Модель виявлення багатопрофільних загроз  нульового дня в умовах обмежених ресурсів

Артур Ільясович Ісмагілов; Ігор Петрович Сініцин

doi:10.33099/2311-7249/2025-53-2-26-34

Автор(и)

Артур Ільясович Ісмагілов Інститут програмних систем Національної академії наук України, Україна https://orcid.org/0009-0002-1332-8147
Ігор Петрович Сініцин Інститут програмних систем Національної академії наук України, Україна https://orcid.org/0000-0002-4120-0784

DOI:

https://doi.org/10.33099/2311-7249/2025-53-2-26-34

Ключові слова:

кіберзахист, загрози нульового дня, гібридний підхід, поведінковий аналіз, самонавчання

Анотація

У статті наведено результати дослідження, спрямованого на створення ефективної моделі виявлення багатопрофільних загроз нульового дня в умовах обмежених ресурсів, характерних для періоду дії воєнного стану. Актуальність теми зумовлена зростанням інтенсивності кібератак під час воєнних дій, коли критично важливо забезпечити безпеку інформаційних систем навіть за наявності дефіциту обчислювальних потужностей, людських ресурсів і фінансування. Особливу увагу надано загрозам нульового дня, які становлять одну з найнебезпечніших форм кіберзагроз через свою непередбачуваність, відсутність публічної інформації й значний потенціал шкоди для об’єктів критичної інфраструктури та оборонних систем. Мета статті. На основі аналізу методик до виявлення багатопрофільних загроз нульового дня в умовах дії воєнного стану з нестачею фінансування, потрібної інфраструктури, кваліфікованого персоналу, розробити авторську багаторівневу модель виявлення таких загроз з урахуванням поєднання попередньої фільтрації, поведінкового аналізу та локального самонавчання для забезпечення ефективного реагування на кіберзагрози в умовах обмежених ресурсів.

Методи дослідження. Під час написання статті застосовано комплекс теоретичних і прикладних методів дослідження. До теоретичних методів належить аналіз й узагальнення наукових джерел, що дало змогу систематизувати підходи до виявлення загроз нульового дня та визначити їх переваги і недоліки в умовах обмежених ресурсів. Метод порівняльного аналізу було використано для зіставлення ефективності традиційних та інноваційних методів кіберзахисту за критеріями ресурсозалежності, автономності й точності виявлення. З прикладних методів використано метод поведінкового моделювання, який дав змогу побудувати базову структуру системи, орієнтованої на фіксацію аномальної активності. Для валідації запропонованої моделі застосовано метод комп’ютерного експерименту, в межах якого проводилось тестування ефективності алгоритмів класифікації аномалій (на прикладі автоенкодера та алгоритму Isolation Forest) у змодельованому ізольованому середовищі. Метод моделювання та прототипування став основою для побудови архітектури адаптивного евристичного моніторингу та формування багаторівневої структури виявлення аномальних подій у реальному часі. Зазначений методичний підхід дав змогу розкрити особливості роботи моделей у середовищах з обмеженою обчислювальною потужністю, піддати аналізу точність виявлення загроз нульового дня порівняно з традиційними підходами, а також провести симуляційний експеримент для перевірки гіпотези щодо ефективності легковагової самонавчальної системи в умовах воєнного стану.

Отримані результати дослідження. У результаті проведеного дослідження здійснено ґрунтовний аналіз сучасних підходів до виявлення багатопрофільних загроз нульового дня, з урахуванням специфіки функціонування інформаційних систем в умовах дії воєнного стану та обмеженості ресурсів. Виявлено обмеження традиційних засобів кіберзахисту (зокрема, SIEM-систем), які виявляються малоефективними за умов ізоляції, нестачі обчислювальної потужності та кваліфікованого персоналу. Розроблено авторську модель виявлення загроз нульового дня, що поєднує попередню фільтрацію, поведінковий аналіз та локальне самонавчання за допомогою легковагових алгоритмів класифікації аномалій (зокрема, автоенкодера та Isolation Forest). Модель формалізовано у вигляді багаторівневої архітектури, здатної до автономного функціонування, локального оновлення та швидкого реагування на аномальні події в режимі реального часу. Запропоновано концепцію адаптивного евристичного моніторингу, яка дає змогу виявляти ознаки експлуатації вразливостей нульового дня навіть без попередніх знань про саму загрозу. Сформульовано механізм ризик-орієнтованої ізоляції процесів, що передбачає тимчасове блокування потенційно небезпечних дій зі збереженням працездатності критичних служб. Проведено експериментальне тестування моделі в умовах, наближених до реального середовища кіберконфлікту. За результатами тестування доведено ефективність моделі у виявленні багатопрофільних аномалій із високою точністю, водночас, забезпечується низький рівень помилкових спрацювань, навіть на застарілому або малопотужному обладнанні. Отримані результати засвідчують, що запропонована модель може бути впроваджена в системи кіберзахисту, які функціонують в умовах воєнного конфлікту, обмежених ресурсів або автономного розгортання, що суттєво розширює можливості забезпечення інформаційної безпеки в критичних галузях.

Теоретична й практична значущість викладеного у статті зводиться до науково обґрунтованого підходу стосовно оцінювання класичних інструментів кіберзахисту в умовах обмежених ресурсів, коли критично важливими є автономність, швидкість реагування та низька залежність від зовнішніх джерел оновлень. Практичною значущістю – є можливість застосування розробленої моделі для реалізації гібридного підходу, який буде поєднувати переваги кількох методів та дасть змогу забезпечити багаторівневий, гнучкий і масштабований захист. Це сприятме забезпеченню надійного рівня захисту від загроз нульового дня в умовах обмежених ресурсів.

Біографія автора

Ігор Петрович Сініцин , Інститут програмних систем Національної академії наук України

доктор технічних наук, професор

Посилання

Muniz J., McIntyre G., AlFardan N. Security Operations Centre. Indianapolis : Cisco Press, 2016. 352 р.

Zimmerman C. Ten Strategies of a World-Class Cybersecurity Operations Centre. Bedford : The MITRE Corporation, 2014. 308 р.

Sanders M. How to Get the Most Value out of Your MSSP and Security Operations. URL: https://securityintelligence.com/how-to-get-the-most-value-out-of-yourmssp-and-security-operations (Accessed: 05 March 2025).

Kobie N. Darktrace's AI is now automatically responding to hacks – and stopping them. 2017. URL: https://www.wired.com/story/darktrace-machine-learning-security/ (Accessed: 03 June 2025).

Newman L. AI Can Help Cybersecurity – If It Can Fight Through the Hype. 2018. URL: https://www.wired.com/story/ai-machine-learning-cybersecurity/ (Accessed: 03 June 2025).

Greenberg A. MIT's Teaching AI How to Help Stop Cyberattacks. 2016. URL: https://www.wired.com/2016/04/mits-teaching-ai-help-analysts-stop-cyberattacks/ (Accessed: 03 June 2025).

Newman L. Gmail Is Catching More Malicious Attachments With Deep Learning. 2020. URL: https://www.wired.com/story/gmail-catching-more-malicious-attachments-deep-learning/ (Accessed: 03 June 2025).

Intel Corporation. Intel. Threat Detection Technology. URL: https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/tdt-product-brief.pdf (Accessed: 05 March 2025).

Mohamed A. A., Al-Saleh A., Sharma S. K. & Tejani G. G. Zero-day exploits detection with adaptive WavePCA-Autoencoder (AWPA) adaptive hybrid exploit detection network (AHEDNet). Scientific Reports. 2025. № 15. Р. 4036. DOI: https://doi.org/10.1038/s41598-025-87615-2.

Babaey V., Faragardi H. R. Detecting Zero-Day Web Attacks with an Ensemble of LSTM, GRU, and Stacked Autoencoders. Computers. 2025. № 14. Р. 205. DOI: https://doi.org/10.3390/computers14060205.

Peng S., Han Yu, Li Ruonan, Liu Lichen, Liu Jie, Gu Zh. ROSE-BOX: A Lightweight and Efficient Intrusion Detection Framework for Resource-Constrained IIoT Environments. Appl. Sci. 2025. № 15. Р. 6448. DOI: https://doi.org/10.3390/app15126448.

Anderson J. Lightweight AI Models for Real-Time Threat Detection in Resource-Constrained IoT Environments. ResearchGate GmbH. 2025. URL: https://www.researchgate.net/publication/390110099 (Accessed: 17 June 2025).

Rahmati M. Towards Explainable and Lightweight AI for Real‑Time Cyber Threat Hunting in Edge Networks. Independent Researcher. 2025. DOI: https://doi.org/10.48550/arXiv.2504.16118.

Song D., Brumley D., Yin H., Caballero1 Ju., Jager I., Kang1 M. G., Liang Zh., Newsome J., Poosankam P., Saxena P. BitBlaze: A New Approach to Computer Security via Binary Analysis. 2008. URL: https://bitblaze.cs.berkeley.edu/papers/bitblaze_iciss 08.pdf (Accessed: 25 June 2025).