Найти

Результаты поиска

• ОБНАРУЖЕНИЕ КИБЕРВТОРЖЕНИЙ НА ОСНОВЕ СЕТЕВОГО ТРАФИКА И ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЯ С ИСПОЛЬЗОВАНИЕМ ДАТАСЕТА UNSW-NB15

  В. А. Частикова , К.В. Козачёк , Е.С. Коробская , В. П. Кравцов

  229-243

  2025-11-10

  Аннотация ▼

  В статье основное внимание уделяется исследованию поведения пользователей и созданию поведенческих моделей. Это помогает улучшить точность определения аномалий и оперативно выявлять нестандартную активность в сети. Целью данного исследования является сравнительный анализ эффективности двух моделей машинного обучения – многослойного персептрона (MLP) и алгоритма Random Forest – для обнаружения кибервторжений на основе анализа сетевого трафика и поведения пользователей. Поведенческие модели позволяют выявлять отклонения от нормальной активности пользователей и сетевых взаимодействий, что значительно повышает полноту обнаружения кибервторжений. При проведении исследования использовался набор данных UNSW-NB15, который включает актуальные типы атак и характеристики как сетевого трафика, так и пользовательской активности. Перед реализацией моделей была проведена предварительная обработка данных, выбор признаков, нормализация и кодирование категориальных признаков. Оценка моделей осуществлялась с использованием различных метрик, таких как точность (accuracy), полнота (recall), AUC-ROC, precision, F1-score и другие. Результаты исследования показали, что алгоритм Random Forest обеспечивает высокую точность классификации (95%), а многослойный персептрон (MLP), в свою очередь, достиг выдающихся результатов по AUC (0.9830) и точности (precision, 0.9869). В работе представлен анализ и характеристика методов анализа поведения пользователей и классификации сетевого трафика, показано сравнение наборов данных для систем обнаружения вторжений (IDS), а также даны практические рекомендации по выбору моделей в зависимости от условий эксплуатации. Результаты исследования могут быть полезны при разработке адаптивных систем защиты, которые сочетают высокую точность и скорость работы

• РАЗРАБОТКА МЕТОДИКИ ИНТЕГРАЦИИ БОЛЬШИХ ЯЗЫКОВЫХ МОДЕЛЕЙ В ПРОЦЕССЫ ЦЕНТРА МОНИТОРИНГА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  В. А. Частикова , А. С. Бахтин , П.А. Меркулов

  57-69

  2025-10-01

  Аннотация ▼

  Показана важность интеграции больших языковых моделей (БЯМ) в процессы центров мониторинга информационной безопасности (SOC) для повышения их эффективности в условиях растущих киберугроз. Цель исследования – разработка методики интеграции БЯМ в SOC, направленной на автоматизацию процессов анализа данных и реагирования на инциденты. Задачи исследования включают теоретическое обоснование и разработку платформы для безопасного внедрения БЯМ, а также оценку существующих процессов и технической инфраструктуры SOC. В статье анализируются ключевые метрики эффективности работы SOC, такие как среднее время обнаружения инцидента и количество нерешенных инцидентов, и предлагается использование подхода GQM (Goal-Question-Metric) для разработки этих метрик. Рассматривается также необходимость оценки рисков, связанных с использованием БЯМ, с учетом уязвимостей и угроз, а также методов их минимизации, включая использование списка критических уязвимостей от OWASP. В статье предложены основные этапы разработки и внедрения системы, включая инвентаризацию существующих ресурсов, анализ сложности интеграции и развертывание системы. Рассматриваются ключевые аспекты, такие как оценка сложности интеграции, эксплуатационные и поддерживающие факторы, а также оценка рисков, связанных с внедрением новых технологий в инфраструктуру SOC. В заключение подчеркивается актуальность использования БЯМ для улучшения оперативности и качества работы SOC, что способствует повышению уровня информационной безопасности и ускорению реакции на киберугрозы. Внедрение таких технологий позволит SOC не только быстрее реагировать на инциденты, но и повысить точность анализа данных, снижая риски, связанные с человеческим фактором

• НЕЙРОСЕТЕВАЯ МЕТОДИКА ИДЕНТИФИКАЦИИ ЛИЧНОСТИ ПО РИСУНКУ ВЕН ЛАДОНИ

  В.А. Частикова , С.А. Жерлицын

  2022-11-01

  Аннотация ▼

  Описывается работа по созданию нейросетевой методики идентификации лично-
  сти, основанной на механизме сканирования и анализа рисунка вен ладони, как биометриче-
  ского параметра. В рамках проведенного исследования описаны предпосылки, цели и причи-
  ны, по которым разработка надежной системы биометрической идентификации является
  важным и актуальным направлением деятельности. Сформулирован ряд проблем, прису-
  щих существующим методам решения поставленной задачи: графовому методу и методу,
  основанному на вычислении расстояния, выраженного в различных интервальных метри-
  ках. Приведено описание принципов их работы. Сформулированы задачи, решаемые систе-
  мами идентификации личности: сопоставление субъекта идентификации с его идентифи-
  катором, однозначно идентифицирующим этого субъекта в информационной системе.
  Описан механизм считывания рисунка вен с ладони, разработанный для анализа изобра-
  жения, полученного с восприимчивой к излучению инфракрасного диапазона цифровой ка-
  меры. При нахождении в кадре ладони, подсвечиваемой светом ближнего ИК-диапазона, на
  изображении, полученном с камеры, становится заметен рисунок пролегающих под кож-
  ным покровом вен, сосудов и капилляров. В зависимости от организации, система иденти-
  фикации может на основе предоставленного идентификатора определять соответс т-
  вующий субъект доступа или проверять принадлежность того же идентификатора
  предполагаемому субъекту. Приведены 3 метода дальнейшего анализа биометрических
  данных и идентификации личности: подходы, основанные на категориальной классифи-
  кации и бинарной классификации, а также комбинированный подход, при котором сн а-
  чала используется идентификация по первому способу, а затем, по второму, но уже для
  известного идентификатора доступа, определённого на первом этапе. Приведена р е-
  зультирующая архитектура нейросети для категориальной классификации рисунка вен,
  описан способ вычисления количества параметров модели в зависимости от числа заре-
  гистрированных субъектов. Представлены основные выводы и экспериментальные зам е-
  ры точности работы системы при реализации различных методов, а также диаграммы
  изменения точности моделей во время обучения. Выявлены основные преимущества и не-
  достатки приведённых методов.

• НЕЙРОСЕТЕВОЙ МЕТОД ПОВЕДЕНЧЕСКОГО АНАЛИЗА ПОЛЬЗОВАТЕЛЕЙ НА ОСНОВЕ ДИНАМИКИ НАЖАТИЯ КЛАВИШ

  В.А. Частикова , Д. А. Любич

  2023-10-23

  Аннотация ▼

  На сегодняшний день причиной большого количества утечек информации является
  компрометация данных учетных записей. В связи с этим все более актуальной задачей
  становится внедрение дополнительных средств идентификации и аутентификации.
  В данной работе на основе методов машинного обучения предложена технология исполь-
  зования динамики нажатия клавиш для идентификации авторизированных пользователей.
  Для анализа динамики нажатия применяется аппарат глубоких нейронных сетей. В рабо-
  те проанализированы такие поведенческие характеристики, как время нажатия клавиши,
  время между нажатиями клавиш, время между отпусканием первой клавиши и нажатием
  второй. В процессе исследований было предложено использовать следующие архитектуры
  глубоких нейронных сетей: сверточные и рекуррентные нейронные сети. Первичную обработку входных данных осуществляет скользящее окно, которое формирует блоки данных
  определенного размера. Для дальнейшего анализа уже структурированного массива данных
  была выбрана одномерная сверточная нейронная сеть, так как она хорошо справляется с
  задачами обработки данных, представленных в виде последовательности. Для анализа вре-
  менных зависимостей используется рекуррентная нейронная сеть, а именно архитектура
  LSTM, лучше всего показавшая себя при обработке последовательностей переменной длины и
  меньше других подверженная затуханию и взрыву градиента. В процессе экспериментальной
  проверки эффективности предложенной в работе методики поведенческого анализа пользо-
  вателей на основе динамики нажатия клавиш были реализованы следующие архитектуры:
  2xLSTM, 1D СНС + LSTM, 1D СНС + 2xLSTM. По результатам обучения моделей было выяв-
  лено, что лучшей точностью обладает система, основанная на архитектуре 1D СНС +
  2xLSTM с размером скользящего окна равном 50. Валидационная точность данной архитек-
  туры составила 98,29%. Были построены ROC-кривые, которые подтвердили эффектив-
  ность данной архитектуры, а также рассчитана F-мера, показавшая, что наибольшая про-
  изводительность бинарной классификации достигается при использовании архитектуры
  1D СНС + 2xLSTM с размером скользящего окна равном 50 и равна 99,39%.