DEEP LEARNING-МОДЕЛЬ ПРОГНОЗУВАННЯ КОМПРОМЕТАЦІЇ ОБЛІКОВИХ ЗАПИСІВ У СИСТЕМАХ УПРАВЛІННЯ ПОДІЯМИ БЕЗПЕКИ

Євген Живило; Юрій Кучма

doi:10.28925/2663-4023.2025.31.1050

Автор(и)

Євген Живило Національний університет «Полтавська політехніка імені Юрія Кондратюка» https://orcid.org/0000-0003-4077-7853
Юрій Кучма ТОВ ПВН «Університет сучасних технологій» https://orcid.org/0009-0002-5498-4271

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1050

Ключові слова:

компрометація облікових записів; поведінкова аналітика користувачів; кібербезпека; кіберризики; адаптивний моніторинг подій; Deep Learning; LSTM; Attention Mechanism; SIEM; UEBA.

Анотація

У сучасних корпоративних інформаційних системах зростає частота складних атак, спрямованих на компрометацію облікових записів користувачів. Традиційні системи управління подіями безпеки, які базуються на правилах кореляції та сигнатурному аналізі, демонструють обмежену здатність до прогнозування потенційних інцидентів, оскільки не враховують часові залежності та поведінкові закономірності користувачів. У зв’язку з цим актуальним стає застосування моделей глибинного навчання здатних відтворювати нелінійні взаємозв’язки між автентифікаційними параметрами та ймовірністю компрометації облікового запису.

У роботі запропоновано Deep Learning-модель прогнозування ризику компрометації, побудовану на основі рекурентної нейронної мережі типу LSTM із механізмом attention, який дозволяє динамічно визначати вагу часових ознак у послідовностях подій автентифікації. Формалізація задачі полягає у мінімізації функції втрат, яка відображає різницю між прогнозованою ймовірністю компрометації та фактичним станом облікового запису. Такий підхід підвищує точність виявлення аномалій і сприяє побудові адаптивної поведінкової аналітики в рамках SIEM/UEBA архітектур.

Модель реалізує функцію прогнозування ризику компрометації як задачу мінімізації регуляризованої функції втрат, що відображає відхилення між прогнозованою ймовірністю загрози та фактичним станом безпеки облікового запису. Оптимізація здійснюється за допомогою алгоритму Adam, що забезпечує стабільну збіжність і здатність до узагальнення на різнорідних наборах даних.

Інтеграція моделі у SIEM-середовище створює основу для контекстно-орієнтованого аналізу ризиків, що відповідає принципам Zero Trust Architecture (NIST SP 800-207, 2020; MITRE ATT&CK, v14, 2024) та рекомендаціям ENISA Threat Intelligence Framework (2023) щодо проактивного виявлення інцидентів у режимі реального часу.

Завантаження

Дані завантаження ще не доступні.

Посилання

Jurišić, M., Tomičić, I. & Grd, P. (2023). User Behavior Analysis for Detecting Compromised User Accounts: A Review Paper. Cybernetics and Information Technologies, 23(3), 2023. 102-113. https://doi.org/10.2478/cait-2023-0027.

Berman, D. S., Buczak, A. L., Chavis, J. S., & Corbett, C. L. (2019). A Survey of Deep Learning Methods for Cyber Security. Information, 10(4), 122. https://doi.org/10.3390/info10040122.

Vavryk Y., Opirskyy I. Artificial Intelligence: Cybersecurity of the New Generation. Ukrainian Scientific Journal of Information Security. 2024. Vol. 30, no. 2. P. 244–255. URL: https://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/19235.

L. Lanuwabang, P. Sarasu, "Detection of Anomalies Based on User Behavioral Information: A Survey", International Journal of Wireless and Microwave Technologies(IJWMT), Vol.15, No.3, pp. 54-65, 2025. DOI:10.5815/ijwmt.2025.03.04.

Haoqi Huang, Ping Wang, Jiacheng Wang, Shahen Alexanian, and Dusit Niyato, Deep Learning Advancements in Anomaly Detection: A Comprehensive Survey, https://arxiv.org/html/2503.13195v1.

Ban, T., Takahashi, T., Ndichu, S., & Inoue, D. (2023). Breaking Alert Fatigue: AI-Assisted SIEM Framework for Effective Incident Response. Applied Sciences, 13(11), 6610. https://doi.org/10.3390/app13116610.

Xia, S., et al. (2024). "MFAM-AD: An anomaly detection model for multivariate time series using attention mechanism to fuse multi-scale features." PeerJ Computer Science. https://peerj.com/articles/cs-2201/.

Qingning, L., et al. (2023). "Multi-Scale Anomaly Detection for Time Series with Attention Mechanism." Proceedings of the 40th International Conference on Machine Learning. https://proceedings.mlr.press/v189/qingning23a/qingning23a.pdf.

Vaswani, A., Shazeer, N., Parmar, N., Uszkoreit, J., Jones, L., Gomez, A. N., ... & Polosukhin, I. (2017). Attention is all you need. Advances in neural information processing systems, 30. https://arxiv.org/abs/1706.03762.

LogLLM: Log-based Anomaly Detection Using Large Language Models. https://arxiv.org/html/2411.08561v1.

AI HOUSE. AI-екосистема України: таланти, компанії, освіта. URL: https://aihouse.org.ua/wp-content/uploads/2024/01/AI-Ecosystem-of-Ukraine-by-AI-HOUSE-x-Roosh-UA.pdf (дата звернення: 19.06.2024)

Vaswani, A., Shazeer, N., Parmar, N., Uszkoreit, J., Jones, L., Gomez, A. N., Kaiser, Ł., & Polosukhin, I. (2017). Attention Is All You Need. Advances in Neural Information Processing Systems (NeurIPS 2017), 30, 5998–6008. DOI: 10.48550/arXiv.1706.03762

Cheng, J., Dong, L., & Lapata, M. (2021). Long Short-Term Memory-Networks for Machine Reading. Computational Linguistics, 47(2), 377–414. DOI: 10.1162/coli_a_00402

National Institute of Standards and Technology (NIST). (2023). NIST Special Publication 800-94 Rev. 2: Guide to Intrusion Detection and Prevention Systems (IDPS). Gaithersburg, MD: U.S. Department of Commerce. DOI: 10.6028/NIST.SP.800-94r2

Hybrid LSTM-Attention Architecture for Behavioral Anomaly Detection in Enterprise Networks / P. Zhuk et al. IEEE Access. 2024. Vol. 12. P. 118540–118552. URL: https://doi.org/10.1109/ACCESS.2024.3387512.

Rose, S., Borchert, O., Mitchell, S., & Connelly, S. NIST Special Publication 800-207: Zero Trust Architecture. Gaithersburg, MD: National Institute of Standards and Technology, 2020. DOI: 10.6028/NIST.SP.800-207

European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2023. Heraklion: ENISA Publications Office, 2023. ISBN 978-92-9204-640-4. URL: https://www.enisa.europa.eu/topics/threats/threat-landscape.

European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2024: Predictive Security Intelligence and AI-Driven Threat Analysis. Heraklion: ENISA Publications Office, 2024. ISBN 978-92-9204-675-0. DOI: 10.2824/0710888. URL: https://op.europa.eu/en/publication-detail/-/publication/e71394ea-85f0-11ef-a67d-01aa75ed71a1.

The MITRE Corporation. MITRE ATT&CK® Framework. Version 14. Bedford, MA: MITRE Engenuity, 2024. URL: https://attack.mitre.org/versions/v14/. Accessed: October 2024.