| |
В статье представлен аналитический обзор современных методов интеллектуального анализа журналов событий в сфере информационной безопасности, фокусирующийся на интеграции нейронных сетей и эвристических подходов. Актуальность исследования обусловлена стремительным ростом объёмов и сложности анализа журналов событий систем, а также необходимостью оперативного выявления новых типов угроз. Таких как APT-атаки (от англ. сложная постоянная угроза) и Zero-day уязвимости (уязвимости нулевого дня), которые не могут быть эффективно обнаружены традиционными методами (сигнатурный анализ, ручная фильтрация). Рассматриваются ключевые особенности архитектур нейронных сетей для анализа временных последовательностей представленных в журналах событий. Включая архитектуры LSTM и GRU, автоэнкодеры для обнаружения аномалий, а также гибридные модели, сочетающие в себе машинное обучение с сигнатурными методами и ручными методами. Особое внимание было уделено эвристическим подходам, которые дополняют нейросетевые решения, повышая интерпретируемость результатов и снижая нагрузку на вычислительные ресурсы. Приводятся практические решения, такие как применение энтропийных методов кластеризации и динамической адаптации порогов срабатывания на основе исторической статистики.
Статья детализирует этапы интеллектуального анализа журналов: от сбора и предобработки данных до обучения моделей и оценки их эффективности с использованием метрик точности, полноты и F1-меры. Описана интеграция методов в промышленные SIEM-системы, включая MaxPatrol SIEM и Kaspersky Unified Monitoring and Analysis Platform, с акцентом на технические аспекты (программные интерфейсы, масштабируемость, безопасность передачи данных). Обсуждаются ключевые проблемы внедрения новых подходов, такие как интерпретируемость «чёрных ящиков» нейросетей, оптимизация ресурсов для обработки больших данных и необходимость адаптации моделей к evolving-угрозам (новые угрозы). В качестве перспективных направлений развития отмечены самообучающиеся системы, стандартизация форматов журналов событий для интеллектуального анализа, а также внедрение Explainable AI (XAI, от англ. объяснимый искусственный интеллект) для повышения доверия к решениям.
Ключевые слова:анализ журналы событий, системы управления событиями безопасности, информационная безопасность, обнаружение аномалий, искусственный интеллект, машинное обучение
|
ПРАВОВАЯ
ИНФОРМАЦИЯ:
