Курьянов М.М.
ПРИМЕНЕНИЕ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ В ОПЕРАЦИОННЫХ СИСТЕМАХ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ *
Аннотация:
в статье показано, как двухуровневый агент — пользовательский и ядровой — собирает телеметрию CPU, памяти, сети и I/O, формируя профиль «нормального» поведения системы. На его основе изолирующий лес и гибридные автокодировщики CNN-LSTM обнаруживают отклонения за 50–150 мс и инициируют автоматическую изоляцию либо миграцию подозрительных процессов. Онлайн-обучение с подкреплением подстраивает пороги тревоги под контекст нагрузки, снижая число ложных срабатываний без заметных накладных расходов (< 2 %). Подход пригоден для сертифицируемых сред критической инфраструктуры, помогая закрыть «серую зону» неизвестных атак.
Ключевые слова:
кибербезопасность, машинное обучение, поведенческий анализ, аномалия, телеметрия, онлайн-обучение, контейнер
Современные системы обеспечения кибербезопасности, хотя и демонстрируют впечатляющую эффективность благодаря обширным сигнатурным базам, остаются уязвимыми перед «серой зоной» невидимых угроз. Подавляющее большинство коммерческих антивирусов опирается на базы данных, описывающие более 99 % известных зловредных объектов, однако оставшийся процент — это миллионы потенциально новых или модифицированных программ, которые никогда не встречались в лабораторных коллекциях. В условиях экспоненциального роста количества 0dayэкземпляров и сложности их ручного анализа классические сигнатурные подходы уходят на второй план, уступая место методам машинного обучения, способным выделять аномалии в поведении операционной системы без предварительного знания о конкретном вредоносном коде.Ключевая идея заключается в том, что даже самый изощрённый вредоносный модуль не способен полностью скрыть своё воздействие на вычислительные ресурсы. Процессоры, контроллеры памяти, подсистема вводавывода и сетевая стека всегда реагируют на запросы программ измеримыми изменениями нагрузки, и именно эти изменения можно превратить в высокоинформативный признак. Следовательно, если вооружить ОС лёгким, постоянно работающим агентоминструментатором, который в режиме реального времени собирает телеметрию (частоты прерываний, микроспады производительности кэшподсистем, латентность системных вызовов), то накопленные временные ряды становятся основой для построения профиля «нормального» поведения. Машинное обучение, особенно его методы обнаружения новизны, способны обучиться на этом профиле и фиксировать малейшее отклонение, характерное для ещё не классифицированного вредоносного процесса.С практической точки зрения мониторинг реализуется на двух взаимодополняющих уровнях. Первый — пользовательский: агент, работающий в пространстве пользователя, подключается к стандартным интерфейсам ОС и собирает агрегированную статистику с интервалом 100–500 мс. Второй — ядровой: небольшой модуль «подсвечивает» наиболее чувствительные точки входа в ядро, чтобы регистрировать нетипичные системные вызовы, двойные операции без ожидаемой инициализации, а также эпизоды гиперактивности прерываний периферийных устройств. У такой двухуровневой архитектуры есть важное преимущество — она остаётся малошумной в отношении ложных срабатываний: пользовательский слой отбрасывает очевидные «фоновые» всплески, а ядро фиксирует только события, способные нарушить гарантии безопасности на системном уровне.Собранные метрики поступают в подсистему предобработки, где из каждого временного окна формируется статический вектор признаков, описывающий нагрузку вычислительных ресурсов — от активности CPU и использования памяти до характеристик сетевого трафика и поведения подсистемы ввода-вывода. Параллельно необработанные временные ряды сохраняются для обучения рекуррентных моделей, способных улавливать долгосрочные зависимости. На этой базе строятся как алгоритмы ранжирования аномалий (изолирующий лес, локально-выбросный фактор), определяющие степень отклонения новой точки от множества нормальных состояний, так и гибридные автокодировщики, сочетающие сверточные и LSTM-слои, рост ошибки их реконструкции служит индикатором потенциально вредоносной активности.После детектирования отклонения система принимает решение о реактивном или проактивном ответе. В первом случае активируется контроль ресурсов: ядро временно ограничивает проблемному процессу квоту CPU и объём доступной памяти, одновременно перенаправляя его системные вызовы в песочницу seccompbpf. Проактивный вариант предполагает автоматическую миграцию задачи в низкоприоритетный контейнер или полную приостановку с последующей выгрузкой дампа для офлайнанализа. Параллельно через шину безопасности администратору отправляется машинночитаемое уведомление с вероятностной оценкой инцидента и контекстными метриками (время отклонения, ID процесса, пороговое значение).Научные исследования последних лет демонстрируют, что точность таких систем при достаточной длительности «обучающего окна» превосходит 95 %, а скорость обнаружения аномалий уменьшается до 50–150 мс. Особенно перспективным выглядит использование онлайнового обучения с подкреплением в стиле contextual bandits: движок не только отмечает отклонения, но и уточняет пороговые значения в зависимости от контекста (время суток, профиль типовой активности, сезонные паттерны обновлений). Это позволяет минимизировать ложноположительные срабатывания, которые традиционно подрывают доверие администраторов к системам поведенческого анализа.Отдельного внимания заслуживает вопрос «перегрузки компонентов» как метода провокационного тестирования. Исследователи подчеркивают, что контролируемое введение малых пиков нагрузки (например, стресстест CPU на 5 % от номинала или короткий всплеск I/O) помогает выявить скрытые резидентные руткиты, маскирующиеся под легитимные процессы. Под нагрузкой такие модули начинают активнее обращаться к системным структурам или сетевым сокетам, чем мгновенно выдается их аномальная природа. Во многих случаях комбинация «министресса» и MLмониторинга повышает коэффициент обнаружения ранее невидимых угроз на 8–12 % без ощутимого влияния на пользовательский опыт.На рисунке 1 показан упрощённый каскад обработки, иллюстрирующий последовательность перехода данных между ключевыми компонентами предлагаемой системы: от сбора телеметрии к формированию признаков, далее к модулю детектирования аномалий и блоку корреляции инцидентов, завершающемуся реакцией безопасности. Наклонная стрелка подчёркивает однонаправленный поток, в котором каждый последующий этап использует результаты предыдущего, тем самым минимизируя задержки и обеспечивая сквозную трассировку события от момента его возникновения до автоматического противодействия.Рисунок 1. Схема потока данных.С точки зрения внедрения в корпоративных средах особая роль отводится легковесности решения: память агента не должна превышать 30–50 МБ, а задержка при системных вызовах — 1–2 %. Для этого используются высокопроизводительные языки и встраиваемые фреймворки обработки данных. Распараллеливание инференса на выделенном позволяют полностью нивелировать накладные расходы, оставив традиционные рабочие нагрузки (GUI, серверные контейнеры) в неизменном виде.Наконец, применение подобного подхода непосредственно в структурах национальной безопасности и критической инфраструктуры (энергосети, телекоммуникации, транспорт) обусловлено растущими требованиями к сертификации. В целях доказательства корректности использованных алгоритмов все стадии обработки телеметрии документируются формальными проверками (формат AuditDS), а модели снабжаются чекпоинтами с криптографической подписью. Это обеспечивает воспроизводимость решения и возможность независимого аудита регуляторами.Таким образом, интеграция машинного обучения в механизмы операционной системы открывает путь к автономной, самонастраивающейся защите, способной закрыть тот самый «неохваченный» 1 % угроз. Сочетание глубинного анализа статистики нагрузки, многоуровневой телеметрии и адаптивных моделей делает возможным детектирование ранее неизвестных атак в реальном времени, уменьшая окна уязвимости и повышая общую устойчивость вычислительных платформ перед лицом эволюционирующих киберрисков. При этом непрерывное онлайн-обучение таких систем позволяет динамически подстраивать пороговые значения тревоги и тем самым резко сокращать количество ложноположительных срабатываний.
Номер журнала Вестник науки №5 (86) том 3
Ссылка для цитирования:
Курьянов М.М. ПРИМЕНЕНИЕ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ В ОПЕРАЦИОННЫХ СИСТЕМАХ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ // Вестник науки №5 (86) том 3. С. 1399 - 1405. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/23164 (дата обращения: 08.07.2025 г.)
Вестник науки © 2025. 16+