Актуальность работы обусловлена необходимостью защиты университетских дата-центров от внутренних угроз и SQL-инъекций, сложность обнаружения которых возрастает из-за ненормализованной структуры учебных баз данных с тысячами таблиц. Предложен подход к обнаружению аномалий, отличающийся оригинальным алгоритмом генерации набора данных через типизацию имен таблиц и эвристическим методом оптимизации пространства признаков на основе трёх категорий (ключевые слова SQL, сигнатуры инъекций, имена таблиц), обеспечивающий снижение размерности признаков со 181 до информативных и позволяющий применять контролируемые (SVM, Random Forest) и полуконтролируемые (LOF) модели для выявления как известных, так и неизвестных атак и попыток несанкционированного доступа.
Разработанный метод поддерживает реализацию Стратегии научно-технологического развития Российской Федерации (Указ Президента РФ от 28.02.2024 № 145) в части обеспечения кибербезопасности и внедрения интеллектуальных систем защиты критической информационной инфраструктуры.
Kotenko I., Saenko I., Zelichenok I. ML-based detection of anomalous user behavior in a university data center // The European Journal on Artificial Intelligence 39(1). https://journals.sagepub.com/doi/10.1177/30504554251321146