
						<td>COPOD + CIC-IDS2017</td>
						<td>5</td>
						<td>49,7</td>
						<td>6 226</td>
						<td>3 156</td>
						<td>x1,97</td>
					</tr>
					<tr>
						<td>COPOD + Gotham-2025</td>
						<td>17</td>
						<td>22,5</td>
						<td>21 875</td>
						<td>16 984</td>
						<td>x1,29</td>
					</tr>
					<tr>
						<td>HBOS + CIC-IDS2017</td>
						<td>4</td>
						<td>40,1</td>
						<td>264</td>
						<td>182</td>
						<td>x1,45</td>
					</tr>
					<tr>
						<td>kNN + CIC-IDS2017</td>
						<td>13</td>
						<td>54,5</td>
						<td>388</td>
						<td>204</td>
						<td>x1,90</td>
					</tr>
					<tr>
						<td>OCSVM + CIC-IDS2017</td>
						<td>13</td>
						<td>64,8</td>
						<td>110</td>
						<td>65</td>
						<td>x1,69</td>
					</tr>
					<tr>
						<td>OCSVM + Gotham-2025</td>
						<td>37</td>
						<td>68,7</td>
						<td>115</td>
						<td>65</td>
						<td>x1,76</td>
					</tr>
				</table>
			</table-wrap>
			<p>Полученные значения ускорения лежат в диапазоне 1</p>
			<p>,,—,—</p>
			<p>Чтобы сопоставить разработанный метод с известными решениями, проведено сравнение с двумя подходами: ITL-IDS на инкрементальной кластеризации </p>
			<p>[7][6]—</p>
			<table-wrap id="T3">
				<label>Table 3</label>
				<caption>
					<p>Сравнение с существующими методами профилирования по изменению F1</p>
				</caption>
				<table>
					<tr>
						<td>Детектор + Датасет</td>
						<td>Предложенный метод</td>
						<td>[7]</td>
						<td>[6]</td>
					</tr>
					<tr>
						<td>OCSVM + CIC-IDS2017</td>
						<td>+0.0021</td>
						<td>−0,0612</td>
						<td>−0,0612</td>
					</tr>
					<tr>
						<td>OCSVM + Gotham-2025</td>
						<td>0.0000</td>
						<td>−0,1248</td>
						<td>−0,1248</td>
					</tr>
					<tr>
						<td>COPOD + CIC-IDS2017</td>
						<td>+0.0043</td>
						<td>−0,0078</td>
						<td>−0,0078</td>
					</tr>
					<tr>
						<td>COPOD + Gotham-2025</td>
						<td>−0.0188</td>
						<td>−0,1215</td>
						<td>−0,1215</td>
					</tr>
				</table>
			</table-wrap>
			<p>Из таблицы 3 видно: известные подходы к профилированию заметно роняют F1 базового детектора </p>
			<p>—[6][7]</p>
			<p>Итого, метод одновременно ускоряет принятие решений на знакомом трафике и держит точность на уровне базового детектора. Ни один из рассмотренных аналогов этого вместе не делает.</p>
			<p>5. Заключение</p>
			<p>В работе разработан метод профилирования сетевых аномалий со следующими преимуществами:</p>
			<p>1) метод сам строит, оценивает и поддерживает библиотеку профилей сетевых атак </p>
			<p>—</p>
			<p>2) тернарное знаковое представление дает масштабную инвариантность относительно различий между сегментами сети;</p>
			<p>3) автоматический жизненный цикл из пяти стадий сам выбраковывает устаревшие профили и потому не дает библиотеке деградировать во времени;</p>
			<p>4) метод не зависит от конкретной реализации базового детектора аномалий. Это подтверждено экспериментально на четырех детекторах разной природы.</p>
			<p>Эксперименты на двух эталонных наборах данных (CIC-IDS2017 и Gotham-2025) и четырех базовых детекторах (kNN, COPOD, HBOS, OCSVM) показали ускорение принятия решений в 1.29–1.97 раза благодаря повторному использованию активных профилей. F1-мера базового детектора при этом меняется в пределах 0.02 </p>
			<p>—[6][7]—</p>
			<p>В дальнейшем планируется расширить охватываемые методом классы атак за пределы сетевой разведки, рассмотренной здесь, а также применить тот же жизненный цикл к профилированию событий безопасности на уровне приложения.</p>
		</sec>
		<sec sec-type="supplementary-material">
			<title>Additional File</title>
			<p>The additional file for this article can be found as follows:</p>
			<supplementary-material xmlns:xlink="http://www.w3.org/1999/xlink" id="S1" xlink:href="https://doi.org/10.5334/cpsy.78.s1">
				<!--[<inline-supplementary-material xlink:title="local_file" xlink:href="https://research-journal.org/media/articles/25818.docx">25818.docx</inline-supplementary-material>]-->
				<!--[<inline-supplementary-material xlink:title="local_file" xlink:href="https://research-journal.org/media/articles/25818.pdf">25818.pdf</inline-supplementary-material>]-->
				<label>Online Supplementary Material</label>
				<caption>
					<p>
						Further description of analytic pipeline and patient demographic information. DOI:
						<italic>
							<uri>https://doi.org/10.60797/IRJ.2026.169.85</uri>
						</italic>
					</p>
				</caption>
			</supplementary-material>
		</sec>
	</body>
	<back>
		<ack>
			<title>Acknowledgements</title>
			<p/>
		</ack>
		<sec>
			<title>Competing Interests</title>
			<p/>
		</sec>
		<ref-list>
			<ref id="B1">
				<label>1</label>
				<mixed-citation publication-type="confproc">Check Point Research. Global Cyber Attacks Surge 21% in Q2 2025: Europe Experiences the Highest Increase of all Regions // Check Point Blog. — 2025. — 17 July. — URL: https://blog.checkpoint.com/research/global-cyber-attacks-surge-21-in-q2-2025-europe-experiences-the-highest-increase-of-all-regions/ (accessed: 13.03.2026).</mixed-citation>
			</ref>
			<ref id="B2">
				<label>2</label>
				<mixed-citation publication-type="confproc">Red Security. Отчет SOC: в 2024 году число инцидентов ИБ выросло в 2.5 раза. — 2024. — URL: https://tadviser.com/index.php/Company:RED_Security (дата обращения: 13.03.2026).</mixed-citation>
			</ref>
			<ref id="B3">
				<label>3</label>
				<mixed-citation publication-type="confproc">Sinha S. Number of connected IoT devices / S. Sinha // IoT Analytics. — 2024. — URL: https://iot-analytics.com/number-connected-iot-devices/ (дата обращения: 13.03.2026).</mixed-citation>
			</ref>
			<ref id="B4">
				<label>4</label>
				<mixed-citation publication-type="confproc">Palo Alto Networks. The 2024 IoT SPalo Alto Networks. The 2024 IoT Security Benchmark Report // Palo Alto Networks. — 2024. — URL: https://www.paloaltonetworks.com/resources/research/the-2024-benchmark-report-on-iot-security (accessed: 13.03.2026).ecurity Benchmark Report. — 2024.</mixed-citation>
			</ref>
			<ref id="B5">
				<label>5</label>
				<mixed-citation publication-type="confproc">Van Ede T. DEEPCASE: Semi-Supervised Contextual Analysis of Security Events / T. Van Ede, H. Aghakhani, N. Spahn [et al.] // Proceedings of the 2022 IEEE Symposium on Security and Privacy (S&amp;amp;P 2022). — IEEE, 2022. — P. 522–539.</mixed-citation>
			</ref>
			<ref id="B6">
				<label>6</label>
				<mixed-citation publication-type="confproc">Landauer M. AMiner: A Modular Log Data Analysis Pipeline for Anomaly-based Intrusion Detection / M. Landauer, M. Wurzenberger, F. Skopik [et al.] // Digital Threats: Research and Practice. — 2023. — Vol. 4. — № 1. — P. 1–26.</mixed-citation>
			</ref>
			<ref id="B7">
				<label>7</label>
				<mixed-citation publication-type="confproc">Ahmad R. ITL-IDS: Incremental Transfer Learning for Intrusion Detection Systems / R. Ahmad, I. Alsmadi, W. Alhamdan [et al.] // Knowledge-Based Systems. — 2023. — Vol. 282. — P. 111101.</mixed-citation>
			</ref>
			<ref id="B8">
				<label>8</label>
				<mixed-citation publication-type="confproc">Gu Y. Argos: Agentic Time-Series Anomaly Detection with Autonomous Rule Generation via Large Language Models / Y. Gu, Y. Xiong, J. Mace [et al.] // arXiv. — 2025. — arXiv:2501.14170. — DOI: 10.48550/arXiv.2501.14170.</mixed-citation>
			</ref>
			<ref id="B9">
				<label>9</label>
				<mixed-citation publication-type="confproc">Meng Y. Behavior Pattern Mining from Traffic and Its Application to Network Anomaly Detection / Y. Meng, Q. Qian, Z. Liu [et al.] // Security and Communication Networks. — 2022. — P. 9139321.</mixed-citation>
			</ref>
			<ref id="B10">
				<label>10</label>
				<mixed-citation publication-type="confproc">Yin Y. Improving multilayer-perceptron (MLP)-based network anomaly detection with birch clustering on CICIDS-2017 dataset / Y. Yin, J. Jang-Jaccard, W. Xu [et al.] // Proceedings of the 26th International Conference on Computer Supported Cooperative Work in Design (CSCWD 2023). — IEEE, 2023. — P. 423–431.</mixed-citation>
			</ref>
			<ref id="B11">
				<label>11</label>
				<mixed-citation publication-type="confproc">Casas P. Knowledge-independent traffic monitoring: Unsupervised detection of network attacks / P. Casas, J. Mazel, P. Owezarski [et al.] // IEEE Network. — 2012. — Vol. 26. — № 1. — P. 13–21.</mixed-citation>
			</ref>
			<ref id="B12">
				<label>12</label>
				<mixed-citation publication-type="confproc">Qin Z.Q. Interaction Context-Aware Network Behavior Anomaly Detection for Discovering Unknown Attacks / Z.Q. Qin, X.K. Ma, Y.J. Wang // Security and Communication Networks. — 2022. — P. 3595304.</mixed-citation>
			</ref>
			<ref id="B13">
				<label>13</label>
				<mixed-citation publication-type="confproc">Shin G.Y. Data discretization and decision boundary data point analysis for unknown attack detection / G.Y. Shin, D.W. Kim, M.M. Han // IEEE Access. — 2022. — Vol. 10. — P. 114008–114015.</mixed-citation>
			</ref>
			<ref id="B14">
				<label>14</label>
				<mixed-citation publication-type="confproc">Wang H. Unknown network attack detection method based on reinforcement zero-shot learning / H. Wang, Y. Wang, Y. Guo // Journal of Physics: Conference Series. — IOP Publishing, 2022. — Vol. 2303. — № 1. — P. 012008.</mixed-citation>
			</ref>
			<ref id="B15">
				<label>15</label>
				<mixed-citation publication-type="confproc">Alzubi S. Towards intrusion detection of previously unknown network attacks / S. Alzubi, F. Stahl, M.M. Gaber // Communications of the ECMS. — 2021. — Vol. 35. — № 1. — P. 35–41.</mixed-citation>
			</ref>
			<ref id="B16">
				<label>16</label>
				<mixed-citation publication-type="confproc">Chakraborty S. Detection and classification of novel attacks and anomaly in IoT network using rule based deep learning model / S. Chakraborty, S.R. Krishna, A.K. Pradhan [et al.] // SN Computer Science. — 2024. — Vol. 5. — № 8. — P. 1056.</mixed-citation>
			</ref>
			<ref id="B17">
				<label>17</label>
				<mixed-citation publication-type="confproc">Engelen G. Troubleshooting an Intrusion Detection Dataset: the CICIDS2017 Case Study / G. Engelen, V. Rimmer, W. Joosen // Proceedings of the 2021 IEEE Security and Privacy Workshops (SPW). — IEEE, 2021. — P. 7–12.</mixed-citation>
			</ref>
			<ref id="B18">
				<label>18</label>
				<mixed-citation publication-type="confproc">CIC-IDS-2017 Network Intrusion Dataset // Kaggle. — URL: https://www.kaggle.com/datasets/chethuhn/network-intrusion-dataset (accessed: 13.03.2026).</mixed-citation>
			</ref>
			<ref id="B19">
				<label>19</label>
				<mixed-citation publication-type="confproc">Sáez-de-Cámara X. Gotham Testbed: a Reproducible IoT Testbed for Security Experiments and Dataset Generation / X. Sáez-de-Cámara, J.L. Flores, C. Arellano [et al.] // IEEE Transactions on Dependable and Secure Computing. — 2024. — Vol. 21. — № 1. — P. 186–203.</mixed-citation>
			</ref>
		</ref-list>
	</back>
	<fundings/>
</article>