Intrusion detection in telecommunications networks using network traffic analysis

Abstract

The growth of cyber threats and network traffic has highlighted the need for effective methods for detecting anomalies. The purpose of the study was to develop a hybrid model for detecting anomalies in telecommunications networks with increased accuracy based on comparative analysis of uncontrolled algorithms. Four main algorithms were compared: Isolation Forest, Local Outlier Factor (LOF), One-Class Support Vector Machine (SVM), and Elliptic Envelope using simulated network traffic data. Analysis methods included data normalisation using Z-score and Min-Max Scaling to eliminate large-scale differences between traits. An ensemble of 100 decision trees was used to improve the accuracy of anomaly detection. As a result, it was found that Isolation Forest provided the highest accuracy of anomaly detection (F1-Score = 85.8%) and high processing speed (processing time per 10,000 records in 2.5 seconds), which is important for real-world conditions of telecommunications networks with large amounts of data. LOF showed high accuracy in detecting local anomalies, but with greater computational complexity. The one-class SVM algorithm detected global anomalies, but showed lower accuracy for local ones. Elliptic Envelope had limited performance due to the assumption of normal data distribution. Additionally, a comprehensive model was developed that combined the advantages of Isolation Forest, LOF, and Density-Based Spatial Clustering of applications with Noise, which allowed increasing the F1-Score to 88% and exceeding the results of individual models. The hybrid model showed adaptability to multimodal distributions and efficiency in detecting local anomalies. Practical significance lies in improving the accuracy and stability of network security systems and form the basis for adaptive real-time algorithms, which allowed cybersecurity and telecommunications specialists to more effectively monitor and protect networks from threats.

Зростання кіберзагроз і обсягів мережевого трафіку підкреслили потребу в ефективних методах виявлення аномалій. Метою дослідження була розробка гібридної моделі виявлення аномалій у телекомунікаційних мережах із підвищеною точністю на основі порівняльного аналізу безконтрольних алгоритмів. У ході роботи було проведено порівняння чотирьох основних алгоритмів: Isolation Forest, Local Outlier Factor (LOF), One-Class Support Vector Machine (SVM) та Elliptic Envelope, за допомогою симульованих даних мережевого трафіку. Методи аналізу включали нормалізацію даних за допомогою Z-score та Min-Max Scaling для усунення масштабних відмінностей між ознаками. Для підвищення точності виявлення аномалій було застосовано ансамбль із 100 дерев рішень. У результаті було виявлено, що Isolation Forest забезпечував найбільшу точність виявлення аномалій (F1-Score = 85,8 %) і високу швидкість обробки (час обробки на 10000 записів у 2,5 сек), що було важливим для реальних умов телекомунікаційних мереж з великими обсягами даних. LOF показав високу точність при виявленні локальних аномалій, але з більшою обчислювальною складністю. Алгоритм One-Class SVM виявляв глобальні аномалії, але демонстрував нижчу точність для локальних. Elliptic Envelope мав обмежену ефективність через припущення про нормальний розподіл даних. Додатково було розроблено комплексну модель, яка поєднувала переваги Isolation Forest, LOF та Density-Based Spatial Clustering of Applications with Noise, що дозволило підвищити F1-Score до 88 % та перевищити результати окремих моделей. Гібридна модель показала адаптивність до багатомодальних розподілів та ефективність у виявленні локальних аномалій. Практична значимість полягала в підвищенні точності й стійкості систем мережевої безпеки та формуванні основ для адаптивних алгоритмів реального часу, що дозволило фахівцям з кібербезпеки та телекомунікацій ефективніше моніторити та захищати мережі від загроз.