Пошук академічних текстів

Інформація × Реєстраційний номер 0826U000466, Дисертація доктора філософії На здобуття Доктор філософії Дата захисту 14-04-2026 Статус Запланована Назва роботи Інформаційна технологія дворівневої інтелектуальної системи аналізу мережевих атак Здобувач Штанько Вадим Ігорович, Керівник Нікітенко Євгеній Васильович Опонент Толюпа Сергій Васильович Опонент Ушенко Юрій Олександрович Рецензент Криворучко Олена Володимирівна Рецензент Сагун Андрій Вікторович Опис У дисертації досліджено методи та моделі аналізу мережевого трафіку, алгоритми машинного навчання та підходи до побудови дворівневих систем виявлення вторгнень у контексті забезпечення адаптивного кіберзахисту інформаційно-комунікаційних систем. Окреслені теоретичні засади формують методологічну основу для створення інформаційної технології дворівневої інтелектуальної системи аналізу мережевих атак, що забезпечує автоматизоване виявлення, класифікацію та інтерпретацію атипової мережевої активності у віртуалізованому середовищі. Актуальність дослідження зумовлена зростанням інтенсивності та складності кібератак, поширенням гібридних загроз, а також необхідністю переходу від сигнатурного до поведінкового аналізу мережевого трафіку із використанням методів машинного навчання. Розвиток хмарних технологій, розподілених обчислювальних середовищ і сервіс-орієнтованих архітектур обумовлює підвищення вимог до систем виявлення вторгнень щодо масштабованості, адаптивності та здатності функціонувати в умовах змінного статистичного профілю трафіку. Традиційні сигнатурні підходи демонструють обмежену ефективність у разі появи нових або модифікованих сценаріїв атак. У зв’язку з цим обґрунтовано доцільність використання ймовірнісних та ансамблевих моделей машинного навчання як складових ієрархічної системи прийняття рішень. На основі публічного набору даних USB-IDS-1 та власноруч сформованих наборів трафіку, отриманих в ізольованому віртуальному середовищі на базі GNS3 та VirtualBox, створено емпіричну базу дослідження обсягом понад 6 млн мережевих пакетів, агрегованих у потокове представлення з використанням віконної сегментації. Це дозволило провести комплексний аналіз статистичних характеристик трафіку, сформувати навчальні та тестові вибірки для різних сценаріїв функціонування системи та дослідити вплив зсуву домену (domain shift) на якість класифікації. Встановлено, що зміна розподілів ознак істотно впливає на поведінку моделей, що підтверджує необхідність формалізованого врахування цього явища в процедурі прийняття рішень. Встановлено, що використання на першому рівні ієрархії наївного баєсівського класифікатора як бінарного фільтра забезпечує ефективне відокремлення нормативного трафіку від атак із мінімальними обчислювальними витратами. На другому рівні застосування ансамблевих методів, зокрема випадкового лісу, дозволяє здійснювати детальну багатокласову атрибуцію типів атак. У режимі узгодженого домену середнє значення accuracy для бінарної класифікації досягає 0,97, а для багатокласової – 0,89, що свідчить про високу здатність системи до розпізнавання типів вторгнень. У разі зміни статистичного профілю трафіку спостерігається закономірна деградація метрик, що підтверджує чутливість моделей до зсуву домену та необхідність адаптивного налаштування порогів прийняття рішень. Обґрунтовано математичну модель дворівневої системи класифікації як задачу мінімізації очікуваного баєсівського ризику з урахуванням асиметрії вартості помилок першого та другого роду. Аналітично виведено порогові умови прийняття рішення для кожного рівня ієрархії. Запропоновано механізм адаптивного коригування порогів на основі зваженої дивергенції Кульбака– Лейблера, що дозволяє кількісно оцінювати ступінь статистичної розбіжності між поточним та еталонним трафіком і відповідно регулювати чутливість системи без повного перенавчання моделей. Розроблено архітектуру інформаційної технології, яка реалізує замкнений цикл «генерація – детерміноване маркування – потокова класифікація» у віртуалізованому середовищі. Використання детермінованого маркування пакетів на етапі емуляції забезпечує формування верифікованих наборів даних для навчання та тестування моделей, що підвищує достовірність експериментальних результатів. Перехід від статичних інтегральних показників до синхронного віконного аналізу метрик надійності дав змогу оцінювати стабільність функціонування системи у часовому розрізі та виявляти деградацію якості класифікації в динамічних умовах. Одержані результати реалізовано у вигляді програмної системи аналізу мережевого трафіку з керованою політикою прийняття рішень, що передбачає механізм обробки невизначених станів («Unknown») та процедуру відмови від рішення у випадках підвищеної статистичної невизначеності. Запропонована модульна архітектура забезпечує можливість інтеграції з наявними засобами моніторингу мережевої безпеки та підтримує масштабування з урахуванням появи нових типів кіберзагроз. Реалізований підхід створює передумови для впровадження адаптивних систем виявлення вторгнень і підвищення стійкості інформаційно-комунікаційних систем до сучасних кібератак. Дата реєстрації 2026-03-05 Додано в НРАТ 2026-03-05 Закрити