ГИБРИДНЫЙ ПОДХОД К МАШИННОМУ ОБУЧЕНИЮ ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УПРАВЛЕНИЯ СОБЫТИЯМИ

Аннотация

Системы управления информацией о безопасности и событиями (SIEM) для обеспечения кибербезопасности нуждаются в интеллектуальных методах обнаружения, которые позволяют выявлять сложные угрозы и слабые сигналы во время мониторинга в режиме реального времени в современной среде безопасности. Мощные модели машинного обучения с контролируемым управлением демонстрируют низкую степень распознавания необычных или новых атак на систему безопасности, что приводит к многочисленным ошибочным результатам обнаружения. Гибридный метод машинного обучения для систем кибербезопасности на базе SIEM направлен на повышение точности обнаружения атак с помощью решения, которое устраняет частоту ложных срабатываний. Основное внимание в этом исследовании уделяется созданию и оценке комбинированной стратегии, которая объединяет контролируемый и неконтролируемый подходы к обучению. Это исследование объединяет древовидную классификацию XGBoost с моделями автоматического кодирования без контроля для обнаружения атак на кибербезопасность в системах регистрации событий. Для обучения XGBoost требуются структурированные помеченные данные для идентификации атакующего трафика и целей классификации, а профессиональная служба Autoencoder работает только с обычными выборками с целью обнаружения аномалий путем анализа ошибок реконструкции.Исследование проводилось с использованием набора данных Программы повышения осведомленности об угрозах кибербезопасности, доступного через Kaggle, который предоставлял многоисточниковые журналы реальной безопасности, охватывающие период с 2018 по 2024 год. Гибридная ансамблевая модель показала лучшую эффективность обнаружения атак, чем отдельные модели, основанные на оценке представленного набора данных. В окончательной версии системы использовалось комплексное правило подтверждения и резервного копирования в сочетании с оптимизацией порога автоэнкодера на уровне 95-го процентиля, что позволило увеличить количество отзывов в 3 раза по сравнению с XGBoost, что привело к приемлемо небольшому увеличению числа ложных срабатываний. Гибридные системы демонстрируют потенциал в качестве эффективных решений для повышения устойчивости систем обнаружения угроз SIEM. Исследователи должны изучить различные типы угроз в своих методах обнаружения, одновременно разрабатывая адаптируемые протоколы определения пороговых значений и реализацию потоковой архитектуры для онлайн-анализа угроз.