Введение 4
1. Обзор литературы 6
1.1. Системы обнаружения подозрительной активности 6
1.1.1. Подсистема анализа 6
1.1.2. Недостатки современных систем обнаружения вторжений 7
1.2. Задача обнаружения аномалий в системных журналах 8
1.3. Алгоритм обработки данных системных журналов 9
1.3.1. Выделение признаков 10
1.3.2. Обнаружение аномалий 12
1.3.3. Трудности при обнаружении аномалий 14
1.3.4. Природа входных данных 15
1.3.5. Типы аномалий 16
1.3.6. Метки данных 20
1.3.7. Результат обнаружения аномалий 22
1.4. Прогнозирование временных рядов 23
1.4.1. Нейронные сети 23
1.4.2. Рекуррентные нейронные сети 24
1.4.3. Проблема долгосрочных зависимостей 25
1.4.4. LSTM нейросети 25
2. Разработка системы обнаружения подозрительной активности . . . . 28
2.1. Анализ журнала действий пользователя 28
2.1.1. Структура журнала 28
2.1.2. Метод обработки данных журнала 28
2.2. Подсистема подсчёта частот событий 29
2.3. Обнаружение аномалий в данных 30
2.3.1. Визуализация временного ряда 30
2.3.2. Обучение LSTM нейросети 31
Заключение 33
Список литературы
Актуальность работы обусловлена высокой значимостью информационной безопасности в работе современных предприятий. Защита информационных систем это всегда состязательный процесс, где противником выступает потенциальный злоумышленник, то есть другой человек, а значит здесь не может быть безусловно надёжных и проверенных решений.
Злоумышленник постоянно пытается придумать новый способ обойти существующие системы защиты, и для предотвращения вредоносных действий необходимо рассчитывать его поведение на несколько шагов вперёд и рассматривать контекст поведения пользователя, чтобы выявить не только уже известные признаки вредоносного поведения, но и такие, с которыми система защиты ещё не сталкивалась.
При разработке системы обнаружения подозрительной активности пользователей также необходимо учитывать специфику рабочих процессов конкретной организации и функционал конкретного программного продукта, в рамках которого пользователь осуществляет свою деятельность, что сильно затрудняет использование универсальных решений и создаёт для компании необходимость разработки собственной системы выявления подозрительной активности. Дополнительным фактором является очень высокая цена предлагаемых на рынке систем.
Объектом в данной работе является обнаружение аномалий в данных, представляющих собой историю действий пользователя.
Предметом работы является система обнаружения аномальных действий пользователей.
Целью работы является разработка системы обнаружения подозрительной активности пользователей на основании системного журнала действий в отсутствие информации о сути этих действий.
Исходя из цели работы, были поставлены следующие задачи:
1. Исследование существующих методов и подходов к обнаружению аномалий в поведении пользователей;
2. Проектирование и разработка подсистемы формирования выборки набора данных системного журнала действий пользователей по произвольным параметрам;
3. Обогащение данных дополнительной информацией;
4. Выбор и реализация алгоритма обнаружения аномалий в данных системного журнала;
5. Проектирование и реализация прототипа системы обнаружения подозрительной активности.
В ходе выполнения выпускной квалификационной работы было проведено исследование применения систем обнаружения аномалий в данных системных журналов и рассмотрены подходы к их проектированию. Проведён анализ конкретного системного журнала, спроектирована и разработана подсистема работы с этими данными для формирования на их основе временного ряда с произвольной шириной окна. Сами данные были обогащены информацией в соответствии с производственным календарём. В качестве алгоритма обнаружения аномалий была выбрана и обучена LSTM нейросеть, был разработан прототип системы обнаружения подозрительной активности в форме веб-приложения.
Дальнейшим развитием данной работы станет более глубокий анализ частот событий с целью выявления корелляций между ними. Устранение недостатка информации о содержании каждого конкретного события также позволит расширить количество доступных способов выявления подозрительной активности за счёт понимания смысла действий пользователя.
Результаты работы доступны по ссылке: http://gititis.kpfu.ru/Mensheni/
1. Бараматова И. СЗайцева Е. В. Состояние и перспективы развития систем обнаружения компьютерных вторжений // ГИАБ. — 2011. — № 6.
2. Шелухин О. И., Рябинин В. С., Фармаковский М. А. Обнаружение аномальных состояний компьютерных систем средствами интеллектуального анализа данных системных журналов // Вопросы кибербезопасности. — 2018. — № 26. — С. 33—43.
3. Shilin H., Jieming Z., Pinjia H. Experience Report: System Log Analysis for Anomaly Detection // IEEE 27th International Symposium on Software Reliability Engineering. — 2016. — DOI: 10.1109/ISSRE.2016.21.
4. Chandola A. B. V., Kumar V. Anomaly detection: A survey // ACM Computing Surveys. — 2009.
5. Антипов С. Г., Фомина М. В. Проблема обнаружения аномалий в наборах временных рядов // Программные продукты и системы. — 2012. — №2.
6. Ананьин Е. В., Кожевникова И. С., Лысенко А. В. Методы обнаружения аномалий и вторжений // Проблемы науки. — 2016. — 34(76).
7. Гафаров Ф. М., Галимянов А. Ф. Искусственные нейронные сети и их приложения. — 1-е изд. — Казань : Издательство Казанского университета, 2018. — С. 74—90.
8. Соболев К. В. Автоматический поиск аномалий во временных рядах // МФТИ. —2018.
9. Cales C., Lawrence S., Tsoi A. Noisy time series prediction using recurrent neural networks and grammatical inference // Machine Learning. — 2001. — 44(1). — С. 161—183.
10. Graves A., Sandez F., Gomez S. Connectionist temporal classification: labelling unsegmented sequence data with recurrent neural networks //In Proceedings of the 23rd international conference on Machine learning. — 2006. — С. 369— 376.