Разработка модели машинного обучения для решения задачи классификации недопустимых событий информационной безопасности
https://doi.org/10.21686/1818-4243-2026-2-4-17
Аннотация
Целью исследования является разработка и обоснование подхода к выявлению и классификации недопустимых событий информационной безопасности на объектах критической информационной инфраструктуры с использованием методов машинного обучения. Предлагаемый подход направлен на повышение эффективности идентификации недопустимых событий в условиях обработки больших объёмов разнородных данных и ограничений по времени реагирования.
Актуальность исследования обусловлена ростом количества и сложности кибератак на объекты критической информационной инфраструктуры, а также необходимостью своевременного выявления событий информационной безопасности, способных привести к существенным негативным последствиям для устойчивости функционирования критически важных систем. Ограничения традиционных сигнатурных и экспертных методов, связанные с высокой динамикой событий и наличием шума в данных, требуют применения интеллектуальных методов обработки информации.
Материалы и методы исследования. В работе использованы методы машинного обучения, статистического анализа и обработки данных событий информационной безопасности. В качестве исходных данных применены журналы событий и сетевой трафик реального объекта критической информационной инфраструктуры энергетического сектора. Разработана методика формирования обучающей выборки, включающая предобработку данных, экспертную разметку, отбор информативных признаков и балансировку классов. Для классификации недопустимых событий использован алгоритм случайного леса.
Результаты. Экспериментальные исследования подтвердили эффективность предложенной модели по показателям точности, полноты и F1-меры при минимальном уровне ложноположительных срабатываний. Показана возможность практического применения предложенного подхода для автоматизации процессов мониторинга и выявления недопустимых событий на объектах критической информационной инфраструктуры.
Список литературы
1. Lee R. M., Assante M. J., Conway T. Analysis of the Cyber Attack on the Ukrainian Power Grid [Электрон. ресурс]. SANS Industrial Control Systems, 2016. Режим доступа: https://icscsi.org/library/Documents/Cyber_Events/E-ISAC%20-%20Analysis%20of%20the%20Cyber%20Attack%20on%20the%20Ukrainian%20Power%20Grid.pdf.
2. Cybersecurity and Infrastructure Security Agency (CISA). DarkSide Ransomware: Best Practices for Preventing Business Disruption [Электрон. ресурс]. CISA Reports, 2021. Режим доступа: https://www.cisa.gov/sites/default/files/publications/AA21-131A_Darkside_Ransomware.pdf.
3. Методика оценки угроз безопасности ФСТЭК России [Электрон. ресурс]. Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g.
4. Евдокимова Д.А., Микрюков А.А. Актуальные задачи выявления недопустимых событий на объектах критической информационной инфраструктуры // Открытое образование. 2024. Т. 28. № 4. DOI: 10.21686/1818-4243-2024-4-33-42.
5. Евдокимова Д.А., Микрюков А.А. Задача детектирования недопустимых событий информационной безопасности в информационной инфраструктуре // Открытое образование. 2025. Т. 29. № 1. DOI: 10.21686/1818-4243-2025-1-65-76.
6. ML-модель [Электрон. ресурс]. Режим доступа: https://www.decosystems.ru/ml-model/.
7. Scarfone K., Mell P. Guide to Intrusion Detection and Prevention Systems (IDPS). NIST Special Publication 800-94 [Электрон. ресурс]. Gaithersburg: National Institute of Standards and Technology, 2007. 127 с. Режим доступа: https://icscsi.org/library/Documents/Standards/NIST%20-%20800-94%20-%20Guide%20to%20Intrusion%20Detection%20and%20Prevention%20Systems.pdf.
8. Sommer R., Paxson V. Outside the Closed World: On Using Machine Learning for Network Intrusion Detection [Электрон. ресурс] // IEEE Symposium on Security and Privacy. 2010. С. 305–316. Режим доступа: https://ai.nsu.ru/attachments/download/2429.
9. Chandola V., Banerjee A., Kumar V. Anomaly Detection: A Survey [Электрон. ресурс] // ACM Computing Surveys. 2009. Т. 41. № 3. С. 1–58. Режим доступа: https://vs.inf.ethz.ch/edu/HS2011/CPS/papers/chandola09_anomaly-detection-survey.pdf.
10. Siddiqui M. A., Wang M., Lee J. Detecting Internet Worms Using Data Mining Techniques [Электрон. ресурс] // Journal of Network and Computer Applications. 2008. Т. 31. № 4. С. 300–313. Режим доступа: https://www.researchgate.net/publication/228630212_Detecting_Internet_Worms_Using_Data_Mining_Techniques.
11. Zuech R., Khoshgoftaar T. M., Wald R. Intrusion detection and Big Heterogeneous Data: A Survey [Электрон. ресурс] // Journal of Big Data. 2015. Т. 2. № 1. С. 1–41. Режим доступа: https://www.researchgate.net/publication/276397551_Intrusion_detection_and_Big_Heterogeneous_Data_a_Survey.
12. Buczak A. L., Guven E. A Survey of Data Mining and Machine Learning Methods for Cyber Security Intrusion Detection [Электрон. ресурс] // IEEE Communications Surveys & Tutorials. 2016. Т. 18. № 2. С. 1153–1176. Режим доступа: https://www2.cs.uh.edu/~acl/cs6397/Presentation/2016-IEEE-A%20survey%20of%20DM%20and%20ML%20methods%20for%20cyber%20security%20ID.pdf.
13. Positive Technologies. Машинное обучение в информационной безопасности [Электрон. ресурс]. Режим доступа: https://www.ptsecurity.com/ru-ru/our-technologies/ml-tekhnologii/.
14. Использование машинного обучения для борьбы с DDoS атаками [Электрон. ресурс]. Режим доступа: https://habr.com/ru/articles/785942/.
15. Ангапов В.Д., Бобров А.В., Тимонин В.А., Вишняков А.С. Использование технологий машинного обучения в защите информационных систем // Наука, техника и образование. 2023. № 4(92). С. 20–26. DOI: 10.24411/2312-8267-2023-10401.
16. Machine Learning Based Network Vulnerability Analysis of Industrial Internet of Things [Электрон. ресурс]. Режим доступа: https://arxiv.org/abs/1911.05771.
17. Как самому разработать систему обнаружения компьютерных атак на основе машинного обучения [Электрон. ресурс]. Режим доступа: https://habr.com/ru/articles/538296/.
18. Breiman L. Random Forests [Электрон. ресурс] // Machine Learning. 2001. Т. 45. № 1. С. 5–32. Режим доступа: https://link.springer.com/article/10.1023/A:1010933404324.
Рецензия
Для цитирования:
Добрецова Д.А. Разработка модели машинного обучения для решения задачи классификации недопустимых событий информационной безопасности. Открытое образование. 2026;30(2):4-17. https://doi.org/10.21686/1818-4243-2026-2-4-17
For citation:
Dobretsova D.A. Development of a Machine Learning Model for Solving the Problem of Classifying Unacceptable Information Security Events. Open Education. 2026;30(2):4-17. (In Russ.) https://doi.org/10.21686/1818-4243-2026-2-4-17
JATS XML































