Аманова Ай., Мыратлыев Д., Урусдамов А.
ПРИМЕНЕНИЕ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ ДЛЯ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ *
Аннотация:
в настоящей статье рассматривается актуальная проблема обеспечения кибербезопасности посредством интеграции алгоритмов машинного обучения (МО) в системы обнаружения вторжений (СОВ). Анализируются традиционные подходы к обнаружению вторжений, их ограничения и недостатки в условиях постоянно растущего числа и сложности кибератак. Представлен обзор современных методов машинного обучения, таких как контролируемое обучение (например, метод опорных векторов, деревья решений, нейронные сети) и неконтролируемое обучение (например, кластеризация), применимых для анализа сетевого трафика и выявления аномальной активности. Обсуждаются ключевые преимущества использования МО, включая способность к адаптации, выявлению ранее неизвестных угроз (атак "нулевого дня") и снижению количества ложных срабатываний.
Ключевые слова:
кибербезопасность, системы обнаружения вторжений, машинное обучение, искусственный интеллект, анализ сетевого трафика, обнаружение аномалий, нейронные сети, атаки нулевого дня
В эпоху цифровой трансформации, когда информационные технологии проникают во все сферы человеческой деятельности, проблема обеспечения кибербезопасности приобретает первостепенное значение. Ежедневно организации и частные лица сталкиваются с возрастающим числом изощренных кибератак, направленных на хищение конфиденциальной информации, нарушение работоспособности систем и нанесение финансового ущерба. Традиционные системы обнаружения вторжений (СОВ), основанные преимущественно на сигнатурных методах и правилах, демонстрируют недостаточную эффективность в борьбе с современными угрозами. Они успешно справляются с известными атаками, для которых существуют заранее определенные сигнатуры, однако оказываются уязвимыми перед новыми, ранее не встречавшимися типами атак, так называемыми атаками "нулевого дня" (zero-day attacks).Ограничения традиционных СОВ включают:Неспособность обнаруживать новые атаки: Сигнатурный анализ требует предварительного знания об атаке для создания ее описания.Высокий уровень ложных срабатываний (false positives) или пропусков угроз (false negatives): Некорректно настроенные правила или неполные базы сигнатур могут приводить к ошибкам.Трудоемкость обновления баз сигнатур: Поддержание актуальности баз требует значительных усилий и времени.Сложность адаптации к изменяющимся тактикам злоумышленников: Атаки постоянно эволюционируют, обходя существующие защитные механизмы.В этих условиях перспективным направлением повышения эффективности СОВ является применение алгоритмов машинного обучения (МО). Машинное обучение, как одно из направлений искусственного интеллекта, позволяет системам автоматически обучаться на основе данных и выявлять сложные закономерности, которые трудно или невозможно определить человеку. Интеграция МО в СОВ открывает возможности для создания более интеллектуальных, адаптивных и проактивных систем защиты.Целью данной статьи является анализ возможностей применения алгоритмов машинного обучения для повышения эффективности систем обнаружения вторжений, обзор существующих подходов, а также выявление проблем и перспектив развития в этой области.Задачи исследования:Проанализировать ограничения традиционных СОВ.Рассмотреть основные категории и алгоритмы МО, применимые для задач обнаружения вторжений.Оценить преимущества использования МО в СОВ.Определить основные вызовы и проблемы, связанные с внедрением МО в системы кибербезопасности.Обозначить перспективные направления дальнейших исследований.1. Традиционные подходы к обнаружению вторжений и их ограниченияСистемы обнаружения вторжений являются ключевым компонентом комплексной стратегии кибербезопасности. Их основная задача – мониторинг событий, происходящих в компьютерной системе или сети, и выявление признаков несанкционированной активности или атак. Традиционно СОВ классифицируются по нескольким признакам, таким как источник данных (сетевые СОВ – NIDS, хостовые СОВ – HIDS) и метод обнаружения.Наиболее распространенными методами обнаружения в традиционных СОВ являются:Сигнатурный анализ (Misuse Detection): Этот метод основан на сравнении анализируемых данных (например, сетевых пакетов, системных логов) с базой данных известных сигнатур атак. Сигнатура представляет собой уникальный шаблон или характеристику, свойственную определенному типу вредоносной активности. При совпадении анализируемых данных с одной из сигнатур система генерирует предупреждение.Преимущества: Высокая точность при обнаружении известных атак, низкий уровень ложных срабатываний при правильно составленных сигнатурах.Недостатки: Неспособность обнаруживать новые, ранее неизвестные атаки или модификации существующих атак. Требуется постоянное обновление базы сигнатур, что является трудоемким процессом.Анализ аномалий (Anomaly Detection): В отличие от сигнатурного анализа, этот метод направлен на выявление отклонений от "нормального" поведения системы или сети. Для этого сначала строится профиль нормального поведения на основе статистического анализа характеристик трафика, использования ресурсов, последовательности системных вызовов и т.д. Любое существенное отклонение от этого профиля рассматривается как потенциальная аномалия или атака.Преимущества: Способность обнаруживать ранее неизвестные атаки, которые проявляются как аномальное поведение.Недостатки: Потенциально высокий уровень ложных срабатываний, так как не всякое аномальное поведение является вредоносным. Сложность определения порога "нормальности" и адаптации к легитимным изменениям в поведении системы.Анализ протоколов (Protocol Analysis): Этот метод фокусируется на проверке соответствия сетевого трафика спецификациям протоколов (например, TCP/IP, HTTP). Отклонения от стандартов могут указывать на попытки эксплуатации уязвимостей в протоколах.Несмотря на свою значимость, традиционные СОВ сталкиваются с рядом серьезных ограничений в современном ландшафте угроз:Эволюция атак: Злоумышленники постоянно разрабатывают новые техники атак и методы обхода защитных механизмов, включая полиморфные и метаморфные вредоносные программы, которые меняют свою структуру для уклонения от сигнатурного обнаружения.Большие объемы данных: Современные сети генерируют огромные объемы трафика, что затрудняет его анализ в реальном времени традиционными методами.Зашифрованный трафик: Все большее распространение шифрования (SSL/TLS) усложняет инспекцию содержимого сетевых пакетов, снижая эффективность сигнатурного анализа.Атаки "низкой интенсивности" (Low-and-slow attacks): Атаки, распределенные во времени и использующие малый объем трафика, могут оставаться незамеченными традиционными СОВ, настроенными на обнаружение резких всплесков активности.Эти ограничения диктуют необходимость поиска и внедрения более совершенных методов анализа и обнаружения угроз, одним из которых является машинное обучение.
Номер журнала Вестник науки №5 (86) том 2
Ссылка для цитирования:
Аманова Ай., Мыратлыев Д., Урусдамов А. ПРИМЕНЕНИЕ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ ДЛЯ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ // Вестник науки №5 (86) том 2. С. 746 - 751. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/22918 (дата обращения: 20.07.2025 г.)
Вестник науки © 2025. 16+