ВИЯВЛЕННЯ АНОМАЛІЙ В ACTIVE DIRECTORY ДЛЯ ВИЯВЛЕННЯ APT-АТАК: МЕТОДИ, ЕФЕКТИВНІСТЬ ТА ОБМЕЖЕННЯ
DOI:
https://doi.org/10.28925/2663-4023.2025.30.915Ключові слова:
APT; Active Directory; виявлення аномалій; машинне навчання; глибоке навчання; кібербезпека; глибока оборона; аналітика на основі графівАнотація
У статті представлено огляд, аналіз та порівняння методів машинного навчання для виявлення загроз в середовищі Active Directory. Оскільки сучасні методи атак все краще обходять традиційні інструменти захисту і все краще мімікрують під легітимну активність, способом виявлення загроз було обрано виявлення аномалій. Для дослідження було обрано 4 типу алгоритмів: кластерні, класифікатори, нейронні мережі та алгоритми на основі графів. Експеримент проводився на прикладі віртуального середовища яке симулювало Active Directory. Модель машинного навчання навчались на типовій роботі симульованого середовища. Атаки, для тестування, симулювались в тому ж середовищі одночасно з відтворенням середньостатистичної активності, для відображення умов ближчих до реальних. Дослідження показало, що кожен алгоритм має свої переваги та недоліки і що не існує надійного ріщення, здатного повноцінно здатного виявляти усі загрози. Так LSTM виявились найкращими в виявлення аномалій в поведінці користувачів, Autoencoders показали себе найкраще у виявленні аномалій в командному рядку, а алгоритм на основі графів був найкращим в виявленні аномалій а мережевому трафіку. Одночасно з цим результати висвітлюють обмеження класнерних алгоритмів в сценаріях з високою варіантивністю випадків, а також обмеження в можливості виявлення невідомих та мімікруючих під легітимну активність загроз для алгоритмів класифікації. Результати дослідження підтверджують необхідність побудови комплексних систем захисту інформації, які базуються на принципах глибокого захисту, що поєднують у собі усі сильність сторони різних методів для ефективного виявдлення загроз. Крім того, воно підкреслює, що практична цінність цих моделей максимізується, коли вони використовуються для покращення можливостей існуючих платформ безпеки.
Завантаження
Посилання
Alsanad, A., & Altuwaijri, S. (2022). Advanced Persistent Threat Attack Detection using Clustering Algorithms. International Journal of Advanced Computer Science and Applications, 13(9), 640-649. https://doi.org/10.14569/IJACSA.2022.0130976
Cho Do Xuan, Duong, T. D., & Dau, H. X. (2021). A multi-layer approach for advanced persistent threat detection using machine learning based on network traffic. Journal of Intelligent & Fuzzy Systems, 40, 11311-11329. https://doi.org/10.3233/JIFS-202465
Schindler, Timo. (2018). Anomaly Detection in Log Data using Graph Databases and Machine Learning to Defend Advanced Persistent Threats. 10.18420/in2017_241.
AL-Aamri, A. S., Abdulghafor, R., Turaev, S., Al-Shaikhli, I., Zeki, A., & Talib, S. (2023). Machine Learning for APT Detection. Sustainability, 15(18), 13820. https://doi.org/10.3390/su151813820
Mamun, M., & Shi, K. (2021, August 31). DeepTaskAPT: Insider APT detection using task-tree based deep learning. arXiv. https://doi.org/10.48550/arXiv.2108.13989
Xuan, C.D., Nguyen, T.T. A novel approach for APT attack detection based on an advanced computing. Sci Rep 14, 22223 (2024). https://doi.org/10.1038/s41598-024-72957-0
Gadal, S., Mokhtar, R., Abdelhaq, M., Alsaqour, R., Ali, E. S., & Saeed, R. (2022). Machine learning-based anomaly detection using K-mean array and sequential minimal optimization. Electronics, 11(14), Article 2158. https://doi.org/10.3390/electronics11142158
Younas, K. (2025, February 3). DBSCAN another clustering Algorithm for Machine Learning. Medium. https://medium.com/@kaleemullahyounas123/dbscan-another-clustering-algorithm-for-machine-learning-89885f555a2e
Peter, John & Rakesh, Nitin & Rekha, Puttaswamy & Sreelatha, Tammineni & Sujatha, Velusamy & Muthumarilakshmi, Surulivelu & Sujatha, Shanmugam. (2025). SVM algorithm-based anomaly detection in network logs and firewall logs. Indonesian Journal of Electrical Engineering and Computer Science. 38. http://doi.org/10.11591/ijeecs.v38.i3.pp1642-1651
Agustina, Triya & Masrizal, Masrizal & Irmayanti, Irmayanti. (2024). Performance Analysis of Random Forest Algorithm for Network Anomaly Detection using Feature Selection. sinkron. 8. https://doi.org/10.33395/sinkron.v8i2.13625
Teuwens, R. (n.d.). Anomaly Detection with Auto-Encoders. Kaggle. Retrieved September 22, 2025, from https://www.kaggle.com/code/robinteuwens/anomaly-detection-with-auto-encoders
Sengan, Sudhakar & Mehbodniya, Abolfazl & Webber, Julian & Bostani, Ali & Almusharraf, Ahlam & Alharbi, Meshal & Alqahtani, Ali & Bhatia, Surbhi. (2023). Improved LSTM-Based Anomaly Detection Model with Cybertwin Deep Learning to Detect Cutting-Edge Cybersecurity Attacks. Human-centric Computing and Information Sciences. 13. 1-24. https://doi.org/10.33395/sinkron.v8i2.13625
Vaisman, Y., Katz, G., Elovici, Y., & Shabtai, A. (2023, November 30). Detecting Anomalous Network Communication Patterns Using Graph Convolutional Networks. arXiv. https://doi.org/10.48550/arXiv.2311.18525
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Максим Опанович
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
