Представлен новый подход к идентификации вредоносных программ. В его основе лежит идея интеграции методов анализа поведения программ с современными алгоритмами машинного обучения. Процесс включает дизассемблирование программ, построение графа потока управления, выявление поведенческих паттернов в изолированной среде, извлечение метаинформации и классификацию программ по 3 классам. Алгоритмической основой разработанного подхода является ансамбль из графовой и гибридной нейронных сетей. Целью графовой сети является анализ графа потока управления, а гибридной - анализ статических и динамических признаков, определенных Cockoo Sandbox, а также ассемблерного кода, полученного в результате реверс-инжиниринга. Подход на базе такого ансамбля демонстрирует точность 0,88 в классификации кода на легитимный, вредоносный и APT-вредоносный и 0,94 - на легитимный и вредоносный.
Приведены описание методики построения нечётких классификаторов данных смешанного типа, их многокритериальная оценка и выбор на основе принципов оптимальности. Методика состоит из следующих основных разделов: 1) трехэтапное построение множества нечётких классификаторов смешанных данных с использованием метаэвристического алгоритма «саранчи»; 2) ранжирование полученных классификаторов по трём критериям: ошибка классификации, количество признаков, количество правил; 3) нормализация рангов; 4) формированные Парето-множества классификаторов; 5) выбор нечёткого классификатора на основе принципов оптимальности.
Статья раскрывает нормативную базу работы государственной системы, направленной на выявление, предотвращение и устранение последствий кибератак на информационные ресурсы Российской Федерации. Автором представлена нотация процесса обнаружения таких атак в соответствии с серией стандартов ГОСТ 59709-59712. Предложена модификация методики выявления компьютерных атак, которая в отличие от существующих подходов, основанных на сигнатурном анализе, включает использование алгоритмов машинного обучения. В результате исследования сформулирована гибридная методика выявления компьютерных инцидентов, которая содержит формализованную нотацию процессов, обеспечивающую соответствие требованиям национальных стандартов и механизмы предиктивного анализа на основе машинного обучения.