Системи виявлення вторгнень (Intrusion Detection Systems - IDS) є одними із програмних засобів, які використовуються для побудови комплексних систем захисту інформації [1]. У зв’язку з інтенсивним ростом комп’ютерних мереж, а також обсягу даних, які передаються в таких системах, виникає необхідність виявляти випадки несанкціонованого доступу до інформації на великих обсягах даних і великій кількості вузлів у мережах. IDS дозволяють виявляти вторгнення і сповіщати про такі інциденти адміністраторів, або ж автоматично реагувати на них [1].

Розглянемо класифікацію IDS. Вони можуть бути:

-  на основі методів розгортання (пов’язані з розміщенням IDS на вузлах комп’ютерних мереж);

-  на основі методів виявлення (пов’язані з тим, як саме IDS виявляє вторгнення) [2].

Своєю чергою IDS на основі методів виявлення поділяються на IDS з використанням сигнатур (реагують, якщо в мережі помічено активність, описану раніше), а також на системи з виявленням аномалій – тобто таких активностей, які відхиляються від норми. Зокрема, останні можуть бути ефективні для виявлення раніше невідомих загроз [1].

Оскільки мережевий трафік в сучасних комп’ютерних мережах досягає значних обсягів, його можна розглядати як домен великих даних, до яких можна застосувати алгоритми машинного та глибинного навчання і використовувати ці алгоритми для побудови IDS [3]. При цьому для навчання IDS можна використовувати дані різного типу: заголовки пакетів, корисне навантаження, а також потокові дані.

Перспективними алгоритмами машинного навчання IDS є алгоритми дерев рішень, опорно-векторні машини, використання штучних нейромереж, а також поєднання цих методів. Серед інструментів глибинного навчання, які можна застосувати для побудови IDS, є рекурентні нейронні мережі, а також глибинні та згорткові нейронні мережі [2].

Досить непогані результати за продуктивністю та ефективністю дають алгоритми лінивого навчання, які обробляють навчальні дані безпосередньо при запитах у систему, але вони мають ряд недоліків, наприклад вимагають значні обсяги пам’яті для зберігання навчальних даних [3].

Метриками для оцінювання ефективності методів машинного та глибинного навчання при побудові IDS є такі параметри як точність, коефіцієнт виявлення, коефіцієнт хибних спрацьовувань тощо.

Ефективність IDS з використанням штучного інтелекту значною мірою покладається на якість навчальних даних. І якщо алгоритми машинного навчання можна тренувати на невеликих наборах даних, то для глибинного потрібні більші набори мережевих даних. А оскільки глибинне навчання використовує великі масиви даних, процес навчання IDS в такому разі є досить вимогливим до обчислювальних ресурсів та є досить тривалим [2].

Поряд з цим існують інші проблеми пов’язані з даними, наприклад відсутність систематизованих та незбалансованість наборів мережевих даних призводять до низької точності виявлення вторгнень. Також такі IDS мають низьку продуктивність в реальному середовищі. Більшість подібних моделей були розроблені та протестовані в лабораторних умовах з використанням застарілих наборів даних, таких як NSL-KDD та KDD Cup'99, тому релевантність таких моделей є не дуже високою.

Таким чином, системи виявлення вторгнень на основі штучного інтелекту є дієвим інструментом для побудови систем захисту інформації, але вони потребують збалансованого підходу до розробки, щоб складність моделей таких систем забезпечувала достатню ефективність і разом з тим не потребувала надзвичайно великих часових і обчислювальних ресурсів.

1. Intrusion Detection in Computer Networks using Lazy Learning Algorithm. Aditya Chellam, Ramanathan L, Ramani S. 2018 p., Procedia Computer Science, Т. 132, сс. Pages 928-936.

2. Network intrusion detection system: A systematic study of machine learning and deep learning approaches. Ahmad, Z, Shahid Khan, A, Wai Shiang, C, Abdullah, J, Ahmad, F. 1, 2021 p., Trans Emerging Tel Tech, Т. 32.

3. Karen Scarfone, Peter Mell. NIST Special Publication 800-94. Guide to Intrusion Detection and Prevention Systems (IDPS). Gaithersburg, MD : National Institute of Standards and Technology, 2007.