Модель виявлення шкідливої активності в інформаційній системі організації на основі гібридної класифікації

Анотація

Стаття присвячена дослідженню методів виявлення шкідливих процесів в інформаційній системі організацій з використанням методів машинного навчання. Кількість атак, які згідно з статистикою, збільшуються з кожним роком, свідчить про те, що методи виявлення вторгнень потребують подальшого розвитку. Застосування машинного навчання може підвищити здатність систем захисту щодо виявлення шкідливих процесів. Для вирішення проблеми виявлення шкідливих процесів в роботі запропоновано модель гібридної класифікації виявлення вторгнень в інформаційній системі організації. Запропонована модель побудована на використанні декількох методів машинного навчання. До складу цих методів було включено метод опорних векторів, дерева рішень та k-найближчих сусідів.  Опис основних етапів застосування визначених методів запропонованої моделі надає узагальнене розуміння особливостях роботи. Було використано набори даних CSE-CIC-IDS2018 Канадського інституту кібербезпеки. Для обробки набору даних запропоновано основні етапи, які необхідні для коректної роботи запропонованої моделі. Очікується, що такий підхід дозволить скоротити час роботи моделі та покращити показники якості та точності виявлення шкідливої активності в інформаційній системі організації. В основу гібридної класифікації покладено метод асамблевого навчання - стекінг, який передбачає навчання кількох моделей однаковому наборі даних, а потім використання ще одного класифікатора, який навчається на вихідних даних цих моделей та визначає, як їх комбінувати для отримання кінцевого прогнозу. Отже, запропонована модель виявлення шкідливої активності дозволить отримувати результати прогнозів, які будуть порівнюватися з результатами моделі на основі кожного окремого обраного алгоритму машинного навчання.

Ключові слова: кібербезпека, кібератака, шкідлива активність, ботнет, машинне навчання, класифікація.