В Пермском Политехе обучили нейросеть находить нелегальных пользователей в интернете

Статья опубликована в журнале Master’s journal. Исследование выполнено в рамках программы стратегического академического лидерства «Приоритет 2030».

Важным инструментом обеспечения информационной безопасности компаний являются файлы журналов событий. Они представляют собой специальную базу данных, которая содержит всю информацию о различных событиях, происходящих в системе или сети, относящиеся к безопасности. Эти сведения позволяют анализировать и отслеживать активности в системе, выявлять потенциальные угрозы, определять аномальное поведение и принимать меры для защиты данных.

Сейчас актуальны статистические методы обнаружения злоумышленников в сети, которые на основе данных журнала событий изучают активность поведения легального пользователя системы и выделяют нелегальных пользователей. Но эти файлы содержат огромное количество неструктурированных данных. В крупных корпоративных системах число ежедневно создаваемых строк журнала доходит до миллиона.

Их автоматический анализ занимает много времени и ресурсов. Из-за чего большинство инцидентов выявляется с опозданием и не всегда точно. Поэтому необходим постоянный мониторинг системных журналов сразу после их создания, чтобы выявлять аномалии в поведении пользователей в режиме реального времени. Это позволяет своевременно реагировать на инциденты информационной безопасности и снижать вызванные ими риски. Для решения этой проблемы ученые Пермского Политеха предлагают использовать искусственный интеллект.

«Поведение злоумышленника отличается от поведения легального пользователя в информационной сети, и эти различия можно оценить количественно. Мы попытались отследить общие черты в их поведении и рассчитать вероятность ошибки. Проанализировав большой объем данных по действиям пользователя в информационной системе, мы обучили нейросеть использовать новую информацию. Это позволит быстрее выявлять вторжение нарушителя в систему», — объясняет кандидат физико-математических наук, доцент кафедры «Высшая математика» Пермского Политеха Елена Кротова.

В качестве основы политехники выбрали компьютерную модель перцептрон – простейший и удобный вид нейросети. Входные параметры представляют собой бинарные данные, характеризующие пользователя в системе (0 – легальный пользователь, 1 – нелегальный). Для построения и обучения нейросети использовалось более 700 видов данных по более чем 1500 пользователям.

Для сравнения, ученые произвели те же действия с другим видом нейросети, который в результате ошибочно определил злоумышленников как легальных пользователей. Это говорит о том, что сеть на персептроне способна точнее справляется с этой задачей. Для предложенного метода оценили вероятность ошибок и сравнили с результатами работы существующих систем обнаружения угроз.

Рассматривались ошибки 1 и 2 рода, когда легального пользователя принимают за злоумышленника и наоборот. Результат показал, что вероятность ошибок 1 и 2 рода у нейросети ученых ПНИПУ меньше на 20 процентов. А значит, ее использование увеличит надежность и поможет обнаружить нелегальных пользователей в информационной системе.

Разработка ученых Пермского Политеха показала, что метод, основанный на искусственном интеллекте, лучше всего подходит для реализации на предприятии. Он не требует большого объема памяти, обладает хорошим быстродействием и позволяет анализировать большие объемы данных.

ПНИПУ

721 статей

Пермский национальный исследовательский политехнический университет (национальный исследовательский, прошлые названия: Пермский политехнический институт, Пермский государственный технический университет) — технический ВУЗ Российской Федерации. Основан в 1960 году как Пермский политехнический институт (ППИ), в результате объединения Пермского горного института (организованного в 1953 году) с Вечерним машиностроительным институтом. В 1992 году ППИ в числе первых политехнических вузов России получил статус технического университета.

Показать больше