ivdon3@bk.ru
Защита конечных точек информационной системы от кибератак обусловливает поиск и развитие методов выявления таких атак с использованием искусственного интеллекта. Динамика нарастания количества информационных угроз различного типа приводит к необходимости применения методов машинного обучения для классификации функционирования АРМ, в том числе вычислительных процессов в АРМ. Цель исследования: классификация вычислительных процессов созданной базы данных для обнаружения нелегитимных процессов с учетом минимизации количества параметров процессов для достижения приемлемого качества обнаружения. Методы: в качестве математического аппарата предлагается использовать модель, обученную на созданном датасете, и корреляционную матрицу на основе коэффициентов Пирсона для определения группы параметров вычислительных процессов. Результаты: проведен анализ набора данных на основе коэффициентов корреляции Пирсона, позволяющий минимизировать количество параметров входных данных модели. Предложено использовать метод случайного леса для функционирования модели при решении задачи бинарной классификации обнаружении нелегитимных вычислительных процессов в АРМ. Эффективность предложенной модели оценивается метриками классификации: Precision, Recall, Проведено тестирование разработанной модели при фиксированных объемах, обучающей и тестирующей выборок. Проведена оценка работы модели с помощью ROC-кривой и PR-кривой.
Ключевые слова: машинное обучение, бинарная классификация, вычислительные процессы, база данных, обработка данных, тестирование модели
2.3.6 - Методы и системы защиты информации, информационная безопасность