Аннотация:
В данном исследовании представлена классификация и сравнительный анализ методов интеллектуального анализа системных событий, применяемых для обнаружения многошаговых кибератак. Подобные атаки представляют собой последовательность взаимосвязанных шагов злоумышленника, преследующего определенную цель вторжения. В статье анализируются подходы к обнаружению многошаговых кибератак на основе методов машинного обучения на данных о системных событиях, включающие обучение с учителем, без учителя, а также частичное обучение. Рассмотренные подходы анализируются по следующим критериям: метод извлечения знаний о сценариях системных событий и атак, метод представления знаний о сценариях, метод анализа событий безопасности, решаемая задача безопасности и используемый набор данных. Приводятся основные достоинства и недостатки подходов к обнаружению многошаговых кибератак на основе машинного обучения, а также возможные направления исследований в данной области.
Ключевые слова:интеллектуальные системы, базы знаний, машинное обучение, кибербезопасность, многошаговая атака, события безопасности, управление инцидентами.