International scientific journal
“Interpretation and researches”
Volume 2 issue 22 (44) | ISSN: 2181-4163 | Impact Factor: 8.2
146
СОВРЕМЕННЫЕ МЕТОДЫ И АЛГОРИТМЫ ВЫЯВЛЕНИЯ УГРОЗ
БЕЗОПАСНОСТИ В СИСТЕМАХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
Бекмуратов Бахыт Аллиназарович
Магистрант 1-го курса специальности «Информационная безопасность»
Ташкентского университета информационных технологий
Аннотация.
В условиях цифровизации общества и роста объемов
персональных данных важность их защиты становится критически значимой. В
этой статье рассматриваются современные подходы и алгоритмы, которые
используются для выявления угроз безопасности в системах обработки
персональных данных. Описаны ключевые технологии, включая машинное
обучение, глубокое обучение, анализ поведения пользователей, а также
интеграционные платформы для управления событиями. Рассмотрены как
преимущества, так и ограничения этих подходов, а также их место в
современном ландшафте информационной безопасности.
В прошлом главной целью злоумышленников было физическое
проникновение. С развитием цифровой среды векторы атак стали
виртуальными. В современном мире злоумышленники используют хитроумные
методы: фишинг, эксплойты уязвимостей, атаки нулевого дня и даже
социальную инженерию. Особую опасность представляют инсайдерские угрозы
— действия сотрудников, намеренные или случайные, которые приводят к
утечке данных. В этой среде традиционные меры, такие как использование
паролей или межсетевых экранов, теряют свою актуальность. На смену им
приходят новые подходы, основанные на анализе данных и адаптивности [1-3].
Современные системы обработки персональных данных сталкиваются с
непрерывно растущими угрозами. Это могут быть как целевые атаки извне, так
и действия инсайдеров, либо ошибки программного обеспечения, которые
приводят к утечкам информации. Традиционные методы защиты, такие как
межсетевые экраны и антивирусы, больше не способны эффективно
справляться с современными угрозами.
Новые подходы сосредоточены на активной идентификации угроз, их
предсказании и адаптивной защите. В этой статье мы рассмотрим ключевые
методы, которые позволяют решать эти задачи, делая акцент на их
практическое применение. Современными методами выявления угроз являются
машинное обучение и анализ данных. Машинное обучение (ML) является
основой многих современных систем безопасности. Эти алгоритмы способны
International scientific journal
“Interpretation and researches”
Volume 2 issue 22 (44) | ISSN: 2181-4163 | Impact Factor: 8.2
147
обучаться на больших массивах данных и находить паттерны, которые могут
указывать на угрозу. Например, система может изучать поведение
пользователей в корпоративной сети и фиксировать подозрительные действия:
массовую загрузку данных, доступ к нетипичным ресурсам или попытки взлома
пароля [4]. Наиболее распространенными методами машинного обучения
являются, классификация (например, с помощью деревьев решений или
градиентного бустинга) для разделения данных на категории "угроза" и
"безопасность". Кластеризация для выявления необычных групп событий, не
характерных для нормальной работы системы. Обнаружение аномалий, когда
алгоритмы выявляют отклонения от ранее обученных моделей нормального
поведения. Эти методы нашли применение в системах, анализирующих сетевой
трафик, журналы событий и другие источники данных.
Приведем примеры использования методов и алгоритмов выявления угроз
безопасности в системах обработки персональных данных [5].
1.Машинное обучение для анализа сетевого трафика.
Darktrace— это
платформа, использующая алгоритмы машинного обучения для выявления
угроз в сетевом трафике. Система строит "иммунный профиль" нормального
поведения каждого устройства и пользователя в сети. При отклонении от этого
профиля алгоритмы фиксируют аномалии. Например: внезапная массовая
передача данных на незнакомый сервер, попытки взаимодействия с
вредоносными IP-адресами.
Сотрудник заражает свое устройство трояном. Darktrace фиксирует
нетипичную активность устройства — регулярное общение с внешним
сервером. Это позволяет обнаружить угрозу до утечки данных.
2. Анализ поведения пользователей (UBA) для обнаружения инсайдерских
угроз. Например Exabeam предоставляет платформу анализа поведения,
которая выявляет подозрительную активность сотрудников. Алгоритмы
создают поведенческий профиль каждого пользователя: какие файлы он
открывает, Сколько времени проводит в системе, Какое устройство использует
для входа.
Сотрудник компании внезапно начинает работать ночью и скачивает
большое количество файлов, к которым ранее не обращался. Exabeam
фиксирует отклонение от профиля и отправляет уведомление службе
безопасности.
3. SIEM-системы для корреляции событий, например, IBM QRadar— это
система управления событиями безопасности, которая анализирует данные из
множества источников, включая сетевые устройства, серверы и приложения.
Система
фиксирует
последовательности
событий
и
выявляет
подозрительные цепочки. Например, удаленный вход с нового устройства,
International scientific journal
“Interpretation and researches”
Volume 2 issue 22 (44) | ISSN: 2181-4163 | Impact Factor: 8.2
148
попытка отключить антивирус, массовая загрузка данных из базы. Хакер
получает доступ к учетной записи администратора. QRadar идентифицирует
подозрительную активность и блокирует учетную запись до завершения
расследования.
4. Криптографическая защита данных, наример, Google Tink — это
библиотека для реализации криптографических методов защиты. Шифрует
данные при передаче и проверяет целостности данных с использованием
хэширования. При передаче файла по сети злоумышленник пытается изменить
его содержимое. Tink фиксирует нарушение целостности, предотвращая
использование поддельного файла.
5. Адаптивные системы защиты, например
использование reinforcement
learning для настройки брандмауэров. Алгоритмы обучения с подкреплением
тестируют различные стратегии защиты и адаптируют правила брандмауэра в
реальном времени. Система обнаруживает новую форму атаки (например,
сложный SQL-инъекционный запрос) и автоматически блокирует запросы с
аналогичными характеристиками.
Эти примеры иллюстрируют, как современные алгоритмы и методы
выявления угроз применяются в реальных системах. Они позволяют
обнаруживать как очевидные, так и скрытые атаки, реагировать на них в
реальном времени и минимизировать ущерб. Интеграция этих технологий с
растущими объемами данных и сложностью угроз становится ключевым
фактором успеха в обеспечении информационной безопасности.
Современные системы обработки данных становятся всё сложнее, но это
не означает, что они неуязвимы. Машинное обучение, анализ поведения,
криптография и автоматизация — вот основные инструменты борьбы с
угрозами. Но за каждым из них стоит человек, который принимает решения.
Секрет безопасности не только в алгоритмах, но и в правильном их
применении. Технология без понимания лишь инструмент, а с ним — щит,
который защищает цифровую жизнь человека.
Литература:
1. Bishop, C. M. Pattern Recognition and Machine Learning. Springer, 2006.
2. Goodfellow, I., Bengio, Y., Courville, A. Deep Learning. MIT Press, 2016.
3. Stallings, W. Cryptography and Network Security: Principles and Practice.
Pearson, 2020.
4. Sommer, R., Paxson, V. "Outside the Closed World: On Using Machine
Learning for Network Intrusion Detection." Proceedings of the IEEE Symposium on
Security and Privacy, 2010.
5. Chandola, V., Banerjee, A., Kumar, V. "Anomaly Detection: A Survey."
ACM Computing Surveys
, 2009.
