Індикатори компрометації як інструмент виявлення кібератак

Abstract

Мета дослідження полягає у вивченні можливостей застосування штучного інтелекту для виявлення вразливостей у мережевій інфраструктурі на основі міток компрометації, з урахуванням особливостей прихованих каналів зв’язку, динаміки атакувальної поведінки та недосконалості традиційних статистичних методів. У роботі проаналізовано системи виявлення та запобігання вторгненням (IDS та IPS), що дозволило оцінити їхню ефективність у виявленні атак. Досліджено природу стеганоканалів і факторів, що впливають на їх виявлення. Проаналізовані та вивчені індикатори атак, сформовані за допомогою штучного інтелекту на основі аналізу мережевого трафіку. Розглянуто можливості використання інструменту Splunk Machine для побудови моделей виявлення атак та аналізу аномальної поведінки в мережі. Проведено розробку класифікаторів для побудови системи виявлення вторгнень на основі машинного навчання. Запропоновано архітектуру системи, здійснено вибір відповідного набору даних для навчання моделі, проведено обробку дисбалансу класів, визначено найбільш значущі ознаки, здійснено їх відбір і скорочення ознакового простору, а також налаштовано модель. Модель пройшла тестування, за результатами якого була проведена оцінка її ефективності.