Тема выпускной квалификационной работы: «Обнаружение целенаправленных атак на основе анализа графов взаимодействия субъектов и объектов в операционной системе Windows». Данная работа посвящена исследованию целенаправленных атак и методов обнаружения целенаправленных атак. Цель работы – выявление целенаправленных атак в ОС Windows на основе анализа графов взаимодействия субъектов и объектов с помощью машинного обучения. В дипломной работе представлено исследование существующих подходов к обнаружению целенаправленных атак, выделены их преимущества и недостатки. В результате был предложен метод обнаружения целенаправленных атак, в основе метода лежит идея использования графового представления взаимодействия процессов с системными объектами с применением машинного обучения. Отличительными особенностями этого метода является то, что весь граф системных взаимодействий никогда не хранится в памяти полностью. Вторая особенность заключается в использовании алгоритмов одноклассовой классификации, то есть обучение происходит только с помощью данных нормального поведения процессов. В ходе экспериментального тестирования программной реализации данного метода была подтверждена его эффективность в различных сценариях. Данный метод может быть использован для обнаружения целенаправленных атак на хост с операционной системой Windows.

The subject of the graduate qualification work is «Detection of advanced persistent threats based on the analysis of interaction graph of subjects and objects in the Windows operating system». The given work is devoted to studying of APT attacks and methods for APT detection. The goal of the work is to identify targeted attacks in Windows based on the analysis of interaction graphs of subjects and objects using machine learning. The thesis presents a study of existing methods for APT detection, highlights their advantages and disadvantages. As a result a method for detecting targeted attacks is proposed, the method is based on the idea of using a graph representation of the interaction of processes with system objects along with the use of machine learning. The distinguishing feature of this method is that the entire system interaction graph is never fully stored in memory. The second feature is the use of single-class classification algorithms, that is, learning occurs only with the help of data on the normal behavior of processes. During experimental testing of the software implementation of this method, its effectiveness was confirmed in various scenarios. This method can be used to detect targeted attacks on Windows hosts.