Розмір шрифта: 

Досліджено проблему виявлення прихованих процесів операційної системи, які можуть бути пов’язані з діяльністю шкідливого програмного забезпечення класу руткіт. Такі програми характеризуються здатністю маскувати власну присутність у системі, змінювати поведінку процесів та приховувати системні ресурси. Традиційні сигнатурні методи захисту є недостатньо ефективними для виявлення нових або модифікованих зразків шкідливого програмного забезпечення. Запропоновано використання поведінкового підходу до виявлення аномалій на основі алгоритму Isolation Forest. Розглянуто архітектуру системи, яка включає модуль збору телеметрії процесів операційної системи, модуль машинного навчання для оцінки аномальності поведінки процесів та аналітичний модуль для інтерпретації результатів. Показано, що використання алгоритму Isolation Forest дозволяє ефективно виявляти нетипову поведінку процесів без використання сигнатурних баз.

інформаційна безпека, руткіт, машинне навчання, виявлення аномалій, Isolation Forest, поведінковий аналіз.