Hybrid method for anomaly detection in logical clusters of cyber vulnerabilities using an ensemble of machine learning models
DOI:
https://doi.org/10.18372/2073-4751.86.21284Keywords:
anomaly detection, cybersecurity, logical clustering, ensemble learning, decision tree, Random Forest, Gradient BoostingAbstract
The article presents the hybrid anomaly detection method based on logical clustering of vulnerabilities and the application of machine learning techniques. The dataset includes information about software vulnerabilities, including CVSS metrics, severity levels, CWE types, temporal characteristics, and assignment to logical groups formed based on the OWASP Top Ten.
At the first stage, data analysis is performed along with the construction of additional temporal features. Subsequently, logical clustering of vulnerabilities is carried out, allowing the data to be partitioned into semantically homogeneous groups such as Broken Access Control, Injection, Cryptography & Data Protection, Configuration & Design Weaknesses, Authentication and Mishandling Failures, and Software Failures. This approach reduces data heterogeneity and improves the quality of subsequent analysis.
At the second stage, the Isolation Forest anomaly detection method is applied to identify atypical vulnerabilities within each cluster. The obtained results are used as pseudo-labels for training ensemble machine learning models, including Decision Tree, Random Forest, and Gradient Boosting. These models are employed for anomaly classification and for evaluating their predictability based on a feature space that includes CVSS metrics, exploitability score, impact score, and temporal characteristics.
Model performance is evaluated using Accuracy, Precision, Recall, F1-score, and Log Loss metrics. Experimental results show that Gradient Boosting demonstrates the best performance on large datasets, while Random Forest provides more stable results on smaller clusters. Decision Tree offers high interpretability but is prone to overfitting and exhibits weaker generalization capability compared to other models.
The proposed hybrid method improves anomaly detection accuracy through the use of semantically homogeneous clusters and an ensemble of models.
The results of the study can be applied in information security monitoring and incident management systems, as well as in the development of intelligent forecasting systems aimed at detecting anomalous events and modeling the dynamics of vulnerability propagation.
References
Ahmed A.F Osman, Mohammed Awad Mohammed Ataelfadiel. Zero-day attack prediction using ensemble machine learning with threat intelligence data. International Journal of Applied Mathematics, Volume 38No. 10s, 2025, 983-1004. ISSN: 1314-8060 (online version)
Мартовицький, В., Свиридов, А., Авдєєв, О., Гудзинський, І., & Коротецький, О. (2025). Дослідження методів виявлення аномалій у api журналах для забезпечення безпеки та надійності програмних систем. Вісник Херсонського національного технічного університету, 2 (1 (92)), 142-148. DOI: https://doi.org/10.35546/kntu2078-4481.2025.1.2.19
Довженко, Т. П. (2026). Hybrid awred: синергія адаптивної реконструкції та топологічної кластеризації для виявлення аномалій у мультимодальних даних. Зв’язок, (1), 80-88. DOI: https://doi.org/10.31673/2412-9070.2026.017405
Шульга В.П., Іванченко І.С., Рижаков М.М. Математична модель семантичної атрибуції кіберінцидентів у системах виявлення аномалій на основі глибокого навчання. Сучасний захист інформації, 2025, № 3(63), 186-198. DOI: https://doi.org/10.31673/2409-7292.2025.032076
Петляк, Н. (2025). Аналіз моделей виявлення аномалій трафіку в сучасних інформаційно-комунікаційних системах та мережах. Вимірювальна та обчислювальна техніка в технологічних процесах, (1), 180–186. DOI: https://doi.org/10.31891/2219-9365-2025-81-21
Поночовний, П., & Пепа, Ю. (2025). Реалізація системи захисту серверів з урахуванням аномалій в пакетах. Вимірювальна та обчислювальна техніка в технологічних процесах, (1), 44–51. DOI: https://doi.org/10.31891/2219-9365-2025-81-6
Іванченко, Є., Аверічев, І., & Рижаков, М. (2025). Узагальнена модель прогнозування та виявлення кібербезпекових аномалій на основі штучного інтелекту. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 4(28), 529–546. DOI: https://doi.org/10.28925/2663-4023.2025.28.823
Є. Ю. Глоба, В. Р. Смірнов, М. С. Нараєвський, В. М. Федорченко. Метод виявлення аномалій в корпоративній мережі. Системи управління, навігації та зв'язку. 2025. No 3, 193-198. Режим доступу: https://www.researchgate.net/publication/396481105_METOD_VIAVLENNA_ANOMALIJ_V_KORPORATIVNIJ_MEREZIMETHOD_FOR_DETECTING_ANOMALIES_IN_CORPORATE_NETWORKS
National Vulnerability Database. Режим доступу: https://nvd.nist.gov/developers/vulnerabilities
OWASP Top 10 2025. Режим доступу: https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/
Downloads
Published
How to Cite
Issue
Section
License
This work is licensed under a Creative Commons Attribution 4.0 International License.
The scientific journal adheres to the principles of Open Access and provides free, immediate, and permanent access to all published materials without financial, technical, or legal barriers for readers.
All articles are published in Open Access under the Creative Commons Attribution 4.0 International (CC BY 4.0) license.
Copyright
Authors who publish their works in the journal:
-
retain the copyright to their publications;
-
grant the journal the right of first publication of the article;
-
agree to the distribution of their materials under the CC BY 4.0 license;
-
have the right to reuse, archive, and distribute their works (including in institutional and subject repositories), provided that proper reference is made to the original publication in the journal.
