Освіта у Львівській політехніці

Виявлення безпекових аномалій мережі з використанням систем штучного інтелекту

Автор: Рупа Олександр Святославович

Кваліфікаційний рівень: магістр

Спеціальність: Інформаційні мережі зв'язку

Інститут: Інститут телекомунікацій, радіоелектроніки та електронної техніки

Форма навчання: денна

Навчальний рік: 2024-2025 н.р.

Мова захисту: українська

Анотація: Сучасні інформаційно-комунікаційні системи є основою діяльності більшості організацій, забезпечуючи ефективне функціонування внутрішніх процесів та надання послуг. З розвитком інформаційних технологій зростають як масштаби мереж, так і кількість потенційних загроз, пов’язаних із безпекою. Складність сучасних інформаційно-комунікаційних мереж у поєднанні з великою кількістю користувачів і зовнішніх підключень ускладнює традиційні методи моніторингу та аналізу аномальної активності. Тому виникає необхідність у застосуванні новітніх інструментів для виявлення безпекових аномалій, одним із найефективніших серед яких є штучний інтелект. Об’єктом дослідження є процес виявлення безпекових аномалій у мережі за допомогою технологій штучного інтелекту. Предмет дослідження включає методи та підходи до аналізу мережевого трафіку, які дозволяють автоматично виявляти аномальні дії в мережі. Мета роботи та завдання дослідження. Метою магістерської кваліфікаційної роботи є аналіз методів виявлення безпекових аномалій в інформаційно-комунікаційних мережах, що сприятиме підвищенню рівня захищеності інформаційної інфраструктури організацій. Для досягнення поставленої мети було визначено наступні завдання дослідження: 1. Здійснити аналіз основних загроз безпеці в інформаційно-комунікаційних мережах; 2. Дослідити традиційні методи виявлення аномалій, зокрема сигнатурні та евристичні підходи; 3. Проаналізувати нейронні мережі як інструмент для виявлення безпекових аномалій та перевірити ефективність залучення машинного навчання для виявлення кіберзагроз. 4. Експериментально перевірити ефективність методу залучення штучного інтелекту і машиного навчання для виявлення безпекових аномалій. Методи дослідження включають проведення аналізу наукової літератури з питань безпеки мереж та виявлення аномалій, а також експериментальні дослідження, що здійснюються на тестовому стенді з метою визначення оптимальних параметрів для виявлення безпекових аномалій у мережі. Наукова новизна дослідження полягає у розробці підходу до виявлення аномалій, що поєднує традиційні методи та інструменти штучного інтелекту, що дозволяє забезпечити підвищену ефективність у виявленні потенційних загроз. Практичне значення дослідження полягає у можливості застосування результатів для покращення моніторингу безпеки та створення системи, що автоматично аналізує поведінку мережі та своєчасно сигналізує про потенційні загрози. Випускна кваліфікаційна робота складається зі вступу, 5-ти розділів, висновку, списку використаних джерел та додатків. У першому розділі роботи розглянуто ключові підходи до виявлення аномалій у інформаційно-комунікаційних мережах. Важливою складовою сучасної кібербезпеки залишаються традиційні методи, такі як сигнатурні та евристичні системи. Сигнатурні методи працюють на основі вже відомих шаблонів атак, забезпечуючи високу точність і швидкість. Проте вони не здатні протидіяти новим загрозам, які ще не внесені до бази даних. Евристичні методи, в свою чергу, дозволяють виявляти відхилення в поведінці систем, що не обмежуються заздалегідь визначеними шаблонами, однак часто мають вищий рівень помилкових спрацьовувань, що може знижувати їхню ефективність [1]. Другий розділ присвячений ролі нейронних мереж у виявленні безпекових аномалій, зосереджуючись на їхньому потенціалі як інструменту для забезпечення кібербезпеки. Нейронні мережі стали невід’ємною частиною сучасних підходів до аналізу даних завдяки своїй здатності виявляти складні патерни та закономірності, що часто залишаються непоміченими традиційними методами. Вони можуть обробляти великі обсяги даних, що є критично важливим у контексті сучасних загроз, оскільки атаки стають дедалі більш складними і різноманітними. Нейронні мережі забезпечують можливість виявлення аномалій у реальному часі, що є важливим аспектом для систем кібербезпеки [2]. У ситуаціях, коли загроза може бути виявлена та нейтралізована на ранній стадії, нейронні моделі можуть значно знизити ризики і забезпечити захист інформаційних систем. Це особливо важливо в умовах постійних кібер-атак, коли кожна секунда може мати вирішальне значення. Завдяки своїй здатності аналізувати дані в режимі реального часу, нейронні мережі стають ключовим компонентом у системах моніторингу безпеки. У третьому розділі, розглянуто комплексні підходи до впровадження системи збору та аналізу журналів подій з метою підвищення рівня безпеки корпоративної інформаційно-комунікаційної мережі. Одним із ключових рішень було створення власного скрипту на Python для збору та парсингу журналів, що дозволяє уникнути залежності від сторонніх систем, таких як Elasticsearch або Loki, і забезпечити гнучкість у налаштуванні та адаптації системи до вимог організації [3]. Важливим аспектом впровадження є уніфікація процесу збору даних з різних джерел: систем Windows (Windows Event Log), Linux (systemd-journal), мережевих пристроїв (SNMP traps, Cisco log service), а також інших критичних компонентів мережевої інфраструктури. Це дозволяє забезпечити цілісність і достовірність зібраної інформації для подальшого аналізу [4]. На основі цих даних система штучного інтелекту буде здатна відповідати на важливі запити, зокрема щодо дій користувачів протягом робочого дня, їхньої взаємодії з корпоративними сервісами, а також автоматично виявляти нетипову поведінку, що може свідчити про потенційні загрози безпеці. У четвертому розділі комплексний підхід до інтеграції та неперервного навчання моделей машинного навчання, акцентуючи увагу на важливості збору та підготовки даних для навчання. Зібравши великий обсягів інформації з різних джерел, дозволило отримати детальну картину дій користувачів. Дані пройшли етапи попередньої обробки, де були видалені шуми, нормалізовані значення, а також створена відповідна структура для подальшого навчання моделей. Провевши навчання кількох моделей класифікації, включаючи Random Forest, SVM та Logistic Regression. Результати показали, що моделі можуть досягати високої точності у визначенні статусу дій користувачів. Аналіз різних алгоритмів дав змогу не лише оцінити їх ефективність, але й вибрати найбільш підходящі для специфічних завдань, пов’язаних із моніторингом та безпекою.Інтеграція цих моделей в платформу LAMA забезпечила зручний доступ до аналізу дій користувачів через веб-інтерфейс [5]. Використання RESTful API дозволило здійснювати запити до моделей класифікації та отримувати важливу інформацію про свою активність, завантаженість комутаторів та серверів у реальному часі. Система, що постійно навчається, здатна виявляти аномалії та незвичні патерни в поведінці користувачів, що сприяє покращенню інформаційної безпеки організації. Поєднуючи результати навчання моделей із платформою для аналізу даних, було створено ефективний інструмент для моніторингу та управління інформаційними потоками.