В настоящей статье рассматривается уязвимость, связанная с сохранением файлов изображений в кэше на жёстком диске устройства в незашифрованном виде. Исследуется характер данной проблемы и возможные последствия её эксплуатации, включая утечку конфиденциальных данных, злоупотребление полученной информацией и риски для корпоративных информационных систем. Основное внимание уделяется способу защиты от данной уязвимости, который основан на применении техники маскирования с использованием ортогональных матриц.. Представлен разработанный прототип мессенджера, в котором реализован данный метод: изображения передаются и хранятся в файловой системе в маскированном виде, процесс демаскирования осуществляется непосредственно в самом приложении мессенджера.

Ключевые слова: информационная безопасность, мессенджер, обмен сообщениями, коммуникации, системы мгновенного обмена сообщениями, шифрование, ортогональные матрицы

2.3.6 - Методы и системы защиты информации, информационная безопасность

Цель статьи – произвести обзор различных видов обмана злоумышленников в сети, изучить применимость и вариативность современных технологий обмана. Метод изучения – анализ существующих статей в рецензируемых российских и зарубежных источниках, агрегация исследований, формирование выводов исходя из проанализированных источников. В обзорной статье рассматриваются технологии обмана злоумышленника (ловушки Honeypot, приманки Honeytoken, перемещение цели MTD, платформа обмана Deception). Указывается эффективность применения обмана с точки зрения воздействия на психическое состояние человека. В статье приводится описание различных видов ловушек, рассматривается классификация в зависимости от цели, места внедрения, уровня взаимодействия, расположения, типа внедрения, однородности и вида активности. а также их составляющие части. Рассматриваются различные стратегии применения ловушек в сети – жертвенный ягненок, хакерский зоопарк, минное поле, ловушки при сближении, экраны перенаправления, порты обмана. Приведена классификация приманок, описаны методы их применения в сети организации, указаны дополнительные условия, повышающие вероятность обнаружения злоумышленника с помощью приманки. Приведены основные методики стратегии MTD, позволяющие запутывать инфраструктуру. Описано взаимодействие этих техник с технологиями ловушек и приманок. Приводится исследование, которое подтверждает эффективность использования MTD вместе с ловушками и приманками, указаны сложности при использовании этой стратегии. Приведено описание Deception платформы, описаны её отличительные особенности от обычных ловушек и приманок, указана возможность её взаимодействия с MTD. В результате были выявлены и описаны основные технологии и стратегии обмана злоумышленника, указано их развитие, описано их противодействие злоумышленнику.

Ключевые слова: инфраструктура ложных целей, перемещение целей, ловушки, приманки, Deception Platform, Honeypot, Honeytoken, Honeynet, MTD, обман злоумышленника

2.3.6 - Методы и системы защиты информации, информационная безопасность

Рассмотрена связь между «старыми» и «новыми» понятиями / метриками оценки качества статистических критериев обнаружения и бинарной классификации событий. Приведены оценки независимости и состоятельности анализируемых метрик относительно объема/состава исходных входных данных. Уточнены рекомендации по использованию «новых» метрик оценки качества статистических критериев обнаружения и бинарной классификации событий.

Ключевые слова: ошибки 1-го и 2-го рода, достоверность, полнота, специфичность, F-мера, ROC-кривая, интегральная метрика AUC

2.3.1 - Системный анализ, управление и обработка информации , 2.3.6 - Методы и системы защиты информации, информационная безопасность

Анализируются возможности использования нейронных сетей типа многослойного автокодировщика (МАК) для улучшения характеристик обнаружения компьютерных атак. Рассмотрена структура МАК, предназначенного для сокращения размерности больших массивов данных, подлежащих обработке в задачах обнаружения компьютерных атак. Анализируется использование различных функций активации нейронов сети и наиболее часто применяемые функции потерь, определяющие качество реконструкции оригинала. Рассмотрен алгоритм оптимизации параметров автокодировщика, позволяющий ускорить обучение модели, снизить вероятность его переобучения и минимизировать функцию потерь.

Ключевые слова: нейронные сети, слои, нейроны, функция потерь, функция активации, мобильные приложения, атаки, гиперпараметры, оптимизация, машинное обучение

2.3.6 - Методы и системы защиты информации, информационная безопасность

Статья посвящена проблематике сложности процесса разработки организационно-распорядительной документации с учетом отрасли работы организации, а также отделов, составляющих основную ее работу. Статья посвящена проблематике сложности процесса разработки организационно-распорядительной документации с учетом отрасли работы организации, а также отделов, составляющих основную ее работу. С учетом влияния меняющейся в стране экономики, организации постоянно подвержены изменениям с инициативы соответствующих регуляторов в конкретной области и нормативных документов в виде стандартов и законов. Выделены основные отрасли работы организаций, а также количество нормативных документов для регулирования их деятельности. Проведен разбор организации как системы на основе системного анализа. В качестве подхода для решения проблемы была выбрана методика Сагатовского. Согласно методике проведен разбор системы, состоящий из семи этапов. На каждом этапе выделены основные составляющие, а также приведены обоснования по каждой из них. Составлены схемы жизненных циклов заданных «видов конечных продуктов» с учетом направления работы отделов. Разработана схема процесса создания организационно-распорядительной документации сотрудниками и отделами организации. Анализ организации с точки зрения системного анализа позволит в дальнейшем разработать критерии создания комплекта организационно-распорядительной документации. Критерии создания организационно-распорядительной документации и методики их оценки помогут организациям заметно облегчить работу с основными регуляторами в какой-либо области, а также соответствовать заданным стандартам работы, что в дальнейшем поможет не только улучшить работу, но и избежать негативных последствий для самого предприятия.

Ключевые слова: метод Сагатовского, системный анализ, целеполагание, информационная безопасность

2.3.1 - Системный анализ, управление и обработка информации , 2.3.6 - Методы и системы защиты информации, информационная безопасность

Рассматривается использование расширения PDO языка сценариев PHP в качестве метода взаимодействия с различными системами управления базами данных при разработке PHP-приложений. Подчеркиваются преимущества PDO перед традиционными подходами, такими как mysql и pgsql расширения, указывая на его универсальность, поддержку подготовленных запросов, удобство работы с ошибками, поддержку транзакций, и легкость в обучении. Через практические примеры кода демонстрируется, как эти преимущества могут быть реализованы в реальных сценариях работы с базами данных. Затрагивается поддержка подготовленных запросов как одного из мощных механизмов защиты от SQL-инъекций. В заключении подчёркивается важность PDO для современной PHP-разработки, акцентируется внимание на повышенной безопасности, гибкости и удобстве поддержки кода, что делает его предпочтительным выбором для современных разработчиков.

Ключевые слова: PHP, PDO, базы данных, СУБД, безопасность, подготовленные запросы, транзакции, программирование

1.2.2 - Математическое моделирование, численные методы и комплексы программ , 2.3.6 - Методы и системы защиты информации, информационная безопасность

Современные кибератаки становятся все более сложными и разнообразными, что делает классические методы обнаружения аномалий, такие, как сигнатурные и эвристические, недостаточно эффективными. В связи с этим необходимо разработать более совершенные системы для обнаружения сетевых угроз, основываясь на технологиях машинного обучения и искусственного интеллекта. Существующие методы обнаружения вредоносного трафика часто сталкиваются с проблемами, связанными с высокой ложноположительной срабатываемостью и недостаточной точностью в условиях реальных угроз в сети. Это снижает эффективность систем кибербезопасности и затрудняет выявление новых атак. Целью данной работы является разработка системы обнаружения вредоносного трафика, которая повысила бы количество выявленных аномалий в сетевом трафике за счёт внедрения технологий машинного обучения и ИИ. Для достижения поставленной цели был проведён тщательный анализ и предобработка данных, полученных из общедоступных датасетов, таких как CICIDS2017 и KDD Cup 1999. Для построения модели был использован алгоритм случайного леса, который обеспечил высокую точность и устойчивость к переобучению. В ходе экспериментов интеграция модели в систему мониторинга реального времени с помощью потоков анализаторов трафика, позволила достичь значительного повышения точности и снижения числа ложноположительных срабатываний по сравнению с классическими методами. Новизна системы на основе машинного обучения была доказана её высокой эффективностью и применимостью для защиты от реальных сетевых угроз. Предложены направления для дальнейшего совершенствования, включая интеграцию с другими средствами защиты информации и оптимизацию моделей для повышения эффективности и сокращения вычислительных затрат.

Ключевые слова: обнаружение аномалий, вредоносный трафик, кибербезопасность, машинное обучение, искусственный интеллект, сигнатурные методы

2.3.1 - Системный анализ, управление и обработка информации , 2.3.6 - Методы и системы защиты информации, информационная безопасность

Цель статьи – исследование информационной безопасности критических параметров процессов ИТ-инфраструктуры организации, ее цифровой инфраструктуры с помощью Центров мониторинга безопасности. Акцентируются такие факторы рисков, как адаптивность, устойчивость в среднем и длительном периоде, влияние неопределенностей («белого шума»). Кроме системного анализа-синтеза в работе используются методы математического (имитационного, операторного) моделирования, вычислительной математики и статистики. На основе проведенного анализа и синтеза в работе получены следующие основные результаты: 1) проведена классификация воздействий различных атак на распределенную инфраструктуру; 2) предложены схема, мультипликативная модель интегральных взаимодействий защитных мер и интегральная мера защищенности; 3) разработан алгоритм идентификации построенной мультипликативной модели на основе критерия наименьших квадратов, как по совокупности факторов, так и по классам рисков; 4) приведен пример операторного уравнения с учетом случайного шума в системе. Научно-практическая ценность работы: результаты могут быть использованы для оценки защищенности системы и снижения рисков целевых атак, ущерба от них. Кроме этого, предложенные схемы позволят облегчить ситуационное моделирование по обнаружению риск-ситуаций и оценки ущерба от их реализации.

Ключевые слова: оценка, устойчивость, зрелость, центр информационной безопасности, мониторинг, риск, управление

2.3.6 - Методы и системы защиты информации, информационная безопасность

В статье предложен комплекс антропоморфических моделей оценки рисков эффектов инфраструктурного деструктивизма. В основе данных моделей лежит один из подходов к оценке рисков инфраструктурного генеза, заключающийся в оценке эффекта инфраструктурного деструктивизма, состоящего в неконтролируемом саморазрушении информационной инфраструктуры. В отличие от уже имеющихся подходов к оценке показателей инфраструктурного деструктивизма, в статье предлагается использование моделей, учитывающих множественные поведенческие взаимодействия процессов на основе антропоморфического подхода. Антропоморфический подход предусматривает реализацию алгоритмов оценки межобъектного взаимодействия по принципам развития живой природы. Феномен инфраструктурного деструктивизма имеет практическое объяснение, связанное с тем, что при определённых условиях одновременная реализация деструктивных воздействий на объекты инфраструктуры от различных источников может привести как к катастрофическим изменениям (то есть к полному саморазрушению информационной инфраструктуры), так и к минимизации рисков инфраструктурного генеза. В статье вводится понятие метрики «здоровья» в системе мониторинга информационной безопасности инфраструктуры, которая отображает наличие «отрицательных» поведенческих активностей процессов и тем самым предсказывает увеличение вероятности появления эффектов инфраструктурного деструктивизма. Таким образом при применении предложенных моделей становится возможным повышение точности оценки рисков инфраструктурного генеза, следовательно, обеспечение достаточного уровня информационной безопасности.

Ключевые слова: инфраструктурный деструктивизм, деструктивные воздействия инфраструктурного генеза, антропоморфический подход, интеллектуальный анализ журналов событий, поведенческий анализ

2.3.6 - Методы и системы защиты информации, информационная безопасность

Исследование статистических характеристик сетевого трафика позволяет обнаружить его фрактальные особенности и оценить, как фрактальная размерность изменяется в условиях компьютерных атак (КА). Эти исследования освещают взаимосвязь между атаками и динамическими изменениями фрактальной размерности, что позволяет более глубоко понять, как атаки воздействуют на структуру и поведение сетевого трафика. Такое понимание критично для разработки эффективных методов мониторинга и защиты сети от потенциальных угроз. Эти наблюдения обосновывают применение методов фрактального анализа, включая дискретный вейвлет-анализ, для выявления КА. В частности, возможен мониторинг фрактальной размерности телекоммуникационного трафика в реальном времени с отслеживанием её изменений. Тем не менее, выбор наиболее подходящего материнского вейвлета для кратномасштабного анализа остаётся недостаточно исследованным аспектом. В статье оценивается влияние выбора типа материнских вейвлетов на оценку показателя Херста и достоверность обнаружения КА. Рассматриваются следующие типы материнских вейвлетов: Хаар, Добеши, Симлет, Мейер и Коифлет. В рамках исследования проводилась экспериментальная оценка показателя Херста на наборе данных, который включает в себя атаку типа SYN-flood и нормальный сетевой трафик. Показано, что минимальный разброс оценки показателя Херста для трафика с атаками типа SYN-flood достигается при использовании в качестве материнского вейвлета Мейера при окне анализа более 10000 выборок и вейвлетами Хаара при окне анализа менее 10000 выборок.

Ключевые слова: материнский вейвлет, компьютерная атака, сетевой трафик, показатель Херста, вейвлет-анализ, фрактальная размерность

2.3.6 - Методы и системы защиты информации, информационная безопасность

Цель данной работы – проанализировать понятие угрозы программ-вымогателей, методы их обнаружения, а также рассмотреть методы интеллектуального анализа в решении задачи обнаружения, которые являются популярным средством среди исследователей программ-вымогателей и вредоносного программного обеспечения (ВПО) в целом. Интеллектуальный анализ данных помогает повысить точность и ускорить процесс обнаружения ВПО, обрабатывая большие объёмы информации. Благодаря этому специалисты могут выявлять новые, прежде неизвестные вредоносные программы. А с помощью генеративно-состязательных сетей можно обнаруживать вредоносное программное обеспечение нулевого дня. Несмотря на то, что прямое и объективное сравнение всех приведённых в работе исследований невозможно, в связи с разными наборами данных, можно предположить, что использование архитектуры генеративно-состязательных сетей является наиболее перспективным путём решения задачи обнаружения.

Ключевые слова: вредоносное программное обеспечение, программа-вымогатель интеллектуальный анализ, машинное обучение, нейронная сеть, генеративно-состязательная сеть

2.3.6 - Методы и системы защиты информации, информационная безопасность

в статье рассматриваются тенденции развития высокотехнологичной отрасли квантовые коммуникации. Описаны наиболее популярные топологии квантовых коммуникационных сетей, в том числе с доверенными промежуточными узлами. Приведены способы взаимодействия узлов магистральной квантово-криптографической сети и представлены основные методы обеспечения защищенной передачи в таких сетях. Рассмотрена упрощенная схема распределения квантового секретного ключа между конечными сегментами магистральной телекоммуникационной сети с использованием доверенных промежуточных узлов. Описаны возможные каналы утечки данных в общей структуре квантово-криптографических сетей

Ключевые слова: квантовые коммуникации, квантовый ключ, топологии сетей, доверенные узлы

2.3.6 - Методы и системы защиты информации, информационная безопасность

Использование электронной подписи в последнее время приобрело самые широкие масштабы и стало неотъемлемой частью большинства бизнес-процессов. Предлагаемый поставщиком средств криптографии инструментарий управления электронной подписью не всегда способен удовлетворить все запросы организаций. В данной работе рассмотрен подход, направленный на решение большинства задач управления электронной подписью. Суть метода состоит в комбинированном использовании как библиотек разработчика средств криптографии, так и возможностей узкоспециализированных библиотек для работы с криптографией и документами.

Ключевые слова: программное обеспечение, управление электронной подписью, штамп, визуализация электронной подписи, защита информации

2.3.6 - Методы и системы защиты информации, информационная безопасность

Предложена интегрированная система защиты информации, сочетающая динамичность и эффективность, представлена количественная оценка данной системы. Исследование направлено на идентификацию всех потенциальных маршрутов переключений максимальной длины между уникальными состояниями, принимая во внимание потенциальные трудности, которые могут возникнуть при реализации рекомпозиционной системы защиты информации. Основным инструментом для анализа и моделирования различных переходных конфигураций в исследуемой системе предложен аппарат теории графов. В рамках предложенного подхода каждая подсистема включает несколько независимых вариантов или компонентов, причем в любой момент времени функционирует только один из этих вариантов. Важным аспектом является как взаимодействие между подсистемами, так и возможности переключения компонентов внутри одной подсистемы. Для наглядного понимания предложенного подхода приведен пример, который иллюстрирует основные принципы и механизмы работы разработанной системы.

Ключевые слова: система защиты информации, граф состояний, DLP-система, IPS/IDS-система

2.3.6 - Методы и системы защиты информации, информационная безопасность

В настоящее время одним из наиболее обширных вопросов в сфере информационной безопасности является организация разграничения доступа пользователе к объектам информационной инфраструктуры. С учётом объёмов корпоративных информационных ресурсов, а также количества пользователей, запрашивающих доступ, возникает необходимость автоматизации процесса согласования доступа с учетом возможных рисков. В данном случае наиболее оптимальным решением данной задачи является применение аппарата нечеткой логики. В статье проведён анализ процесса предоставления доступа к информационной инфраструктуре с помощью нечеткого классификатора и разработана концептуальная модель алгоритма нечеткого классификатора входящих заявок на предоставление доступа с целью автоматизации процесса и минимизации рисков информационной безопасности, связанных с возможными деструктивными действиями, нацеленными на конфиденциальность, целостность и доступность информационной инфраструктуры.

Ключевые слова: информационная безопасность, информационная инфраструктура, нечеткая логика, предоставление (разграничение) доступа, классификатор входящих заявок, средства защиты информации, ключевые показатели (критерии) оценки доступа

2.3.6 - Методы и системы защиты информации, информационная безопасность

В настоящее время интернет стал неотъемлемой частью нашей жизни, предоставляя доступ к огромному количеству информации и сервисов. Однако, вместе с этим, растет и количество деструктивных интернет-ресурсов, которые могут нанести вред пользователям, особенно детям и подросткам. В связи с этим, возникает необходимость создания эффективной системы регулирования доступа к таким ресурсам. В статье представлена экспертная система регулирования доступа к деструктивным интернет-ресурсам, разработанная на основе современных технологий и методов искусственного интеллекта. Система позволяет автоматически выявлять и блокировать доступ к ресурсам, содержащим вредоносный контент, а также предоставляет возможность для ручной настройки и контроля доступа. В статье описаны основные компоненты системы, а также представлены изображения, демонстрирующие работу системы для блокирования доступа к деструктивным ресурсам. Статья будет полезна для специалистов в области информационной безопасности, искусственного интеллекта и защиты детей от вредоносного контента в интернете.

Ключевые слова: деструктивный контент, экспертная система, информационная безопасность, интернет-ресурсы, SpaCy, Keras, RNN, LSTM, PyQt5, векторизация

2.3.6 - Методы и системы защиты информации, информационная безопасность

В статье решается задача автоматизированного формирования пользовательских ролей с применением методов машинного обучения. Для решения задачи используются методы кластерного анализа данных, реализованные на языке Python в среде разработки Google Colab. На основе полученных результатов разработана и апробирована методика формирования пользовательских ролей, позволяющая сократить время формирования ролевой модели управления доступом.

Ключевые слова: машинное обучение, ролевая модель управления доступом, кластеризация, метод k-средних, иерархическая кластеризация, метод DBSCAN

1.2.2 - Математическое моделирование, численные методы и комплексы программ , 2.3.6 - Методы и системы защиты информации, информационная безопасность

В работе проанализированы существующие подходы к прогнозированию исполнения контрактов, включая традиционные статистические модели и современные методы на основе машинного обучения. Проведен сравнительный анализ различных алгоритмов машинного обучения, таких как логистическая регрессия, деревья решений, случайный лес и нейронные сети, для выявления наиболее эффективных моделей прогнозирования. В качестве исходных данных использовалась обширная база информации о государственных контрактах, включающая информацию о подрядчиках, условиях контрактов, сроках исполнения и других значимых факторах. Разработан прототип интеллектуальной системы прогнозирования, проведено тестирование на реальных данных, а также оценка точности и надежности получаемых прогнозов. Результаты исследования показывают, что применение методов машинного обучения позволяет значительно повысить качество прогнозирования исполнения государственных контрактов по сравнению с традиционными подходами.

Ключевые слова: интеллектуальная система, математическое моделирование, государственные закупки, государственные контракты, программный комплекс, прогнозирование, машинное обучение

2.3.6 - Методы и системы защиты информации, информационная безопасность , 5.2.2 - Математические, статистические и инструментальные методы в экономике

Одними из наиболее актуальных задач при обеспечении защиты данных в информационных системах являются классификация и ранжирование источников угроз. Все источники угроз имеют различную степень опасности для активов информационной системы. Ранжирование позволяет расставить приоритеты при проектировании системы информационной безопасности и выделить большие ресурсы на предотвращение наиболее актуальных и значимых угроз. В данной статье рассматривается алгоритм ранжирования угроз на основе метода анализа иерархий.

Ключевые слова: защита данных, информационные технологии, метод анализа иерархий, системный анализ, информационные системы, информационная безопасность

2.3.6 - Методы и системы защиты информации, информационная безопасность

Данная работа посвящена количественной оценке системы защиты информации. Авторы предлагают построить систему, объединяющую компоненты со свойствами динамичности и эффективности защиты. Предложена система защиты информации, включающая два типа антивирусных компонентов, три системы предотвращения утечек данных и четыре системы обнаружения и предотвращения вторжений. Для наглядности в статье приведена теоретико-графическая интерпретация системы защиты информации. Каждый возможный путь в системе представляет собой ее состояние. Показано, что добавление новых компонентов или подсистем приводит к увеличению всех возможных состояний системы, усложняя анализ со стороны злоумышленника. В рамках данного многокомпонентного подхода каждый элемент системы взаимодействует с другими, что способствует достижению оптимального уровня эффективности в обеспечении защиты информации. Кроме того, предложенный подход характеризуется масштабируемостью, что обеспечивает беспрепятственное интегрирование как отдельных компонентов, так и подсистем в целом.

Ключевые слова: рекомпозиция,система защиты информации, DLP-система, IPS/IDS-система

2.3.6 - Методы и системы защиты информации, информационная безопасность

В статье проведен анализ актуальных угроз и уязвимостей веб - приложений. На основании анализа предложены подходы к защите и рекомендации по обеспечению безопасности веб – приложений, учитывающие актуальные вызовы и проблемы. Статья может быть полезна специалистам по информационной безопасности, разработчикам программного обеспечения и руководителям организаций, заинтересованным в безопасности разрабатываемых или используемых веб – приложений.

Ключевые слова: киберугроза, кибератака, эксплуатация веб – уязвимостей, веб –приложение

2.3.6 - Методы и системы защиты информации, информационная безопасность

В статье проведен анализ особенностей защиты современных облачных систем и распределения ответственности между взаимодействующими сторонами, предложены рекомендации повышению безопасности облачных ресурсов. На основании проведенного анализа предложены комплексные меры защиты и рекомендации по повышению безопасности облачных ресурсов, которые могут быть полезны специалистам по информационной безопасности и ИТ специалистам для понимания особенностей защиты облачных систем, а также в выборе облачного провайдера и для подготовки к переходу в облако.

Ключевые слова: облачные вычисления, облачный провайдер, модель совместной ответственности, безопасность облачных ресурсов

2.3.6 - Методы и системы защиты информации, информационная безопасность

В статье авторы предлагают подход, позволяющий провести оценку актуальности использования индикаторов компрометации для определенной индустрии. Выделяются актуальные проблемы, связанные с избыточностью индикаторов компрометации и низким уровнем доверия к их источникам. Предложен подход, позволяющий количественно оценить связи между индикаторами и источником, а также провести скоринг источников.

Ключевые слова: индикатор компрометации, источник индикатора компрометации, рейтинг источников

2.3.6 - Методы и системы защиты информации, информационная безопасность

В работе рассматриваются проблемы, связанные с гарантированным уничтожением информации, находящейся на твердотельных накопителях (Solid-State Drive (SSD), диск). Проведен анализ требований к используемым методам гарантированного уничтожения информации, определенных в действующей отечественной нормативно-правовой базе и зарубежных стандартах. Рассмотрены особенности архитектуры твердотельных накопителей с точки зрения возможности применения рекомендаций отечественных и зарубежных стандартов затирания данных и поставлена проблема гарантированного затирания отдельных файлов на накопителях без возможности их восстановления, без их вывода из эксплуатации и физического уничтожения. Сделаны обоснованные выводы о невозможности эффективного осуществления гарантированного затирания отдельных файлов на твердотельных накопителях в процессе эксплуатации с помощью методов, рекомендованных действующей нормативно-правовой базой и зарубежными стандартами.

Ключевые слова: восстановление данных, твердотельный накопитель, выравнивание износа, сборка мусора, гарантированное уничтожение данных

2.3.6 - Методы и системы защиты информации, информационная безопасность

Защита конечных точек информационной системы от кибератак обусловливает поиск и развитие методов выявления таких атак с использованием искусственного интеллекта. Динамика нарастания количества информационных угроз различного типа приводит к необходимости применения методов машинного обучения для классификации функционирования АРМ, в том числе вычислительных процессов в АРМ. Цель исследования: классификация вычислительных процессов созданной базы данных для обнаружения нелегитимных процессов с учетом минимизации количества параметров процессов для достижения приемлемого качества обнаружения. Методы: в качестве математического аппарата предлагается использовать модель, обученную на созданном датасете, и корреляционную матрицу на основе коэффициентов Пирсона для определения группы параметров вычислительных процессов. Результаты: проведен анализ набора данных на основе коэффициентов корреляции Пирсона, позволяющий минимизировать количество параметров входных данных модели. Предложено использовать метод случайного леса для функционирования модели при решении задачи бинарной классификации обнаружении нелегитимных вычислительных процессов в АРМ. Эффективность предложенной модели оценивается метриками классификации: Precision, Recall, Проведено тестирование разработанной модели при фиксированных объемах, обучающей и тестирующей выборок. Проведена оценка работы модели с помощью ROC-кривой и PR-кривой.

Ключевые слова: машинное обучение, бинарная классификация, вычислительные процессы, база данных, обработка данных, тестирование модели

2.3.6 - Методы и системы защиты информации, информационная безопасность