ИТ-специалисты научились искать отклонения в поведении пользователей Сети
Специалисты факультета информационных технологий Московского государственного психолого-педагогического университета (МГППУ) с коллегами из IT-компании, специализирующейся на разработках с применением искусственного интеллекта, научились находить отклонения в поведении пользователей компьютерных сетей и облачных вычислительных сред. Они разработали два критерия для выявления отклонений в поведении пользователей при диагностике сетевых угроз: первый использует самоорганизующиеся нейронные сети, второй — классифицирует пользователей по выполненным ими последовательностям типовых действий. Исследование, выполненное при поддержке Министерства науки и высшего образования РФ, опубликовано в журнале «Экспериментальная психология».
Защита компьютеров от сетевых угроз – одна из важнейших проблем информационной безопасности. Стандартные средства защиты, применяемые сегодня в облачной среде (шифрование данных, средства идентификации пользователей, ограничение прав доступа и объемов трафика и другие) часто оказываются недостаточно эффективными.
«Сегодня активно развивается метод выявления возможных угроз на основе анализа поведения пользователей в реальном времени. Западные компании начали использовать несколько сервисов, позволяющих анализировать активность большого числа пользователей (Cloud Access Security Broker, LANeye, UEBA)», — прокомментировал РИА Новости декан факультета информационных технологий МГППУ Лев Куравский.
По мнению специалистов, одна из самых важных задач при создании подобных систем — разработка современного математического аппарата для распознавания некорректного поведения пользователей компьютерных сетей. Подобные системы должны работать в облачной среде в автоматическом режиме и, по возможности, обладать способностью к самообучению. Научная новизна так разработанных подходов заключается в применении самоорганизующися сетей Кохонена для формирования статистики, которая задействуется при проверке гипотез о принадлежности пользователей к тем или иным классам.
В МГППУ отметили, что новый критерий гораздо эффективнее классических методов многомерного статистического анализа. Второй критерий определяет категории пользователей с отклонениями в поведении по выполненным последовательностям типовых действий. Здесь применяется теория марковских случайных процессов и метод максимального правдоподобия. Для каждой категории пользователей с корректным либо некорректным поведением используется отдельная модель с уникальным набором вероятностей переходов между состояниями.