Бондаренко К. О. Математичні моделі та обчислювальні методи виявлення аномалій в системах безпеки

Бондаренко К.О. Математичні моделі та обчислювальні методи виявлення аномалій в системах безпеки. – Кваліфікаційна наукова праця на правах рукопису. Дисертація на здобуття наукового ступеня доктора філософії за спеціальністю 125 Кібербезпека та захист інформації, галузь знань 12 – Інформаційні технології, Національний технічний університет “Харківський Політехнічний Інститут”, Міністерства освіти і науки України, Харків, 2024. Дисертація присвячена вирішенню завдання забезпечення належного рівня безпеки захищаємих об’єктів шляхом розробки та впровадження математичних моделей та обчислювальних методів виявлення аномалій в системах безпеки. Завдяки використанню розроблених моделей та методів інтелектуального аналізу даних та нейронних мереж для виявлення аномалій стає можливим виявляти та попереджувати невідомі системі безпеки атаки, що є необхідною умовою для підвищення рівня кібербезпеки будь якої системи. Об’єкт дослідження – процеси виявлення аномалій в системах безпеки захисту інформації. Предмет дослідження – математичні моделі та обчислювальні методи виявлення аномалій в системах безпеки на основі методів нейроних мереж та інтелектуального аналізу даних (дерев класифікації). Метою дисертаційної роботи є розробка математичних моделей та обчислювальних методів виявлення аномалій в системах безпеки, які забезпечують підвищення рівня безпеки систем захисту інформації. Сама система повинна бути проста у використанні та налаштуванні, а також легко переноситися між різними програмними системами. У вступі обґрунтовано актуальність теми дисертаційного дослідження, сформульовано мету дослідження та науково-прикладні завдання, необхідні для її досягнення, показано зв’язок дослідження з науковими програмами та темами, наведено наукову новизну отриманих результатів, їх практичну цінність та особистий внесок здобувача. Подано відомості про апробацію результатів роботи, особистий внесок здобувача та його публікації. У першому розділі виконано аналіз сучасного стану виявлення аномалій в системах безпеки, розглянуті мережеві аномалії, їх походження та таксономія. Виявлені джерела походження аномалій в системах безпеки. Наведено зіставлення аномалій з кібератаками, які здійснюються на комп'ютерні системи та мережі та представлено причинно-наслідковий зв’язок між атаками зловмисників, мережевими аномаліями та їх наслідками для безпеки мережі організації. Побудовано відображення впливу аномалій мережевих послуг на цілі безпеки та якості обслуговування. У другому розділі проаналізовано існуючі теоретичні моделі виявлення аномалій: операційна модель, модель середнього значення та середньоквадратичного відхилення, багатоваріаційна модель, модель марковського процесу, модель часових серій. Запропоновано алгоритм виявлення вторгнень. Проаналізовані атрибути заходів та методів виявлення аномалій, що дозволило визначити відповідні методи виявлення аномалії. Проведений аналіз метрик аномалій на основі мір близькості дозволив обґрунтувати вибір міри близькості Махалонобіса як основи метрики аномалій. У третьому розділі проаналізовані різні методи виявлення аномалій на основі машинного навчання. Сформульовані відповідності використовуваних методів машинного навчання штучних нейронних мереж та задач кібербезпеки. Розроблена математична модель виявлення аномалій та вторгнень на основі генетичних алгоритмів. У четвертому розділі запропоновано підхід, який послідовно класифікує відомий трафік атак на різні типи атак та паралельно відокремлює аномалії від звичайного трафіку. Продемонстровано застосування моделі виявлення зловживань щодо набору даних KDD CUP 99. Запропоновано використання генетичного алгоритму для вибору відповідних значень параметрів, оптимізації RF-класифікатора та підвищення точності класифікації нормального та аномального мережевого трафіку та її реалізація з використанням побудованої штучної нейронної мережі багаторівневого перцептрона та методів побудови дерев класифікації у пакеті Statistica. У висновках дисертаційної роботи викладено основні результати які випливають з проведених досліджень, представлено та охарактеризовано показники ефективності при використанні запропонованих рішень. За результатами дослідження отримано такі наукові результати: 1. Вперше обґрунтовано вибір метрики Махаланобіса як основи для визначення аномалій. 2. Удосконалено систему причинно-наслідкових зв’язків між атаками зловмисників, мережевими аномаліями та їх наслідками для безпеки мережі організації. 3. Удосконалено математичну модель виявлення аномалій та вторгнень на основі генетичних алгоритмів. 4. Удосконалено підхід, послідовної класифікації відомого трафіку атак на різні типи атак. Практичне значення результатів: розроблені моделі побудови випадкового лісу з використанням генетичних алгоритмів; методи нейрокомп’ютінгу дозволяють побудувати структурні схеми модулів виявлення аномалій в системах кібербезпеки; реалізовані структурні схеми модулів у програмному забезпеченні при моделюванні нейронної мережі.