Исследователи Санкт-Петербургского Федерального исследовательского центра РАН (СПб ФИЦ РАН) предложили подход, который позволяет обнаружить кейлоггеры – программы, записывающие последовательность нажатия клавиш клавиатуры или мыши. Результаты исследования могут использоваться в системах сетевой безопасности для защиты от злоумышленников, которые способны использовать кейлоггеры, например, для получения доступа к аккаунтам пользователей.
Кейлоггеры (или клавиатурные шпионы) — это специальные программы или устройства, предназначенные для записи нажатий клавиш на клавиатуре пользователя. Все нажатия считываются и записываются в специальный файл, который затем передается нарушителю. Кейлоггеры могут быть использованы как в законных целях, например, для мониторинга сотрудников, так и в злонамеренных, таких как кража личной информации, паролей и финансовых данных. Основная угроза, которую несут клавиатурные шпионы, заключается в том, что они могут незаметно собирать конфиденциальную информацию, что приводит к риску мошенничества, кражи личных данных и даже финансовых потерь. Кроме того, кейлоггеры могут быть частью более сложных вредоносных программ, которые используют собранные данные для дальнейших атак, таких как фишинг или распространение вирусов.
“Мы разработали подход, который ищет следы присутствия кейлоггеров в сетевом трафике, то есть он нацелен на процесс взаимодействия программ-шпионов с удаленными серверами. В основе нашего решения лежат несколько методов искусственного интеллекта, которые могут мониторить трафик пользователя или организации и сигнализировать, если где-то обнаружена подозрительная сетевая активность, похожая на работу кейлоггеров”, – рассказывает старший научный сотрудник Лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Дмитрий Левшун.
В ходе экспериментов ученые СПб ФИЦ РАН проанализировали открытые наборы данных, содержащие трафик кейлоггеров, провели предобработку данных, отобрали и протестировали модели машинного обучения с различной архитектурой. Модели оценивались по различным метрикам эффективности обнаружения клавиатурных шпионов, а также по быстродействию.
“Мы провели сравнительный анализ и отобрали наиболее эффективные модели, которые можно встроить в уже существующие системы обеспечения сетевой безопасности. Они позволят пользователям снизить количество угроз, связанных с мошенниками, которые используют кейлоггеры”, – отмечает младший научный сотрудник Лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Диана Левшун.
Исследование опубликовано в материалах 16th International Conference on Communication Systems & Networks (COMSNETS).