АННОТАЦИИ К СТАТЬЯМ (ЖУРНАЛ ``ИНФОРМАТИЗАЦИЯ И СВЯЗЬ`` №1, 2025)
ОПИСАНИЕ DEEPLOG ДЛЯ ВЫЯВЛЕНИЯ ПРОГРАММ-ВЫМОГАТЕЛЕЙ
Резюме: В работе описана архитектура модели машинного обучения, способная обнаруживать аномалии, в частности работу программ-вымогателей (ransomware), в режиме реального времени на основе анализа журнала (лога) событий в семействе операционных систем Windows. Архитектура описываемой модели основывается на глубокой нейронной сети DeepLog, в качестве основного компонента используется архитектура рекуррентной нейронной сети (recurrent neural network, RNN) типа “долгая краткосрочная память” (long short-term memory; LSTM). Такая архитектура модели в рамках её обучения позволяет выявлять закономерности в журнале событий при нормальной активности операционной системы и обнаруживать аномалии на этапе работы модели в случае отклонения этих закономерностей от нормальных. В случае изменения или дополнения используемых журналов событий модель можно дообучить для поиска новых закономерностей.
Ключевые слова: искусственный интеллект, обнаружение аномалий, информационная безопасность, нейронные сети.
N.V. Nashivochnikov, A.A. Lukashin, A.A. Chechulin
DESCRIPTION OF THE DEEPLOG FOR DETECTING RANSOMWARE
Summary: The paper describes the architecture of a machine learning model capable of detecting anomalies, in particular the operation of ransomware, in real time based on the analysis of the event log in the Windows family of operating systems. The architecture of the described model is based on the deep neural network DeepLog, the architecture of the recurrent neural network (RNN) of the “long short-term memory” type (LSTM) is used as the main component. This architecture of the model, as part of its training, makes it possible to identify patterns in the event log during normal operating system activity and detect anomalies during the model’s operation if these patterns deviate from normal ones. If the event logs used are changed or supplemented, the model can be retrained to find new patterns.
Keywords: artificial intelligence, anomaly detection, information security, neural networks.
DOI: 10.34219/2078-8320-2025-16-1-116-122
ИНФОРМАЦИЯ ОБ АВТОРАХ
Лукашин Алексей Андреевич – кандидат технических наук, Федеральное государственное автономное образовательное учреждение высшего образования «Санкт-Петербургский политехнический университет
Петра Великого», e-mail: alexey.lukashin@spbstu.ru
Чечулин Андрей Алексеевич – кандидат технических наук., Федеральное государственное бюджетное учреждение науки «Санкт-Петербургский Федеральный Исследовательский Центр Российской Академии Наук»,
e-mail: chechulin.a@spcras.ru
Nashivochnikov Nikolay Vasilyevich – Technical Director, Gazinformservice LLC, e-mail: cto@gaz-is.ru
Lukashin Alexey Andreevich – Candidate of Technical Sciences, Federal State Autonomous Educational Institution of Higher Education «Peter the Great St. Petersburg Polytechnic University», e-mail: alexey.lukashin@spbstu.ru
Chechulin Andrey Alekseevich – Candidate of Technical Sciences, Federal State Budgetary Institution of Science
«Saint Petersburg Federal Research Center of the Russian Academy of Sciences», e-mail: chechulin.a@spcras.ru