Details

Целью работы разработка и экспериментальная проверка метода обнаружения перехвата учётных записей, который сочетает интеллектуальное выявление фишинговых сообщений по их тексту и детектирование пост-фишинговых аномалий в психо-эмоциональном профиле пользователя. Объектом исследования является почтовый трафик и поведенческие логи сотрудников корпоративной сети. Задачи, решаемые в ходе исследования: 1. Исследовать типы фишинговых атак, механизмы их формирования и жизненный цикл ATO-инцидента. 2. Проанализировать существующие методы выявления фишинга, оценив их достоинства и недостатки. 3. Разработать гибридный метод обнаружения фишинга на основе больших языковых моделей (BLM) и психо-эмоциональной UEBA-аналитики. 4. Сформировать обучающие выборки из датасетов GoEmotions, Phishing-Email и Enron Email; разработать процедуру обогащения писем признаками эмоций и вероятности фишинга. 5. Реализовать программный прототип и оценить его точность на реальных данных корпоративной почты. Для достижения данных результатов была разработана программа на языке Python 3.11, библиотеки transformers, AdapterHub, scikit-learn, pandas, а также Docker-контейнеры, FastAPI--REST-сервис и CI/CD-инфраструктура GitHub Actions.

The goal is to combine intelligent e-mail inspection that flags phishing messages by their textual footprint and post-phishing anomaly detection that recognises abrupt shifts in the psycho-emotional pattern of a legitimate user. The research object is corporate mail traffic enriched with behavioural logs; the subject comprises state-of-the-art text-mining and behavioural-biometrics techniques for spotting phishing and account-takeover (ATO) events. The study solves five tasks: 1. Explores phishing typology, attack chains and the life-cycle of ATO incidents. 2. Critically reviews current anti-phishing methods, outlining strengths and limitations. 3. Introduces a hybrid approach that fuses large language models with emotional UEBA analytics. 4. Builds balanced training sets from GoEmotions, Phishing-Email and Enron Email corpora; emotional probabilities and phishing likelihood are injected into each message. 5. Implements an end-to-end prototype and evaluates it on real corporate data. Methodology. A BERT adapter “phish” performs binary classification of messages; Platt calibration and PF-SMOTE handle class imbalance. A second adapter “emo” outputs 28-dimensional emotion vectors. Daily aggregates per user are standardised and fed to Isolation Forest; abnormal days indicate potential ATO. All components are wrapped in Docker containers, exposed through a FastAPI REST service and deployed via GitHub-Actions CI/CD.