Практический пример: как неконтролируемое машинное обучение K-Means Clustering используется в области кибербезопасности

Активность интернет-пользователей увеличивается из года в год и оказывает влияние на поведение самих пользователей. Оценка поведения пользователя часто основывается только на взаимодействии через Интернет, не зная о каких-либо других действиях. Журнал активности можно использовать как еще один способ изучения поведения пользователя. Журнал интернет-активности является одним из типов больших данных, поэтому использование интеллектуального анализа данных с помощью метода K-средних можно использовать в качестве решения для анализа поведения пользователей. В этом исследовании был проведен процесс кластеризации с использованием алгоритма K-Means, разделенный на три кластера, а именно высокий, средний и низкий. Результаты вуза показывают, что каждый из этих кластеров создает веб-сайты, которые посещаются в следующей последовательности: поисковая система веб-сайта, социальные сети, новости и информация. Это исследование также показало, что на киберпрофилирование сильно повлияли факторы окружающей среды и повседневная деятельность.

Итак, что такое приложения машинного обучения в информационной безопасности?

В принципе, машинное обучение может помочь компаниям лучше анализировать угрозы и реагировать на атаки и инциденты безопасности. Это также может помочь автоматизировать более простые задачи, которые ранее выполнялись растянутыми и иногда недостаточно квалифицированными командами безопасности.

В этой статье мы воспользуемся алгоритмом неконтролируемого машинного обучения с кластеризацией K-средних алгоритмом неконтролируемого обучения, который очень полезен в областях безопасности с различными вариантами использования.

Кластеризация K-средних — это алгоритм машинного обучения без присмотра, который группирует немаркированный набор данных в разные кластеры.

Давайте разобьем это утверждение на подтерминологии, чтобы лучше понять, что означает кластеризация K-mean.

Что такое кластеризация K-mean?

Кластеризация K-средних вариантов использования и работа

K-Means Кластеризация — это алгоритм обучения без учителя, который группирует немаркированный набор данных в разные кластеры. Здесь K определяет количество предопределенных кластеров, которые необходимо создать в процессе, например, если K=2, будет два кластера, а при K=3 будет три кластера и так далее.

Как работает алгоритм K-средних?

K означает кластеризацию вариантов использования и работу

K означает кластеризацию вариантов использования и рабочую безопасность

Шаг 1. Выберите число K, чтобы определить количество кластеров.

Шаг 2. Выберите случайные K точек или центроидов. (Может быть и другим из входного набора данных).

Шаг 3. Назначьте каждую точку данных ближайшему центроиду, который сформирует предопределенные K кластеров.

Шаг 4. Рассчитайте дисперсию и поместите новый центроид каждого кластера.

Шаг 5. Повторите третий шаг, то есть переназначьте каждую точку данных новому ближайшему центроиду каждого кластера.

Шаг 6. Если произойдет какое-либо переназначение, перейдите к шагу 4, в противном случае перейдите к ГОТОВО.

Шаг 7. Модель готова.

Приложения кластеризации K-средних

Алгоритм k-средних очень популярен и используется в различных приложениях, таких как сегментация рынка, кластеризация документов, сегментация изображений и сжатие изображений и т. д. Он используется для группировки немаркированных данных и используется в основном в области:

• Профилирование клиентов
• Сегментация рынка
• Компьютерное зрение
• Геостатистика
• астрономия
• Кластеризация документов
• Выявление криминогенных районов
• Сегментация клиентов
• Выявление страхового мошенничества
• Анализ данных общественного транспорта
• Кластеризация ИТ-оповещений

Варианты использования в домене безопасности:

k-means обычно можно применять к данным, которые имеют меньшее количество измерений, являются числовыми и непрерывными. подумайте о сценарии, в котором вы хотите создать группы похожих вещей из случайно распределенного набора вещей, k-средние очень подходят для таких сценариев.

1.Система обнаружения вторжений (IDS)

Система обнаружения вторжений (IDS) — это устройство или программное приложение, которое отслеживает сеть на наличие вредоносных действий или нарушений политики. О любых вредоносных действиях или нарушениях обычно сообщают или собирают централизованно с помощью системы управления информацией и событиями безопасности. Обнаружение аномалий является одной из систем обнаружения вторжений. Текущее обнаружение аномалий часто связано с большим количеством ложных срабатываний при умеренной точности и уровне обнаружения, когда оно не может правильно обнаруживать все типы атак.

Чтобы преодолеть эту проблему, полезна кластеризация K-средних, которая объединяет все данные в соответствующую группу перед применением классификатора для целей классификации с разумной частотой ложных срабатываний. Этот подход привел к высокой точности и хорошим показателям обнаружения, но с умеренными ложными тревогами при новых атаках.

3. Определите посторонний доступ:

Среднестатистический пользователь имеет более 100 разрешений, и управлять ими вручную может быть очень сложно. Благодаря использованию модели машинного обучения Clustering и K-Means мы можем обнаруживать выбросы доступа, анализируя, что происходит с динамическими одноранговыми группами пользователей.

Например, в субботу днем ​​данные доступа компании показывают, что сотрудник отдела ИТ работает над вашей системой производственных финансов. Это, по-видимому, необычное занятие для ИТ-сотрудника, поскольку для человека в этой роли нетипично получать доступ к системе производственного финансирования, тем более в субботу днем. Итак, это рискованная деятельность? Кроме того, в одно и то же время и в тот же день у вас есть бизнес-аналитик, работающий с тем же приложением для производственных финансов.

Если мы рассмотрим эти два действия доступа по отдельности, мы можем заметить проблему. Тем не менее, если мы динамически объединим эти две точки доступа к данным, ситуация может оказаться менее рискованной. Читать дальше.

Теперь давайте добавим еще одного человека из финансовой организации, финансового аналитика, и они также получают доступ к тому же приложению для производственного финансирования и в ту же субботу. У нас есть три случая, когда три разных человека из разных рабочих групп обращаются к системе производственного финансирования в одно и то же время и в один и тот же день. Так что же происходит?

Скорее всего, в этом сценарии эти сотрудники работают вместе над обновлением системы или решают производственную проблему, возникающую в финансовой системе. С реальной точки зрения, когда мы можем изучить традиционные атрибуты статических данных, такие как должность или номер отдела, эти три сотрудника не будут считаться релевантной группой сверстников. С точки зрения поведенческой аналитики, эти три сотрудника составляют динамически создаваемую группу сверстников, поскольку в систему записываются данные об их действиях по одновременному доступу к одной и той же системе производственных финансов.

Динамические группы одноранговых узлов — это кластеры пользователей, которые создаются по мере того, как Risk Analytics получает данные журналов почти в реальном времени, причем все они являются внутренними для алгоритмов машинного обучения. Динамические одноранговые группы довольно временны, но их можно сохранить для дальнейшего использования.

3. Классификация вредоносных программ для Android

Вредоносное ПО для Android — это вредоносное программное обеспечение, нацеленное на определенный тип устройства: устройство Android. Менее безопасная платформа Android, такая как Play Store, где загружаются приложения, и возможность пользователей загружать контент из Интернета создают среду, в которой могут процветать вредоносные программы. Вредоносное ПО часто также собирает поддельные клики по рекламе, удваивая ценность для создателей. Ransomware и Scareware являются основными вредоносными действиями.

K означает, что кластеризация может использоваться для создания кластера этих вредоносных программ и, кроме того, модель классификации для классификации вредоносных программ Android, где каждое предсказание кластера становится элементом кластера. Кластер, построенный из алгоритма кластеризации на основе правил, затем используется для обучения алгоритма классификатора.

4.Анализ преступлений:

Анализ преступности - это функция правоохранительных органов, которая включает систематический анализ для выявления и анализа закономерностей и тенденций преступности и беспорядков. Анализ преступности также играет роль в разработке решений проблем преступности и формулировании стратегий предупреждения преступности. Анализ преступности необходим для обеспечения охраны и безопасности гражданского населения.

K означает, что метод кластеризации используется для извлечения полезной информации из большого набора данных о преступлениях и для интерпретации данных, которые помогают полиции выявлять и анализировать схемы преступлений, чтобы уменьшить количество подобных случаев в будущем и предоставить информацию для снижения уровня преступности.

5. Обнаружение вредоносных программ:

Вредоносное ПО прерывает файловый реестр при входе в компьютер, и в основном вредоносное ПО имеет тенденцию создавать и изменять файловую систему компьютера и записи реестра Windows, помимо межпроцессного взаимодействия компьютера и основного сетевого взаимодействия. Известно, что атаки вторжений, такие как вредоносные программы, нарушают политику сетевой безопасности в организациях и постоянно пытаются нарушить основные принципы кибербезопасности, такие как конфиденциальность, целостность и доступность или известные как CIA.

Поэтому предыдущий исследователь кибербезопасности предложил основанную на обнаружении вторжения вредоносных программ, которая представляет собой структуру, отслеживающую поведение системной активности. Затем поведение будет проанализировано фреймворком и уведомит пользователей, если есть признаки вторжения.