Панчук Б. О. Виявлення мережевих атак алгоритмами штучного інтелекту

Дисертаційна робота присвячена дослідженню методів оцінюванню та підвищенню стійкості систем виявлення шкідливого мережевого трафіку на основі штучного інтелекту, до змагальних впливів з урахуванням семантики можливих дій зловмисника. Основним завданням дисертаційної роботи є створення системи виявлення зразків трафіку ботнетів та спорідненого зловмисного програмного забезпечення з підвищеною стійкістю до спроб навмисного ухилення від виявлення та формально верифікованими оцінками показників стійкості. На відміну від споріднених робіт в області аналізу мережевих даних моделями ШІ, де увага зосереджується лише на проблемі підвищення точності класифікації, в цьому досліджені вирішується актуальна науково-прикладна задача - підвищення стійкості систем виявлення до можливих «змагальних атак» направлених супроти моделі з ціллю приховування зловмисної мережевої активності. Також надаються оцінки стійкості класифікатора потоків мережевих даних до атак такого роду, перевірені за допомогою формальних методів верифікації. В роботі вперше формалізовано критерій локальної стійкості класифікатора мережевого трафіка та здійснено його верифікацію шляхом автоматичного доведення (чи спростування) виконуваності накладених на модель обмежень за допомогою SMT-розв'язувача, що дозволило достовірно оцінити стійкість створеної системи виявлення загроз до можливих збурень у вхідних даних. Також вперше розроблено універсальний метод формальної верифікації властивостей глибоких нейронних мереж з кусково-лінійними функціями активації, який базується на представленні обчислювального графу нейромережі у формі спрощеної SMT-формули, побудованої інкрементально шляхом розв’язування локальних SMT-задач сформованих для функцій активації нейронів та перевірки можливості їх тотожної заміни на лінійні функції. Для підвищення точності та стійкості моделей класифікації в роботі було розвинено метод генерації штучних прикладів та доповнення наборів даних шляхом адаптації швидкого методу знаку градієнту до простору ознак мережевих потоків, з метою оцінки та підвищення стійкості систем виявлення шкідливого трафіку до можливих змагальних атак. В ході роботи було здійснено навчання класифікаторів мережевого трафіку на базі алгоритмів машинного навчання та нейронних мереж з використанням різних наборів мережевих даних. Для навчання та тестування було створено розширену вибірку даних на основі комбінації різних відкритих наборів. На основі отриманих моделей класифікації був створений прототип багатоцільового аналізатора мережевого трафіку. Його вихідний код та детальні інструкцій до використання опубліковані на ресурсі Github. Екземпляр прототипу було впроваджено в експлуатацію у ролі системи виявлення мережевих загроз у компанії ТОВ «НВП «Радікс», що спеціалізується на розробці апаратного забезпечення для АЕС.