СИСТЕМА АЛГОРИТМОВ ОБНАРУЖЕНИЯ КОМПЛЕКСНЫХ КОМПЬЮТЕРНЫХ АТАК НА ОСНОВЕ АНАЛИЗА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ И СОПОСТАВЛЕНИЯ С БАЗОЙ ЗНАНИЙ MITRE ATT&CK

В статье описана система, состоящая из четырех ключевых алгоритмов, обеспечивающих реализацию модели обнаружения комплексных компьютерных атак, основанную на анализе действий пользователей, сетевых взаимодействий, с применением методов машинного обучения и сопоставлении с базой знаний MITRE ATT&CK. Первый алгоритм предназначен для формирования и инкрементального обновления профилей действий пользователя с механизмами версионирования и защитой от целевого искажения данных. Второй алгоритм выполняет локальное обнаружение аномалий, объединяя результаты эвристического анализа, результаты работы автокодировщика и графового анализа взаимодействий с калибровкой выходных оценок. Третий алгоритм осуществляет группировку аномалий в логические группы событий на основе взвешенных метрик сходства. Четвёртый алгоритм сопоставляет группы событий с тактиками и техниками базы знаний MITRE ATT&CK с помощью байесовского объединения оценок и модели переходов между техниками, что позволяет восстанавливать наиболее вероятные сценарии атак и формировать уведомления. Основной вклад работы заключается в формализации внутренней логики каждого алгоритма, описании процедур калибровки и критериев принятия решений.