Розробка підхіду до ідентифікації користувачів системи за їх поведінкою за допомогою методів машинного навчання

One of the biggest reasons that lead to violations of the security of companies’ services is obtaining access by the intruder to the legitimate accounts of users in the system. It is almost impossible to fight this since the intruder is authorized as a legitimate user, which makes intrusion detection systems ineffective. Thus, the task to devise methods and means of protection (intrusion detection) that would make it possible to identify system users by their behavior becomes relevant. This will in no way protect against the theft of the data of the accounts of users of the system but will make it possible to counteract the intruders in cases where they use this account for further hacking of the system. The object of this study is the process of protecting system users in the case of theft of their authentication data. The subject is the process of identifying users of the system by their behavior in the system. This paper reports a functional model of the process of ensuring the identification of users by their behavior in the system, which makes it possible to build additional means of protecting system users in the case of theft of their authentication data. The identification model takes into consideration the statistical parameters of user behavior that were obtained during the session. In contrast to the existing approaches, the proposed model makes it possible to provide a comprehensive approach to the analysis of the behavior of users both during their work (in a real-time mode) and after the session is over (in a delayed mode). An experimental study on the proposed approach of identifying users by their behavior in the system showed that the built patterns of user behavior using machine learning methods demonstrated an assessment of the quality of identification exceeding 0.95Однією з найбільших причин, які призводять до порушень безпеки сервісів компаній, - це отримання доступу зловмисником до легітимних облікових записів користувачів системи. Боротися з цим майже неможливо, оскільки зловмисник авторизований, як легітимний користувач, що робить системи виявлення вторгнень не ефективними. Таким чином, актуальним стає задача розробки методів та засобів захисту (виявлення вторгнення), які б давали змогу ідентифікувати користувачів системи за їх поведінкою. Це ні в якому разі не захистить від крадіжки даних облікових записів користувачів системи, але дасть змогу протидіяти зловмисникам у випадках, коли вони використають цей обліковий запис для подальшого злому системи. Об’єкт досліджень - процес захисту користувачів системи у випадку крадіжки їх даних автентифікації. Предмет досліджень - процес ідентифікації користувачів системи за їх поведінкою в системі. В роботі представлено функціональну модель процесу забезпечення ідентифікації користувачів за їх поведінкою в системі, що дозволяє створити додаткові засоби захисту користувачів системи у випадку крадіжки їх даних автентифікації. Модель ідентифікації враховує статистичні параметри поведінки користувача, які були отримані впродовж сеансу. На вiдмiнy вiд iснyючих пiдхoдiв, запpoпoнoвана мoдель дoзвoляє забезпечити комплексний пiдхiд дo аналiзy пoведiнки кopистyвачiв як пiд час йoгo poбoти (y pежимi pеальнoгo часy), так i після закінчення сеансу (y вiдкладенoмy pежимi). Експериментальне дослідження щодо запропонованого підходу ідентифікації користувачів за його поведінкою в системі показало, що побудовані моделі поведінки користувачів з використанням методів машинного навчання показали оцінку якості ідентифікації більше 0.9