Бесплатно Экспресс-аудит сайта:

23.11.2023

Встречайте LogShield: глубокие нейронные сети на страже APT-угроз

APT -группировки злоумышленников в современных реалиях представляют наибольшую угрозу среди различных хакерских объединений. Они используют максимально скрытные и неспешные методы, основательно готовятся к атаке, а затем наносят мощный удар по кибербезопасности целевой сети, проникая в защищённые системы и похищая множество конфиденциальных данных.

Традиционные способы обнаружения таких атак, основанные на правилах или сигнатурах, не всегда эффективны, особенно если речь идёт о новых и неизвестных вариантах APT-угроз.

Но в ИБ-секторе появился настоящий луч надежды: недавно исследователи из Бангладешского инженерного университета представили новый инструмент для обнаружения APT, который называется LogShield . Данный инструмент использует машинное обучение и нейронные сети для анализа сетевых логов и выявления скрытых признаков APT-активности.

LogShield основан на технологии так называемых «трансформеров», которые способны учитывать взаимосвязь между разными событиями в логах и определять их важность для обнаружения атак. Таким образом, LogShield может находить сложные и продолжительные цепочки событий, характерные для APT-угроз.

Трансформеры — это новый тип нейронных сетей, которые были впервые представлены в 2017 году. Они используют механизм «самовнимания», который позволяет взвешивать релевантность каждого слова в последовательности при предсказании следующего слова. Это делает их очень эффективными для обработки текстовых данных, таких как логи.

LogShield включает в себя специальные слои встраивания, которые помогают уловить контекст последовательностей событий, полученных из «графов происхождения». Графы происхождения — это структуры данных, которые отображают отношения между различными объектами и процессами в системе.

По словам исследователей, LogShield показал высокую эффективность в обнаружении APT: от 95% до 98%. Это значительно выше, чем у других методов, основанных на глубоком обучении, таких как, например, LSTM .

Однако LogShield также имеет свои недостатки: он требует больше памяти и времени для обработки логов, чем другие методы. Поэтому учёные планируют дальнейшее улучшение своего инструмента и его адаптацию к разным сценариям использования.

Подробнее о LogShield можно прочитать в научной статье , опубликованной на платформе arXiv . В статье приведены статистические данные, описывающие процесс обучения и тестирования LogShield, а также сравнение его с другими методами обнаружения APT.