Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/5851
Повний запис метаданих
Поле DCЗначенняМова
dc.contributor.advisorПалагін, Володимир Васильович-
dc.contributor.authorКарасьов, Володимир Віталійович-
dc.date.accessioned2025-07-08T14:21:25Z-
dc.date.available2025-07-08T14:21:25Z-
dc.date.issued2023-
dc.identifier.urihttps://er.chdtu.edu.ua/handle/ChSTU/5851-
dc.description.abstractОб’єктом дослідження є системи виявлення зловмисних веб-ресурсів та веб-загроз в інформаційно-телекомунікаційних системах. Предметом дослідження є моделі, методи та засоби нейромережевої системи виявлення зловмисних веб-ресурсів. Метою роботи є аналіз систем виявлення зловмисних веб-ресурсів та розробка моделей та методів дослідження шахрайських інтернет-посилань нейромережевими засобами для підвищення безпеки в Інтернеті. В кваліфікаційній роботі проводиться аналіз шкідливого програмного забезпечення, його класифікація та небезпеки, які воно може викликати. В якості альтернативного рішення для підвищення безпеки користування Інтернет ресурсами пропонується використання сучасних механізмів аналізу даних. Зокрема, це застосування машинного навчання для аналізу та виявлення підозрілих і шкідливих веб-ресурсів та запобігання користування ними. На основі такого підходу запропоновано застосування нейромережевої системи для побудови та аналізу моделі виявлення шкідливих веб-ресурсів, що допоможе користувачам убезпечити себе від malicious websites. Запропонована нова нейромережева модель аналіза даних характеризується своєю простотою, високою швидкістю навчання та кращими кількісними показниками. Зокрема, якість передбачення зловмисних веб-ресурсів по аналізу їх посилань вдалося покращити на 6% (з 80% до 86%) у порівнянні з традиційним машинним навчанням, що в цілому позитивно відобразиться на обробці даних.uk_UA
dc.language.isoukuk_UA
dc.subjectмашинне навчанняuk_UA
dc.subjectнейромережеві структуриuk_UA
dc.subjectзловмисні веб-ресурсиuk_UA
dc.titleВиявлення зловмисних веб-ресурсів нейромережевими засобамиuk_UA
dc.typeMaster Thesisuk_UA
Розташовується у зібраннях:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Файли цього матеріалу:
Файл Опис РозмірФормат 
М_125_Карасьов_Палагін.pdf
  Restricted Access
2.84 MBAdobe PDFПереглянути/Відкрити    Запит копії


Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.

Extracted text
 
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, 
АВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ  
ТА КІБЕРБЕЗПЕКИ 
 
 
До захисту допущено  
завідувач кафедри РТСК 
д.т.н., професор  
_______________ В.В. Палагін  
"_____" _____________ 2023 року 
 
 
Пояснювальна записка 
до дипломного роботи 
  магістра   
(освітньо-кваліфікаційний рівень) 
 
 
на тему Виявлення зловмисних веб-ресурсів нейромережевими засобами 
 
Виконав: студент  2  курсу, групи    БІ-021    
Спеціальності         125 – «Кібербезпека та захист 
інформації» , 
(шифр і назва спеціальності) 
 
освітньої програми  «Безпека інформаційних і 
комунікаційних систем»  
                         (назва освітньої програми) 
   Карасьов В.В.   
(прізвище та ініціали) 
Керівник        Палагін В.В.  
(прізвище та ініціали) 
Рецензент    
(прізвище та ініціали) 
 
 
Черкаси – 2023 року 
 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
Факультет електронних технологій, автотранспорту та машинобудування 
Кафедра  робототехнічних і телекомунікаційних систем та кібербезпеки  
Освітньо-кваліфікаційний рівень  магістр  
Спеціальність  125 – Кібербезпека  
Освітня програма  – Безпека інформаційних і комунікаційних систем  
 
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри  В.В. Палагін 
“_____” ___________________ 2023 року 
 
 
ЗАВДАННЯ 
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ 
 
Карасьов Володимир Віталійович_ 
(прізвище, ім’я, по батькові) 
1. Тема проекту (роботи) Виявлення зловмисних веб-ресурсів 
нейромережевими засобами 
керівник проекту (роботи)  Палагін Володимир Васильович  
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом вищого навчального закладу від «10»  жовтня  2023 року № 271/04 
 
2. Термін здачі студентом закінченої роботи  «11»  грудня 2023 року_________ 
 
3. Вихідні дані до роботи: застосування моделей машинного навчання для виявлення 
зловмисних веб-ресурсів (RandomForestClassifier, ExtraTreesClassifier,  
DecisionTreeClassifier, KNeighborsClassifier), побудова моделі аналізу даних на основі 
повнозвязних нейромережевих структур (Dense Layer), мова програмування – Python. 
 
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Вступ; Аналіз зловмисних веб-ресурсів та ризиків при їх активації; Моделі та методи 
машинного навчання для виявлення зловмисних веб-ресурсів; Практична реалізація 
нейромережевої системи виявлення зловмисних веб-ресурсів та її аналіз; Висновки; 
Список використаних джерел; Додатки. 
 
5.  Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):  
Схематичні представлення різновидів та класифікація шкідливого програмного 
забезпечення; Deep Learning як підсистема штучного інтелекту та машинного навчання; 
Принцип побудови багатошарових пересепторнних моделей мереж; Узагальнена схема 
навчання нейромережевої структури; Структура URL-адреси веб-ресурсів; Структурна 
схема реалізації машинного навчання для виявлення зловмисних веб-ресурсів; Скріншоти 
роботи програми; Мультимедійна презентація. ________________________ 
.
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються 
Прізвище, ініціали та посада Підпис, дата 
Розділ консультанта завдання завдання 
видав прийняв 
    
    
    
 
7. Дата видачі завдання  04 вересня 2023 року  
  
 
 
 
КАЛЕНДАРНИЙ ПЛАН  
 
№ Назва етапів дипломного  Строк виконання 
з/п проекту (роботи)  етапів проекту Примітка  
(роботи) 
1. П ошук і аналіз інформації по заданій темі 04.09.2023-  
15.09.2023 
2. Н аписання 1-го розділу: аналіз зловмисних 16.09.2023-  
веб-ресурсів та ризиків при їх активації 30.09.2023 
3. Н аписання 2-го розділу: моделі та методи 01.10.2023-  
машинного навчання для виявлення 20.10.2023 
зловмисних веб-ресурсів 
4. Н аписання 3-го розділу: практична реалізація 21.10.2023-  
нейромережевої системи виявлення 09.11.2023 
зловмисних веб-ресурсів та її аналіз 
5. Н аписання вступу і висновків, складання 10.11.2023-  
списку літератури 20.11.2023 
6. О формлення пояснювальної записки 20.11.2023-  
05.12.2023 
7. О формлення плакатів презентації 01.12.2023-  
10.12.2023 
 
 
 
 
Студент        Карасьов В.В.  
 ( підпис ) (прізвище та ініціали) 
 
 
Керівник проекту (роботи)  Палагін В.В.  
 ( підпис ) (прізвище та ініціали) 
 
ЗМІСТ 
ВСТУП 5 
6 
РОЗДІЛ 1. АНАЛІЗ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ ТА РИЗИКІВ 
ПРИ ЇХ АКТИВАЦІЇ 
1.1. Аналіз небезпек при використанні зловмисних веб-ресурсів 7 
1.2. Класифікація шкідливого ПЗ 15 
1.3. Поширення шкідливого ПЗ 25 
1.4. Аналіз збитків при шкідливим ПЗ 25 
1.5. Способи виявлення шкідливих веб-сайтів 28 
1.6. Висновки 34 
 
РОЗДІЛ 2. МОДЕЛІ ТА МЕТОДИ МАШИННОГО НАВЧАННЯ ДЛЯ 
36 
ВИЯВЛЕННЯ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ 
2.1. Поняття машинного навчання та його можливості для аналізу даних 36 
2.2. Моделі нейронних мереж та принци їх функіонування 41 
2.3. Визначення ознак для побудови нейромережевої моделі виявлення 45 
зловмисних веб-ресурсів 
2.4. Побудова нейромережевої моделі бінарної класифікації для 49 
виявлення зловмисних веб-ресурсів   
2.5. Представлення ознак набору даних URL-адреси 52 
2.6. Висновки 59 
 
РОЗДІЛ 3. ПРАКТИЧНА РЕАЛІЗАЦІЯ НЕЙРОМЕРЕЖЕВОЇ 
60 
СИСТЕМИ ВИЯВЛЕННЯ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ ТА ЇЇ 
АНАЛІЗ 
3.1 Основі етапи підготовки даних 60 
3.2 Аналіз даних та інженерія ознак 66 
БІ021.023.22190.248 ПЗ 
Змн. Арк. № докум. Підпис Дата 
 Розроб. Карасьов В. Виявлення зловмисних веб- Літ. Арк. Акрушів 
 Перевір. Палагін В. ресурсів нейромережевими 3  
 Реценз.  засобами 
 Н. Контр. Палагін В. ЧДТУ 
 Затверд.   
 
3.4 Подова та дослідження нейромережевої моделі виявлення 73 
зловмисних веб-ресурсів 
3.4 Подова та дослідження нейромережевої моделі виявлення 75 
зловмисних веб-ресурсів 
3.5. Висновки 80 
ВИСНОВКИ 81 
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ 82 
  
 
Лист 
БІ021.023.22190.248 ПЗ 
 
Змін. Лист № докум. Підпис Дата 
 
ВСТУП 
Більшість користувачів комп’ютерною технікою не знають про те, що не 
потрібно навмисно завантажувати зловмисне вкладення, щоб поставити під 
загрозу безпеку комп’ютера. Шкідливі веб-сайти та випадкові завантаження — 
це лише два способи порушити безпеку, якщо лише відвідати веб-сайт. Таке 
відвідування сайтів потребує захисту комп’ютера за допомогою надійної 
програми безпеки в Інтернеті. 
Шкідливий веб-сайт (malicious websites) – це сайт, який намагається 
встановити зловмисне програмне забезпечення (загальний термін для всього, 
що може порушити роботу комп’ютера, збирати вашу особисту інформацію 
або, у гіршому випадку, отримати повний доступ до вашого комп’ютера) на 
ваш пристрій.  
В кваліфікаційній роботі проводиться аналіз шкідливого програмного 
забезпечення, його класифікація та небезпеки, які воно може викликати. Для 
боротьби з таким програмним забезпеченням існують різноманітні додатки, 
які запобігають або попереджають про відвідування таких веб-сайтів або 
підозрілі завантаження.  
В якості альтернативного рішення для підвищення безпеки 
користування Інтернет ресурсами пропонується використання сучасних 
механізмів аналізу даних. Зокрема, це застосування машинного навчання для 
аналізу та виявлення підозрілих і шкідливих веб-ресурсів та запобігання 
користування ними. На основі такого підходу запропоновано застосування 
нейромережевої системи для побудови та аналізу моделі виявлення 
шкідливих веб-ресурсів, що допоможе користувачам убезпечити себе від 
malicious websites. 
В роботі приводиться нейромережева структура побудови моделі 
аналізу даних та надається оцінка якості отриманих рішень. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  5 
 
Метою роботи є аналіз систем виявлення зловмисних веб-ресурсів  та 
розробка моделей та методів дослідження шахрайських інтернет-посилань 
нейромережевими засобами для підвищення безпеки в Інтернеті.  
Для досягнення поставленої мети в робот розв’язані наступні задачі: 
● огляд і аналіз загроз для користувача при впливі зловмисних веб-ресурсів ; 
● аналіз методів захисту та попередження від негативного впливу 
зловмисних веб-ресурсів; 
● аналіз систем глибинного навчання та їх застосування для задач виявлення 
зловмисних веб-ресурсів; 
● розробка нейромережевої структури, її практична реалізація та аналіз для 
задач виявлення зловмисних веб-ресурсів. 
Об’єктом дослідження є системи виявлення зловмисних веб-ресурсів 
та веб-загроз в інформаційно-телекомунікаційних системах. 
Предметом дослідження є моделі, методи та засоби нейромережевої 
системи виявлення зловмисних веб-ресурсів. 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  6 
 
1. АНАЛІЗ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ ТА РИЗИКІВ ПРИ 
ЇХ АКТИВАЦІЇ 
 
1.1. Аналіз небезпек при використанні зловмисних веб-ресурсів 
 
Соціальна онлайн-мережа (OSN) — це платформа, на якій люди 
взаємодіють і спілкуються один з одним для різних цілей, наприклад для 
розваг, маркетингу та бізнесу. Користувачі діляться своїми ідеями, 
фотографіями, відео, подіями та особистою інформацією у вигляді 
публікацій на цих платформах. Публікація всіх цих деталей на соціальних 
онлайн-платформах не тільки створює можливості для людей, але також 
може призвести до багатьох проблем із конфіденційністю.  
Це створює можливість для кіберзлочинців атакувати їх 
конфіденційність і отримувати те, що вони хочуть. Саме тут фішингові атаки 
стають дуже поширеними. Такі атаки здійснюються шляхом дотримання 
загального методу скорочення URL-адрес (уніфіко́ваний лока́тор ресу́рсів 
або адре́са ресу́рсу (англ. Uniform Resource Locator) через служби скорочення 
URL-адрес і додавання їх у різні публікації та статуси в соціальних мережах. 
Фішингова атака в соціальних мережах полягає в тому, що користувача 
обманюють, щоб він натиснув на заражене посилання, що може призвести до 
атаки на завантаження, або може викрасти облікові дані користувача або з 
сайту, або шляхом непрямого запиту користувача ввести свої дані.  
Більшість URL-адрес дуже схожі на оригінальні URL-адреси, що 
змушує користувачів повірити, що вони відкривають справжнє посилання 
(рис.1.1.). На цьому рисунку наведений фейковий веб-ресурс Приватбанку, 
одного з найбільших в Україні фінансових установ, при переході чи 
натисканні посилань відбудуться зловмисні дії фінансового характеру.  
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  7 
 
 
Рис.1.1. Зловмисний веб-ресурс на прикладі фейкового посилання на 
ресурс Приватбанку. 
 
Популярні платформи соціальних мереж, такі як Twitter, Facebook та ін. 
є дуже відомими соціальними мережами, які користуються популярністю. 
Вони мають певні обмеження на використання символів у дописі. Таким 
чином можуть бути використані скорочені URL-адреси, щоб надати 
додаткові відомості разом із дописом. Це дає можливість кіберзлочинцям 
скористатися скороченими URL-адресами та завдати шкоди системі 
користувача або отримати доступ до його особистих даних. Атаки з приводу 
завантаження та спонукання користувачів надавати приватну інформацію 
розглядаються як дедалі більша проблема кібератак, особливо коли 
кіберзлочинці націлені на масштабні події, що мають тенденцію на різних 
соціальних онлайн-платформах. Популярні теми та пов’язані з ними терміни 
або хештеги є найпростішим способом для кіберзлочинців заманити 
користувачів, які шукають інформацію. URL-адреси додаються разом із 
публікацією, і ці URL-адреси складаються з додаткової інформації, доказів 
теми, згаданої в публікації, або зображення, яке підтверджує цю тему. 
Такі атаки, як атаки на завантаження, можна запобігти шляхом 
вивчення поведінкового аналізу шкідливих програм, що призводить до 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  8 
 
ідентифікації шкідливих URL. Дослідники наголошують на виявленні 
шкідливих і безпечних URL-адрес і працюють над створенням моделей 
машинного навчання для класифікації URL-адрес. Класифікація працює на 
різних типах функцій, включаючи функції машинної активності, функції 
твітів, функції на основі URL-адрес, лексичні особливості тощо. Ці функції 
допомагають визначити, чи є певна URL-адреса шкідливі для користувача. 
Стало дуже важливо побудувати такий механізм, який забезпечує 
хорошу точність у виявленні шкідливих URL-адрес, щоб захистити приватні 
дані і бути в безпеці від грошових втрат. Якщо перевірити URL-адресу перед 
її відкриттям, користувач може бути врятований від будь-якої потенційної 
шкоди.  
Шкідливі веб-сайти (malicious websites) часто виглядають як законні веб-
сайти. Іноді вони просять вас встановити програмне забезпечення, яке, здається, 
потрібно вашому комп’ютеру. Наприклад, відео-веб-сайт може попросити вас 
встановити кодек, який є невеликою інформацією, необхідною відеопрогравачу 
для роботи на веб-сайті. Можливо, ви звикли встановлювати безпечні кодеки, 
але потрібна лише одна небезпечна інсталяція, щоб скомпрометувати вашу 
машину та конфіденційну інформацію разом з нею. Подібним чином веб-сайт 
може запитати дозвіл на встановлення однієї програми, але встановити зовсім 
іншу програму, яку ви точно не хочете мати на своєму комп’ютері. 
Шкідливе програмне забезпечення, або Malware, є загальною 
категорією програм, створених з метою завдання шкоди комп'ютерам, 
мережам або користувачам. Воно може приймати різні форми і виконувати 
різноманітні завдання, включаючи видалення, крадіжку даних, 
відслідковування користувачів і навіть використовувати ресурси комп'ютера 
для спаму або генерації криптовалюти. Умовні різновиди Malware 
представлені на рис.1.2. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  9 
 
 
Рис.1.2. Різновиди шкідливого програмного забезпечення 
 
 Іноді можуть траплятися так звані автозавантаження, що це таке? 
Автозавантаження ще страшніші, ніж шкідливий веб-сайт, хоча вони іноді 
збігаються. Завантаження Drive-by можна встановити на комп’ютері 
користувача, просто переглянувши електронний лист, переглянувши веб-сайт 
або натиснувши спливаюче вікно з текстом, призначеним для введення вас в 
оману, наприклад помилковим повідомленням про помилку. Цей тип 
зловмисного програмного забезпечення особливо лякає, оскільки практично 
неможливо дізнатися, чи користувач робив щось для встановлення зловмисного 
програмного забезпечення. Більше того, антивірусне програмне забезпечення 
може бути не в змозі виявити його, оскільки хакери навмисно ускладнюють 
виявлення антивірусним програмним забезпеченням. 
Для швидкісних завантажень часто не потрібна згода користувача. Іноді 
шкідливий код ховається глибоко в коді веб-сайту. Коли завантаження 
почнеться, може бути важко або неможливо її зупинити на комп’ютері, 
планшеті чи мобільному телефоні. Можливо, що навіть при відвідуванні сайту, 
якому довіряєте, туди якимось чином туди потрапило шкідливе завантаження, 
наприклад, при завантаженні реклами (рис.1.3). 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  10 
 
 
Рис.1.3. Потрапляння шкідливого програмного забезпечення при 
відвідування небезпечних веб-ресурсів. 
 
Коли рекламна мережа потрапляє в руки зловмисників, це може мати 
серйозні наслідки для видавців. Їхня репутація постраждає, відвідуваність сайту 
та дохід впадуть, і вони навіть можуть зіткнутися з юридичною 
відповідальністю за шкоду, заподіяну користувачам. 
Хоча видавці добре знають про цю проблему, виявлення та блокування 
зловмисної реклами становить серйозну проблему. Рекламні мережі показують 
оголошення від незліченних рекламодавців і динамічно відображають їх за 
допомогою ставок у реальному часі. Це неймовірно ускладнює ретельне 
тестування кожної окремої реклами, що показується користувачам. 
Методи вставлення зловмисного програмного забезпечення в оголошення 
включають: 
1. Зловмисне програмне забезпечення в рекламних викликах: коли на веб-
сайті відображається сторінка з рекламою, біржа реклами доставляє 
рекламу через третіх сторін. Зловмисники можуть скомпрометувати один 
із цих сторонніх серверів і впровадити шкідливий код у корисне 
навантаження реклами. 
2. Після натискання зловмисного програмного забезпечення: коли 
користувачі натискають оголошення, вони переспрямовуються через 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  11 
 
кілька URL-адрес, перш ніж перейти на цільову сторінку оголошення. 
Якщо зловмисник скомпрометує будь-яку з цих URL-адрес, він може 
запустити шкідливий код. 
3. Шкідливе програмне забезпечення в рекламних оголошеннях: шкідливе 
програмне забезпечення можна вставляти в текстові або банерні 
оголошення. Наприклад, HTML5 дозволяє рекламі поєднувати 
зображення та JavaScript, який може містити шкідливий код. Рекламні 
мережі, які використовують формат Flash (.swf), особливо вразливі до 
цього. 
4. Зловмисне програмне забезпечення в межах пікселя: пікселі – це код, 
вбудований у рекламні виклики або цільові сторінки для відстеження 
даних. Законні пікселі лише надсилають дані, але якщо зловмисник 
перехопить шлях доставки пікселя, він може надіслати відповідь із 
шкідливим кодом у браузер користувача. 
5. Зловмисне програмне забезпечення у відео: відеопрогравачі не 
забезпечують захист від зловмисного програмного забезпечення. 
Наприклад, стандартні формати відео (VAST) можуть містити пікселі від 
третіх сторін, які можуть містити шкідливий код. Відео можуть заразити 
користувачів, показуючи шкідливу URL-адресу в кінці. 
6. Зловмисне програмне забезпечення у Flash-відео: відео на основі Flash 
може вставляти на сторінку вбудований фрейм (iframe), який завантажує 
зловмисне програмне забезпечення без потреби користувача натискати 
відео. Шкідливий код також можна вставити в банери перед роликом, які 
завантажуються під час завантаження відеофайлу. 
7. Зловмисне програмне забезпечення на цільовій сторінці: навіть на 
законних цільових сторінках, які обслуговують авторитетні веб-сайти, 
елементи, які можна натиснути, можуть виконувати зловмисний код. Цей 
тип зловмисного програмного забезпечення особливо небезпечний, 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  12 
 
оскільки користувачі натискають оголошення, потрапляють на справжню 
цільову сторінку, але заражаються шкідливим елементом на сторінці. 
 
Це не єдина загроза відвідування шкідливих веб-ресурсів, є і інші, які 
розглянуті нижче. 
Шкідливе програмне забезпечення є шкідливим через свою здатність 
завдавати шкоди. Це може бути видалення чи пошкодження файлів, крадіжка 
особистої інформації, шпигунство, викуп ваших даних (рансомвар), атака на 
інші комп'ютери або мережи (наприклад, через ботнети), завдання фінансових 
втрат та інше.  
Шкідливе програмне забезпечення може також завдавати репутаційної 
шкоди та використовуватися для реалізації кібератак. 
Втрата даних. Шкідливе програмне забезпечення може видаляти або 
пошкоджувати важливі файли та дані на комп'ютері. Приклад: віруси, які 
видаляють системні файли або важливі документи. 
Крадіжка ідентифікаційних даних. Зловмисники можуть використовувати 
шкідливе програмне забезпечення для крадіжки особистих ідентифікаційних 
даних, таких як паролі, номери кредитних карток та соціальні страхові номери. 
Приклад: троянські коні, спрямовані на крадіжку паролів.  
Вимагання викупу. Рідоме програмне забезпечення (ransomware) 
зашифровує файли на комп'ютері та вимагає викуп за їх розшифрування. 
Приклад: WannaCry або Locky.  
Спам і атаки на електронну пошту. Шкідливе ПЗ може використовувати 
комп'ютери для розсилання спаму та фішингових листів. Приклад: ботнети, які 
відправляють спам. 
Атаки на мережеву безпеку. За допомогою шкідливого програмного 
забезпечення, зловмисники можуть атакувати корпоративні мережі, завдаючи 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  13 
 
серйозної шкоди бізнес-процесам. Приклад: атаки DDoS, які переповнюють 
сервери запитами, щоб призвести до їх відмови. 
Заволодіння вищими привілеями. Деяке шкідливе ПЗ може надавати 
зловмисникам вищі привілеї на комп'ютері або сервері, що дозволяє їм отримати 
контроль над системою. Приклад: атаки вищих прав, які використовують 
програмні слабкості для отримання доступу. 
Поширення іншого шкідливого ПЗ. Шкідливе програмне забезпечення 
може розповсюджувати інше шкідливе ПЗ на вашому комп'ютері. Приклад: 
віруси, які завантажують і встановлюють додатковий шкідливий код. 
Втрата фінансових активів. Зловмисники можуть використовувати 
шкідливе ПЗ для схем обману та шахрайства, що може призвести до втрати 
фінансових активів. Приклад: фішингові атаки, спрямовані на викрадення 
фінансових реквізитів. 
 Порушення приватності. Шкідливе програмне забезпечення, таке як 
шпигунське ПЗ (spyware), може використовуватися для стеження за 
користувачами та порушення їхньої приватності. 
Рансомвар (ransomware, викрадачі) - заблоковують доступ до даних 
або системи і вимагають викуп за їх розблокування. 
Шпигунське ПЗ - збирає інформацію про користувача або систему та 
передає її стороннім особам. 
Ботнети - комп'ютери, інфіковані шкідливим програмним 
забезпеченням, об'єднуються у мережу, яку контролюють зловмисники. 
Фішинг - шахраї використовують підроблені веб-сайти або електронні 
листи, щоб змусити користувачів розкрити особисту інформацію. 
Спам-боти - використовуються для відправки небажаних повідомлень 
електронної пошти або коментарів. 
 
Репутаційна шкода в контексті комп'ютерної безпеки вказує на зниження 
доброї репутації чи довіри до особи, організації або бренду через негативні події 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  14 
 
або інциденти, пов'язані з кібербезпекою. У випадку шкідливого програмного 
забезпечення, репутаційна шкода може виникати через наступні причини. 
Втрата даних користувачів. Якщо компанія втрачає конфіденційні або 
особисті дані своїх користувачів через атаку шкідливого ПЗ, це може призвести 
до падіння довіри і втрати клієнтів. 
Поширення спаму та атак. Якщо комп'ютери чи сервери організації 
стають частиною ботнету або використовуються для спаму та атак на інші 
системи, це може негативно вплинути на репутацію. 
Завдання шкоди іншим організаціям. Якщо організація стає джерелом атак 
на інші компанії або влади, це може призвести до серйозних наслідків для 
репутації. 
Втрата даних клієнтів або партнерів. Якщо організація не може 
захистити конфіденційні дані своїх клієнтів або партнерів, це може спричинити 
втрату довіри і зниження репутації. 
Заходи безпеки і публічна інформація. Якщо організація стає жертвою 
кібератаки, це може вплинути на її репутацію, якщо виявляється, що вона не 
забезпечила належний рівень кіберзахисту. 
Збитки для бренду і іміджу. Негативні заголовки в ЗМІ та соціальних 
медіа через кіберінцидент можуть завдати шкоди бренду і іміджу компанії. 
Репутаційна шкода може бути важко відновлюваною, і вона може мати 
серйозні фінансові наслідки для компанії. Тому важливо бути обачними і 
вживати заходів безпеки для захисту від кіберзагроз, що може завдати шкоди 
репутації. 
 
1.2. Класифікація шкідливого ПЗ 
Шкідливе програмне забезпечення, яке може міститися на підозрілих та 
небезпечних веб-ресурсах, має різну основу і свою класифікацію, одну з яких 
наведено на рис.1.4. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  15 
 
 
 
Рис.1.4. Класифікація шкідливого програмного забезпечення 
 
Наведемо коротку характеристику деяких зі складових шкідливого ПЗ, 
наведених на рис.1.3 та 1.4. 
Віруси (Viruses) - програми, які можуть розповсюджувати і 
розмножувати себе, впроваджуючись у інші файли або програми.  
Поширення вірусів в контексті комп'ютерної безпеки відноситься до 
способів, якими шкідливе програмне забезпечення (віруси) поширюється та 
інфікує комп'ютери та мережі. Віруси - це один із видів шкідливого ПЗ, яке 
може вставлятися в інші програми або файли та виконувати деструктивні дії 
після активації. Ось деякі способи поширення вірусів. 
Електронна пошта. Віруси можуть бути відправлені у вкладенні до 
електронного листа або у формі посилань на інфіковані веб-сайти. 
Користувачі можуть бути введені у спокусу відкрити такі листи або 
посилання, що в результаті дозволяє вірусу виконатися на їхньому 
комп'ютері. 
Використання програмних слабкостей. Віруси можуть 
використовувати виявлені уразливості в операційних системах чи 
програмному забезпеченні для інфікування комп'ютерів. Це може 
відбуватися без активного втручання користувача. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  16 
 
Обмін файлами. Віруси можуть поширюватися через обмін файлами, 
такий як спільний доступ до документів у мережі або обмін файлами через 
USB-накопичувачі. Якщо інфікований файл потрапляє на інший комп'ютер, 
це може призвести до інфікування інших систем. 
Соціальна інженерія. Віруси можуть використовувати методи 
соціальної інженерії, щоб введені користувачі виконали певні дії, такі як 
завантаження інфікованих файлів або надання доступу до своєї системи через 
фішингові атаки. 
Поширення вірусів може бути широким і швидким, і він може вражати 
не тільки окремі комп'ютери, але і цілі мережі. Основний захист від вірусів 
полягає в оновленні програмного забезпечення, використанні антивірусного 
програмного забезпечення та усвідомленні користувачами потенційних 
загроз та заходів безпеки. 
 
Хробаки (Worms) - це один із видів шкідливого програмного 
забезпечення, яке спеціалізується на самостійному поширенні через 
комп'ютерні мережі. Вони можуть завдати серйозної шкоди інфраструктурі 
мережі та підключеним пристроям. Класифікацію таких хробаків можна 
привести в наступному описі. 
Мережеві хробаки (Network Worms). Цей тип хробаків поширюється 
через мережу, використовуючи вразливості у мережевих протоколах або 
службах. Вони можуть автоматично сканувати мережу для пошуку цільових 
систем, використовуючи вразливості для інфікування нових машин. 
Електронні поштові хробаки (Email Worms). Ці хробаки 
розповсюджуються через електронну пошту, вкладені файли або посилання в 
тексті повідомлення. Вони можуть автоматично розсилати себе до адресатів 
у списку контактів жертви. 
USB-хробаки (USB Worms). Цей тип хробаків може інфікувати 
комп'ютери через зовнішні USB-пристрої, такі як флешки або зовнішні 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  17 
 
жорсткі диски. Вони використовують вразливості автоматичного запуску на 
комп'ютері для відкриття додаткових шляхів інфікування. 
Спеціалізовані хробаки. Деякі хробаки створюються для виконання 
конкретних завдань, таких як збір конфіденційної інформації, атаки на 
інфраструктуру мережі або створення ботнетів. 
Способи проникнення. Хробаки можуть використовувати вразливості в 
операційних системах або програмах для незаконного доступу до 
комп'ютерів. Якщо користувач не встановлює патчі та оновлення безпеки, то 
це може стати витоком для хробака. 
Соціальна інженерія. Деякі хробаки використовують соціальну 
інженерію, щоб отримати доступ до системи. Вони можуть використовувати 
маніпуляції та обман, щоб переконати користувача виконати дії, які 
дозволять хробакові проникнути в систему. 
Зараження через файлові додатки. Хробаки можуть приєднуватися до 
виконуваних файлів або документів і переноситися через них на інші 
комп'ютери. Коли ці файли відкриваються на іншому комп'ютері, хробак 
активується. 
 
Загрози, які створюють хробаки.  
Перенесення інфекції.  Хробаки можуть швидко поширювати інфекцію 
через всю мережу, інфікуючи всі доступні комп'ютери. Це може призвести до 
масштабної інфекції мережі. 
Втрата конфіденційних даних. Хробаки можуть вкрасти 
конфіденційну інформацію, таку як паролі, особисті дані та корпоративну 
інформацію, і відправити її зловмисникам. 
Переривання роботи мережі.  Хробаки можуть завдати серйозної 
шкоди мережеві, перевантаживши її або завдаючи інших завад в роботі 
систем. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  18 
 
Створення ботнетів. Деякі хробаки можуть перетворювати інфіковані 
комп'ютери в ботнети (мережі збройних комп'ютерів), які можуть бути 
використані для здійснення атак на інші цілі, такі як DDoS-атаки. 
 
Троянські коні (Trojans) - програми, які приховуються від користувача 
і виконують небажані дії, такі як крадіжка даних або віддалене керування 
системою. Цей тип шкідливого ПЗ отримав свою назву від легенди про 
Троянську війну, де греки використовували хитрість для проникнення в 
Трою. 
Класифікація Троянських коней. 
Backdoor (задні ворота): Трояни цього типу створюють "задні ворота" в 
комп'ютерній системі, що дозволяють зловмисникам отримувати доступ та 
керувати системою без відома користувача. 
Password Stealers (викрадачі паролів): Ці Трояни здатні викрадати 
паролі та іншу конфіденційну інформацію, яка  зберігається на комп'ютері 
або веб-браузері. 
Downloader (завантажувач): Трояни цього типу завантажують інше 
шкідливе програмне забезпечення на комп'ютер, зазвичай віруси. 
Remote Administration Trojans (Трояни для віддаленого керування): Ці 
Трояни дозволяють зловмисникам віддалено керувати комп'ютером, 
виконувати команди та передавати файлів. 
RATs (Remote Access Trojans - Трояни для віддаленого доступу): Рати 
подібні до Троянів для віддаленого керування, але їхні можливості дуже 
розширені, і вони часто використовуються для шпигунства і витоку 
конфіденційної інформації. 
 
Яку шкоду можуть нанести такі віруси. 
Крадіжка інформації. Трояни можуть викрасти особисту інформацію, 
включаючи паролі, банківські дані, дані кредитних карток і інше. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  19 
 
Віддалене керування. Зловмисники можуть віддалено керувати вашим 
комп'ютером і використовувати його для різних атак. 
Введення інших шкідливих програм. Трояни можуть завантажити і 
встановити інше шкідливе ПЗ на ваш комп'ютер. 
Руйнування даних. Зловмисники можуть видаляти або пошкоджувати 
ваші файли і дані. 
Зміна налаштувань системи. Трояни можуть змінювати налаштування 
вашої системи, щоб приховувати свою присутність та запобігти виявленню. 
Спам і атаки на інші системи.  Зловмисники можуть використовувати 
ваш комп'ютер для поширення спаму або атак на інші системи через ботнети. 
 
Приклади Троянських коней. 
Zeus (Zbot): Цей Троян був розроблений для крадіжки фінансової 
інформації, такої як дані банківських карток. 
Emotet: Emotet спеціалізується на розповсюдженні інших шкідливих 
програм і відомий своєю загрозою для корпоративних мереж. 
DarkTequila. Цей Троянці ставить націлену атаку на користувачів і 
намагається крадіжку конфіденційної інформації, включаючи банківські дані. 
Poison Ivy. Це один з популярних Троянів для віддаленого керування, 
який використовується для шпигунства і контролю над інфікованими 
системами. 
Cryptolocker.  Цей Троян шифрує файли на комп'ютері і вимагає викуп 
за їх розшифрування. 
Щоб захистити себе від Троянських коней, важливо тримати свою 
операційну систему та антивірусне програмне забезпечення оновленими, 
уникати завантаження файлів з ненадійних джерел та бути обережними під 
час відкриття вкладених файлів в електронних листах. 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  20 
 
Rootkits (також відомі як руткіти) - це вид шкідливого програмного 
забезпечення, яке призначене для незаконного і прихованого доступу до 
операційної системи комп'ютера або сервера. Rootkit зазвичай приховує свою 
присутність та дії від користувачів та антивірусних програм, що робить їх 
особливо небезпечними. 
Основні характеристики rootkits. 
Прихованість: Rootkit призначений для того, щоб залишатися 
прихованим на комп'ютері чи сервері, щоб навіть адміністратор системи не 
міг виявити його наявність. 
Постійність: Більшість rootkits намагаються пережити 
перезавантаження системи і залишатися активними навіть після цього. Вони 
можуть втілюватися в низькорівневих частинах операційної системи. 
Привілеї адміністратора (root): Rootkits намагаються отримати привілеї 
адміністратора або навіть суперкористувача (root) для того, щоб мати повний 
контроль над системою. 
Методи розповсюдження та загрози, які вони створюють. 
Вразливості в системі: Rootkits можуть використовувати вразливості в 
операційній системі або програмах для того, щоб незаконно отримати доступ 
до системи. 
Соціальна інженерія: Зловмисники можуть використовувати соціальну 
інженерію для того, щоб введення користувача у виконання дій, які 
дозволять встановити rootkit. 
Фізичний доступ: У деяких випадках, фізичний доступ до комп'ютера 
або сервера може допомогти зловмисникам встановити rootkit. 
 
Загрози, які створюють Rootkit. 
Порушення приватності. Rootkits можуть вкрадати конфіденційні дані, 
такі як паролі, особисті інформації та корпоративну інформацію. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  21 
 
Контроль системи. Зловмисники можуть мати повний контроль над 
комп'ютером чи сервером, що дозволяє їм виконувати різні злочинні дії, 
включаючи видалення файлів, створення ботнетів або виконання атак. 
Спостереження та відстеження. Rootkits можуть встановлювати 
системи слідкування та відстеження для того, щоб реєструвати дії 
користувачів без їхнього відома. 
Використання для атак. Зловмисники можуть використовувати 
комп'ютери, інфіковані rootkit, для атак на інші системи, створюючи ботнети 
або запускаючи DDoS-атаки. 
Для захисту від rootkits важливо встановлювати оновлення та патчі 
безпеки, використовувати антивірусне програмне забезпечення, а також 
обережно перевіряти інсталяційні файли і лінки, особливо при отриманні 
невідомих повідомлень чи відкриванні невідомих додатків. 
 
Spyware (шпигунське програмне забезпечення) - це вид шкідливого 
програмного забезпечення, яке незаконно встановлюється на комп'ютерах 
або інших пристроях з метою збору конфіденційної інформації та передачі її 
зловмисникам. Головна характеристика spyware - це його прихована та 
небажана активність, яка спостерігається користувачем без його згоди чи 
знання.  
Основні характеристики spyware. 
Прихованість. Spyware працює у фоновому режимі, приховуючи свою 
присутність від користувача. Він може функціонувати так, що його важко 
помітити, навіть якщо користувач шукає підозрілі програми. 
Збір інформації. Головною метою spyware є збір різноманітної 
конфіденційної інформації, такої як історія веб-перегляду, паролі, ключі 
доступу, особисті дані, інформація про кредитні картки та інше. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  22 
 
Відсилання інформації зловмиснику.  Зібрана інформація передається 
зловмиснику або спонсорам, які фінансують розповсюдження spyware. Це 
може стати джерелом загрози для конфіденційності та безпеки користувача. 
 
Способи розповсюдження та загрози, які вони створюють. 
Бандлінг. Spyware може бути встановлено разом з безкоштовними або 
дешевими програмами, такими як фривари та розширення браузера. 
Користувачі, які не ретельно перевіряють умови ліцензії і опції встановлення, 
можуть ненавмисно встановити spyware. 
Фішинг і соціальна інженерія. Зловмисники можуть використовувати 
фішингові атаки та соціальну інженерію, щоб введення користувача у 
виконання дій, які дозволять встановити spyware. 
Зламані веб-сайти і шкідливі посилання. Spyware може бути 
розповсюджуваним через зламані веб-сайти або шкідливі посилання, які 
ведуть до завантаження і встановлення шкідливого програмного 
забезпечення без відома користувача. 
 
Загрози, які створюють spyware. 
Порушення приватності. Spyware збирає особисті дані та 
конфіденційну інформацію користувача без його згоди, що може призвести 
до порушення приватності. 
Шахрайство і крадіжка ідентифікації. Зібрана інформація, така як 
паролі і дані для доступу до банківських або фінансових рахунків, може бути 
використана для шахрайства та крадіжки ідентифікації. 
Поширення інших загроз. Spyware може використовувати зібрану 
інформацію для налаштування спаму, фішингу, атаки вимагання викупу, а 
також для поширення інших видів шкідливого програмного забезпечення. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  23 
 
Для захисту від spyware важливо встановлювати надійне антивірусне 
програмне забезпечення, оновлювати операційну систему та всі програми, 
бути обережними під час встановлення програм. 
 
Adware (від англ. "advertising" - реклама і "software" - програмне 
забезпечення) - це вид програмного забезпечення, яке призначене для 
відображення рекламних оголошень на комп'ютері або іншому пристрої 
користувача. Головною метою adware є показ рекламних матеріалів 
користувачу з метою заробітку для розробників чи рекламних партнерів. 
Однак, часто adware може бути нав'язливим та неприємним для користувача.  
 
Основні характеристики adware. 
Реклама та спонсорство. Adware відображає рекламні банери, вікна, 
посилання або інші форми реклами на екрані користувача під час роботи з 
комп'ютером або перегляду веб-сторінок. 
Прихованість і нав'язливість. Деякі adware можуть бути важко 
видалити або приховані від користувача. Вони можуть продовжувати 
показувати рекламу навіть після спроби її видалення. 
Заробіток. Розробники adware отримують прибуток від рекламних 
партнерів, які платять за покази або кліки на рекламу. 
 
Способи розповсюдження та загрози, які вони створюють: Бандлінг, 
фішинг і соціальна інженерія, зламані веб-сайти і шкідливі посилання. 
 
Загрози, які створюють adware: Нав'язлива реклама, порушення 
приватності.  
Витрати ресурсів. Певні adware можуть споживати велику кількість 
системних ресурсів (процесор, пам'ять), що призводить до сповільнення 
роботи комп'ютера. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  24 
 
Якщо adware не належним чином управляється або видаляється, воно 
може відкрити доступ для інших видів шкідливого програмного забезпечення 
або вірусів. Для захисту від adware важливо бути обережним під час 
встановлення програм і оновлень, використовувати антивірусне програмне 
забезпечення, яке може виявляти і видаляти adware, і відмовлятися від 
небажаних пропозицій під час встановлення програм. 
 
1.3. Поширення шкідливого ПЗ 
Шкідливе програмне забезпечення (шкідливе ПЗ) може поширюватися 
різними способами, і зловмисники постійно розробляють нові методи для 
інфікування комп'ютерів і мереж. Ось деякі зі способів поширення 
шкідливого ПЗ. 
Фішинг. Зловмисники можуть відправляти електронні листи або 
повідомлення, які виглядають як легітимні відомі вам організації або 
платіжні системи. Ці повідомлення можуть містити посилання на зловмисний 
веб-сайт або вкладені файли і шкідливий код. 
Віруси через веб-сайти. Зловмисники можуть створювати або 
компрометувати веб-сайти, щоб вони автоматично завантажували і 
встановлювали шкідливе ПЗ на ваш комп'ютер, якщо ви відвідуєте ці сайти 
або навіть навідайте на них. 
Використання вразливостей програмного забезпечення. Зловмисники 
можуть використовувати вразливості в операційних системах або 
програмному забезпеченні, щоб внести шкідливий код на ваш комп'ютер 
через веб-сайти або навіть через спеціально створені документи, такі як PDF-
файли або Microsoft Office-документи. 
Соціальна інженерія. Зловмисники можуть намагатися переконати вас 
відкрити вкладений файл або перейти за посиланням, використовуючи 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  25 
 
соціальну інженерію. Це може бути вигадана історія або психологічний трюк 
для маніпулювання вами. 
Завантаження через файлові обмінники і торренти. Зловмисники 
можуть розміщувати інфіковані файли на файлових обмінниках або в 
торрент-мережах, які потім в інтернеті завантажуються багатьма 
користувачами. 
Використання соціальних мереж. Зловмисники можуть поширювати 
шкідливий ПЗ через соціальні мережі, використовуючи фальшиві профілі або 
локальні популярні теми. 
Зловмисні рекламні мережі. Деякі зловмисники можуть 
використовувати зловмисні рекламні мережі, щоб розповсюджувати 
шкідливий код через рекламні банери на веб-сайтах. 
Фізичний доступ до комп'ютера. У деяких випадках, зловмисники 
можуть намагатися отримати фізичний доступ до вашого комп'ютера, 
наприклад, через USB-носії або підключення до мережі Wi-Fi. 
Розповсюдження через спільний доступ до файлів. В мережах, де 
користувачі мають спільний доступ до файлів і папок, шкідливе ПЗ може 
поширюватися через спільні ресурси. 
Для захисту від шкідливого ПЗ важливо використовувати антивірусне 
програмне забезпечення, тримати ваше програмне забезпечення та 
операційну систему оновленими, бути обережними під час відкриття 
невідомих файлів і надсилання електронних повідомлень та перевіряти URL-
адреси на надійність перед переходом за посиланнями. 
 
1.4. Аналіз збитків від шкідливого ПЗ 
Шкода, яку може завдати шкідливе програмне забезпечення (шкідливе 
ПЗ), може бути різноманітною і включати в себе такі наслідки. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  26 
 
Втрата даних. Шкідливе ПЗ може видаляти, пошкоджувати або 
зашифровувати файли та дані на вашому комп'ютері. Наприклад, ransomware 
може зашифровувати ваші файли і вимагати викуп за їх розшифрування. 
Крадіжка особистої інформації. Деяке шкідливе ПЗ призначене для 
крадіжки особистої інформації, такої як паролі, номери кредитних карток, 
соціальні страхові номери тощо. 
Фінансові втрати. Деякі види шкідливого ПЗ можуть 
використовуватися для проведення незаконних фінансових операцій, які 
можуть завдати великої фінансової шкоди жертві. 
Втрата контролю над комп'ютером. Деяке шкідливе ПЗ, зокрема 
Троянські коні та програми для віддаленого керування, можуть надавати 
зловмиснику віддалений доступ до вашого комп'ютера, дозволяючи їм 
відслідковувати вашу діяльність, відправляти команди та контролювати вашу 
систему. 
Спам і атаки на інші системи. Шкідливе ПЗ може використовувати 
ваш комп'ютер для розсилання спаму або для атак на інші комп'ютерні 
системи, приховуючи своє походження. 
Витрати на відновлення. Після інфікування комп'ютера шкідливим ПЗ 
може знадобитися час і кошти на відновлення системи та даних. 
Поширення шкідливого ПЗ. Ваш комп'ютер може стати частиною 
ботнету, який використовується для розповсюдження інших видів 
шкідливого ПЗ. 
Збитки для бізнесу. У випадку корпоративних мереж і компаній, 
шкідливе ПЗ може завдати значної фінансової і репутаційної шкоди, 
включаючи втрату даних клієнтів і порушення конфіденційності. 
Втрата доступу до комп'ютера або файлів. Зловмисники можуть 
вимагати викуп за розблокування вірусом зашифрованих файлів, а це може 
призвести до втрати доступу до важливих даних. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  27 
 
Порушення конфіденційності: Шкідливе ПЗ може витікати 
конфіденційну інформацію, таку як комерційні або особисті дані, що може 
вплинути на конфіденційність користувачів або компаній. 
Захист від шкідливого ПЗ включає в себе регулярне оновлення 
антивірусного програмного забезпечення, обережність при відкритті 
невідомих файлів та посилань, резервне копіювання даних, використання 
брандмауера та оновлення програмного забезпечення для закриття 
вразливостей. 
 
1.5. Способи виявлення шкідливих веб-сайтів 
Програмне забезпечення безпеки в Інтернеті не завжди може виявити 
шкідливе програмне забезпечення на шкідливих веб-сайтах і випадкових 
завантаженнях. Захисне програмне забезпечення, наприклад Norton Security, 
запобіжить відомим випадковим завантаженням і попередить вас, коли ви 
спробуєте відвідати шкідливий веб-сайт. 
Найкраще, що потрібно зробити, щоб захистити себе, це підтримувати 
програмне забезпечення свого комп’ютера в актуальному стані, а головне — 
операційну систему. Часто хакери використовують відомі проблеми безпеки в 
програмному забезпеченні, перш ніж виробники зможуть виправити проблему. 
Оновлення програмного забезпечення запобігає тому, щоб ви залишалися 
недовірливими. 
Не потрібно встановлювати кодеки, якщо ви не впевнені, що вони 
безпечні. Не відкривати електронні листи, які здаються підозрілими або 
«спамовими», особливо якщо вони містять вкладення або надійшли від 
невідомих відправників. Якщо ви отримали посилання в електронному листі, не 
завадить відвідати головний веб-сайт, ввівши адресу в браузері вручну. Якщо 
сумніваєтеся, зателефонуйте людині, яка надіслала вам електронний лист, перш 
ніж натиснути. Якщо ви хоч трохи підозрюєте URL-адресу, скористайтеся 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  28 
 
Norton Safe Web, щоб перевірити її. Якщо веб-сайт здається вимкненим, схоже, 
що він щось встановлює або запитує дозвіл на встановлення кодеків, вам краще 
закрити вкладку та пошукати вміст в іншому місці. 
Існує багато небезпек, і шкідливі веб-сайти, на яких розміщені випадкові 
завантаження, є одними з найновіших і найстрашніших. Але є способи 
захистити себе, щоб без проблем користуватися Інтернетом. Потрібно бути 
обачним і виявляти розумну обережність, і тоді веб-серфінг буде надійним і 
безпечним. 
Зловмисні (або шкідливі) веб-сайти, їх часто ще називають фішинговими 
веб-сторінками, це такі ресурси, які без дозволу та від імені третьої сторони 
виконують неправомірні дії. Це визначення охоплює широкий спектр 
фішингових сторінок від типових – відображення графіки, пов’язаної з 
фінансовою компанією та запитом особистих облікових даних глядача – до 
сайтів, які стверджують, що можуть виконувати дії через третю сторону після 
надання облікових даних користувача для входу. Таким чином, фішингова URL-
адреса – це URL-адреса, яка спрямовує користувача на фішингову веб-сторінку.  
Існують кілька способів виявлення шкідливих веб-сайтів, які можуть 
допомогти вам уникнути інфікування вашого комп'ютера або пристрою. Ось 
деякі з них. 
Використання Антивірусного та Антималварного ПЗ. Багато 
антивірусних програм і антималварних програм мають функції для 
блокування доступу до шкідливих веб-сайтів. Ці програми можуть 
перевіряти URL-адреси та веб-сторінки на наявність загроз. 
Використання Браузерних Розширень. Існують різні розширення для 
веб-браузерів, які допомагають виявляти та блокувати шкідливі сайти. 
Наприклад, розширення AdBlock Plus та uBlock Origin блокують рекламу та 
попереджують про небезпечні сайти. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  29 
 
Використання Веб-фільтрів. Деякі організації та сімейні контрольні 
програми надають можливість встановлювати веб-фільтри, які блокують 
доступ до певних категорій сайтів, включаючи шкідливі або небажані. 
Перевірка URL-адреси. Перш ніж перейти за посиланням на сайт, 
необхідно ретельно перевірити URL-адресу, звернути увагу на доменне ім'я, 
чи воно відоме і легітимне, чи містить воно дивні символи чи додаткові 
розділи. 
Використання Веб-пошукових двигунів. Популярні веб-пошукові 
двигуни, такі як Google, можуть позначати шкідливі сайти та надавати 
попередження, коли відбувається пошук певних запитів. Потрібно уникати 
сайтів, які відзначені як небезпечні. 
Обережність при завантаженні файлів. Потрібно бути особливо 
обережні при завантаженні файлів з невідомих джерел або файлообмінних 
служб. Вони можуть містити віруси або шкідливе ПЗ. 
Використання HTTPS. Веб-сайти з префіксом "https://" зазвичай є 
безпечними для відвідування, оскільки дані між вашим браузером і сервером 
шифруються. Уникайте сайтів без шифрування (http://). 
Перевірка сертифікатів безпеки. Перед введенням особистої 
інформації на веб-сайті необхідно перевірити його сертифікат безпеки, що 
підтверджує його легітимність. 
Дослідження сайту. Якщо є сумніви щодо легітимності веб-сайту, 
необхідно зробити додаткове дослідження. Пошук відгуків користувачів і 
відомостей про сайт може допомогти визначити його надійність. 
Оновлення браузера та програмного забезпечення. Необхідно 
регулярно оновлювавти браузер та важливе програмне забезпечення, так як 
вони можуть містити патчі для вразливостей, які можуть використовувати 
шкідливі сайти. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  30 
 
Важливо бути обережним та пильним при відвідуванні веб-сайтів, 
особливо невідомих або підозрілих. Використовуючи зазначені вище методи, 
можна зменшити ризик інфікування вашого пристрою шкідливим ПЗ. 
 
Опишемо деякі із зазначених способів захисту від шкідливих веб-
ресурсів, наведених вище. 
Веб-фільтри - це інструменти, які використовуються для фільтрації 
або блокування доступу до певних категорій веб-сайтів або контенту. Вони 
часто використовуються батьками, організаціями або адміністраторами 
мережі, щоб обмежити доступ користувачів до сайтів і матеріалів, які можуть 
бути небажаними або небезпечними.  
Веб-фільтри та антивіруси можуть аналізувати текст та графіку на 
сторінці, шукаючи підозрілий або шкідливий вміст. Це може включати 
виявлення фішингових спроб або малварних схем. 
Ось як працюють веб-фільтри. Веб-фільтри зазвичай розділені на різні 
категорії веб-сайтів і контенту. Ці категорії можуть включати, наприклад, 
соціальні мережі, ігри, адалт-контент, анонімайзери (сервіси, які дозволяють 
обходити фільтри) і багато інших. 
Бази даних і списки. Веб-фільтри використовують бази даних або 
списки URL-адрес для визначення, які веб-сайти відносяться до кожної 
категорії. Ці списки часто оновлюються для включення нових сайтів і 
видалення застарілих. 
Аналіз трафіку. Коли користувач намагається отримати доступ до веб-
сайту, запит на цей сайт проходить через веб-фільтр. Веб-фільтр аналізує 
URL-адресу та порівнює її зі списками категорій, щоб визначити, чи 
належить сайт до блокованої категорії. 
Блокування або обмеження доступу. Якщо веб-фільтр визнає, що сайт 
відноситься до блокованої категорії, він може прийняти одну з наступних 
дій: 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  31 
 
- заборонити доступ до сайту і відобразити користувачу повідомлення про 
блокування; 
- обмежити доступ до сайту або контенту, наприклад, встановивши 
обмеження на час користування; 
- запитати в користувача пароль або інший дозвіл, якщо сайт вимагає 
аутентифікації; 
- відключення або налаштування винятків. Деякі веб-фільтри дозволяють 
адміністраторам встановлювати винятки або власні правила для доступу до 
певних сайтів або категорій для певних користувачів; 
- статистика та звіти. Веб-фільтри можуть вести статистику щодо того, які 
сайти відвідують користувачі та як часто, і створювати звіти для 
адміністраторів для аналізу активності. 
Веб-фільтри допомагають підтримувати безпеку мережі та контролювати 
доступ користувачів до веб-сайтів. Вони широко використовуються в 
штучному інтелекті. 
Перевірка URL-адреси. При виявленні шкідливих сайтів зазвичай 
базується на декількох методах та джерелах інформації. Ось як це може 
працювати. 
Сигнатурні бази даних. Великі антивірусні компанії та організації 
збирають і аналізують інформацію про шкідливі сайти та URL-адреси. Ця 
інформація включає в себе сигнатури (характеристики) відомих загроз. Коли 
ви намагаєтесь зайти на веб-сайт, ваш браузер або антивірусний софт може 
порівнювати URL-адресу з цими сигнатурами. Якщо адреса відповідає одній 
з сигнатур, це може бути показником того, що сайт є шкідливим. 
Чорні списки і бази даних репутації (Blacklists). Існують різні чорні 
списки та бази даних репутації, які містять URL-адреси, відомі своєю 
шкідливістю або небажаністю. Ваш браузер або антивірусний софт може 
порівнювати URL-адресу з цими списками. Якщо адреса знаходиться в 
чорному списку або має погану репутацію, то сайт може бути заблокований 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  32 
 
або відображено попередження. Деякі організації підтримують сервіси, які 
визначають репутацію домену або IP-адреси. Ці сервіси ведуть статистику 
про історію поведінки цих доменів і визначають, чи вони відомі своєю 
шкідливою або спамною діяльністю.  
Посилання на загрози та обмін інформацією. Іншим джерелом 
інформації є спеціалізовані послуги та системи, які виявляють та аналізують 
шкідливі сайти. Вони можуть збирати дані про нові загрози та поширювати 
цю інформацію, щоб вберегти користувачів. Ваша програма антивірусного 
захисту може підключатися до таких послуг для оновлення інформації про 
шкідливі сайти. 
Аналіз структури URL-адреси. В деяких випадках, програми та 
антивіруси можуть аналізувати структуру URL-адреси для виявлення 
підозрілих або нестандартних елементів. Наприклад, довгі послідовності 
чисел чи літер, які можуть бути випадковими, можуть вказувати на 
підозрілість. 
Застосування звітів про шкідливий вміст. Користувачі, які зустрічають 
шкідливий вміст, можуть подавати звіти про це своїм антивірусним 
програмам або розробникам браузерів. Ці звіти можуть використовуватися 
для виявлення та блокування шкідливих сайтів. 
Евристичні методи (Heuristic Methods). 
Поведінковий аналіз.  Деякі антивіруси використовують поведінковий 
аналіз для виявлення шкідливих дій, таких як видалення або зміна файлів, 
створення нових процесів або спроби змінити системні параметри. Якщо 
програма виявляє незвичайну або підозрілу поведінку, вона може визначити 
програму як потенційно шкідливу. 
Машинне навчання. Деякі антивіруси використовують методи 
машинного навчання для виявлення нових і невідомих загроз. Вони можуть 
навчатися на основі зразків шкідливого та безпечного вмісту та визначати 
загрози на підставі аналізу. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  33 
 
Після виявлення потенційно шкідливої URL-адреси, браузер або 
антивірусний софт може приймати різні заходи захисту, такі як блокування 
доступу до сайту, відображення попереджень або перенаправлення на 
безпечну сторінку. Такий механізм допомагає захистити користувачів від 
потенційно небезпечних веб-сайтів. 
 
1.6. Висновки 
Відвідування зловмисних сайтів може становити серйозну загрозу для 
безпеки та конфіденційності користувачів і їхніх комп'ютерів. Аналіз 
літературних джерел продемонстрував, що основні загрози та ризики при їх 
відвідуванні наступні: 
- можливість інфікування шкідливим програмним забезпеченням - 
зловмисні веб-сайти можуть містити шкідливі скрипти, які можуть 
використовувати вразливості у веб-браузері або операційній системі 
користувача для інфікування комп'ютера вірусами, троянськими конями 
або іншими видами шкідливого програмного забезпечення; 
-  крадіжка конфіденційних даних - зловмисні сайти можуть намагатися 
використовувати фішингові атаки для виведення користувачів на 
підроблені веб-сайти, де вони можуть ввести особисті дані, такі як паролі, 
номери кредитних карток та інші конфіденційні інформації; 
- розповсюдження шкідливої реклами і adware - зловмисні сайти можуть 
нав'язливо відображати рекламу, перенаправляти на інші сторінки з 
рекламними матеріалами або навіть спробувати встановити adware на 
комп'ютер користувача; 
- загроза для безпеки в мережі - зловмисні сайти можуть також 
використовуватися для запуску атак на користувача, такі як відправлення 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  34 
 
шкідливих посилань або вірусів через електронну пошту, соціальні мережі 
або інші засоби спілкування. 
Аналіз небезпек і загроз при відвідуванні зловмисних веб-ресурсів 
демонструє необхідність в розробці сучасних засобів їх аналізу та уникнення, 
наприклад при застосуванні моделей та механізмів машинного навчання. 
Цьому напряму досліджень і присвячена кваліфікаційна робота. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  35 
 
2. МОДЕЛІ ТА МЕТОДИ МАШИННОГО НАВЧАННЯ ДЛЯ 
ВИЯВЛЕННЯ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ 
 
2.1. Поняття машинного навчання та його можливості для аналізу даних 
 
Заздалегідь виявлені зловмисні веб-ресурси можуть суттєво покращити 
роботу в інтернеті і зробити її безпечною. В першому розділі розглядалися 
основні загрози і ризики, які при цьому виникають, в тому числі наводилися 
методи і засоби щодо їх уникнення та мінімізації шкоди. Серед сучасних і 
перспективних методів аналізу та захисту від вказаної проблеми є 
застосування евристичних методів, в тому числі і машинного навчання, яке 
все більше стає популярним для розв’язання різноманітних задач, в тому 
числі і задачі виявлення malicious websites. 
Машинне навчання (Machine Learning, ML) - це галузь штучного 
інтелекту, яка вивчає комп'ютери робити навчання і вдосконалювати свою 
продуктивність на основі досвіду та даних. В основі машинного навчання 
лежить ідея, що комп'ютери можуть автоматично аналізувати дані, виявляти 
закономірності та навчатися від них, щоб приймати рішення або робити 
прогнози без явного програмування. 
Основні характеристики машинного навчання: 
Навчання на основі даних. Машинне навчання використовує великі 
обсяги даних для тренування моделей і вивчення прихованих залежностей у 
цих даних. 
Автоматизована адаптація: Моделі машинного навчання можуть 
адаптуватися до нових даних і змінювати свою продуктивність з часом без 
необхідності переписування програм. 
Здатність до узагальнення. Моделі машинного навчання можуть 
виявляти залежності у вихідних даних і застосовувати ці знання до нових, 
раніше не бачених даних. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  36 
 
Вирішення складних завдань. Машинне навчання може застосовуватися 
до різних завдань, від розпізнавання образів і голосу до аналізу тексту та 
прогнозування ринків. 
Важлива роль даних. Якість та обсяг вхідних даних визначають 
успішність моделі машинного навчання. Доступ до великих обсягів даних 
стає ключовим чинником успіху. 
Застосування машинного навчання широкі і всебічні. Воно 
застосовується в медицині для діагностики хвороб, в фінансах для 
прогнозування ринків, в автомобільній промисловості для розробки 
автономних автомобілів, в рекомендаційних системах для рекомендації 
фільмів і товарів, і в багатьох інших областях. 
Основні методи машинного навчання включають навчання з учителем 
(supervised learning), навчання без учителя (unsupervised learning) і з 
підкріпленням (reinforcement learning). Машинне навчання також включає в 
себе різні типи нейронних мереж, які використовуються в глибокому 
навчанні (deep learning). Класифікація різновидів ML наведена на рис.2.1. 
 
 
Рис.2.1. Класифікація різновидів машинного навчання 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  37 
 
Застосування машинного навчання до задачі виявлення зловмисних 
веб-сайтів (malicious websites) стало надзвичайно важливим в сучасному 
цифровому світі. Машинне навчання дозволяє розробити ефективні моделі та 
алгоритми для виявлення таких сайтів, що робить інтернет більш безпечним 
для користувачів. Ось кілька способів, які використовують машинне 
навчання для виявлення зловмисних веб-сайтів: 
Аналіз вмісту сайтів. Машинне навчання допомагає створити моделі, 
які аналізують текстовий та візуальний вміст веб-сторінок. Це дозволяє 
виявляти сайти зі шкідливими вмістом, такими як фішингові атаки або 
розповсюдження шкідливого програмного забезпечення. 
Аналіз URL-адрес. Машинне навчання може бути використане для 
створення моделей, які аналізують URL-адреси і визначають, чи є вони 
підозрілими або вказують на можливий ризик. 
Аналіз мережевого трафіку. Машинне навчання може бути 
використане для виявлення незвичайних патернів в мережевому трафіку, які 
можуть свідчити про спроби атак на веб-сайт або користувача. 
Системи виявлення вторгнень. Машинне навчання може бути 
впроваджене в системи виявлення вторгнень для виявлення атак на веб-
сервери або веб-додатки. 
Системи фільтрації спаму та шкідливих посилань. Машинне навчання 
може допомагати виявляти спамові повідомлення та електронні листи, які 
містять посилання на шкідливі веб-сайти. 
Системи аналізу веб-серверів. Машинне навчання може аналізувати 
журнали веб-серверів для виявлення підозрілих активностей та атак. 
Застосування машинного навчання в цій області допомагає 
автоматизувати процес виявлення зловмисних веб-сайтів і швидко реагувати 
на потенційні загрози. Важливо регулярно оновлювати моделі та алгоритми, 
оскільки зловмисники постійно вдосконалюють свої методи атак. Таким 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  38 
 
чином, машинне навчання відіграє ключову роль у підвищенні безпеки в 
Інтернеті і захисті користувачів від шкідливих веб-сайтів. 
Одним із різновидів машинного навчання є Deep Learning. 
Deep Learning (Глибоке навчання, DL) - це підгалузь машинного 
навчання, яка фокусується на використанні нейронних мереж зі значним 
числом шарів (глибоких мереж) для розв'язання складних завдань аналізу 
даних рис.2.2.  
 
Рис.2.2. Deep Learning як підсистема штучного інтелекту та машинного 
навчання 
 
Глибоке навчання здійснюється за допомогою нейронних мереж з 
багатьма прихованими шарами (глибокими шарами), що дозволяє моделям 
вивчати багато рівнів абстракції та розуміти складні залежності в даних 
рис.2.3. 
 
Рис.2.3. Представлення Deep Learning у вигляді нейромережі 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  39 
 
Основні характеристики Deep Learning. 
Багатошаровість. Глибокі нейронні мережі мають багато прихованих 
шарів (від 10 до сотень або навіть тисяч), що дозволяє їм створювати складні 
моделі залежностей. 
Автоматичне вивчення функцій. Deep Learning може вивчати корисні 
функції з вхідних даних, що дозволяє моделям автоматично визначати, які 
ознаки або характеристики важливі для розв'язання конкретної задачі. 
Здатність до роботи з великими обсягами даних. Глибоке навчання 
показує високу ефективність при роботі з великими обсягами даних, що 
робить його ідеальним для завдань, де необхідно аналізувати великі набори 
інформації, такі як великі тексти, зображення або аудіофайли. 
Застосування в багатьох областях. Deep Learning використовується в 
різних областях, включаючи обробку зображень (наприклад, розпізнавання 
об'єктів і обробка медичних зображень), обробку природної мови (переклад 
текстів, розуміння мови), аналіз тексту, рекомендаційні системи та багато 
інших. 
Популярність в глибокому навчанні. Deep Learning отримав широку 
популярність завдяки своїм успіхам у складних завданнях, таких як 
розпізнавання образів в інтернет-магазинах, виявлення ракових захворювань 
на медичних зображеннях та автономний керування автомобілями. 
Основна ідея глибокого навчання - це створення моделей, які вчаться 
представляти дані на різних рівнях абстракції, поступово збільшуючи 
складність та інформаційний рівень. Це дозволяє вирішувати завдання, які 
раніше вважалися важкими або навіть нерозв'язними за допомогою 
класичних методів машинного навчання. 
 
 
 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  40 
 
 
2.2. Моделі нейронних мереж та принци їх функціонування 
Основою роботи любої нейронної мережі є перцептрон, де 
відбуваються математичні обчислення. Перцептрон - це простий вид 
штучного нейрона або базової одиниці нейронних мереж, який був 
розроблений Френком Розенблаттом в 1957 році. Він є базовим блоком для 
багатьох архітектур нейронних мереж. Перцептрон призначений для 
вирішення бінарних класифікаційних завдань, таких як розпізнавання образів 
або визначення, до якого класу належить вхідний об'єкт (рис.2.4). 
 
 
Рис.2.4. Представлення функціонування перцептрона 
 
Основні принципи роботи перцептрона. 
Вхідні дані (Inputs). Перцептрон приймає на вхід вектор вхідних даних, 
який може бути числовим або бінарним. Цей вектор представляє певні 
характеристики або ознаки об'єкта, який потрібно класифікувати. 
Ваги (weights). Для кожного входу встановлюються ваги (weights), які 
визначають, наскільки важливий кожен вхід для роботи перцептрона. Ваги є 
параметрами, які піддаються навчанню. 
Вагова сума. Вхідні дані множаться на відповідні ваги, і всі такі 
добутки додаються разом. Ця сума називається ваговою сумою (weighted 
sum). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  41 
 
Функція активації (activation function). Вагова сума подається через 
функцію активації. Функція активації визначає вихідний сигнал перцептрона 
на основі вагової суми. Популярною функцією активації для перцептрона є 
функція сигмоїди або функція Хевісайда (step function). 
Бінарний вихід. Зазвичай вихід перцептрона - це бінарне значення (1 
або 0), де 1 може вказувати на один клас, а 0 - на інший. Вихідний сигнал 
залежить від того, чи перевищує вагова сума певний поріг. 
Навчання. Навчання перцептрона полягає в коригуванні ваг з метою 
покращення його здатності до класифікації. Під час навчання знову 
обчислюється вихід на основі входів і поточних ваг, і порівнюється з 
очікуваним результатом. Ваги оновлюються так, щоб зменшити помилку 
класифікації. 
Це основні принципи роботи перцептрона. Важливо враховувати, що 
класичний перцептрон обмежений у вирішенні складних завдань, але він є 
основним блоком для більш складних нейронних мереж, таких як 
багатошарові персептрони (MLP) (рис.2.5) та згорткові нейронні мережі 
(CNN) – (рис.2.6.), які використовуються для розв'язання різних завдань 
машинного навчання. 
 
 
Рис.2.5. Принцип побудови багатошарових перцептронних моделей 
мереж 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  42 
 
 
Рис.2.6. Приклад реалізації нейромережевої структури Convolutional Neural 
Network (CNN) для реалізації задачі класифікації  
 
Процес навчання нейромережевої структури в загальному виді можна 
представити на рис.2.7., де в результаті уточнюються вагові коефіцієнти в 
результаті багаторазових процедур зворотних обчислень (Backpropagation) за 
певним градієнтними сценаріями оптимізації параметрів, поки не досягнеться 
бажане (за певною ймовірністю) співпадіння вхідних даних з вихідними. При 
такому співпадінні вважається, що отримана відповідна модель поведінки 
системи після її навчання, яку можна використовувати для передбачення на 
інших перед цим невідомих даних. 
 
Рис.2.7. Узагальнена схема навчання нейромережевої структури 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  43 
 
 
Нейронні мережі мають різні архітектури та ролі, і їх класифікація 
залежить від кількох факторів, таких як структура та зв'язки між шарами, 
способи навчання та застосування. Основні типи нейронних мереж 
включають наступні: 
Feedforward Neural Networks (FNN). Одношарові перцептрони (Single-
Layer Perceptrons): Мають один вхідний і один вихідний шар, 
використовуються для бінарної класифікації. 
Багатошарові нейронні мережі (Multi-Layer Perceptrons, MLP).  Мають 
один або більше прихованих шарів між вхідним і вихідним шарами. 
Використовуються для багатьох задач, включаючи розпізнавання образів та 
обробку природної мови. 
Convolutional Neural Networks (CNN). Згорткові нейронні мережі - 
спеціалізуються на обробці зображень і використовують шари згортки для 
виділення ознак зображень. 
Recurrent Neural Networks (RNN). Рекурентні нейронні мережі - мають 
зворотний зв'язок між шарами, що дозволяє моделі працювати з 
послідовними даними, такими як текст або часові ряди. Вони корисні для 
завдань, де порядок даних має значення. 
Long Short-Term Memory (LSTM) Networks. Мережі з довготривалою та 
короткостроковою пам'яттю - це підтип рекурентних нейронних мереж, який 
розроблений для вирішення проблеми зникнення та вибування градієнту у 
навчанні RNN. 
Radial Basis Function Networks (RBFN). Мережі з радіальною базисною 
функцією - використовують радіальні базисні функції в якості функцій 
активації і використовуються для задач кластеризації та апроксимації 
функцій. 
Self-Organizing Maps (SOM). Самоорганізовані карти - 
використовуються для візуалізації та кластеризації даних. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  44 
 
Autoencoders (Автоенкодери). Використовуються для зменшення 
розмірності даних та виділення важливих ознак. 
Generative Adversarial Networks (GANs). Генеративно-змагальні мережі 
- складаються з генеративної та дискримінативної мереж, використовуються 
для створення нових даних. 
Це лише кілька прикладів типів нейронних мереж. Важливо 
враховувати, що кожен тип має свої власні властивості та застосування, і 
вибір конкретного типу мережі залежить від завдання, яке ви хочете 
вирішити. 
 
2.3. Визначення ознак для побудови нейромережевої моделі 
виявлення зловмисних веб-ресурсів 
 Для побудови нейромережевої моделі виявлення зловмисних веб-
ресурсів необхідно спиратися на певні данні, які будуть аналізуватися. 
Одним із підходів для аналізу даних є такий, який аналізує саму URL-адресу 
веб-ресурса (адре́са ресу́рсу (англ. Uniform Resource Locator , URL) — 
стандартизована адреса певного ресурсу), структура яких наведена на 
рис.2.8. 
 
 
Рис.2.8. Структура URL-адреси веб-ресурсів 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  45 
 
Зламані URL-адреси, які використовуються для кібератак, називаються 
шкідливими URL-адресами. Насправді було зазначено, що близько однієї 
третини всіх веб-сайтів є потенційно шкідливими за своєю природою, що 
демонструє нестримне використання шкідливих URL-адрес для вчинення 
кіберзлочинів. Шкідлива URL-адреса або зловмисний веб-сайт розміщує 
різноманітний небажаний вміст у формі спаму, фішингу або аварійних атак 
для здійснення атак. Нічого не підозрюючі користувачі відвідують такі веб-
сайти та стають жертвами різних типів шахрайства, включаючи грошові 
втрати, крадіжку особистої інформації (ідентифікаційні дані, кредитні картки 
тощо) і встановлення зловмисного програмного забезпечення. 
Ефективні системи своєчасного виявлення таких шкідливих URL-адрес 
можуть значно допомогти протистояти великій кількості різноманітних 
загроз кібербезпеці.  
Найпоширенішим методом виявлення шкідливих URL-адрес, який 
використовують багато антивірусних груп, є метод чорного списку. Чорні 
списки — це, по суті, база даних URL-адрес, які раніше були підтверджені як 
шкідливі. Ця база даних компілюється з часом (часто за допомогою 
краудсорсингових рішень, наприклад, PhishTank), коли стає відомо, що URL-
адреса шкідлива. Така техніка є надзвичайно швидкою через простий 
накладний запит, і тому її дуже легко реалізувати. Крім того, така техніка 
(інтуїтивно) матиме дуже низький рівень хибнопозитивних результатів. 
Однак практично неможливо створити вичерпний список шкідливих URL-
адрес, особливо тому, що нові URL-адреси генеруються щодня. Зловмисники 
використовують креативні методи, щоб уникнути чорних списків і ввести 
користувачів в оману, змінюючи URL-адресу так, щоб вона «здавалася» 
законною за допомогою обфускації (затьмарення передбачуваного значення 
повідомлення через ускладнення розуміння повідомлення, як правило, з 
заплутаною та двозначною мовою). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  46 
 
Існують чотири типи обфускації: обфускація хоста за допомогою IP-
адреси, обфускація хосту іншим доменом, обфускація хосту великими 
іменами хостів і орфографічні помилки. Усі вони намагаються приховати 
зловмисні наміри веб-сайту, маскуючи шкідливу URL-адресу. Останнім 
часом із зростанням популярності служб скорочення URL-адрес це стало 
новою та широко поширеною технікою обфускації (приховування шкідливої 
URL-адреси за короткою URL-адресою). В цьому випадку URL-адреси 
виглядають законними та користувачі відвідують їх.  
Зловмисники використовують багато інших простих методів, щоб 
уникнути чорних списків, зокрема: швидкий потік, у якому автоматично 
генеруються проксі-сервери для розміщення веб-сторінки; алгоритмічна 
генерація нових URL тощо. Крім того, зловмисники часто можуть одночасно 
запускати кілька атак, що змінює сигнатуру атаки, роблячи її неможливою 
для виявлення інструментами, які зосереджуються на конкретних сигнатурах. 
Таким чином, методи створення чорних списків мають серйозні обмеження, і 
обійти їх здається майже тривіальним, особливо через те, що чорні списки 
марні для прогнозування нових URL-адрес. 
Щоб подолати ці проблеми, в останнє десятиліття дослідники 
застосували методи машинного навчання для виявлення шкідливих URL-
адрес. Підходи машинного навчання використовують набір URL-адрес як 
навчальних даних і на основі статистичних властивостей вивчають функцію 
прогнозування, щоб класифікувати URL-адресу як зловмисну або безпечну. 
Це дає їм можливість узагальнювати нові URL-адреси на відміну від методів 
чорного списку.  
Основною вимогою для навчання моделі машинного навчання є 
наявність навчальних даних. У контексті виявлення шкідливих URL-адрес це 
відповідало б набору великої кількості URL-адрес. Машинне навчання можна 
загалом класифікувати на контрольоване, неконтрольоване та 
напівконтрольоване, що відповідає наявності міток для навчальних даних, 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  47 
 
відсутності міток і наявності міток для обмеженої частини навчальних даних. 
Мітки відповідають знанням про те, що URL-адреса шкідлива або 
нешкідлива.  
Після того, як навчальні дані зібрано, наступним кроком є вилучення 
інформаційних функцій, щоб вони достатньо описували URL-адресу та в той 
же час їх можна було інтерпретувати математично за допомогою моделей 
машинного навчання. Наприклад, просте використання рядка URL-адреси 
може не дозволити нам вивчити хорошу модель передбачення (що в деяких 
крайніх випадках може звести модель передбачення до методу чорного 
списку). Таким чином, потрібно виділити відповідні функції на основі деяких 
принципів або евристик, щоб отримати гарне представлення функцій URL-
адреси. Це може включати лексичні функції (статистичні властивості рядка 
URL-адреси, пакет слів, n-грам тощо), функції на основі хоста (інформація 
WHOIS, властивості геолокації хосту тощо) тощо. Ці функції після 
вилучення мають бути оброблені у відповідний формат (наприклад, числовий 
вектор), щоб їх можна було підключити до готового методу машинного 
навчання для навчання моделі.  
Здатність цих функцій надавати релевантну інформацію має 
вирішальне значення для подальшого машинного навчання, оскільки основне 
припущення моделей машинного навчання (класифікації) полягає в тому, що 
представлення функцій шкідливих і безпечних URL-адрес мають різний 
розподіл.  
Таким чином, якість представлення функцій URL-адрес має вирішальне 
значення для якості кінцевої моделі прогнозування шкідливих URL-адрес, 
отриманої за допомогою машинного навчання.  
Нарешті, використовуючи навчальні дані з відповідним 
представленням ознак, наступним кроком у побудові моделі прогнозування є 
фактичне навчання моделі. Існує багато алгоритмів класифікації, які можна 
безпосередньо використовувати над навчальними даними (Наївний Байєс, 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  48 
 
Машина опорних векторів, Логістична регресія тощо). Однак існують певні 
властивості URL-даних, які можуть ускладнити навчання (як з точки зору 
масштабованості, так і з точки зору вивчення відповідної концепції). 
Наприклад, кількість URL-адрес, доступних для навчання, може складати 
мільйони (або навіть мільярди). Як наслідок, час навчання для традиційних 
моделей може бути занадто великим, щоб бути практичним. Отже, онлайн-
навчання [18], сімейство масштабованих методів навчання, активно 
застосовувалося для 
Подібним чином для цього завдання URL-адреси представлені за 
допомогою функцій пакета слів (BoW - bag of words). Ці функції в 
основному вказують на те, чи з’являється певне слово (або рядок) в URL-
адресі чи ні . В результаті кожен можливий тип слова, який може з’явитися в 
будь-якій URL-адресі, стає функцією. Це представлення може призвести до 
появи мільйонів функцій, які будуть дуже рідкісними (більшість функцій у 
більшості випадків відсутні, оскільки URL-адреса зазвичай містить дуже 
мало з мільйонів можливих слів). Відповідно, метод навчання повинен 
використовувати цю властивість розрідженості для покращення ефективності 
та результативності навчання. 
Незважаючи на багатообіцяючу узагальнюючу здатність підходів до 
машинного навчання, одним із потенційних недоліків цих підходів для 
виявлення зловмисних URL-адрес може бути їх ресурсомісткий характер 
(особливо під час вилучення функцій, які є нетривіальними та дорогими для 
обчислення), що зменшує їхню практичну цінність, коли вимагаються 
реальні час гарантії безпеки порівняно з методами чорного списку. 
 
2.4. Побудова нейромережевої моделі бінарної класифікації для 
виявлення зловмисних веб-ресурсів 
Для вирішення проблеми виявлення зловмисних URL-адрес існують 
різні підходи. Відповідно до фундаментальних принципів ці підходи можна в 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  49 
 
цілому згрупувати у дві основні категорії: (1) чорний список або евристика та 
(2) підходи машинного навчання.  
1) Чорні списки або евристичні підходи: підходи до чорних списків є 
загальноприйнятою та класичною технікою виявлення шкідливих 
URL-адрес, яка часто підтримує список URL-адрес, які, як відомо, є 
шкідливими. Чорний список страждає від неможливості підтримувати 
вичерпний список усіх можливих шкідливих URL-адрес, оскільки нові 
URL-адреси можуть легко генеруватися щодня, що унеможливлює для 
них виявлення нових загроз]. Це особливо критично, коли 
зловмисники генерують нові URL-адреси алгоритмічно й таким чином 
можуть обійти всі чорні списки. Незважаючи на ряд проблем, з якими 
стикаються чорні списки, завдяки своїй простоті та ефективності вони 
залишається однією з найбільш часто використовуваних технік багато 
антивірусних систем сьогодні. 
2)  Евристичні підходи є деякими розширеннями методів на основі 
чорного списку, де ідея полягає у створенні «чорного списку 
підписів». Визначаються поширені атаки, і на основі їх поведінки 
призначається сигнатура цього типу атаки. Системи виявлення 
вторгнень можуть сканувати веб-сторінки на наявність таких сигнатур 
і позначати, якщо буде виявлено підозрілу поведінку. Ці методи мають 
кращі можливості узагальнення, ніж чорний список, оскільки вони 
також можуть виявляти загрози в нових URL-адресах. Однак такі 
методи можуть бути розроблені лише для обмеженої кількості 
поширених загроз і не можуть бути загальними для всіх типів (нових) 
атак. Більше того, використовуючи прийоми обфускації, їх не складно 
обійти. 
3) Машинне навчання: ці підходи намагаються проаналізувати 
інформацію URL-адреси та відповідних веб-сайтів або веб-сторінок 
шляхом вилучення хороших представлень функцій URL-адрес і 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  50 
 
навчання моделі прогнозування на навчальних даних як шкідливих, 
так і безпечних URL-адрес. Існує два типи функцій, які можна 
використовувати: статичні та динамічні. 
Сформулюємо проблему виявлення зловмисних URL-адрес як задачу 
бінарної класифікації для двокласового прогнозу: «зловмисний» проти 
«доброякісного». Зокрема, враховуючи набір даних із множини T URL-адрес 
{(u1, y1), . . . , (uT , yT )}, де ut для t = 1, . . . , T представляє URL-адресу з 
навчальних даних, а yt ∈ {1, −1} — відповідну мітку, де yt = 1 представляє 
шкідливу URL-адресу, а yt = −1 — безпечну URL-адресу. 
Суть автоматизованого виявлення зловмисних URL-адрес полягає в 
реалізації двох етапів:  
1) Представлення ознак набору даних (Feature Representation): аналіз 
відповідного представлення функції: ut → xt, де xt ∈ Rd є вектором d-вимірної 
функції, що представляє URL-адресу; 
 2) Машинне навчання (Machine Learning): навчання функції 
передбачення f : Rd → R, яка передбачає призначення класу для будь-якого 
екземпляра URL-адреси x за допомогою відповідних презентацій функцій. 
Розглянемо завдання двійкової класифікації. Мета машинного навчання 
для виявлення зловмисних URL-адрес полягає в тому, щоб максимізувати 
точність прогнозування. Обидва етапи, наведені вище, важливі для 
досягнення цієї мети. У той час, як перша частина представлення ознак часто 
базується на знаннях домену та евристики, друга частина зосереджена на 
навчанні моделі класифікації за допомогою підходу до оптимізації на основі 
даних. 
На рис. 2.10. наведена загальна архітектура вирішення проблеми 
виявлення шкідливих URL-адрес за допомогою машинного навчання. 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  51 
 
 
 
Рис.2.9. Структурна схема реалізації машинного навчання для 
виявлення зловмисних веб-ресурсів  
 
2.5. Представлення ознак набору даних URL-адреси 
У статичному аналізі виконується аналіз веб-сторінки на основі 
інформації, доступної без виконання URL-адреси. Такий аналіз включає 
лексичні особливості рядка URL-адреси, інформацію про хост, а іноді навіть 
вміст HTML і JavaScript. Оскільки виконання не потрібне, ці методи є 
безпечнішими, ніж динамічні підходи. Основне припущення полягає в тому, 
що розподіл цих функцій різний для шкідливих і безпечних URL-адрес. 
Використовуючи цю інформацію про розповсюдження, можна побудувати 
модель прогнозування, яка може робити прогнози для нових URL-адрес. 
Завдяки відносно безпечнішого середовища для отримання важливої 
інформації та здатності узагальнювати всі типи загроз (а не лише типові, які 
мають бути визначені за допомогою підпису), методи статичного аналізу є 
більш перспективними для дослідження. 
В роботі пропонується евристичний підхід до класифікації фішингових 
URL-адрес за допомогою інформації, доступної лише для URL-адрес. 
Розглядається проблема виявлення фішингових URL-адрес як проблема 
двійкової класифікації: фішингові URL-адреси належать до позитивного 
класу, а доброякісні URL-адреси належать до негативного класу. Спочатку 
запускаються кілька сценаріїв, щоб зібрати наші фішингові та безпечні URL-
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  52 
 
адреси та створити набори даних. Потім наступна партія сценаріїв витягує 
ряд функцій, використовуючи різні загальнодоступні ресурси, щоб 
класифікувати екземпляри за відповідними класами. Потім застосовуються 
різні алгоритми машинного навчання для побудови моделей із навчальних 
даних, які складаються з пар значень ознак і міток класів. До моделей 
надсилається окремий набір тестових даних, і прогнозований клас 
екземпляра даних порівнюється з фактичним класом даних, щоб обчислити 
точність моделей класифікації. На рис.2.9. наведено огляд графічного 
представлення виявлення фішингових URL-адрес, базуючись на 
різноманітному аналізі, зокрема лексичному аналізі.  
 
Рис.2.10. Структура формування ознак виявлення фішингових URL-адрес для 
побудови моделі машинного навчання.  
 
Наприклад, перевіряється, чи належить порт до списка стандартних 
портів HTTP: 80, 8080, 21, 443, 70 і 1080. Якщо номер порту не належить до 
стандартний список, він позначається як потенційно фішингова URL-адреса. 
Аналізується максимальна та мінімально довжина URL-адреси та 
співставляється з наданими мітками про веб-ресурс. 
Багато фішингових URL-адрес містять привабливі слова, ключові 
слова, так як логін, вхід, підтвердження, перевірка тощо. URL-адреси з 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  53 
 
такими ключовими словами позначаються червоними прапорцями та 
виділяються як зловмисні. 
При аналізі URL-адрес потрібно відмовитися від аналізу таких записів, 
як http, www, com тощо, і розширень файлів веб-сторінок, таких як htm, html, 
asp, php тощо. Ключовим моментом при побудові моделі машинного 
навчання є правильний (максимально оптимальний) вибір ознак класифікації 
(Feature Extraction), по яким і буде працювати запропонована модель. 
 
Першим ключовим кроком є перетворення URL-адреси u на вектор 
ознак x (Feature Representation), де можна розглянути кілька типів 
інформації та використовувати різні методи. На відміну від вивчення моделі 
передбачення, ця частина не може бути безпосередньо обчислена 
математичною функцією. Використовуючи знання домену та відповідний 
досвід, представлення функції створюється шляхом сканування всієї 
відповідної інформації про URL-адресу. Вони варіюються від лексичної 
інформації (довжина URL-адреси, слова, використані в URL-адресі тощо) до 
інформації про хост (інформація WHOIS - протокол запит/відповідь, що 
базується на TCP, IP-адреса, місцезнаходження тощо). Після того, як 
інформація зібрана, вона обробляється для збереження у векторі ознак x. 
Числові характеристики можуть зберігатися в x як є, а пов’язана з 
ідентифікацією інформація або лексичні характеристики зазвичай 
зберігаються за допомогою підходу бінаризації або сумки слів (BoW).  
Залежно від типу використовуваної інформації, x ∈ Rd, згенероване з 
URL-адреси, є d-вимірним вектором, де d може бути меншим за 100 або бути 
в порядку мільйонів. Унікальна проблема, яка впливає, полягає в тому, що 
кількість функцій може бути не фіксованою або відомою заздалегідь. 
Наприклад, використовуючи підхід BoW, можна відстежувати випадки 
кожного типу слова, яке могло зустрічатися в URL-адресі в наших 
навчальних даних. Модель можна навчити на цих даних, але під час 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  54 
 
прогнозування нові URL-адреси можуть містити слова, яких не було в 
навчальних даних. Таким чином, розробити гарне представлення функцій, 
стійке до невидимих даних, є складним завданням. 
Після отримання вектора ознак x для навчальних даних, потрібно 
побудувати функцію прогнозування f : Rd → R. Це зазвичай формулюється як 
задача оптимізації, щоб точність виявлення була максимальною (або, 
альтернативно, мінімізована функція втрат). Функція f параметризована d-
вимірним ваговим вектором w, таким чином, що f(x)=(wТ>x). Нехай 
yt=sign(f(xt)) позначає передбачення мітки класу, зроблене функцією f. Тоді 
кількість помилок, зроблених моделлю прогнозування на всіх навчальних 
даних, є індикатором якості передбачення.  
Виділення лексичних особливостей URL адреси (Feature Representation). 
За допомогою лексичних особливостей URL-адреси необроблена URL-
адреса перетворюється на вектор ознак, представлених x. Для цього URL 
розбивається на різні маркери. Розбиття відбувається на спеціальних 
символах в URL. Величезна кількість токенів виходить після розбиття URL-
адрес усього набору даних. Створюється словник, у якому розміщуються всі 
унікальні лексеми, і кожна функція представляє слово, яке представлено як 
wi. Фактично, кожне слово, або адреса веб-ресурсу, перетворюється на вектор 
ознак, який і буде використовуватися як вхідні дані для навчання моделі. 
 
Лексичні особливості веб-ресурсу. 
Лексичні ознаки — це ознаки, отримані на основі властивостей назви 
URL-адреси (або рядка URL-адреси). Мотивація полягає в тому, що на основі 
того, як "виглядає" URL-адреса, можна визначити зловмисну природу URL-
адреси. Наприклад, багато методів обфускації (заплутування) намагаються 
«виглядати» як доброякісні URL-адреси, імітуючи їхні назви та додаючи до 
них незначні варіації. На практиці ці лексичні функції використовуються в 
поєднанні з кількома іншими функціями (наприклад, функціями на основі 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  55 
 
хоста) для покращення продуктивності моделі. Однак використання 
оригінальної назви URL-адреси неможливо з точки зору машинного 
навчання. 
Натомість рядок URL-адреси потрібно обробити так, щоб отримати 
корисні функції. Розглянемо деякі лексичні функції, які використовуються 
для виявлення шкідливих URL-адрес. 
 
Традиційні лексичні характеристики. 
Найбільш часто використовувані лексичні характеристики включають 
статистичні властивості рядка URL-адреси, як-от довжина URL-адреси, 
довжина кожного з компонентів URL-адреси (ім’я хосту, домен верхнього 
рівня, основний домен тощо), число спеціальних символів тощо  були 
одними з перших, хто запропонував видобувати слова з рядка URL. Рядок 
було оброблено таким чином, що кожен сегмент, розділений спеціальним 
символом (наприклад, ”/”, ”.”, ”?”, ”=” тощо), складався зі слова. 
На основі всіх різних типів слів у всіх URL-адресах було створено 
словник, тобто кожне слово стало функцією. Якби слово було присутнє в 
URL-адресі, значення функції було б 1, інакше – 0. Це також відоме як 
модель слів bagof-words (BoW). 
Безпосереднє використання моделі сумки слів призводить до втрати 
інформації про порядок, у якому слова зустрічаються в URL-адресі.  
Щоб не потрапити в чорні списки, хакери можуть генерувати шкідливі 
URL-адреси алгоритмічно. Використання функції пакета слів для таких URL-
адрес, імовірно, дасть низьку продуктивність, оскільки алгоритмічно 
згенеровані URL-адреси можуть створювати слова, які ніколи раніше не 
бачили (отже, функції, які ніколи раніше не бачили). Щоб виявити такі 
алгоритмічно згенеровані шкідливі URL-адреси, можна проаналізувати рядки 
рівня символів, щоб отримати характеристики URL адреси.  
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  56 
 
Розширені лексичні функції.  
Традиційні лексичні функції були отримані безпосередньо з рядка 
URL-адреси без значних знань домену чи обчислень. Дослідники 
запропонували кілька розширених лексичних функцій, які використовують 
властивості рядків URL-адрес, щоб отримати більш інформативні функції. 
В літературних джерелах виводять нові лексичні функції за допомогою 
евристики з метою бути стійкими до обфускації. На основі типів обфускації, 
визначених, пропонується п’ять категорій функцій: 
 функції, пов’язані з URL-адресою (ключові слова, довжина тощо); 
 функції домену (довжина доменного імені, чи використовується IP-
адреса як доменне ім’я тощо; 
 функції, пов’язані з каталогом (довжина каталогу, кількість маркерів 
підкаталогу тощо); 
 функції імені файлу (довжина імені файлу, кількість роздільників 
тощо); 
 параметри аргументу (довжина аргументу, кількість змінних тощо. 
 
Функції на основі хоста. 
Функції на основі хоста отримують із властивостей імені хоста URL. 
Вони дозволяють нам знати місцезнаходження зловмисних хостів, 
ідентифікацію зловмисних хостів, а також стиль керування та властивості 
цих хостів. 
Дослідження науковців свідчать про важливість аналізу хоста URL-
адреси. Деякі з ключових спостережень полягали в тому, що фішери 
використовували служби коротких URL-адрес: час життя з моменту 
реєстрації домену для шкідливих URL-адрес був майже миттєвим. 
Пропонується використання кількох функцій на основі хоста, включаючи 
властивості IP-адреси, інформацію WHOIS, місцезнаходження, властивості 
доменного імені та швидкість з’єднання.  
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  57 
 
Властивості IP-адреси містять функції, отримані з префікса IP-адреси 
та номера автономної системи (AS). Це включало те, чи знаходяться IP-
адреси записів A, MX або NS в тих самих AS або префіксах. 
Інформація WHOIS містить дати реєстрації доменних імен, 
реєстраторів і реєстрантів. Інформація про місцезнаходження містить 
фізичне географічне розташування - напр. країна/місто, до якого належить 
IP-адреса. Властивості імені домену включають значення часу життя, 
наявність певних ключових слів, як-от «клієнт» і «сервер», чи є IP-адреса в 
імені хоста чи ні. 
Функції IP-адрес для отримання ознак будуть більш стабільними, 
оскільки важко постійно отримувати нові IP-адреси для шкідливих URL-
адрес. Завдяки цій стабільності вони є важливими функціями для виявлення 
шкідливих URL-адрес.  
 
Функції на основі вмісту. 
Функції, засновані на вмісті, отримуються після завантаження всієї веб-
сторінки. Порівняно з функціями, заснованими на URL-адресах, вони є 
«важкими», оскільки потрібно отримати багато інформації, і водночас 
можуть виникнути проблеми з безпекою. 
Однак, маючи більше інформації про певний веб-ресурс, природно 
припустити, що це призведе до кращої моделі прогнозування. Крім того, 
якщо функції на основі URL-адреси не можуть виявити шкідливу URL-
адресу, більш ретельний аналіз функцій на основі вмісту може допомогти в 
ранньому виявленні загроз. Характеристики веб-сторінки, що базуються на 
вмісті, можна отримати в першу чергу з її вмісту HTML і використання 
JavaScript. 
 
 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  58 
 
2.6. Висновки 
В роботі пропонується застосування статичного методу аналізу веб-
ресурсів, як найбілш безпечного. Існує широкий спектр інформації, яку 
можна отримати з URL-адреси і яка є неструктурованою інформацією. 
Векторизація такої інформації, яка необхідна для побудови моделі 
машинного навчання, може бути дуже ресурсомістким завдання. Відповідно, 
при розробці системи виявлення зловмисних URL-адрес слід бути 
обережним, щоб знайти компроміс між корисністю функції та труднощами її 
отримання. 
В роботі буде використано нейромережеву структуру побудови моделі 
виявлення зловмисних ресурсів на основі статичного аналізу URL-адрес. 
Розробка такої системи та її аналіз буде надано в наступному розділі. 
, 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  59 
 
3. ПРАКТИЧНА РЕАЛІЗАЦІЯ НЕЙРОМЕРЕЖЕВОЇ 
СИСТЕМИ ВИЯВЛЕННЯ ЗЛОВМИСНИХ ВЕБ-РЕСУРСІВ 
ТА ЇЇ АНАЛІЗ 
 
3.1. Основі етапи підготовки даних 
 
Основні етапи підготовки даних для машинного навчання є 
фундаментом успішного моделювання та досягнення точних результатів. 
Вони включають в себе ряд кроків та процесів, спрямованих на збір, 
очищення, вибір та обробку даних перед їх використанням для навчання 
моделей. Нижче подано загальний огляд цих етапів, а також деталізацію 
кожного з них. 
Етап 1: Збір та завантаження даних 
1.1. Збір даних: Збирання даних з різних джерел, таких як бази даних, 
веб-сайти, файли тощо.  
Для поставленої задачі буде використано відкритий набір даних 
(malicious_phish.csv - DataSet), який складається з 651191 URL-адрес, з 
яких 428103 безпечних або безпечних URL-адрес, 96457 URL-адрес 
пошкодження, 94111 URL-адрес фішингу та 32520 URL-адрес 
шкідливих програм. Він має два стовпці, що містять URL-адресу та 
тип, що означає клас шкідливості. 
1.2. Завантаження даних: Завантаження даних у вигляді файлів 
(наприклад, CSV, Excel, JSON) або зв'язок з джерелами даних для отримання 
актуальної інформації. 
 
Етап 2: Очищення та попередня обробка даних 
2.1. Перевірка на відсутність даних (missing data): Визначення та 
обробка відсутніх значень (наприклад, заповнення середніми значеннями, 
медіанами, або видалення відповідних записів) – рис.3.1. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  60 
 
 
Рис.3.1. Приклад відсутності вхідних даних та необхідності їх 
заповнення. 
 
2.2. Видалення дублікатів: Виявлення і видалення повторюваних 
записів, які можуть впливати на аналіз. 
Очистка даних від зайвих полів (фітчів), які дублюють один одного. 
Наприклад, якщо приводиться колонка з роком народження і вік, то 
зрозуміло, що це одне і теж і одну колонку (фітчу), можна без погіршення 
якості моделі прибрати (рис.3.2.). 
 
Рис.3.2. Видалення інформації, яка дублюється 
 
Фактично подібний результат дивляться на матриці кореляції, її 
спеціально будують. Ті фітчі, які корелюють між собою, видаляють 
2.3. Видалення та фільтрація даних: Вибір підмножини даних, які є 
важливими для аналізу, або відкидання незначущих ознак. 
Не завжди надані фітчі (дані в колонках) нам чимось можуть 
допомогти в побудові моделі. Наприклад, вони однакові для всіх полів, а 
відповідно, не будуть впливати на кінцевий результат. Значить, можна 
зменшити розмірність і видалити такі фітчі (рис.3.3). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  61 
 
 
Рис.3.3.Видалення інформації, яка є однаковою для всіх даних 
 
2.4. Кодування категоріальних ознак: Перетворення категоріальних 
даних у числовий формат (наприклад, за допомогою кодування one-hot) – 
рис.3.4. 
 
Рис.3.4. Приклад перетворення категоріальних даних у числовий 
формат. 
 
2.5. Масштабування ознак: Застосування масштабування до ознак для 
забезпечення стабільності та швидкодії алгоритмів (наприклад, 
стандартизація). Це особливо важливо для побудови якісної нейромережевої 
моделі (рис.3.5). 
 
Рис.3.5. Реалізація процедури Feature Scaling. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  62 
 
Підготовка даних (етапи1-2 - data preparation) - це набір процедур, що 
допомагає зробити масив даних придатнішим для машинного навчання. У 
більш широкому значенні під підготовкою даних розуміють створення 
відповідного механізму збору даних. І ці процедури потребують переважну 
більшість часу, що витрачається на машинне навчання. Іноді до побудови 
першого алгоритму проходять місяці. 
 
Етап 3: Візуалізація та аналіз даних 
3.1. Візуалізація даних: Побудова графіків, діаграм, гістограм, 
кореляційних матриць тощо для зрозуміння розподілу даних та взаємозв'язків 
між ознаками. 
3.2. Експлораторний аналіз даних (EDA): Вивчення структури та 
особливостей даних, виявлення викидів та аномалій. Цей етап є досить 
важливим, і разом з завантаженням даних, їх підготовкою і аналізом може 
зайняти більше 2/3 всього часу, який витрачається на весь аналіз даних разом 
з побудовою і аналізом самої моделі. 
 
Рис.3.6. Витрати часу на різні етапи ML. 
 
Етап 4: Вибір ознак та інженерія ознак 
4.1. Вибір ознак: Вибір найважливіших ознак для моделювання на 
основі аналізу важливості ознак. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  63 
 
4.2. Інженерія ознак: Створення нових ознак на основі існуючих, 
використання доменного знання для створення більш інформативних ознак. 
Фітч інжиніринг застосовують для кращого вибору/підбору фітчів, які 
будуть більш точніше відображати в моделі існуючі залежності між вхідними 
даними і вихідним результатом. Наприклад, якщо у нас є тільки три колонки 
(фітчі - ознаки), то це може бути мало для якісної побудови моделі. Ми 
можемо утворити четверту, як комбінацію даних між першою і другою 
(наприклад, розділили їх між собою) і т.д. В результаті утворюємо нові фітчі, 
які можуть дати кращий/точніший результат при побудові моделі. Є 
автоматизовані методи, які визначають найбільш ефективні фітчі, а решта 
намагаються прибрати, щоб вони не заважали і не утворювали велику 
розмірність. 
 
Етап 5: Розбиття даних на навчальний та тестовий набори 
5.1. Розбиття даних: Розділення даних на навчальний (для навчання 
моделі) та тестовий (для оцінки моделі) набори (рис.3.7). 
 
Рис.3.7. Розділення вхідних даних на різні категорії 
 
Таке розділення дозволяє навчити на наборі даних «Training» саму 
модель, провалідувати її на «Validation» наборі, і в решті решт оцінити її 
якість на тестовому наборі «Testing», який модель ніколи не бачив і не міг 
навчитися на ньому. 
 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  64 
 
Етап 6: Моделювання та навчання моделі 
6.1. Вибір моделі: Вибір алгоритму машинного навчання, який 
найкраще відповідає задачі. В даному випадку буде використано 
повнозв’язні нейромережеві структури для аналізу даних. 
6.2. Навчання моделі - використання навчального набору для навчання 
моделі. 
 
Етап 7: Оцінка та валідація моделі 
7.1. Оцінка моделі: Вимірювання якості моделі за допомогою метрик, 
таких як якість (Accuracy), влу́чність (Рrecision), повнота (Recall), F1-оцінка 
тощо. 
7.2. Валідація моделі: Валідація моделі на тестовому наборі даних для 
перевірки її загальної продуктивності. 
 
Етап 8: Тонке налаштування та оптимізація моделі 
8.1. Гіперпараметризація: Налаштування гіперпараметрів моделі для 
досягнення найкращих результатів. 
 
Етап 9: Впровадження моделі 
9.1. Впровадження моделі: Перенесення навченої моделі в виробниче 
середовище для використання в реальних умовах. 
 
Етап 10: Моніторинг та підтримка 
10.1. Моніторинг моделі: Слідкування за продуктивністю моделі в 
реальному часі та оновлення її при необхідності. 
 
Вище наведені основні етапи можна представити у вигляді блок-схеми, 
представленої на рис.3.8. Всі етапи є важливими, і якщо щось зробити 
неякісно на одному з них, то неможливо очікувати побудови моделі аналізу 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  65 
 
даних з високими якісними показниками. Для збільшення якості аналізу 
вдаються до вдосконалення так званого “Feature Engineering” – інженерії 
ознак, покращення (ускладнення) структури моделі, зокрема нейромережевої, 
уточнення гіперпараметрів моделі тощо.  
 
Рис.3.8. Основні етапи підготовки даних та побудови моделі машинного 
навчання для аналізу даних 
 
 На основі приведених основних етапів підготовки даних буде 
запропонована нейромережева модель їх обробки та проведений якісний та 
кількісний аналіз щодо практичного застосування отриманих результатів. 
 
3.2. Аналіз даних та інженерія ознак  
 Після підготовки даних необхідно побудувати модель для аналізу 
даних з метою її подальшого застосування на практиці. В даному розділі буде 
наведено інформацію про побудову такої моделі на основі застосування 
нейромереж, які продемонструють вищу ефективність у порівнянні з 
традиційними методами машинного навчання. 
 Побудова такої моделі відбувається на мові Python 3.8 в середовищі 
розробки jupyter, який призначений для формування так званих ноутбуків, які 
по суті є програмами (лістинг програми наведений в додатку). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  66 
 
Перед початком роботи завантажуються необхідні бібліотеки, які 
потрібні для скачування датасета, на якому буде навчатися модель, його 
аналізу, візуалізації, підготовки даних та безпосередньої побудови 
нейромережевої структури.  
 В даному проекті робота проводиться на основі датасета з файла 
«malicious_phish.csv» (рис.3.9), який представляє собою набір записів 
(посилань) веб-ресурсів (колонка «url») та його оцінку з точки зору безпеки.  
 
Рис.3.9. Представлення датасета з різними типами веб-ресурсів 
 
Всього в даному датасеті представлено 651191 записів, які характеризують 
вер-ресурси за експериментальними дослідженнями на наступні чотири 
категорії: 
Benign/Доброякісні/ «0»   428103; 
Defacement/Зіпсовані/ «1»  96457; 
Phishing/Фішингові/ «2»  94111; 
Malware/Зловмисні / «3»  32520. 
 
 На рис.3.10 наведена ілюстрація розподілу по категоріях для веб-
посилань. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  67 
 
 
 
Рис.3.10. Розподіл по категоріям веб-посилань в датасеті. 
 
 Оскільки для обробки даних є тільки одне посилання веб-ресурсу, 
потрібно утворити набір різних додаткових характеристик з таких записів, 
які б дозволяли адекватно ідентифікувати зловмисні посилання. Для цього, в 
першу чергу перейдемо від категоріальних цільових показників (поле type: 
Benign, Defacemen, Phishing, Malware) до їх цифрового представлення від 0 
до 3 відповідно  - поле url_type. Також представимо доменну структуру 
(pri_domain), обрахуємо кількість символів кожному рядку (url_len). 
Розділимо посилання на ряд ознак, які б характеризували його доменну 
структуру та визначали, чи є в таких записах тільки літери та їх кількість 
(letters_count), тільки цифри (digits_count), спеціальні символи 
(spesial_chars_count) тощо. Таке додаткове представлення даних наведено на 
рис.3.11, де  
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  68 
 
 
Рис.3.11. Перетворення вхідного датасета з додаванням нових характеристик 
про записи. 
Далі додаємо нові характеристики досліджуваних посилань, такі як 
аналіз на анормальність веб-ресурсу з огляду повторюваність піддоменних 
імен з доменними (abnormal_url), на наявність захищеного протоколу 
(secure_http), аналіз ір-адрес (have_ip). 
В результаті такої обробки отримаємо новий датасет з додатковими 
полями для обробки даних (рис.3.12). 
 
 
Рис.3.12. Отримання нових характеристик для вхідного датасета. 
 
Кожну з таких характеристик можна детально проаналізувати, наприклад, як 
розподілена довжина url-посилань (рис.3.13). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  69 
 
 
Рис.3.13. Розподіл кількості символів в  url-посиланнях. 
 
Як видно з графіка, середня кількість посилань знаходиться в межах до 100 
символів. Але в той же час є певних «хвіст» розподілу, який свідчить про 
присутність досить довгих посилань. 
Наступна ілюстрація аналізу отриманих ознак – це довжини веб-
посилань зі спеціальних символів (рис.3.14). Як видно з аналізу, основна 
кулястість таких спеціальних знаків знаходиться в межах до 10 для запису. 
 
 
Рис.3.14. Розподіл кількості спеціальних символів в  url-посиланнях. 
 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  70 
 
Що стосується розподілу символів в записі, то він свідчить про перевагу 
літерного представлення у порівнянні з цифровим і спеціальними символами 
(рис.3.15). 
 
Рис.3.15. Розподіл кількості різних знаків в полях датасета. 
 
Також можна проілюструвати у вигляді хмари найбільш вживані домени в 
досліджуваному датасеті (рис.3.15), де виділяються «Wikipedia», «Youtube», 
«Facebook» та ін. 
 
Рис.3.16. Хмарний розподіл доменних імен в досліджуваному датасеті. 
 
Для числових показників матриця кореляції показана на рис.3.17, де не 
помічається суттєвої кореляції між ознаками. Це значить, що видаляти ту чи 
іншу ознаку для зменшення розмірності немає необхідності. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  71 
 
 
Рис.3.17. Представлення матриці кореляції для числових ознак датасета 
 
 Додамо до отриманих ознак ще такі характеристики, як регіон 
посилання (url_region) та кореневий домен (root_domain) (рис.3.18.а), які 
перетворимо в числові характеристики, наприклад за допомогою хеш-
функцій (рис.3.18.б) 
а) 
б) 
Рис.3.18. Отримання нових ознак на основі регіону посилання та кореневого 
домена  
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  72 
 
На основі отриманих нових ознак, які не корелюють між собою, побудуємо 
модель машинного навчання для різних класичних класифікаторів і оцінимо 
їх ефективність. 
 
3.3. Побудова та дослідження класичних моделей машинного навчання 
виявлення зловмисних веб-ресурсів 
 
 Для побудови і дослідження класичних моделей машинного навчання 
необхідно отримати набори даних для навчання моделі і перевірки якості її 
функціонування. З цією метою з отриманого датасета за допомогою інженерії 
ознак виділимо чотири категорії даних:  
а) набор даних для побудови моделі: x_train,x_test; 
б) набор даних для перевірки моделі: y_train,y_test. 
Такі набори отримуються за допомогою функції виділення даних з 
основного датасета, в якому вихідні категоріальні ознаки urls_data['type'] 
перевели в числову форму за допомогою енкодера (рис.3.19): 
 
 
Рис.3.19. Перетворення категоріальних ознак в числові 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  73 
 
В результаті застосування функції розділення даних отримаємо такі набори 
(рис.3.20) 
 
 
Рис.3.20. Отримання тренувальних і перевірочних наборів даних 
 
 Для побудови класичних моделей машинного навчання використаємо 
такі класифікатори, як: 
classifiers = [ 
    DecisionTreeClassifier(), 
    RandomForestClassifier(), 
    AdaBoostClassifier(), 
    KNeighborsClassifier(), 
    ExtraTreesClassifier(), 
    GaussianNB() 
]. 
В результаті їх застосування отримали наступні результати (рис.3.21): 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  74 
 
 
Рис.3.21. Кількісні показники моделей машинного навчання для виявлення 
зловмисних веб-ресурсів. 
 
Вимірювання якості моделі проводиться за допомогою метрик: якість 
(Accuracy), влу́чність (Рrecision), повнота (Recall), F1- усереднена оцінка. Як 
видно з наведених результатів, найкращі показники не перевищують якість 
більше, ніж 80.5%. Тобто, зі 100 випадків 80.5% буде правильними, решта – з 
високою ймовірністю помилковими.  
 Побудуємо іншу модель машинного навчання на основі 
нейромережевої структури, щоб вона була з кращими показниками якості. 
 
3.4. Подова та дослідження нейромережевої моделі виявлення 
зловмисних веб-ресурсів 
 
 Для побудови нейромережевої моделі необхідно зробити підготовку 
даних з точки зору їх нормалізації. Така нормалізація виконується при 
використанні стандартних процедур (рис.3.22) і значно покращує якість 
моделі. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  75 
 
 
Рис.3.22. Результати нормалізації тренувального набору даних 
 
В якості моделі нейромережевої структури оберемо повнозв’язну 
структуру (Dense), яка представлена на рис.3.23, а параметри такої моделі 
представлені на рис.3.24. 
 
Рис.3.23. Нейромережева повнозв’язна модель розрізнення ознак даних 
 
 Така модель характеризується відносною простотою побудови, 
швидким начанням (рис.3.25) та кращими показниками якості у порівнянні з 
класичними класифікаторами. Зокрема, якість такої моделі склала 86.39% (у 
порівнянні з кращим показником траційного класифікатора 
«RandomForestClassifier» - 80.5%). 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  76 
 
 
Рис.3.24. Параметри повнозвязної нейромережевої моделі 
 
 
Рис.3.25. Результат навчання нейромережевої моделі для 10 епох. 
 
 На рис.3.26 наведені результати оцінювання показників влу́чністі 
(Рrecision) – 0.86% і повноти (Recall) – 0.86% аналізу даних, які є кращими у 
порівнянні з класичними класифікаторами, наведеними вище (в середньому 
не перевищували 80%.) 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  77 
 
 
Рис.3.26. Результати оцінювання показників якості нейромережевої моделі в 
процесі її навчання. 
 
Для практичного аналізу отриманої моделі було проаналізовано файл з 
набором 20 веб-ресурсів (рис.3.27), які складалися з 10 добре відомих не 
зловмисних сайтів та 10 зловмисних, взятих з досліджуваного датасета. 
 В результаті аналізу таких ресурсів та застосуванні нейромережевої 
моделі аналізу даних були отримані передбачені результати, представлені на 
рис.3.28. Як видно з аналізу даних, характеристика веб-ресурсів (рис.3.27) 
збігається з нашим попереднім представленням про їх безпеку, де 10 перших 
веб-ресурсів отримали класифікацію як безпечних з позначкою «0», а решта 
як зловмисні «2» або «3». Четверта позиція отримала класифікацію як «1», 
що в принципі припустимо, так як отриманий нейромережевий класифікатор 
не дає максимальної достовірності і може бути в подальшому вдосконалений. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  78 
 
 
Рис.3.27. Перелік довільно обраних веб-ресурсів для аналізу 
нейромережевою моделлю. 
 
 
Рис.3.28. Результати аналізу веб-ресурсів на основі підібраного набору  
 
Таким чином можна зробити висновок про позитивний отриманий 
результат аналіза веб-ресурсів, який за своїми показниками кращий у 
порівнянні з класичними класифікаторами, які розглянуті у роботі. 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  79 
 
3.5. Висновки 
 В даному розділі наведені основні етапи підготовки даних, які можуть 
займати більшу частину часу при побудові моделі даних. Проведений аналіз 
досліджуваного датасета, зроблена інженерія ознак, що дало можливість 
розширити область досліджуваних параметрів для покращення якісних 
показників моделі. 
На основі попередньої обробки даних були досліджені класичні 
класифікатори для визначення зловмисних веб-ресурсів. Запропонована нова 
нейромережева модель аналіза даних, яка характеризується своєю 
простотою, швидкістю навчання та кращими кількісними показниками. 
Зокрема, якість передбачення зловмисних веб-ресурсів по аналізу їх 
посилань вдалося покращити на 6% (з 80% до 86%), що в цілому позитивно 
відобразиться на обробці даних. 
В подальшому для покращення результатів моделі можна збільшити її 
складність, розглянути додаткові набори ознак та застосування спеціальних 
технік стекінгу та асемблювання. 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  80 
 
ВИСНОВКИ 
У дипломній роботі виконаний аналіз шкідливого програмного 
забезпечення, його класифікація та потенційні загрози, які воно може 
створити. Для боротьби з таким програмним забезпеченням існують різні 
застосунки, які призначені для запобігання або попередження доступу до 
веб-сайтів цього типу або завантажень, що викликають підозри. 
Як альтернативний підхід для підвищення безпеки користувачів в 
Інтернеті, розглядається використання сучасних методів обробки даних. 
Зокрема, це включає в себе використання машинного навчання для аналізу та 
виявлення підозрілих і шкідливих веб-ресурсів і запобігання їх 
використанню. В рамках цього підходу пропонується використання 
нейромережевої системи для створення та аналізу моделі для виявлення 
шкідливих веб-ресурсів, що допомагає користувачам захистити себе від 
зловмисних веб-сайтів. 
У дослідженні надається детальний огляд структури нейромережевої 
моделі для обробки даних та проводиться оцінка якості результатів, 
отриманих в результаті цього аналізу. 
Проведений аналіз досліджуваного датасета, виконана інженерія 
додаткових ознак, що дало можливість розширити область досліджуваних 
параметрів для покращення якісних показників моделі. 
На основі попередньої обробки даних були досліджені класичні 
класифікатори для визначення зловмисних веб-ресурсів. Запропонована нова 
нейромережева модель аналіза даних характеризується своєю простотою, 
швидкістю навчання та кращими кількісними показниками. Зокрема, якість 
передбачення зловмисних веб-ресурсів по аналізу їх посилань вдалося 
покращити на 6% (з 80% до 86%), що в цілому позитивно відобразиться на 
обробці даних. В подальшому для покращення результатів моделі можна 
збільшити її складність, розглянути додаткові набори ознак та застосування 
спеціальних технік стекінгу та асемблювання. 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  81 
 
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ 
 
1. Основи програмування мовою Python: навчальний посібник. Ч.: ФОП 
Баликіна С.М., 2020. 180 с. 
2. Засоби штучного інтелекту: навч. посіб. / Р. О. Ткаченко, Н. О. Кустра, 
О. М. Павлюк, У. В. Поліщук ; М-во освіти і науки України, Нац. ун-т 
«Львів. політехніка».  Львів: Вид-во Львів. політехніки, 2014. — 204 с. 
3. М. Л. Ковальчук, Ю. О. Ушенко, Д. І. Угрин. Методи та системи 
штучного інтелекту. Навчальний посібник. – Чернівці: Чернівецький 
національний університет ім. Ю. Федьковича, 2022. – 318 с. 
4. Дворжак В.В., Талах М.В. Глибинне навчання для комп’ютерного зору. 
Частина 1 / В.В. Дворжак, М.В. Талах – Чернівці: Технодрук, 2022 р. – 
271 с. 
5. I. Goodfellow, Y. Bengio, and A. Courville, Deep Learning. MIT Press, 
2016. 
6. François Chollet. Deep Learning with Python, Second Edition. Manning, 
2018. – 400p. 
7. О.М. Васильєв. Програмування мовою Python. "Навчальна книга - 
Богдан", Тернопіль, 2018 рік, 504 с. 
8. Bakshy, E., Rosenn, I., Marlow, C., Adamic, L.: The role of social networks 
in information diffusion. In: Proceedings of the 21st international conference 
on World Wide Web, pp 519–528 (2012). 
9. Basit, A., Zafar, M., Liu, X., Javed, A.R., Jalil, Z., Kifayat, K.: A 
comprehensive survey of ai-enabled phishing attacks detection techniques. 
Telecommunication Systems pp 1–16 (2020) 
10. Asad, M., Asim, M., Javed, T., Beg, M.O., Mujtaba, H., Abbas, S.: 
Deepdetect: detection of distributed denial of service attacks using deep 
learning. Comput. J. 63(7), 983–994 (2020) 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  82 
 
11. Benevenuto, F., Magno, G., Rodrigues, T., Almeida, V.: Detecting 
spammers on twitter. In: Collaboration, electronic messaging, anti-abuse and 
spam conference (CEAS), vol 6, p 12 (2010) 
12. Javed, A.R., Beg, M.O., Asim, M., Baker, T., Al-Bayatti, A.H.: 
Alphalogger: detecting motionbased side-channel attack using smartphone 
keystrokes. J. Ambient Intell. Human. Comput. pp 1–14 (2020) 
13. Nair, M.C., Prema, S.: A distributed system for detecting phishing in twitter 
stream. Int. J. Eng. Sci. Innov. Technol. 3(2), 151–158 (2014) 
14. Leukfeldt, E.R., Kleemans, E.R., Stol, W.P.: Cybercriminal networks, social 
ties and online forums: social ties versus digital ties within phishing and 
malware networks. Br. J. Criminol. 57(3), 704–722 (2017) 
 
 
 
Лист 
 БІ021.023.22190.248 ПЗ 
Змін. Лист № докум. Підпис Дата  83