Гібридний метод виявлення аномалій у логічних кластерах кібервразливостей з використанням ансамблю моделей машинного навчання
DOI:
https://doi.org/10.18372/2073-4751.86.21284Ключові слова:
виявлення аномалій, кіберзахист, логічна кластеризація, ансамбль моделей машинного навчання, дерево рішень, Random Forest, Gradient BoostingАнотація
У роботі запропоновано гібридний метод виявлення аномалій, заснований на логічній кластеризації вразливостей та застосуванні методів машинного навчання. Вихідні дані містять інформацію про вразливість програмного забезпечення, включаючи метрики CVSS, рівні критичності, типи CWE, тимчасові характеристики та приналежність до логічних груп, сформованих на основі OWASP Top Ten.
На першому етапі проводиться аналіз даних та формування додаткових тимчасових характеристик. Далі виконується логічна кластеризація вразливостей, що дозволяє розділити дані на семантично однорідні групи, такі як Broken Access Control, Injection, Cryptography & Data Protection, Configuration & Design Weaknesses, Authentication and Mishandling Failures та Software Failures. Такий підхід дозволяє знизити гетерогенність даних та підвищити якість подальшого аналізу.
На другому етапі застосовується метод виявлення аномалій Isolation Forest, який використовується для виявлення нетипових вразливостей всередині кожного кластера. Отримані результати використовуються як псевдо-мітки для навчання ансамблевих моделей машинного навчання, включаючи Decision Tree, Random Forest та Gradient Boosting. Дані моделі використовуються для класифікації аномалій та оцінки їх передбачуваності на основі простору ознак, що включає CVSS-метрики, оцінку експлуатаційності, оцінку впливу та часові характеристики.
Для оцінки якості моделей використовувалися метрики Accuracy, Precision, Recall, F1-score та Log Loss. Результати експериментів показали, що Gradient Boosting демонструє найкращу якість на великих вибірках, тоді як Random Forest показує стабільніші результати на малих кластерах. Decision Tree має високу інтерпретованість, але схильний до перенавчання та має погану здатність до узагальнення даних у порівнянні з іншими моделями.
Запропонований гібридний метод дозволяє підвищити точність виявлення аномалій завдяки запропонованим семантично однорідним кластерам та використанню ансамблю моделей.
Результати дослідження можуть бути використані у системах моніторингу інформаційної безпеки та управління інцидентами, а також при розробці інтелектуальних систем прогнозування, спрямованих на виявлення аномальних подій та моделювання динаміки поширення вразливостей.
Посилання
Ahmed A.F Osman, Mohammed Awad Mohammed Ataelfadiel. Zero-day attack prediction using ensemble machine learning with threat intelligence data. International Journal of Applied Mathematics, Volume 38No. 10s, 2025, 983-1004. ISSN: 1314-8060 (online version)
Мартовицький, В., Свиридов, А., Авдєєв, О., Гудзинський, І., & Коротецький, О. (2025). Дослідження методів виявлення аномалій у api журналах для забезпечення безпеки та надійності програмних систем. Вісник Херсонського національного технічного університету, 2 (1 (92)), 142-148. DOI: https://doi.org/10.35546/kntu2078-4481.2025.1.2.19
Довженко, Т. П. (2026). Hybrid awred: синергія адаптивної реконструкції та топологічної кластеризації для виявлення аномалій у мультимодальних даних. Зв’язок, (1), 80-88. DOI: https://doi.org/10.31673/2412-9070.2026.017405
Шульга В.П., Іванченко І.С., Рижаков М.М. Математична модель семантичної атрибуції кіберінцидентів у системах виявлення аномалій на основі глибокого навчання. Сучасний захист інформації, 2025, № 3(63), 186-198. DOI: https://doi.org/10.31673/2409-7292.2025.032076
Петляк, Н. (2025). Аналіз моделей виявлення аномалій трафіку в сучасних інформаційно-комунікаційних системах та мережах. Вимірювальна та обчислювальна техніка в технологічних процесах, (1), 180–186. DOI: https://doi.org/10.31891/2219-9365-2025-81-21
Поночовний, П., & Пепа, Ю. (2025). Реалізація системи захисту серверів з урахуванням аномалій в пакетах. Вимірювальна та обчислювальна техніка в технологічних процесах, (1), 44–51. DOI: https://doi.org/10.31891/2219-9365-2025-81-6
Іванченко, Є., Аверічев, І., & Рижаков, М. (2025). Узагальнена модель прогнозування та виявлення кібербезпекових аномалій на основі штучного інтелекту. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 4(28), 529–546. DOI: https://doi.org/10.28925/2663-4023.2025.28.823
Є. Ю. Глоба, В. Р. Смірнов, М. С. Нараєвський, В. М. Федорченко. Метод виявлення аномалій в корпоративній мережі. Системи управління, навігації та зв'язку. 2025. No 3, 193-198. Режим доступу: https://www.researchgate.net/publication/396481105_METOD_VIAVLENNA_ANOMALIJ_V_KORPORATIVNIJ_MEREZIMETHOD_FOR_DETECTING_ANOMALIES_IN_CORPORATE_NETWORKS
National Vulnerability Database. Режим доступу: https://nvd.nist.gov/developers/vulnerabilities
OWASP Top 10 2025. Режим доступу: https://owasp.org/Top10/2025/A01_2025-Broken_Access_Control/
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Науковий журнал дотримується принципів відкритого доступу (Open Access) та забезпечує вільний, негайний і постійний доступ до всіх опублікованих матеріалів без фінансових, технічних або юридичних обмежень для читачів.
Усі статті публікуються у відкритому доступі відповідно до ліцензії Creative Commons Attribution 4.0 International (CC BY 4.0).
Авторські права
Автори, які публікують свої роботи в журналі:
-
зберігають за собою авторські права на свої публікації;
-
надають журналу право на перше опублікування статті;
-
погоджуються на поширення матеріалів за ліцензією CC BY 4.0;
-
мають право повторно використовувати, архівувати та поширювати свої роботи (у тому числі в інституційних та тематичних репозитаріях) за умови посилання на первинну публікацію в журналі.
