CC BY
41DOI 10.47576/2949-1886_2023_4_12 УДК 004
Артюшкина Елена Сергеевна,
ассистент кафедры информационных систем и технологий, Поволжский государственный университет телекоммуникаций и информатики, Самара, Россия
Андирякова О. О.,
студент,
Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия
Тюрина Дарья Андреевна,
студент,
Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия, e-mail: andiryakova18@gmail
ИСПОЛЬЗОВАНИЕ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ ПРИ АНАЛИЗЕ СЕТЕВОГО ТРАФИКА И ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В статьи рассматриваются две группы методов обнаружения сетевых атак: сигнатурные и поведенческие. Подчеркивается важность применения методов машинного обучения для улучшения антивирусного программного обеспечения и устранения ограничений, наложенных традиционными методами обнаружения угроз. Делается вывод, что, дополняя традиционное обнаружение угроз на основе сигнатур, машинное обучение может помочь лучше адаптироваться к возникающим угрозам и обеспечивать повышенную защиту от киберпреступности.
Ключевые слова: машинное обучение; информационная безопасность; искусственный интеллект; киберпреступность; сетевая безопасность; вредоносное ПО.
UDC 004
Artyushkina Elena Sergeevna,
Assistant of the Department of Information Systems and Technologies, Volga State University of Telecommunications and Informatics, Samara, Russia
Andiryakova O. O.,
Student, Volga State University of
Telecommunications
and Informatics, Samara, Russia
Tyurina Daria Andreevna
Student, Volga State University of Telecommunications and Informatics, Samara, Russia, e-mail: andiryakova18@gmail,
USING MACHINE LEARNING METHODS IN ANALYZING NETWORK TRAFFIC AND MALICIOUS SOFTWARE
The article discusses two groups of methods for detecting network attacks: signature and behavioral. The importance of using machine learning methods to improve antivirus software and eliminate restrictions imposed by traditional methods of threat detection is emphasized. It is concluded that by complementing traditional signature-based threat detection, machine learning can help better adapt to emerging threats and provide increased protection against cybercrime.
Keywords: machine learning; information security; artificial intelligence; cybercrime; network security; malware.
С развитием новых технологий растет и угроза их применения киберпреступника-ми. По данным криминалистического центра Следственного комитета, с 2014 г. число 1Т-преступлений в России выросло в 50 раз, выяснилось, киберпреступники активно используют искусственный интеллект [1]. По-
является задача анализа больших объемов данных для выявления закономерностей и аномалий, указывающих на возможные кибе-ругрозы. Использование методов машинного обучения уже применяются на всех уровнях защиты ^-инфраструктуры.
Рисунок 1 - Уровень использования средств ИИ для защиты ИТ-инфраструктуры
Приоритетным направлением использования методов машинного обучения, по данным консалтинговой компании Сардет^, является обеспечения сетевой безопасности [2].
Сетевой трафик может хранить в себе различную информацию в частности, личные данные пользователя, банковские данные, пароли и т. д.
Анализ сетевого трафика необходим для защиты информационной инфраструктуры, методы машинного обучения можно применить для обнаружения угроз, аномалий, проведения криминалистических расследований и оптимизации производительности сети.
Методы обнаружения сетевых атак можно разделить на две группы:
- Сигнатурные методы - методы обнару-
жения вторжений на основе шаблонов (сигнатур) типовых атак, за счет чего уменьшаются ложные срабатывания, а атаки более эффективно определяются. Главным недостатком данного метода является невозможность выявления атак, не описанных в экспертной системе [3].
- Поведенческие методы основаны не на моделях информационных атак, а на моделях «нормального» функционирования ИС. Преимуществом данного метода является высокая чувствительность к изменениям в информационной системе, за счет чего можно обнаружить атаку без конкретных шаблонов. Отсюда выходит и главный недостаток поведенческого метода - при непредсказуемом поведении пользователей и сетевой активности срабатывает ложный сигнал [3; 4].
К поведенческому методу относятся интеллектуальные системы, характерной особенностью которых можно назвать одновременную работу множества взаимосвязанных узлов обработки для решения конкретной задачи. Помимо этого, одним из главных преимуществ нейронных сетей является возможность обучения, так в процессе обучения нейронная сеть способна выявлять сложные зависимости между входными и выходными данными, а также выполнять их обобщение.
Для устранения недостатков поведенческого метода при построении такой нейрон-
ной сети важным аспектом является выбор полезных параметров для обучения, за счет устранения бесполезных параметров можно повысить точность обнаружения атак и ускорить вычисления [5].
Анализ сетевого трафика является не единственным перспективным направлением в сфере информационной безопасности. Так, по данным лаборатории Касперского, самым уязвим приложением за 2021 г. является Microsoft Office [6], следовательно остро встает вопрос анализа вредоносного программного обеспечения (рис. 2).
Согласно независимой тестовой лаборатории Virus Bulletin, самые популярные коммерческие антивирусы могут обнаружить 87 процентов всех новых угроз спустя несколько месяцев после того, как программное обеспечение было обновлено [7]. Существует несколько причин, по которым антивирусные программы не могут найти и удалить все угрозы:
- Новые и неизвестные вирусы. Антивирусные программы для нахождения угроз по -лагаются на сигнатуры, которые созданы на основе известных существующих вирусов.
При возникновении угроз, сигнатура которого не была добавлена в базу данных антивируса, программное обеспечение не сможет его распознать.
- Полиморфные вирусы. Некоторые вирусы появляются в результате изменения своего кода каждый раз, при заражении новой системы. Традиционные методы обнаружения, основанные на сигнатурах, полиморфные вирусы обходят, поскольку их сигнатуры постоянно меняются [8].
- Уязвимость нулевого дня. Слабые места программного обеспечения, о котором
не знают разработчики, могут быть использованы киберпреступниками для доставки вредоносного ПО в систему. Антивирусное программное обеспечение может не знать о существующих уязвимостях, что затрудняет его обнаружение [9].
Методы машинного обучения могут быть использованы для улучшения антивирусного ПО и решения проблем, упомянутых ранее. Алгоритмы машинного обучения могут анализировать поведение программ и файлов для выявления подозрительных действий. Этот подход, известный как поведенческий анализ, может помочь обнаружить ранее неизвестные вредоносные программы или уязвимости нулевого дня.
Традиционное антивирусное программное обеспечение использует определенные сигнатуры для обнаружения вредоносных программ. С помощью искусственного интеллекта, обученного на больших наборах данных как доброкачественных, так и вредоносных файлов, алгоритмы машинного интеллекта могут научиться обобщать и идентифицировать ранее невидимые вредоносные программы.
Важно отметить, что применение машинного обучения при анализе сетевого трафика и вредоносного программного обеспечения не является панацеей, и оно также накладывает свои собственные ограничения и проблемы при разработке систем обнаружения угроз. Киберпреступники также могут разработать методы уклонения, чтобы обойти защиту, основанную на машинном обучении. Поэтому для комплексной защиты от различных угроз необходимо сочетать подходы машинного обучения и традиционного обнаружения на основе сигнатур и других мер безопасности.
Список литературы
1.Число киберпреступлений в России. TADViser. URL: https://www.tadviser.ru/index.php (дата обращения: 01.02.2023).
2.Почему искусственный интеллект все чаще принимают на кибервооружение? Национальная ассоциация нефтегазового сервиса. URL: https://nangs.org/ news/it/pochemu-iskusstvennyy-intellekt-vse-chashte-prinimayut-na-kibervooruzhenie (дата обращения: 01.02.2023).
3.Ананьин Е. В., Кожевникова И. С.а, Лысенко А. В., Никишова А. В. Методы обнаружения аномалий и вторжений // Проблемы Науки. 2016. № 34 (76).
4.Голованов А., Мельникова О., Деменко К. Выявление аномалий сетевого трафика на примере нейронных сетей. Системный анализ в науке и образовании. 16 сентябрь 2021 г. URL: https://sanse.ru/index.php/ sanse/article/view/106 (дата обращения: 01.02.2023).
5.Тимочкина Т. В., Татарникова Т. М., Пойманова Е. Д. Применение нейронных сетей для обнаружения сетевых атак // Приборостроение. 2021. № 5.
6.Развитие информационных угроз во втором квартале 2021 года. Статистика по ПК. SecureList by Kaspersky. URL: https://securelist.ru/it-threat-evolution-in-q2-2021-pc-statistics/103374/ (дата обращения: 01.02.2023).
7.«Антивирус будущего» сможет работать без обновлений. Антивирусы и программы безопасности. URL: https://www.comss.ru/page.php?id=2712 (дата обращения: 01.02.2023).
8.Долженков А. А., Грачева Е. В. Полиморфные вирусы // Успехи современного естествознания. 2011. № 7. С. 105.
9.Малаева Д. Т. Проблема защищенности web-приложений // Научный альманах. 2019. № 3-3(53). С. 55-57.
References
1. The number of cybercrimes in Russia. TADViser. URL: https://www.tadviser.ru/index.php (accessed: 01.02.2023).
2. Why is artificial intelligence increasingly being accepted for cyber weapons? National Association of Oil and Gas Service. URL: https://nangs.org/news/it/ pochemu-iskusstvennyy-intellekt-vse-chashte-prinimayut-na-kibervooruzhenie (accessed: 01.02.2023).
3. Ananyin E. V., Kozhevnikova I. S.a, Lysenko A.V., Nikishova A.V. Methods of detecting anomalies and intrusions. Problems of Science. 2016. № 34 (76).
4. Golovanov A., Melnikova O., Demenko K. Identification of network traffic anomalies on the example of neural networks. System analysis in science and education. September 16, 2021 URL: https://sanse.ru/ index.php/sanse/article/view/106 (accessed: 01.02.2023).
5. Timochkina T. V., Tatarnikova T. M., Poymanova E. D. Application of neural networks for detecting network attacks. Instrumentation. 2021. № 5.
6. Development of information threats in the second quarter of 2021. PC statistics. SecureList by Kaspersky. URL: https://securelist.ru/it-threat-evolution-in-q2-2021-pc-statistics/103374 / (accessed: 01.02.2023).
7. "Antivirus of the future" will be able to work without updates. Antiviruses and security programs. URL: https:// www.comss.ru/page.php?id=2712 (date of reference: 01.02.2023).
8. Dolzhenkov A. A., Gracheva E. V. Polymorphic viruses. Successes of modern natural science. 2011. No. 7. Р. 105.
9. Malaeva D. T. The problem of web application security. Scientific Almanac. 2019. No. 3-3(53). Pp. 55-57.
