Details
| Title | Выявление вредоносного программного обеспечения с использованием интеллектуальной SIEM-системы: выпускная квалификационная работа магистра: направление 10.04.01 «Информационная безопасность» ; образовательная программа 10.04.01_03 «Искусственный интеллект в кибербезопасности» |
|---|---|
| Creators | Беляков Арсений Александрович |
| Scientific adviser | Овасапян Тигран Джаникович |
| Organization | Санкт-Петербургский политехнический университет Петра Великого. Институт компьютерных наук и кибербезопасности |
| Imprint | Санкт-Петербург, 2025 |
| Collection | Выпускные квалификационные работы ; Общая коллекция |
| Subjects | siem ; step sdl ; elk ; lightgbm ; gnn ; llm ; rag |
| Document type | Master graduation qualification work |
| File type | |
| Language | Russian |
| Level of education | Master |
| Speciality code (FGOS) | 10.04.01 |
| Speciality group (FGOS) | 100000 - Информационная безопасность |
| DOI | 10.18720/SPBPU/3/2025/vr/vr25-4331 |
| Rights | Доступ по паролю из сети Интернет (чтение) |
| Additionally | New arrival |
| Record key | ru\spstu\vkr\38956 |
| Record create date | 9/24/2025 |
Allowed Actions
–
Action 'Read' will be available if you login or access site from another network
| Group | Anonymous |
|---|---|
| Network | Internet |
Объектом исследования выступают методы обнаружения ВПО посредством машинного обучения. Целью работы является обнаружение ВПО для ОС Windows с применением методов машинного обучения и их интеграция с SIEM системой. В ходе исследования: - проанализированы существующие подходы к обнаружению ВПО посредством машинного обучения (МО); - изучены реализации анализа ВПО посредством МО в SIEM-системах (российских и зарубежных); - предложены способы анализа ВПО посредством ансамбля из трех моделей и LLM: LightGBM (статический анализ), GNN (дерево процессов), MLP (принятие решения). Они были интегрированы с SIEM STEP SDL через механизм Адаптивных действий; - был развернут макет для проведения тестирования и симуляции атак, например, APT Sticky Werewolf; - была произведена оценка предложенного способа в рамках разработанного макета. Результаты. Ансамблевая и большая языковая модели показали высокие результаты при гибридном анализе ВПО. Область применения — оптимизация шагов плейбуков в SIEM-системах. Вывод. Интеграция МО с SIEM повышает качество обнаружения атак и снижает нагрузку на аналитиков при условии достаточных вычислительных ресурсов и корректной настройки.
The object of the study is the methods of malware detection using machine learning. The aim of the work is to detect malware for Windows OS using machine learning methods and their integration with the SIEM system. The study: - analyzed existing approaches to malware detection using machine learning (ML); - studied the implementations of malware analysis using ML in SIEM systems (Russian and foreign); - proposed methods for malware analysis using an ensemble of three models and LLM: LightGBM (static analysis), GNN (process tree), MLP (decision making). They were integrated with SIEM STEP SDL through the Adaptive Actions mechanism; - a mockup was deployed to conduct testing and simulate attacks, for example, APT Sticky Werewolf; - the proposed method was evaluated within the framework of the developed mockup. Results. The ensemble and large language models showed high results in hybrid malware analysis. Scope. Optimization of playbooks’ steps in SIEM systems. Conclusion. Integration of MO with SIEM improves the quality of attack detection and reduces the workload on analysts, provided that there are sufficient computing resources and correct configuration.
| Network | User group | Action |
|---|---|---|
| ILC SPbPU Local Network | All |
|
| Internet | Authorized users SPbPU |
|
| Internet | Anonymous |
|
Access count: 0
Last 30 days: 0
