Аналіз підходів до мінімізації хибних результатів у процесі виявлення аномалій системами кіберзахисту

В. В. Фесьоха; О. О. Унтілова; Р. Г.  Чернявський

doi:10.36910/6775-2524-0560-2025-60-34

В. В. Фесьоха https://orcid.org/0000-0001-6612-1970
О. О. Унтілова https://orcid.org/0009-0003-8756-1889
Р. Г. Чернявський https://orcid.org/0009-0000-3566-5350

DOI: https://doi.org/10.36910/6775-2524-0560-2025-60-34

Ключові слова: невідомі кібератаки, виявлення аномалій, кіберзахист, хибні спрацювання, інформаційно-комунікаційні системи

Анотація

У контексті дослідження проблеми виявлення невідомих (нових) кібератак на інформаційно-комунікаційні системи (ІКС) обґрунтовано доцільність застосування підходу на основі виявлення аномалій, який демонструє найбільший потенціал серед альтернативних методів. Розглянуто типи помилок, які виникають під час виявлення аномалій найбільш поширеними методами, а також причини їх виникнення: низька якість та неповнота даних, концепт‑дрейф, дисбаланс класів, контекстні чинники експлуатації. Представлено порівняльний аналіз підходів, спрямованих на зменшення кількості хибних результатів у процесі виявлення аномалій системами кіберзахисту, описано їх переваги та недоліки. Запропоновано доменно‑орієнтовану схему оцінювання загрозливості аномалій: подія аналізується у відповідності до релевантного домену (пам’ять, файлова система, мережа, доступ, база даних) із наперед визначеними пулами ознак Оцінюються три складові: прогнозна відповідність ланцюга подій (розбіжність між очікуваною та фактичною траєкторією), контекстна відповідність за архітектурою «суб’єкт-дія-об’єкт» і зміни стану ІКС до аномалії та після. Поєднання прогнозної, семантичної та інформації про стан системи дає змогу обґрунтовано відрізняти технічні збої від цілеспрямованих впливів і зменшувати ймовірність хибних висновків у сценаріях із невідомими кібератаками. Додатково підтримується контекстна історія підозрілих подій з метою відслідковування потенційних розподілених у часі кібератак. Запропонована схема розглядається як основа для формалізації критеріїв, алгоритмів вибору доменів і відповідних їм ознак, правил ухвалення рішень та процедур верифікації, спрямованих на розвиток інтелектуальних систем кіберзахисту критично важливих ІКС

Посилання

1. Даник Ю.Г., Ворoбієнко П.П., Чернега В.М. Основи кібербезпеки та кібероборони. Одеса: ОНАЗ, 2019. 182-184 с.
2. CERT-UA минулого року опрацювала 4 315 кіберінцидентів. Державна служба спеціального зв’язку та захисту інформації України. URL.
3. Російські кібероперації: Аналітика за 1 півріччя 2024 року. Державна служба спеціального зв’язку та захисту інформації України. URL.
4. Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology. Mandiant. URL.
5. Цільові кібератаки з використанням SuperOps RMM. CERT-UA. URL.