Нейросетевой поведенческий анализ действий пользователя в целях обнаружения вторжений уровня узла

В.Н. Зуев, Zuev V.N., А.Ю. Ефимов, A.Yu. Efimov
2019 Международный журнал Программные продукты и системы  
В данной статье рассматривается применение машинного обучения для обнаружения аномалий в поведении пользователя. С каждым годом количество известных атак стремительно растет. Для противостояния данной угрозе необходимо использовать эффективные средства защиты, такие как системы обнаружения вторжений. Этот вид средств защиты обычно использует сигнатурный анализ и требует регулярного обновления баз сигнатур вторжений, так как не способен обнаруживать атаки, сигнатуры которых отсутствуют в этих
more » ... сутствуют в этих базах. Более привлекательны методы, основанные на обнаружении аномалий, поскольку с их помощью можно выявлять неизвестные ранее атаки без необходимости предварительного создания сигнатур вторжений для каждой новой атаки. Одно из наиболее популярных направлений в обнаружении вторжений на уровне узла -анализ поведения пользователя. В данной статье описывается метод обнаружения аномалий поведения пользователей, основанный на применении искусственных нейронных сетей. Метод использует информацию о командах пользователя, извлекаемую из системных log-файлов операционной системы и ПО. Данная информация о командах конвертируется во временной ряд, который потом используется для прогнозирования следующей команды пользователя. Количество ошибок прогнозирования команд пользователя определяет наличие аномалии в его поведении. Экспериментальные результаты показали, что данный метод хорошо подходит для выявления аномалий в поведении пользователя и обладает низкой вероятностью ложных срабатываний. Ключевые слова: обнаружение вторжений, компьютерная атака, анализ событий, поведенческий анализ, обнаружение аномалий, нейронная сеть, машинное обучение, ПК «Ребус-СОВ».
doi:10.15827/0236-235x.126.268-272 fatcat:4glyp7evizde5ht2owpaqvrxpa