Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/5988| Title: | Дослідження використання методів штучного інтелекту для аналізу та виявлення шкідливої інформації в соціальних мережах та медіа. |
| Authors: | Панаско, Олена Миколаївна Шраменко, Вадим Олександрович |
| Keywords: | методи машинного навчання;"алгоритми машинного навчання";глибоке навчання;методи виявлення фішингових повідомлень;Large Language Modele;Chat-GPT |
| Issue Date: | 2023 |
| Abstract: | "Метою даної роботи є дослідження використання методів штучного інтелекту для аналізу та виявлення шкідливої інформації в соціальних мережах та медіа. Задачі: Проаналізувати основні методи поширення шкідливої інформації. Проаналізувати основні методи штучного інтелекту. Визначити оптимальний метод штучного інтелекту для виявлення шкідливої інформації. Розробити систему виявлення фішингових сайтів за допомогою ChatGPT. " |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/5988 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Шраменко_Панаско.pdf Restricted Access | 1.46 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
ПОЯСНЮВАЛЬНА ЗАПИСКА
до кваліфікаційної роботи
освітнього ступеня «магістр»
на тему: «Дослідження використання методів штучного інтелекту
для аналізу та виявлення шкідливої інформації в соціальних мережах та медіа
Виконав: студент 2 курсу, групи БІ-021
спеціальності 125 – Кібербезпека
освітньої програми «Безпека
інформаційних і комунікаційних
систем»
Шраменко В.О.
(прізвище та ініціали)
Керівник К.т.н., доц.каф. робототехнічних і
телекомунікайних систем та кібербезпеки
Панаско О.М.
(прізвище та ініціали)
Рецензент К.т.н., доц. каф. Комп’ютерних наук та
системного аналізу
Андрієнко В.О.
(прізвище та ініціали)
Черкаси 2023
2
Черкаський державний технологічний університет
(назва вузу)
Факультет Факультет електронних технологій, автотранспорту
та машинобудування
Кафедра кафедра робототехнічних і телекомунікайних систем
та кібербезпеки
Освітньо-кваліфікаційний рівень/освітній ступінь Магістр
Спеціальність Кібербезпека
ЗАТВЕРДЖУЮ:
Завідувач кафедри
професор Палагін Володимир Васильович
(підпис)
« » 2023 р.
ЗАВДАННЯ
на кваліфікаційну роботу магістра студенту
Шраменко Вадим Олександрович
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) «Дослідження використання методів штучного інтелекту
для аналізу та виявлення шкідливої інформації в соціальних мережах та медіа
Керівник роботи Панаско О.М.
затверджена наказом університету від « » №
2. Строк подання студентом роботи
3. Вихідні дані до роботи методи машинного навчання, алгоритми машинного
навчання, глибоке навчання, методи виявлення фішингових повідомлень,
Large Language Modele, Chat-GPT
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Аналіз методів поширення шкідливої інформації.
Аналіз методів штучного інтелекту
Розробити систему виявлення фішингових сайтів за допомогою LLM
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
Демонстраційний матеріал у вигляді ppt -презентації
3
6. Консультанти розділів роботи
Підпис, дата
Прізвище, ініціали та посада
Розділ завдання
консультанта завдання видав
прийняв
Основна К.Т.Н.,Доцент Панаско Олена
частина Миколаївна
7. Дата видачі завдання
КАЛЕНДАРНИЙ ПЛАН
Строк
№
Назва етапів кваліфікаційної роботи магістра виконання Примітки
з/п
етапів роботи
1 11.09.2023– Виконано
Уточнення постановки задачі
24.09.2023
2 25.09.2023– Виконано
Аналіз літератури
1.10.2023
3 Аналіз методів поширення шкідливої 2.10.2023– Виконано
інформації 15.10.2023
4 Дослідження основних методів штучного 16.10.2023– Виконано
інтелекту 29.10.2023
5 30.10.2023– Виконано
Порівняльний аналіз існуючих методів
5.11.2023
6 Розроблення системи для аналізу фішингових 6.11.2023– Виконано
сайтів 19.11.2023
7 Реалізація системи 20.11.2023– Виконано
3.12.2023
8 4.12.2023– Виконано
Оформлення пояснювальної записки
10.12.2023
9 11.12.2023– Виконано
Підготовка до захисту
19.12.2023
Студент Шраменко В.О.
(підпис) (прізвище та ініціали)
Керівник роботи Панаско О.М.
(підпис) (прізвище та ініціали)
АНОТАЦІЯ
Кваліфікаційна робота магістра на тему «Дослідження використання методів
штучного інтелекту для аналізу та виявлення шкідливої інформації в соціальних
мережах та медіа.» Студента групи БІ-021 факультету електронних технологій,
автотранспорту та машинобудування Шраменко В.О. присвячена дослідженню
використання методів штучного інтелекту для виявлення шкідливої інформації та
розробці системи на основі результатів дослідження. В даній роботі розроблено
систему яка збирає дані про сайт та визначає ступінь шкідливості за допомогою
великої мовної моделі. У роботі розроблено блок-схему алгоритму. Програмний код
написаний на мові Python в середовищі MS Visual Studio 2019.
5
ABSTRACT
Master's thesis on the topic «Investigation of the use of artificial intelligence methods for
the analysis and detection of malicious information in social networks and media».
Conducted by student of group BI-021 at the Faculty of Electronic Technologies,
Automotive and Mechanical Engineering, Shramenko V.O. is dedicated to researching the
utilization of artificial intelligence methods for the detection of malicious information and
the development of a system based on the research results. This work includes the
development of a system that collects data about a website and determines the degree of
maliciousness using a large language model. The thesis presents a flowchart of the
algorithm, and the programming code is written in Python within the MS Visual Studio 2019
environment.
6
РЕФЕРАТ
Пояснювальна записка дипломної роботи складається зі вступу, трьох
розділів, загальних висновків, списку використаних джерел та додатків. Основний
текст займає 73 сторінки, включає в себе зміст, вступ, три розділи дипломної роботи,
11 рисунків, 7 таблиць, висновки та список джерел. Крім того, робота містить 2
додатки із загальною кількістю сторінок 4.
Метою даної роботи є дослідження використання методів штучного
інтелекту для аналізу та виявлення шкідливої інформації в соціальних мережах та
медіа.
Для досягнення поставленої в роботі мети необхідне вирішення наступних
задач:
• Проаналізувати основні методи поширення шкідливої інформації.
• Проаналізувати основні методи штучного інтелекту.
• Визначити оптимальний метод штучного інтелекту для виявлення
шкідливої інформації.
• Розробити систему виявлення фішингових сайтів за допомогою ChatGPT.
Об’єктом дослідження є процес виявлення шкідливої інформація за
допомогою методів штучного інтелекту.
Предмет дослідження - методи штучного інтелекту для виявлення шкідливої
інформації в соціальних мережах та медіа
Науковою новизною є – використання великих мовних моделей для виявлення
фішингу.
Практичною цінністю отриманих результатів є розробка додатку для
визначення ступеню небезпеки сайту.
Ключові слова: шкідлива інформація, штучний інтелект, машинне навчання, фішинг,
Chat-GPT, python.
7
ЗМІСТ
ВСТУП .......................................................................................................................... 8
РОЗДІЛ 1 АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ........................................................... 10
1.1 Вплив шкідливої інформації ............................................................................ 10
1.2 Способи поширення дезінформації ................................................................ 11
1.2.1 Боти в соціальних мережах .............................................................................. 11
1.2.2 Відео та статті в соціальних мережах.......................................................... 14
1.3 Фішингові сайти ................................................................................................... 16
Висновок до розділу 1 ............................................................................................... 20
РОЗДІЛ 2 ЗАСОБИ ШТУЧНОГО ІНТЕЛЕКТУ В ВИЯВЛЕННІ ЗАГРОЗ ............. 22
2.1 Машинне навчання та Нейронні мережі. Сутність. Функціонал ................ 24
2.1.1. Традиційні інструменти машинного навчання ........................................... 25
2.1.2 Методи машинного навчання на основі нейронної мережі ...................... 31
2.2 Нейронні мережі в окремих областях: кібербезпека ....................................... 38
2.3 Визначення методу виявлення фішингових сайтів .......................................... 44
Висновок до розділу 2. .............................................................................................. 45
РОЗДІЛ 3 СИСТЕМА ВИЯВЛЕННЯ ФІШИНГОВИХ САЙТІВ .......................... 47
3.1 Визначення фішингових веб-сторінок за допомогою LLM ........................... 47
3.2 Принцип роботи системи виявлення фішингових сайтів ................................ 48
3.3 Опис технічних засобів........................................................................................ 52
3.3.1 Реалізація системи............................................................................................. 54
3.4 Оцінка роботи та ефективність визначення ...................................................... 55
Висновок до 3 розділу ............................................................................................... 63
ВИСНОВОК ................................................................................................................ 65
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ .................................................................. 67
ДОДАТОК А ............................................................................................................... 70
ДОДАТОК Б ............................................................................................................... 71
ДОАТОК В .................................................................................................................. 72
8
ВСТУП
У сучасну епоху комп’ютерів новинна екосистема перетворилася зі старих
традиційних друкованих ЗМІ на соціальні медіа. Платформи соціальних медіа
дозволяють нам споживати інформацію набагато швидше, оскільки менш
обмежене редагування призводить до поширення фейкових новин у неймовірних
темпах і масштабах. Неймовірна кількість новинних порталів ускладнює
знаходження правдивої інформації, навіть в області кібербезпеки. Оскільки ця
область набуває популярності, шахраям легше поширювати зловмисні сайти та
програми через соціальні мережі та медіа.
В сучасному цифровому світі, де технології швидко розвиваються, питання
кібербезпеки стає надзвичайно важливим і актуальним. Однією з серйозних загроз
цьому контексті є поширення шкідливої інформації через методи фішингу. Фішинг,
який часто включає в себе введення користувачів в оману та намагання викликати
передачу конфіденційних даних, став складним завданням для подолання в умовах
постійної еволюції кіберзагроз.
Однак, у цьому контексті з'являється новий союз технологій – штучний
інтелект. Використання штучного інтелекту для подолання фішингу стає
перспективним напрямом досліджень та застосувань. Алгоритми машинного
навчання та аналізу поведінки можуть виявити та блокувати шкідливі спроби,
надаючи нові можливості для підвищення рівня кібербезпеки в онлайн-середовищі.
У цій магістерській роботі розглядається вплив шкідливої інформації,
особливо тієї, що виникає внаслідок фішингу, на безпеку інтернет-простору.
Досліджуючи сучасні методи фішинг-атак, аналізується їхні особливості та
механізми дії. Основний акцент роботи складається на використанні штучного
інтелекту для виявлення та подолання фішингових загроз. Шляхом розробки та
впровадження ефективних алгоритмів та систем, розглядаються можливості
9
підвищення рівня безпеки користувачів у віртуальному просторі та зменшення
ризиків, пов'язаних із фішинговими атаками.
Отже, темою даної роботи є дослідження використання методів штучного
інтелекту для аналізу та виявлення шкідливої інформації в соціальних мережах та
медіа. Мета даної роботи, це розширення поточних досліджень методів штучного
інтелекту. Для досягнення поставленої в роботі мети необхідне вирішення
наступних задач:
• Проаналізувати основні методи поширення шкідливої інформації.
• Проаналізувати основні методи штучного інтелекту.
• Визначити оптимальний метод штучного інтелекту для виявлення
шкідливої інформації.
• Розробити систему виявлення фішингових сайтів за допомогою
ChatGPT.
10
РОЗДІЛ 1
АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ
1.1 Вплив шкідливої інформації
Ефективність кібербезпеки залежить від точності та достовірності
інформації. Дезінформація може впливати на процеси прийняття рішень, навіть у
сферах, які традиційно вважаються стійкими до зовнішніх впливів. У кіберпросторі
дезінформація може бути використана як інструмент для проведення атак, зокрема
соціально-інженерних атак, спрямованих на здобуття конфіденційної інформації.
Дезінформаційні кампанії можуть призводити до зміни вірогідності та обсягу
кіберзагроз, роблячи важким виявлення та аналіз потенційно небезпечних
ситуацій. Наприклад, штучні інтелектуальні системи, призначені для виявлення
аномалій та підозрілих дій, можуть бути обмануті неправдивою інформацією, що
призведе до зниження ефективності кіберзахисту.
Додатково, дезінформація може впливати на поведінку користувачів та їхнє
сприйняття кібербезпеки. Поширення міфів та неправдивої інформації про методи
захисту може призвести до недооцінки ризиків та неправильного використання
заходів безпеки.
Зловмисне використання соціальних медіа є широко поширеним явищем,
націленим на окремих осіб, громадську думку, а в деяких випадках навіть на
функціонування держави
Сьогодні типи соціальних мереж переживають вибухове зростання. Якщо
раніше соціальною мережею можна було назвати лише Facebook, то сьогодні
багато сервісів додають собі функції соціальних мереж. Деякі неочевидні приклади
– інтернет-магазини, де є огляди товарів і соціальні рейтинги продавців, банки, які
мають функцію повідомлень і френдлисти для швидкого переказу грошей, новинні
платформи, які дозволяють підписуватися на авторів і коментувати їхню роботу.
Все це створює соціальні стосунки, які можуть бути атаковані: зловмисник може
11
занизити рейтинг конкурента в інтернет-магазині, може видавати себе за когось для
шахрайства або просто поширювати чутки та дезінформацію в коментарях на сайті
новин. Можна очікувати, що соціальні функції будуть і надалі реалізовуватися в
різних видах послуг
1.2 Способи поширення дезінформації
Так само, як і звичайні веб-орієнтовані додатки, онлайн соціальні мережі
стикаються з численними загрозами, оскільки вони обслуговують мільйони
користувачів та мільйони відвідувань в Інтернеті щомісяця. Онлайн соціальні
мережі вже не підтримують лише концепцію розваг, а також вкоренилися в рішення
бізнесових мереж та ширший контекст аспектів соціальних мереж у житті людини.
Неабиякі досягнення в інформаційній технології сприяли стрімкому поширенню
онлайн соціальних мереж. Мільйони користувачів Інтернету сьогодні вступають у
одну чи кілька соціальних мереж з бізнесових чи соціальних мотивів.
Цей розділ дослідження спрямований на розгляд способів поширення
дезінформації, зокрема ботів в соціальних мережах і відео та статей в соціальних
мережах.
1.2.1 Боти в соціальних мережах
Використання ботів у соціальних мережах стало однією з ключових стратегій
поширення дезінформації. Боти – це автоматизовані програми, які можуть
виконувати різноманітні завдання, включаючи поширення фейкових новин та
неправдивої інформації або використання в командно-керуючих мережах для
запуску атак.
Технологічно соціальна мережа — це програма, яка надає доступ до бази
даних через API. Ця база даних зберігає інформацію про користувачів, контент,
який вони створюють, і взаємодії. Надсилати запити до програми може як людина,
так і бот. Оскільки боти можуть виконувати набагато більше запитів, ніж
12
користувачі, соціальні мережі накладають обмеження на кількість запитів API.
Таким чином, платформи соціальних мереж обмежують доступ до інформації для
масових автоматизованих запитів, але користувачі взагалі не помічають цього
обмеження. Це також допомагає зменшити навантаження на інфраструктуру
соціальної мережі. З іншого боку, це означає, що засоби захисту також підпадають
під ці обмеження – їм, як і ботам, потрібна інформація з соціальних мереж для
аналізу. Тому однією з ключових особливостей соціальних мереж є ліміти API, які
накладають обмеження на доступ до даних під час автоматичного завантаження.
Ці боти часто видаються за реальних користувачів, створюють
псевдоперсоналії та взаємодіють з реальними людьми у соціальних мережах. Вони
можуть сприяти виробленню враження великої кількості підтримки або опозиції до
певної ідеї чи події, змінюючи таким чином громадську думку та впливаючи на
формування поглядів користувачів.
У рамках цього дослідження розглядаються боти, які становлять загрозу
безпеці. Звичайно, не всі боти шкідливі. Наприклад, нешкідливими є боти, які
дають прогноз погоди, генерують меми, надають послуги магазину тощо. У цьому
дослідженні аналізуються лише шкідливі боти. Для цього проводиться
ідентифікація шкідливих ботів за типами загроз.
Можна виділити 3 класи загроз, що пов'язані із тріадою CIA:
1. Шахрайство (загроза конфіденційності) - обман користувачів
соціальних мережних з метою отримання грошей або особистої інформації.
Шахрайство відбувається через листування з користувачем. Наприклад, боти
можуть збирати приватні фотографії на службах знайомств для шантажу або дані,
необхідні для обходу банківських і поштових систем безпеки на основі запитань
щодо безпеки. Якщо такі боти мають штучний інтелект та можуть автоматично
вести розмови, це спричинить серйозні проблеми для десятків тисяч користувачів.
Навіть якщо ймовірність успіху низька, вони можуть обдурити велику кількість
людей просто шляхом горизонтального масштабування ботмережі.
2. Продвиження шкідливої або цензурованої інформації - пропаганда та
поширення інформації, забороненої соціальною мережною платформою
13
(ненависть, тролінг і т. д.) або забороненої урядом (тероризм, підбурювання до
насильства і т. д.) В залежності від цілей нападника:
• Загроза цілісності - якщо метою є загострення конфлікту та порушення
цілісності спільноти;
• Загроза доступності - якщо метою є заглушення альтернативних точок
зору спамом.
3. Загроза маніпулювання рейтингом для забезпечення цілісності -
завищення рейтингу для збільшення довіри користувачів. Для цього
фальсифікуються метрики соціальної мережі - кількість лайків, друзів, відгуків і т.
д.
Реалізація цих загроз ботами вимагає від них однієї ключової якості –
шкідливі боти видають себе за реальних людей, оскільки це ключовий компонент
довіри користувачів. Людина не повірить шахраю, якщо акаунт не схожий на
реальну людину. Реальні користувачі будуть скептично ставитися до чуток, які
поширюють боти. І, звісно, покупець буде з підозрою ставитися до магазину, який
має багато позитивних відгуків від ботів.
Боти можуть керуватися за допомогою:
1. Програмного забезпечення – дії бота виконуються автоматично за
деякими алгоритмами. Для ботів низької, середньої та високої якості. Зазвичай для
дій, які можна реалізувати в автоматичному режимі.
2. Оператор – ботом керує оператор вручну. Для високоякісних і живих
ботів. Зазвичай для дій, які неможливо реалізувати в автоматичному режимі.
3. Біржовий майданчик – ботом керує реальний власник облікового
запису, який погоджується виконувати певні дії за гроші. Для якісних ботів.
Зазвичай для дій, які неможливо реалізувати в автоматичному режимі.
4. Troll Fabric – агентства, в яких працюють професіонали. Послуги таких
компаній не є публічними. Але вони повинні бути включені до списку, оскільки
вони, за багатьма доказами, відповідальні за багато нападів.
14
1.2.2 Відео та статті в соціальних мережах
Розглянемо видавання себе за іншу особу як перший приклад зловмисного
використання соціальних мереж. Видання себе за іншу особу можна визначити як
«видавати себе за іншу особу з метою розваги чи шахрайства».Facebook і Twitter
забороняють використовувати облікові записи, які видають себе за реальних і
неіснуючих людей, організації тощо, для отримання анонімного доступу до їхніх
послуг, тоді як інші соціальні медіа-платформи, такі як YouTube, мають менш чітку
позицію. У Сполучених Штатах видавання себе за іншу особу вважається не лише
порушенням угоди користувача платформи, але також може розглядатися як
кримінальний злочин. Видання за іншу особу часто віддають перевагу білим
комірцям, які займаються фінансовими шахрайствами, однак це не лише окремі
особи. імітуються, оскільки газети та веб-сайти також імітуються. Вносячи
невеликі зміни в назву існуючого веб-сайту або ім’я домену, сайти фейкових новин
можуть імітувати респектабельні джерела новин і використовувати суспільну
довіру для поширення дезінформації.
Відео та статті в соціальних мережах стають потужними інструментами для
поширення дезінформації. Завдяки легкому доступу до великої кількості аудиторії,
вони можуть ефективно впливати на громадську думку та перекручувати факти.
Створюючи вірутальні відеоролики та статті, кіберзлочинці можуть
розповсюджувати фейкові новини, маніпулювати емоціями та ставленням
громадськості до певних подій чи осіб. Сприяючи вірогідності своїх матеріалів,
вони створюють ілюзію об'єктивності та достовірності, що ускладнює виявлення
дезінформації.
Одним із ефективних способів поширення дезінформації є монтаж та
маніпуляція відео. Відомі приклади включають фейкові відеоматеріали, створені
шляхом зміни контексту, використання графічних ефектів чи синтетичних
зображень. Це може створювати враження подій, які фактично не мали місця, та
сприяти розповсюдженню неправдивих інформаційних сценаріїв.
15
Дезінформація через відео також активно використовує психологічні та
емоційні впливи на аудиторію. Відеоролики можуть створювати штучно
підсилений емоційний струм, спрямований на виклик певних реакцій та
переконань. Це може використовуватися для маніпулювання громадською думкою
та впливу на суспільно-політичні події.
Одним з характерних рис відеодезінформації є вірусне поширення
відеоконтенту через соціальні мережі. За допомогою агресивної мережевої
стратегії та використання алгоритмів рекомендацій, дезінформаційний
відеоконтент може швидко розповсюджуватися, навіть без великого початкового
аудиторійного охоплення.
Фальшиві новини і статті представляють собою значущий канал поширення
дезінформації в соціальних мережах. Їх створення часто базується на вигаданих
подіях або спотворенні реальних фактів. Алгоритми соцмереж можуть підсилити
розповсюдження фальшивих новин, роблячи їх більш видимими для користувачів.
Алгоритми соціальних мереж, призначені для підвищення залученості
користувачів, також можуть допомагати в поширенні дезінформації. Залежно від
реакцій та взаємодій користувачів з певним контентом, алгоритми визначають, які
матеріали відображати більше, що може сприяти підсиленню дезінформаційних
кампаній.
Одним з хороших прикладів, що показують вплив соцмереж, є використання
WhatsApp в Індії. У червні 2018 року в WhatsApp поширювалися чутки про
викрадачів дітей, що призвело до вбивства кількох ймовірних викрадачів в Індії.
Одним із ймовірних каталізаторів самосудів стало поширення підробленого відео,
на якому двоє чоловіків викрадають хлопчика. Відео спочатку було створено як
частину пакистанської кампанії з безпеки дітей, але кінець відео, що демонструє
безпечне повернення хлопчика, було вирізано з версії, яка вірусно поширювалася в
WhatsApp.[1] Безліч прикладів показує, як платформи соціальних мереж
використовуються для підбурюють до насильства.
Сьогодні однорангове шифрування широко поширене використання
смартфонів і машинне навчання також використовуються зловмисниками. Уряди
16
та компанії соціальних медіа зараз намагаються запобігти використанню цих
платформ для зловмисної діяльності.
1.3 Фішингові сайти
Цей розділ дослідження спрямований на розгляд способів поширення
дезінформації через фішингові сайти.
Фішингові сайти визначаються як сторінки, що імітують діючі ресурси з
метою виведення користувача з ладу та отримання конфіденційної інформації. Цей
метод стає досить популярним серед кіберзлочинців, оскільки він дає можливість
масштабного збору особистих даних.
Фішингові сайти можуть намагатися імітувати банківські, електронні
поштові сервіси, або соціальні мережі. Вони створюються з великою уважністю до
деталей, намагаючись максимально копіювати оригінал. За допомогою розсилки
електронних листів або повідомлень в соціальних мережах, кіберзлочинці
спонукують користувачів перейти на фішинговий сайт і введення особистої
інформації.
Аналіз фішингу у рамках комунікаційної дисципліни стосується основ
безпеки. Фішинг можна розглядати як широкий термін, оскільки в різних
дослідженнях розглядаються різні аспекти, засоби та стратегії. Найбільш
досліджувані види фішингових атак включають веб-сайти та електронні листи.
Однак фішинг може відбуватися в контексті різних інших форм ЗМІ, таких як
соціальні мережі та інші сервіси обміну повідомленнями. Дуже часто, якщо є
можливість для цифрового зв'язку, то є потенціал для фішингу. Технічні рішення
для зниження загроз фішингу не завжди є успішними, оскільки вони спираються на
кінцевого користувача, який вирішує, як інтерпретувати кожне повідомлення та
визначати, які повідомлення є шкідливими. Масштаби фішингу можуть
варіюватися від загального до цільового.
Цільовий фішинг - це спрямована атака, під час якої зміст фішингових
повідомлень специфічний для конкретної мети і, отже, не має сенсу для будь-якої
17
іншої мети. Щодо загального фішингу, він включає повідомлення, спрямовані на
більш широку аудиторію і не адаптовані для конкретної мети.
Види фішингу:
1. Bulk phishing: Найпоширеніший, традиційний вид фішингу, націлений
на широке коло потенційних жертв. Шахрай використовує різні методи, щоб
обдурити відвідувачів веб-сайту. Користувачі отримують електронні листи від
шахраїв із проханням підтвердити верифікацію свого облікового запису. Вони
просять користувачів натискати на посилання та кнопки. За посиланнями на веб-
сайті шахраї збирають і зберігають особисті дані користувачів.
2. Clone phishing: Фішинг клонів — це тип фішингової атаки, коли
зловмисник компрометує обліковий запис електронної пошти відправника або
одержувача. Під час цієї атаки зловмисник створює електронний лист, який дуже
нагадує законний електронний лист, і надсилає його жертві разом із посиланням
або вкладенням. Шахрайський електронний лист виглядає як дублікат або оновлена
версія оригінального електронного листа, що змушує одержувача повірити в його
законність. Зловмисник зазвичай маніпулює вмістом електронного листа, щоб
запитати конфіденційну інформацію або спонукати одержувача виконати певну
дію, наприклад надіслати оригінальний документ в оновленій формі. Ця техніка
спрямована на використання знайомства та довіри, пов’язані з оригінальним
електронним листом, збільшуючи ймовірність того, що жертва попадеться на
шахрайство. Важливо, щоб користувачі залишалися обережними та перевіряли
автентичність електронних листів, особливо коли вони запитують конфіденційну
інформацію або виконують незвичні дії.
3. Spear phishing: це різновид шахрайства електронною поштою,
спрямованого спеціально на окремих осіб або організації за допомогою
персоналізованих і спеціально розроблених атак. Під час фішингу зловмисник
надсилає електронні листи зазначеним жертвам з метою обманом змусити їх
виконати певну дію або розкрити конфіденційну інформацію. На відміну від
звичайних фішингових листів, які надсилаються великій кількості одержувачів,
фішингові електронні листи ретельно створюються, щоб виглядати легітимними та
18
заслуговують на довіру. Зловмисник часто проводить обширне дослідження, щоб
зібрати інформацію про ціль, таку як її ім’я, посада, компанія, адреса електронної
пошти та інші деталі. Потім ця інформація використовується, щоб зробити
електронний лист автентичним і збільшити ймовірність того, що жертва
попадеться на шахрайство. Електронний лист може містити персоналізований
вміст, наприклад посилання на конкретні проекти, колег або нещодавні події, щоб
створити відчуття знайомства та завоювати довіру.
4. Whaling: Підкатегорія Spear phishing, спеціалізується на
високопоставлених цілях (відомі політики, керівники вищої ланки, знаменитості).
Метою цього виду фішингу є вище керівництво компанії. Електронний лист було
надіслано керівникам і містить вміст про важливі проблеми. Вміст електронного
листа може включати скарги клієнтів.
5. Pharming: Фармінгові атаки передбачають маніпулювання DNS
(системою доменних імен) або записами файлів хостів для перенаправлення
користувачів на шахрайські веб-сайти. На відміну від традиційного фішингу, який
покладається на оманливі посилання, фармінг переспрямовує користувачів на
шкідливі сайти без їх відома. Цей тип атаки може бути особливо підступним,
оскільки він компрометує саму інфраструктуру, яка сприяє нашій онлайн-
взаємодії.
Незалежно від того, який із наведених вище методів обрав фішер, в основі
більшості спроб фішингу лежить маніпулювання посиланнями. Техніка, яку
використовують зловмисники, щоб зробити URL-адресу, на яку вказує посилання,
надійною.
Існує два різних типи шкідливих сайтів: фішингові сайти та сайти з
зловмисним програмним забезпеченням.
Кіберзлочинці створюють фішингові сайти, щоб заманити відвідувачів і
введенням чутливої інформації. Жертви можуть вводити інформацію через
звичайні онлайн-форми, запитуючи документи або підписуючись на розсилки.
19
Фішингові сайти, як правило, спрямовані на отримання важливих даних,
таких як номери кредитних карт, дані для входу та домашні адреси. Тому популярні
платіжні портали, подібні до eBay, часто використовуються як імітатори.
Сайти з зловмисним програмним забезпеченням існують виключно для
введення шкідливого програмного забезпечення на цільові пристрої. Це програмне
забезпечення може збирати дані та відправляти його хакерам, втручатися в роботу
систем або виконувати небажані завдання, такі як криптовалютний майнінг. Ці
сайти мають різноманітні підходи, включаючи:
1. Drive-by downloads - Злочинці можуть вбудовувати шкідливе
програмне забезпечення на пристрої без необхідності обдурювання людей, щоб ті
надали інформацію. Так звані "drive-by downloads" можуть поширювати шкідливий
код, не залишаючи відвідувачів в курсі. Немає запитань щодо завантаження
програмного забезпечення і жодних ознак того, що цільовий пристрій зараз
інфікований шкідливим програмним забезпеченням. Злочинцям досить
пошкодженого JavaScript або плагінів.
2. Шкідливі файли - Багато фішерів продовжують використовувати .exe
файли, відправлені через електронні листи в додатках або як спливаючі
завантаження на фальшивих веб-сайтах. Ці файли зазвичай стосуються таких
програм, як антивірусні засоби перевірки або медіаплеєри. Таким чином, цільові
користувачі, як правило, мають підставу для їх завантаження. Завантаження
відеокодеків - ще один поширений вектор. Коли прихильники відео клікають на
посилання, вони автоматично встановлюють шкідливе програмне забезпечення,
яке розпаковується і починає виконуватися.
3. Шкідлива реклама - використовує пошкоджені спливаючі реклами для
відсилання шкідливого програмного забезпечення на непідозрілих цільових
користувачів. Ці реклами можуть бути частиною легітимних мереж і виглядати
нормально. Але після кліку вони викликають завантаження шкідливого
програмного забезпечення або відсилають користувачів на інші шкідливі веб-
сайти.
20
Також існують гібридні атаки, які захоплюють легітимні сайти і роблять їхню
роботу для хакерів. Наприклад, злочинці можуть вбудовувати шкідливі
перенаправлення на інакші нормальні веб-сторінки, які направляють відвідувачів
на шкідливий вміст.
Для виявлення фішингових веб-сайтів використовується кілька методів,
зокрема:
1. Аналіз URL-адреси: це формалізований процес, який включає
ретельний аналіз структурних компонентів URL-адреси веб-сайту для виявлення
будь-яких відхилень або невідповідностей, які можуть свідчити про спробу
фішингу.
2. Аналіз вмісту: який передбачає ретельний аналіз і перевірку різних
елементів веб-сайтів, включаючи текст, зображення та посилання, має потенціал
для виявлення зловмисних намірів, пов’язаних із веб-сайтом. У результаті технічні
підходи до управління кібербезпекою повинні включати автоматизовані механізми
виявлення, спрямовані на запобігання фішинговим атакам. Основною метою
аналізу вмісту є виявлення та аналіз потенційно підозрілих елементів, які можуть
вказувати на наявність фішингових атак. Ця техніка ретельно перевіряє вміст і
структуру веб-сайтів з метою виявлення та пом’якшення потенційних фішингових
атак шляхом виявлення будь-яких ознак обману або шахрайської діяльності.
Отже, підсумовуючи, фішинг - це унікальна загроза кібербезпеці, що включає
як технологічні вразливості, так і поєднання психологічних, соціологічних і
комунікаційних впливів.
Висновок до розділу 1
У даному розділі наукової роботи було проведено детальний аналіз методів
поширення шкідливої інформації через різноманітні канали, зокрема боти, відео та
статті, а також фішингові сайти. Вивчення цих методів дозволило визначити їхню
складність, масштабність та вплив на безпеку даних.
21
Щодо ботів, виявлено, що їхні можливості в поширенні шкідливого вмісту
значно збільшуються завдяки штучному інтелекту та автоматизованим
алгоритмам. Вони визначають та використовують вразливості в інтернет-просторі
для швидкого поширення шкідливих програм.
Щодо відео та статей, виявлено, що ці медіа-канали стають часто
використовуваними засобами для вбудовування зловмисного програмного
забезпечення. Інколи це відбувається через непомітність, а користувачі не завжди
усвідомлюють наявність шкідливого вмісту.
Фішингові сайти виявилися серйозним загрозливим фактором для безпеки
даних, оскільки їхні атаки спрямовані на отримання конфіденційної інформації.
Використання різних методів соціальної інженерії та імітації авторитетних веб-
ресурсів робить фішингові атаки більш схильними до успіху.
Усі ці методи виявили значний вплив на безпеку даних, підкреслюючи
необхідність подальших заходів у вдосконаленні систем захисту. Застосування
сучасних технологій та підвищення рівня обізнаності користувачів можуть бути
ключовими елементами у боротьбі з поширенням шкідливої інформації через різні
канали в інтернеті.
22
РОЗДІЛ 2
ЗАСОБИ ШТУЧНОГО ІНТЕЛЕКТУ В ВИЯВЛЕННІ ЗАГРОЗ
Розвиток штучного інтелекту (ШІ) кардинально змінив спосіб захисту нашої
конфіденційності в Інтернеті. Оскільки технологія штучного інтелекту продовжує
розвиватися, для людей стає все важливішим розуміти, як штучний інтелект можна
використовувати для захисту їхніх даних і особистої інформації.
Машинне навчання (ML) — це підгалузь штучного інтелекту (AI), яка сприяє
розробці систем, які можуть навчатися на основі попередніх даних, виявляти шаблони
та приймати логічні рішення без участі людини.
Машинне навчання включає розробку алгоритмів і статистичних моделей, які
дозволяють комп'ютерним системам навчатися на основі досвіду і поліпшуватися, не
потребуючи явного програмування.
Види задач, які можна розв’язувати методами штучного інтелекту [2]:
• Регресія (або прогноз) - завдання прогнозування наступного значення на
основі попередніх знань.
• Класифікація - завдання розділення явищ на різні категорії. Еталони що
відповідають класам, відомі.
• Кластеризація - класи невідомі, групування за схожістю.
• Правила пошуку асоціацій (або рекомендацій) – завдання рекомендувати
щось на основі попереднього досвіду.
• Зменшення розмірності - узагальнення, завдання пошуку інших і
найбільш важливих ознак у ряді зразків.
• Генеративні моделі - завдання створення чогось на основі попередніх
знань про розподіл.
Типи машинного навчання:
• Навчання з учителем (Supervised learning) - використовує розмічені дані,
де є вказівка, наприклад, чи є файл шкідливим чи ні, чи є конструкція правильною чи
ні. Рішення про нові дані приймається на основі розмічених даних.
23
• Ансамблеве навчання (Ensemble learning) - розширює навчання з
учителем, комбінуючи прості моделі для отримання більш ефективної та складної
моделі.
• Навчання без учителя (Unsupervised learning)- використовується у
випадках, коли немає розмічених даних, і модель повинна самостійно розмітити їх,
враховуючи певні властивості. Використовується для виявлення аномалій, але менш
точний порівняно з контрольованими підходами.
• Навчання з підкріпленням (Reinforcement learning) - орієнтований на
зворотний зв'язок від середовища, де поведінка моделі реагує на зміни в середовищі.
• Активне навчання (Active learning) - підклас навчання з підкріпленням, де
"учитель" допомагає виправляти поведінку, додатково впливаючи на зміни в
середовищі.
Методи, що використовуються для розв’язання задач класифікації:
• LogisticRegression (LR);
• K-найближчих сусідів (K-NN);
• Метод опорних векторів (SVM);
• NaiveBayes;
• Decision Tree Classification;
• Random Forest;
• Глибинне навчання (нейронні мережі).
Методи, для розв’язання задач кластеризації:
• K-середніх (K-means);
• Latent Dirichlet allocation (LDA) – natural language processing в задачах
кібербезпеки;
• Density Based Clustering.
Гібридний підхід поєднує різні методи класифікації для досягнення кращої
продуктивності при виявленні шкідливих веб-сайтів. Наприклад, у гібридній моделі,
де поєднуються два різні алгоритми, набір даних навчається за допомогою першого
алгоритму, а потім результат передається другому алгоритму для навчання .
24
Вважається, що загальна точність гібридної моделі вища, ніж у кожного окремого
алгоритму. Коли пропонуються нові рішення для протидії різним фішинговим атакам,
кіберзлочинці завжди скористаються вразливими місцями рішень і винайдуть нові
методи та створять нові атаки.
Частиною машинного навчання є глибоке навчання (DL)(рисунок 2.1). Хоча
машинне навчання та глибоке навчання використовують подібні методи та
вирішують подібні проблеми, вони не еквівалентні за потужністю. Те, як мозок
людини обробляє інформацію, мотивує алгоритми глибокого навчання робити те
саме. Глибоке навчання (DL) включає дві основні області досліджень: звичайні
нейронні мережі та мережі глибоких переконань. Моделі глибокого навчання
використовуються в ряді досліджень в літературі для підвищення кібербезпеки[3].
Deep
Learning
Machine Learning
Artificial Intelligence
Рисунок 2.1– Діаграма Венна AI, ML і DL
2.1 Машинне навчання та Нейронні мережі. Сутність. Функціонал
Машинне навчання передбачає розробку алгоритмів і статистичних моделей,
які дозволяють комп’ютерним системам вчитися на досвіді та вдосконалюватися без
необхідності явного програмування. В даному розділі класифікуються існуючі
методи машинного навчання на дві окремі групи: традиційні інструменти та методи
на основі нейронної мережі. Цей тип категоризації широко використовується в
літературі, щоб показати переваги та недоліки кожного з них.
25
2.1.1. Традиційні інструменти машинного навчання
1. Support Vector Machine (SVM).
Алгоритм навчання під наглядом, відомий як SVM, належить до категорії
методів класифікації. Цей метод бінарної категоризації прогнозує ідеальну
гіперплощину в n-вимірному просторі за допомогою навчального набору даних. Дані
в двовимірних площинах і багатовимірних гіперплощинах класифікуються за
допомогою алгоритму SVM. Багатовимірна гіперплощина класифікує багатовимірні
дані за допомогою «ядра». Максимальна дискримінаційна потужність між
категоризованими точками даних завжди є кращою. Іншими словами, слід
використовувати максимальні поля гіперплощин між точками даних або їхній
максимальний відстань. Гіперплощина — це межа, яка розділяє площину. SVM
використовуються для класифікації багатовимірних даних, тому гіперплощина — це
пряма лінія з двома входами, а двовимірна площина — з трьома або більше входами.
Переваги [4]:
• SVM добре працюють для малих або середніх наборів даних.
• Вони можуть ефективно обробляти великі простори.
• Універсальність у виборі функції ядра, окрім стандартних
поліноміальних або радіальних ядер, можна використовувати власну функцію ядра.
Недоліки: ∙
• Класифікація не дає імовірнісного пояснення.
• Часова складність ускладнює застосування до великих наборів даних.
2. Decision Tree (DT)
DT часто використовуються в ML для категоризації об’єктів на основі раніше
вивчених ознак. Метод можна використовувати для виправлення помилок регресії
або для прогнозування послідовних результатів на основі невідомих даних.
Ключовими перевагами використання дерева рішень у ML є легкість інтерпретації та
розуміння процесу прийняття рішень. Оскільки дерева рішень у ML можуть
призвести до надто складних гілок, часто необхідне скорочення структури дерева.
26
Використання дерев рішень для моделювання рішень і результатів є одним із способів
відображення рішень у розгалуженій структурі.
Дерева рішень широко використовуються в моделях прогнозування в
машинному навчанні, а також у таких сферах, як статистика та аналіз даних. Дерево
рішень – це непараметричний контрольований метод навчання. Деревоподібна
структура, прогностична модель, будується шляхом виведення правил з точок даних,
що складаються з векторів ознак. Внутрішні вузли представляють «рішення», тоді як
листові вузли представляють передбачені класи. Більшість алгоритмів
використовують низхідний підхід до побудови дерева рішень. Алгоритм починається
з кореневого вузла та рекурсивно приймає «найкраще» рішення, тобто вибирає ознаку
+ критерій, за яким інші екземпляри розбиваються на дочірні вузли, поки не
залишиться жодних функцій для вибору або вузол стане чистим. Вузол є чистим,
якщо він складається лише з екземплярів однієї категорії, у такому випадку він стає
кінцевим вузлом.
Як показано на Рисунку 2.2, DT складається з кореневих або проміжних вузлів,
шляхів і листових вузлів. Корінь або проміжні вузли дерева представляють об'єкти
або атрибути. Кожен шлях розгалуження в дереві показує можливе значення
батьківського вузла. Листкові вузли пов’язані з очікуваними категоріями або
класифікованими властивостями. Якщо-то правила є ще одним способом вираження
результуючого дерева. Потім використовується різноманітність і збирається більше
інформаційних параметрів, щоб вибрати найкращу інформацію про маршрути під час
побудови дерева.
Переваги [5]:
• Простий для розуміння, близький до людського підхід до вирішення
проблем класифікації.
• Проста реалізація.
• Пряма інтерпретація результатів, пояснюючи, чому окремий екземпляр
належить до прогнозованої категорії, передбачає використання лише простої логічної
логіки.
• Здатність візуалізувати дерево.
27
• Масштабованість до векторів об’єктів великої розмірності та відносно
наборів примірників. велика потужність. Незважаючи на те, що часова складність у
найгіршому випадку є квадратичною щодо кількості функцій і випадків, на практиці
складність виявляється лінійною.
кореневий вузол вузол прийняття рішень кінцевий вузол
Рисунок 2.2 – Decision Tree
Недоліки:
• Побудова надскладного дерева, яке переповнює навчальні дані. Це
відсутність узагальнення означає низьку продуктивність тестових даних.
• Побудова упередженого дерева, якщо певна категорія переважає в наборі
даних. Цієї проблеми можна уникнути, використовуючи збалансований набір
навчальних даних.
• Нестабільність. Значну різницю в отриманому дереві можна спостерігати
навіть за невеликих змін, внесених до даних.
3. K-Nearest Neighbor (KNN).
Класифікатор K-найближчих сусідів (KNN) [6] є одним із найпростіших, але
практичних алгоритмів.
KNN — це алгоритм неконтрольованої класифікації. Він заснований на функції
відстані, яка обчислює різницю між двома екземплярами даних. Для навчання інших
класифікаторів потрібно мінімум часу. Однак цей обчислювальний час витрачається
28
на етапі ідентифікації. Рисунок 2.3 демонструє, як працює KNN. Цей класифікатор
базується на концепції, що порівнювані точки даних у регіоні будуть ближчими одна
до одної, ніж різні точки даних. На основі рейтингів аномалій існує дві основні групи
KNN. Нижче наведено два методи обчислення оцінок аномалії:
• Обчислення на основі дисперсії між точкою даних і k-им сусідом.
• Розрахунок залежно від частоти кожного екземпляра даних.
Значення k-ої точки даних впливає на загальну продуктивність класифікатора.
Вибір функції відстані для визначення поділу/різниці між точками даних і даними з
шумом впливає на ефективність роботи класифікатора (рис. 2.3). KNN є дорогим для
обчислення та потребує багато пам’яті для маніпулювання. Відстань між точками
даних x і y зазвичай визначають за допомогою формули евклідової відстані d(x, y).
Рисунок 2.3 – K-найближчих сусідів
Головною перевагою цього підходу є його простота. Помітним недоліком є
можливе значне зниження продуктивності за наявності нерелевантних функцій.
Переваги:
• Простота інтерпретації: K-NN - алгоритм, який легко розуміти та
інтерпретувати. Його принцип полягає в тому, що об'єкти класифікуються на основі
класів їхніх найближчих сусідів.
• Адаптивність до нових даних: Алгоритм може легко адаптуватися до змін
у наборі даних. При додаванні нових даних або видаленні існуючих модель не
потребує повторного тренування.
29
• Ефективність для великих обсягів даних: K-NN може бути ефективним
для великих обсягів даних, особливо якщо структура даних має простий характер.
• Висока точність для невеликих обсягів даних: У випадках, коли обсяг
навчальних даних невеликий, K-NN може показати високу точність.
Недоліки:
• Високі обчислювальні витрати: Одним з головних недоліків K-NN є
високі обчислювальні витрати, особливо при великій кількості признаків або об'єктів
в навчальному наборі.
• Залежність від обсягу даних: Ефективність K-NN може погіршуватися
при збільшенні обсягу даних через високі обчислювальні витрати і збільшення часу
пошуку найближчих сусідів.
• Вплив від шуму та високої вимірності: Алгоритм може бути чутливим до
шуму в даних та високої вимірності, що може призводити до невірних класифікацій.
• Неефективність для розріджених даних: У випадку, коли дані є
розрідженими, K-NN може показати неефективність, оскільки найближчі сусіди
можуть знаходитися на великій відстані один від одного.
4. Random Forest (RF).
RF — це форма комплексного навчання, яка використовує численні моделі
класифікації для досягнення наукового консенсусу щодо проблеми з метою створення
типових результатів. RF розглядається як більш вдосконалена версія CART. RF
зазвичай містить низку результатів прогнозування, отриманих з кількох дерев рішень.
У літературі випадковий ліс використовується для таких проблем, як ідентифікація
зловмисників і перевірка кількості спаму [7], а також виявлення шкідливиїх веб
сторінок[8].
Переваги Random Forest:
• Висока точність: Random Forest зазвичай має високу точність
прогнозування через комбінування декількох рішень, що зменшує ймовірність
перенавчання.
30
• Добре працює з великою кількістю ознак: Алгоритм ефективно працює з
даними, що мають велику кількість ознак, і може враховувати важливість кожної
ознаки.
• Стійкість до перенавчання: Оскільки Random Forest використовує середнє
значення багатьох дерев прийняття рішень, це зменшує ризик перенавчання, що є
важливим в перевірці моделей на нових даних.
• Відсутність потреби в нормалізації даних: Модель не вимагає
попередньої нормалізації чи стандартизації даних, що полегшує процес підготовки
даних для аналізу.
• Можливість оцінки важливості ознак: Random Forest може надати
інформацію про те, які ознаки є найбільш важливими для прогнозування, що
допомагає в розумінні впливу різних факторів.
Недоліки Random Forest:
• Менш інтерпретований результат: Порівняно з іншими алгоритмами,
такими як лінійна регресія, Random Forest надає менш інтерпретовані результати, що
може бути важливим для розуміння впливу окремих факторів.
• Велика кількість дерев: Для досягнення оптимальної продуктивності
може знадобитися значна кількість дерев у лісі, що може впливати на швидкодію.
• Займає багато місця в пам'яті: Підтримка багатьох дерев у лісі може
вимагати значної кількості пам'яті, що може стати проблемою при обробці великих
обсягів даних.
• Можливість переоснащення для швидкозмінних даних: Якщо дані
швидко змінюються, алгоритм може виявити перенавчання, особливо якщо
враховується велика кількість дерев.
• Відсутність гарантованої оптимальності: Не існує гарантії того, що
Random Forest завжди знайде глобально оптимальне рішення, оскільки він базується
на випадковому виборі підмножин ознак для кожного дерева.
5. Naive Bayes (NB).
NB — це група класифікаторів, яка розбиває умовні ймовірності досліджуваної
теми та базується на теоремі Байєса. Однак цей критерій незалежності не
31
застосовується до певних видів нападів на кібербезпеку. Покращена версія під назвою
Hidden NB може вирішити ці проблеми з рівнем точності 99,6% [9]. З дискретними
характеристиками класифікатори NB працюють добре. Вважається, що цей
класифікатор легше ідентифікувати та швидше. Поліноміальний, Бернуллієвий і
Гауссівський є трьома ефективними підходами NB. Окремі входи керуються
мультиноміальним NB. Вектор ознак цих значень представляє повторення цієї
проблеми. Класифікація векторів бінарних ознак виконується за допомогою Bernoulli
NB. Класифікатор для безперервних значень даних — безперервний гауссовий НБ.
Для опису розподілу цих чисел використовується розподіл Гауса.
Переваги:
• Простота реалізації і розуміння
• Ефективність для багатьох завдань класифікації
• Не вимагає великої кількості даних для навчання
Недоліки:
• Припущення незалежності змінних може бути недійсним у деяких
випадках
• Може бути ненадійний для завдань класифікації з невеликою кількістю
даних
2.1.2 Методи машинного навчання на основі нейронної мережі
Штучні нейронні мережі (ANN) - це тип машинного навчання, який
використовується для моделювання складних систем. Вони складаються з мережі
взаємопов'язаних вузлів, які називаються нейронами. Кожний нейрон отримує вхідні
дані від інших нейронів і генерує вихідні дані на основі цих вхідних даних.
Для навчання штучних нейронних мереж використовується як метод прямого,
так і зворотного циклу поширення. Кожен вузол прихованого шару отримує дані за
допомогою методу прямої подачі. Він обчислює коефіцієнт ініціації для кожного
вузла прихованого та вихідного шарів. На продуктивність класифікаторів впливають
32
функції активації. Порівнюючи мережевий вихід із цільовим значенням,
обчислюється помилка.
Існує багато різних типів ANN, які відрізняються один від одного архітектурою,
функціями активації та методами навчання. Деякі з найпоширеніших типів ANN
включають:
• Перцептрони - це найпростіші типи ANN. Вони складаються з одного
вхідного шару, одного прихованого шару та одного вихідного шару.
• Многошарові перцептрони - це типи ANN, які мають більше одного
прихованого шару. Вони можуть виконувати більш складні завдання, ніж одношарові
перцептрони.
• Рекурентні нейронні мережі (RNN).
• Конволюційні нейронні мережі (CNN).
Далі детальніше розглядаються деякі з них:
1. Recurrent Neural Network (RNN):
РНМ це один із двох широких типів штучної нейронної мережі, що
характеризується напрямком потоку інформації між її шарами. На відміну від
односпрямованої нейронної мережі прямого зв’язку, це двонаправлена штучна
нейронна мережа, що означає, що вона дозволяє виходу з деяких вузлів впливати на
наступний вхід до тих самих вузлів.
RNN складаються з двох основних типів шарів:
• Прихований шар - це шар, який отримує вхідні дані та використовує їх
для оновлення свого стану.
• Вихідний шар - це шар, який використовує стан прихованого шару для
генерування вихідних даних.
Як показано на рис. 2.4(a), кожен стан отримує результат попереднього етапу
як свій вхід. У цьому методі дані переміщуються через фази RNN. Основними цілями
RNN є аналіз даних часових рядів і побудова потокової обробки даних.
RNN можуть використовуватися для виконання широкого спектру завдань, які
вимагають розуміння послідовностей. Ось деякі з найпоширеніших застосувань RNN:
33
• Розпізнавання мови - RNN можуть використовуватися для розпізнавання
мови, наприклад, для розпізнавання мови в аудіо або відео.
• Переклад - RNN можуть використовуватися для перекладу тексту з однієї
мови на іншу.
• Генерація тексту - RNN можуть використовуватися для генерування
тексту, наприклад, для написання статей або створення віршів.
RNN мають широкий спектр можливих застосувань, включаючи:
• У галузі обробки природної мови RNN використовуються для таких
завдань, як розпізнавання мови, переклад, генерація тексту та відповіді на запитання.
• У галузі машинного навчання RNN використовуються для таких завдань,
як прогнозування, класифікація та регресія.
• У галузі безпеки RNN використовуються для таких завдань, як виявлення
шахрайства, виявлення аномалій та відстеження руху.
2. Convolutional Neural Network (CNN)
CNN — це розширення ШНМ прямого зв’язку, яке є багаторівневою
нейронною мережею[10]. CNN складаються з шарів, які називаються згортальними
шарами, шарами субдискримінації та повнозв'язними шарами як показано на рис.
2.4(b).
Згортальні шари є найважливішими шарами в CNN. Вони використовують
операцію згортування для виявлення локальних шаблонів у даних. Операція
згортування працює шляхом застосування фільтра, який є матрицею вагових
коефіцієнтів, до частини вхідного даних. Результатом згортування є карта ознак, яка
представляє виявлений шаблон.
Шари субдискримінації використовуються для зменшення розмірності карти
ознак. Це робиться шляхом застосування операції максимального викиду до кожної
колонки або рядка карти ознак. Операція максимального викиду зберігає лише
максимальне значення в кожній колонці або рядку.
Повнозв'язні шари використовуються для класифікації або регресії даних. Вони
пов'язують карти ознак з вихідних нейронами, які відповідають за прогнозування
результату.
34
CNN можуть використовуватися для виконання широкого спектру завдань,
пов'язаних з візуальними даними. Ось деякі з найпоширеніших застосувань CNN:
• Класифікація зображень - можуть використовуватися для класифікації
зображень на різні категорії, такі як люди, тварини, автомобілі та будівлі.
• Розпізнавання об'єктів - можуть використовуватися для розпізнавання
об'єктів на зображеннях, таких як обличчя, номерні знаки та дорожні знаки.
• Відстеження об'єктів - можуть використовуватися для відстеження
об'єктів у відео.
• Згенерування зображень - можуть використовуватися для генерування
нових зображень, які схожі на зображення, на яких вони були навчені
CNN мають широкий спектр можливих застосувань, включаючи:
• У галузі комп'ютерної візуалізації CNN використовуються для таких
завдань, як розпізнавання облич, розпізнавання об'єктів, відстеження об'єктів та
генерування зображень.
• У галузі машинного навчання CNN використовуються для таких завдань,
як класифікація, регресія та розпізнавання мови.
• У галузі медицини CNN використовуються для таких завдань, як
діагностика захворювань, виявлення аномалій та аналіз медичних зображень.
• У галузі безпеки CNN використовуються для таких завдань, як виявлення
загроз, розпізнавання осіб та відстеження руху.
3. Deep Belief Network (DBN)
Глибокі мережі переконань (DBN) - це тип штучних нейронних мереж, які
складаються з декількох шарів прихованої регресії. Вони використовуються для
навчання генеративних моделей, які можуть створювати нові дані, схожі на дані, на
яких вони були навчені.
DBN були створені, щоб зрозуміти здатність людського розуму засвоювати
складні дані та розкривати складні закономірності. DBN — це стек обмеженої
машини Больцмана (RBM) з вирішальним генеративним характером. Однак, на
відміну від RBM, DBN не взаємодіє між вузлами на одному рівні мережі. Кожен вузол
35
всередині моделі глибокого навчання пов’язаний з усіма вузлами попереднього та
наступного рівнів. У DBN подаються дані у формі ймовірностей.
DBN складаються з двох основних типів шарів:
• Сховища - це шари, які використовують метод регуляризації, щоб
навчити мережу виявляти важливі характеристики в даних.
• Автокодери - це шари, які використовують метод навчання зворотного
поширення, щоб навчити мережу відтворювати дані.
DBN потребує, щоб кожен мережевий рівень вивчав цілий вхід і надавав вихід.
Кожен рівень продовжує надавати оптимальні параметри на кожному кроці, який
продовжується, доки етап навчання не буде завершено до необхідного рівня, як
показано на рис. 2.4(c).
DBN можуть бути використані для виконання широкого спектру завдань,
включаючи:
Генерування даних - DBN можуть використовуватися для генерування нових
даних, схожих на дані, на яких вони були навчені. Це може бути використано для
створення нових зображень, тексту або музики.
Стиснення даних - DBN можуть використовуватися для стиснення даних,
зберігаючи при цьому важливу інформацію. Це може бути використано для
зменшення розміру файлів або для зберігання даних в пам'яті.
Класифікація даних - DBN можуть використовуватися для класифікації даних,
наприклад, для класифікації зображень або тексту.
36
Рисунок 2.4 – (a) RNN (b) CNN (c) DBN
4. Deep learning(DL)
Глибоке навчання - це метод машинного навчання, який використовує
багатошарові нейронні мережі для обробки даних. Глибокі нейронні мережі
складаються з кількох шарів, кожен з яких може виконувати різні операції над
даними. Це дозволяє глибоким нейронним мережам виявляти складні закономірності
в даних, які неможливо виявити за допомогою інших методів машинного навчання.
5. Large Language model(LLM).
Велика мовна модель (LLM) — це алгоритм глибокого навчання, який може
виконувати різноманітні завдання обробки природної мови (NLP). Ці моделі
базуються на глибокому навчанні та нейронних мережах, зокрема, рекурентних та
трансформерних архітектурах. Вони навчаються на великих обсягах текстових даних,
що дозволяє їм усвідомлювати мовні особливості та контексти для ефективного
розуміння та генерації тексту. LLMs є штучними нейронними мережами (переважно
трансформаторами) і (попередньо) навчаються за допомогою самоконтрольованого
навчання та напівконтрольованого навчання[11].
Переваги:
37
• Висока точність: Великі мовні моделі визначаються високою точністю у
завданнях обробки мови завдяки глибокому навчанню та обробці великих обсягів
даних.
• Широкий спектр застосувань: Вони можуть бути використані в
різноманітних галузях, включаючи медіа, інтернет-комерцію, медицину, науку тощо.
• Здатність до навчання на нових даних: Моделі можуть адаптуватися до
нових данних, що робить їх гнучкими та актуальними для швидко змінюючихся умов.
Недоліки:
• Великі обсяги обчислювальних ресурсів: Навчання та використання
великих мовних моделей вимагає потужних обчислювальних ресурсів, що може бути
високо вартісним.
• Проблеми інтерпретації: Великі мовні моделі можуть бути менш
інтерпретованими, що робить важким розуміння їхніх внутрішніх механізмів та
прийняття обґрунтованих рішень.
• Ризик створення біасів: Якщо модель навчалася на даних, що містять
біаси, це може призвести до створення чи посилення відповідних біасів у вихідних
результатах.
На сьогодні існує багато мовних моделей, наприклад:
• GPT-4 (Generative Pre-trained Transformer 4): мультимодальна велика
мовна модель, створена OpenAI, і четверта в серії базових моделей GPT. Може
генерувати тексти різних жанрів та вирішувати завдання обробки мови, такі як
відповіді на питання, завдання перекладу, створення коду та багато інших.
• BERT (Bidirectional Encoder Representations from Transformers): відмінно
працює у завданнях розуміння мови та витягання інформації. Він широко
використовується в пошукових системах, завдяки здатності враховувати контекст
обидвох сторін та розуміти семантику запитань.
• RoBERTa (Robustly optimized BERT approach): є оптимізованою версією
BERT та використовується в різних завданнях, таких як класифікація текстів,
витягання інформації та генерація тексту.
38
• T5 (Text-to-Text Transfer Transformer): представляє собою універсальний
підхід до обробки мови, де всі завдання формулюються як задачі текстового
перекладу. Використовується для вирішення широкого спектру завдань, включаючи
стиснення тексту, витягання відповідей та інші.
Ось деякі конкретні приклади того, як LLM можуть використовуватися в
кібербезпеці:
• аналіз даних про мережеві потоки, щоб виявити ознаки кібератак, таких
як аномалії в трафіку або спроби несанкціонованого доступу.
• аналіз журналів подій, щоб виявити ознаки кібератак, таких як спроби
виконання шкідливого коду або зміни в конфігурації системи.
• аналіз даних про кібератаки, щоб розробити нові алгоритми шифрування,
які будуть більш стійкими до зламу.
• аналіз даних про кібератаки, щоб розробити нові методи виявлення
шкідливого коду, які будуть більш ефективними.
2.2 Нейронні мережі в окремих областях: кібербезпека
У цьому розділі підсумовується поточний стан основних видів використання
«традиційних», давніх і новіших програм ШІ (систем глибокого навчання),
інструментів і методів у сфері кібербезпеки, розглядаючи обидві сторони
використання ШІ в у контексті вимог кібербезпеки, тобто зловмисних і доброчесних.
Нижче наведено неповний перелік способів використання ШІ в кібербезпеці:
• Кіберзлочинці використовують штучний інтелект для підвищення своєї
ефективності;
• Механізми безпеки, які включають в себе штучний інтелект для
виявлення, ідентифікації та зменшення наслідків компрометацій;
• Використання штучного інтелекту для використання вразливостей в
існуючих інструментах та методологіях як з штучним інтелектом, так і без нього,
наприклад, атаки адверсарів;
39
• Використання штучного інтелекту під час проектування системи для
захисту існуючих інструментів та методологій як з штучним інтелектом, так і без
нього (захист створюється під час проектування системи).
Далі детальніше аналізуються розділи кібербезпеки в яких активно
використовують ML.
1. Виявлення спаму за допомогою ML.
Спам є одним з найпоширеніших видів кібератак. Він може бути шкідливим для
користувачів, оскільки може містити шкідливе програмне забезпечення, фішингові
посилання або інші загрози.
Традиційні методи виявлення спаму, такі як сигнатурні методи, мають низку
недоліків. Вони не можуть ефективно виявляти новий спам, який не містить відомих
сигнатур. Крім того, вони можуть призвести до помилкових позитивних результатів,
коли неспамові повідомлення класифікуються як спам. Методи машинного навчання
можуть бути використані для підвищення ефективності виявлення спаму. Вони
можуть навчитися розпізнавати спам, аналізуючи великі набори даних, що містять як
спам, так і неспамові повідомлення.
Існує багато різних методів ML, які можуть бути використані для виявлення
спаму. Деякі з найпоширеніших методів включають: DT, SVM, NB, RF. У літературі
вже описано багато алгоритмів ML для категоризації, фільтрації та виявлення спаму.
Підходи ML використовуються в різних областях виявлення спаму, включаючи
Twitter, електронні листи з зображеннями та блоги. Кожна область має свою власну
техніку класифікації.
Більшість досліджень, тим часом, припускають, що підхід SVM більш
успішний, ніж альтернативні класифікації. Багато авторів використовували підхід
відбору ознак разом із класифікатором, щоб значно підвищити точність
класифікатора. Крім того, використання кількох класифікаторів для підвищення
точності може стати темою майбутнього дослідження.
40
Таблиця 2.1 – Порівняння та короткий огляд моделей машинного навчання для
виявлення спаму за десятиліття[12].
Результати
Модель Рік Дані
Accuracy, % Precision, % Recall, %
2011 Spambase 96.9 93.12 95
2014 SMS Collection 98.6 98.6 98.6
SVM
2020 Customized 84 83.7 84
2020 Twitter dataset 98.8 94.47
2011 Spambase 99.46 99.66 98.46
NB 2019 Customized 97.67 97.64 97.67
2020 Customized 85.2 84.8 85.2
2011 Customized 95 95.7 95.7
RF 2016 Twitter dataset 93.14 92.91 9.14
2020 Customized 93.3 93.3 93.4
2011 Spam-Archive 93.7 87 94
ANN 2018 Spambase 92.4 92.4 92.4
2019 Customized 97.4 97.41 97.4
2013 Spambase 92.3 93.9 93.5
DT 2016 Enron 96 98 94
2020 Customized 98 95 86
2011 Spam Assassin 99.46 - -
KNN 2019 Customized 90 91.3 90.4
2020 Customized 95 80 60
2016 TARASSUL 96.4 95.31 93.5
DBN
2018 Spambase 89.20 96 -
2016 Customized 75 - -
CNN
2020 USI Repository 99.4 - -
2. Виявлення вторгнень.
У сфері виявлення вторгнень, ANN та DL використовуються для аналізу
великої кількості даних та виявлення аномального поведінки в мережах. Моделі,
засновані на глибокому навчанні, такі як варіанти рекурентних нейронних мереж
(RNN) та Long Short-Term Memory (LSTM), забезпечують високу чутливість до
виявлення вторгнень та знижують кількість помилкових сигналів. Статистика вказує
на підвищення ефективності виявлення вторгнень до 98% за рахунок глибоких
моделей. Також часто використовуються CNNs, RNNs, HMM.
Існує три основних типи кібер-аналізу для систем виявлення вторгнень:
• На основі експлойтів: Цей тип аналізу виявляє відомі атаки, які
використовують заздалегідь відомі вразливості в системах.
41
• На основі аномалій: Цей тип аналізу відстежує нормальну активність
мережі та системи та виявляє нерегулярне поведіння, яке може свідчити про атаку.
• Гібридний: Цей тип аналізу поєднує в собі підходи на основі експлойтів
та аномалій, щоб підвищити точність виявлення.
Традиційні методи захисту часто мають уразливості, які можуть бути
використані зловмисниками. Це ускладнює захист користувачів від нових і
розвиваються загроз. Кіберінфраструктура містить величезну кількість даних. Для
виявлення та прогнозування майбутніх вторгнень і атак у режимі реального часу
важливо розуміти моделі та поведінку зловмисників і атак. Алгоритми машинного
навчання (ML) відіграють важливу роль у цій сфері. Найпоширеніші методи ML для
виявлення вторгнень включають штучні нейронні мережі (ANN), нечіткі асоціації,
машини опорних векторів (SVM), дерева рішень та статистичні моделі[13]. Методи
навчання без вчителя, такі як методологія на основі випадків, також
використовуються для підвищення якості та рівня розпізнавання вторгнень.
Різні класифікатори показали хороші результати в різних областях і завданнях
виявлення вторгнень. Однак швидке і своєчасне виявлення нових і "нульових" атак
залишається складним напрямком досліджень.
ML успішно використовується для виявлення різних типів кіберзагроз, у тому
числі:
• DoS-атаки: Методи ML, такі як decision trees (97,24% точність) та neural
networks (97% точність), показали високу ефективність у виявленні DoS-атак.
• Зловмисні атаки: SVM та decision trees успішно використовуються для
виявлення атак на мережі.
• Гібридне виявлення: ML-алгоритми, такі як RF та ANN, застосовуються
для гібридного виявлення вторгнень, що поєднує різні методи для підвищення
ефективності.
42
Таблиця 2.2 – Порівняння та підсумок моделей ML для виявлення вторгнень
за десятиліття[12]
Результати
Модель Рік Дані
Accuracy, % Precision, % Recall, %
2016 NSL-KDD 99.6 - 99.16
SVM 2019 ISCX2012 87 90 87
2020 Customized 85.2 - 85.2
2016 NSL-KDD 95 - 91.6
KDD-99, NSL-
NB 2019 KDD,UNSW- 92.9 99.9 91.4
NB15
2020 KDD-99 99.9 99.8 -
2016 KDD CUP 99 98 98
2019 NSL-KDD 95.1 92.5 -
RF KDD-99, NSL-
2019 KDD,UNSW- 78.4 94.4 72.5
NB15
2017 KDD 99.85 99.7 98.1
DT
2019 NSL-KDD 97.14 - 95.57
2017 KDD 99 99 99.68
K-NN
2019 NSL-KDD 96.51 - 94.79
2018 DARPA 99.82 - -
ANN
2019 NSL-KDD 94.5 - -
2017 NSL-KDD 90.4 88.6 95.3
DBN
2019 NSL-KDD 99.45 99.2 99.7
3. Виявлення шкідливих програм
Шкідливе програмне забезпечення, також відоме як "Malware", - це програмне
забезпечення, яке таємно встановлюється на пристрій або мережу з метою порушення
діяльності користувача. Malware впливає на цілісність, конфіденційність та
доступність даних, збережених на апаратному чи програмному забезпеченні
зловмисником.
Malware значно зросло в останні роки, що призвело до економічних збитків.
Malware не тільки атакує окремих осіб, але й порушує роботу компаній та оборону за
допомогою досвідчених хакерів та шкідливих програм на замовлення. Malware
визнано найсерйознішою потенційною загрозою для підприємств.
Раніше для виявлення Malware використовувалися методи на основі сигнатур.
Підходи ML ефективні не тільки для виявлення загроз нульового дня, але й для
виявлення нових або складних атак Malware. SVM є найбільш досліджуваним
43
методом класифікації ML для виявлення Malware, його використовують 29%
користувачів, за ним слідують дерева рішень з використанням 17%. Крім того,
об'єднання DBN з іншими напівавтоматизованими методами навчання підвищило
точність.
SVM, KNN, RF та DT - це деякі з підходів, часто використовуваних для
виявлення "malware" на мобільних пристроях і в мережах. Класифікатор може бути
покращений також вибором ознак перед класифікацією. Підходи антивірусного
програмного забезпечення для мобільних пристроїв поділяються на три типи:
статичний, динамічний та гібридний[14]. Статичне виявлення - це метод, який
аналізує програму на шкідливі візерунки без її виконання. З іншого боку, динамічне
виявлення виконується шляхом запуску реальної програми та спостереження за
динамічною поведінкою. Гібридний підхід для виявлення "malware" використовує
об'єднання статичного та динамічного аналізу.
Таблиця 2.3 – Порівняння та короткий огляд моделей машинного навчання для
виявлення зловмисного програмного забезпечення за десятиліття[12]
Модель Рік Дані Результати
Accuracy, % Precision, % Recall, %
SVM 2013 Malware Dataset 95 - -
2016 Customized 91 84.7 100
2019 Customized 95.1 95.5 95
DT 2013 Malware Dataset 92 - 93
2016 Customized 99.9 99.40 -
2019 Customized 99.37 - -
NB 2014 Malware Dataset - 97.5 67.4
2015 Malware Dataset 95.9 95.9 95.9
RF 2016 Drebin 99.45 - -
2019 Customized - 96 96
2020 Customized(Android) 76 73 71
ANN 2012 VX Heaven 88.89 88.89 -
2016 Comodo 92 - -
2018 Customized 82.8 - -
CNN 2017 Contagio 99.4 - -
2018 Drebin 95.4 - -
DCNN 2020 Leopard mobile dataset - 98.79 98.79
KNN 2019 Customized 94.68 - 95
DBN 2016 Customized 89 83 98
2017 Comodo 96.6
Отже, машинне навчання - це найбільш популярна галузь в мистецтві штучного
інтелекту. Воно використовується в кібербезпеці різними способами. У таблиці 2.4
44
наведено узагальнене використання методів штучного інтелекту в функціях
кібербезпеки.
Таблиця 2.4 – Використання методів ШІ в Кібербезпеці[15]
Функція DT SVM NB Kmeans HMM GAS ANN CNN RNN SNN
Безпеки
Виявлення X X X X X X X X X X
вторгнень
Виявлення X X X X X X
вірусів
Оцінка X
вразливості
Фільтрація X
спаму
Виявлення X
аномалій
Класифікація X X X
вірусів
Виявлення X X X
фішингу
Аналіз X X
трафіку
2.3 Визначення методу виявлення фішингових сайтів
На основі забраної інформації можна зробити висновок, що існує багато методів
визначення зловмисних дій. Всі розглянуті методи включають збирання великої
кількості даних та навчання на них алгоритмів та НМ. Даний підхід потребує великих
затрат часу та ресурсів, особливо для розробників ПЗ. З розвитком технологій великі
компанії маючи багато ресурсів можуть розробляти та надавати в вільних доступ
власні моделі ML, наприклад LLM.
Великі мовні моделі (LLM) є потужним інструментом, який може бути
використаний для виявлення різних типів кібератак, включаючи:
• Вторгнення: виявлення аномалій у мережевому трафіку, які можуть
вказувати на атаку. Наприклад, виявлення незвичайних шаблонів поведінки
користувачів або пристроїв.
45
• Спам: виявлення спамерських повідомлень, аналізуючи їх зміст та
структуру. Наприклад, LLM можуть виявляти слова та фрази, які часто зустрічаються
в спамерських повідомленнях.
• Шкідливі програми: виявлення шкідливих програм, аналізуючи їх код та
поведінку. Наприклад, виявлення характерних фрагментів коду або технік, які часто
зустрічаються в шкідливих програмах.
• Фішингові сайти: виявлення фішингових сайтів, які намагаються
імітувати легітимні веб-сайти з метою отримання конфіденційної інформації
користувачів. Наприклад, LLM можуть виявляти подібності між фішинговим сайтом
та оригінальним веб-сайтом, який він намагається імітувати або для виявлення
аномалій у поведінці користувачів(виявлення незвичайних шаблонів навігації,
використання клавіатури та миші).
Використання готових навчених моделей ML має ряд переваг у порівнянні з
традиційними методами виявлення зловмисних дій. По-перше, такі моделі не
вимагають збирання та підготовки великих наборів даних, що може бути складним і
трудомістким завданням. По-друге, готові навчені моделі ML можуть бути
використані для виявлення нових і складних форм атак, які неможливо виявити за
допомогою традиційних методів.
Однак, використання готових навчених моделей ML має і деякі недоліки. По-
перше, такі моделі можуть бути не адаптовані до конкретних потреб організації. По-
друге, готові навчені моделі ML можуть бути не настільки точними, як моделі, які
були навчені на наборі даних, адаптованому до конкретних потреб організації.
Незважаючи на недоліки, використання готових навчених моделей ML є
перспективним підходом до виявлення зловмисних дій. Такі моделі можуть бути
використані для підвищення ефективності захисту кібербезпеки організацій.
Висновок до розділу 2.
У цьому розділі було проведено аналіз методів машинного навчання, їх
функціонал та застосування в кібербезпеці. Було показано, що ML-алгоритми можуть
46
бути використані для виявлення різних типів кібератак, включаючи вторгнення, спам
та шкідливі програми.
Особливу увагу було приділено виявленню фішингових сайтів. Фішингові
атаки є одним із найпоширеніших типів кібератак, які завдають значної шкоди
користувачам, організаціям та суспільству в цілому. Традиційні методи виявлення
фішингових сайтів, такі як сигнатурний аналіз, мають обмежену ефективність у
виявленні нових і складних форм фішингу.
У цьому розділі було запропоновано новий підхід до виявлення фішингових
сайтів з використанням LLM. Цей підхід використовує LLM для виявлення подібності
між фішинговим сайтом та оригінальним веб-сайтом, який він намагається імітувати.
Основні результати:
• ML-алгоритми можуть бути ефективними для виявлення різних типів
кібератак, включаючи вторгнення, спам та шкідливі програми.
• Традиційні методи виявлення фішингових сайтів, такі як сигнатурний
аналіз, мають обмежену ефективність у виявленні нових і складних форм фішингу.
• Новий підхід до виявлення фішингових сайтів з використанням LLM
може бути ефективним у виявленні фішингових сайтів, навіть якщо вони
використовують складні методи маскування.
Рекомендації:
• Для підвищення ефективності виявлення фішингових сайтів
рекомендується використовувати комбінацію методів, включаючи сигнатурний
аналіз, аналіз поведінки та методи машинного навчання.
• LLM є перспективним методом для виявлення фішингових сайтів, і
подальші дослідження необхідні для оцінки їх ефективності в реальних умовах.
47
РОЗДІЛ 3
СИСТЕМА ВИЯВЛЕННЯ ФІШИНГОВИХ САЙТІВ
3.1 Визначення фішингових веб-сторінок за допомогою LLM
Здатність ChatGPT створювати високоавтентичні тексти на основі запиту
користувача робить його надзвичайно корисним інструментом для цілей фішингу.
Якщо раніше багато простих фішингових шахрайств було легше виявити через
очевидні граматичні та орфографічні помилки, тепер можна видати себе за
організацію чи особу в дуже реалістичний спосіб, навіть маючи лише початкове
знання англійської мови. Важливо те, що контекст фішингового електронного листа
можна легко адаптувати залежно від потреб суб’єкта загрози, починаючи від
шахрайських інвестиційних можливостей і закінчуючи компрометацією бізнес-
електронної пошти та шахрайством з генеральним директором. Таким чином,
ChatGPT може запропонувати злочинцям нові можливості, особливо для злочинів,
пов’язаних із соціальною інженерією, враховуючи його здатність відповідати на
повідомлення в контексті та використовувати певний стиль написання. Крім того,
різним типам шахрайства в Інтернеті можна надати додаткову легітимність,
використовуючи ChatGPT для створення фальшивої взаємодії в соціальних мережах,
наприклад, для просування шахрайської інвестиційної пропозиції. На сьогоднішній
день ці типи оманливих комунікацій були тим, що злочинці повинні були створити
самостійно. У випадку масових кампаній об’єкти цих типів злочинів часто можуть
визначити неавтентичний характер повідомлення через очевидні орфографічні чи
граматичні помилки або його нечіткий чи неточний зміст. За допомогою LLM ці види
фішингу та онлайн-шахрайства можна створювати швидше, набагато достовірніше та
в значно збільшених масштабах.
Тому пропонується система виявлення фішингових сайтів за допомогою
ChatGPT для аналізу контекстної інформації веб-сайтів та їхніх URL-адрес.
Запропонована система використовує високоточне розуміння контексту ChatGPT,
48
щоб точно ідентифікувати текстові представлення, що включають методи соціальна
інженерії, а також невідповідності між брендами і доменними іменами. Застосовуючи
ChatGPT, який навчається на обширних текстових даних, можна виявляти різні
фішингові сайти, які маскуються під законні служби, не вивчаючи зібраних даних
фішингових сайтів. Таким чином запропонований метод вирішує проблеми, наявні в
попередніх дослідженнях.
Дана система використовує веб-сканер для доступу до вхідної URL-адреси та
отримання інформації з відвіданого веб-сайту, наприклад знімків екрана,
HTML(HyperText Markup Language) та URL-адрес. Ця інформація використовується
для створення підказки для введення в ChatGPT, який потім визначає, чи є сайт
фішинговим чи нефішинговим.
3.2 Принцип роботи системи виявлення фішингових сайтів
За допомогою підказок створюється шаблон за яким o ChatGPT має визначати
фішингові сайти за наданою інформацією. Завдання виявлення фішингових сайтів
розділено на чотири підзавдання, які полегшують виконання певних процесів
міркування:
1. Аналіз веб-сайту на наявність методів соціальної інженерії, які
обманюють або залучають користувачів. Підказка містить типові методи соціальної
інженерії, які зазвичай використовують фішингові сайти, наприклад грошові призи,
фальшиві попередження про зараження зловмисним програмним забезпеченням,
проблеми з обліковим записом і проблеми з поштовими посилками. LLM повідомляє,
що присутність цих фраз без контексту в стані без входу вказує на високу ймовірність
фішингового сайту.
2. Визначення назви бренду веб-сайту. Фішингові сайти можуть бути
створені шляхом копіювання таких ресурсів, як HTML і зображення з законних
сайтів, що ускладнює визначення їх автентичності лише на основі HTML. Таким
чином, LLM пропонується підтвердити, чи URL-адреса відповідає законному сайту.
49
3. Визначення, чи є сайт фішинговим, із чітко вказаною причиною такого
рішення. Надання детальних описів покращує точність відповідей і полегшує людям
їх аналіз.
4. Згенерувати вихідні дані у форматі JSON. Якщо веб-сайт використовує
методи соціальної інженерії, очікується, що LLM поверне фішинг як істинний. Крім
того, LLM має видавати phishing_score у діапазоні від 0 до 10
Шаблон підказки має наступний вигляд:
«Ви веб-програміст і експерт із безпеки, якому доручено перевірити веб-
сторінку, щоб визначити, чи є вона фішинговим сайтом чи законним. Щоб виконати
це завдання, виконайте такі підзавдання:
1. Проаналізуйте HTML, URL-адресу та витягнутий за допомогою OCR
текст на наявність будь-яких методів SE, які часто використовуються під час
фішингових атак. Укажіть будь-які підозрілі елементи, знайдені в HTML, URL-адресі
чи тексті.
2. Визначте назву бренду. Якщо HTML-код схожий на справжню веб-
сторінку, перевірте, чи URL-адреса відповідає законному доменному імені,
пов’язаному з брендом, якщо відомо.
3. Сформулюйте свій висновок щодо того, чи є сайт фішинговим чи
законним, і поясніть свої міркування. Якщо недостатньо доказів для прийняття
рішення, дайте відповідь «невідомо».
4. Надішліть свої результати у форматі JSON із такими ключами:
- phishing_score: int (вказує на ризик фішингу за шкалою від 0 до 10)
- brands: str (ідентифікована назва бренду або None, якщо не
застосовується)
- phishing: boolean ( чи є сайт фішинговим чи законним) -
suspicious_domain: boolean (чи є підозра, що ім'я домену є нелегітимним)
Обмеження:
- HTML можна скоротити та спростити.
- Отриманий OCR текст не завжди може бути точним.
Приклади методів соціальної інженерії:
50
- Попередження користувача про проблему з його обліковим записом
- Пропозиція неочікуваних винагород
- Інформування користувача про відсутній пакет або потрібний додатковий
платіж
- Відображення підроблених попереджень безпеки
URL: {URL}
HTML: ``` {Browser HTML} ```
Текст, витягнутий за допомогою розпізнавання тексту: ``` {розпізнаний текст}»
Підказка містить інформацію про веб-сайт у формі HTML, URL-адреси та
тексту, витягнутого із зображень знімків екрана за допомогою оптичного
розпізнавання символів (OCR). Деякі фішингові сайти уникають аналізу фішингових
сайтів на основі HTML, відображаючи інформацію про бренд (логотипи та заголовки)
у файлах зображень або елементах полотна без включення конкретних назв брендів
або тексту в HTML. Щоб ввести в підказку текст, який неможливо витягти з HTML,
використовується OCR для вилучення тексту.
Деякі веб-сайти можуть перевищувати ліміт маркерів ChatGPT, якщо введені
дані великі. Токени в ChatGPT відносяться до окремих одиниць тексту, які
представляють символи або слова та використовуються для обробки та аналізу LLM.
Модель GPT-3.5 має ліміт 4096 токенів, тоді як GPT-4 (8K) має ліміт 8000 токенів, а
GPT-4 (32k) має ліміт 32 000 токенів. Насправді середня кількість маркерів для HTML
становить 30 398 (із середнім значенням 74 937 для нефішингових сторінок), що
вказує на те, що велика кількість веб-сторінок перевищує цей ліміт маркерів. Щоб
визначити продуктивність моделі GPT-3.5, треба спростити витягнутий за допомогою
HTML і OCR текст, щоб він помістився в межах 4096 токенів у цьому дослідженні.
Запропонована система спрощує HTML, зберігаючи важливу інформацію для
виявлення фішингу та ідентифікації бренду. Елементи, розташовані у верхній частині
HTML, такі як заголовок і елемент метаопису, в основному містять підказки для
визначення послуг, що надаються веб-сайтом. Крім того, елемент форми, який
використовується для введення інформації для входу, і текст, що відображається на
сторінці, є вирішальними для аналізу ролі веб-сайту. Щоб досягти максимального
51
збереження такої інформації при мінімізації її довжини, виконуються кроки, описані
в Алгоритмі 1(Додаток А).
Оскільки, дана система збирає дані HTML коду, розглянемо детальніше
складові елементи сайту. HTML - це мова розмітки, яка використовується для
створення веб-сторінок. В наукових дослідженнях, де важливий аналіз веб-змісту та
взаємодія із структурою сторінок, деякі елементи HTML є важливими для отримання
та обробки даних. Наприклад:
1. Теги та Атрибути: визначають різні елементи на веб-сторінках. У
дослідженнях, ідентифікація та аналіз конкретних тегів (наприклад, <a> для посилань
або <table> для таблиць) може надати важливі відомості про структуру документа.
2. Текстовий вміст в середині тегів <p>, <h1>, <a>, тощо, містить ключову
інформацію для аналізу та обробки тексту. Визначення ключових слів, взаємодія з
текстом та встановлення зв'язків між різними елементами тексту може виявитися
корисним у дослідженнях.
3. Сценарії та Стилі: Використання скриптів (JavaScript) та каскадних
таблиць стилів (CSS) може значно змінювати вигляд та поведінку сторінок. Аналіз
цих елементів дозволяє зрозуміти взаємодію користувачів із веб-сайтами та
визначити ефективні методи збору даних.
Запропонована система видаляє елементи HTML, такі як стиль, скрипт і теги
коментарів, які мають низьку релевантність і велику кількість маркерів. Згодом
розгортаються елементи HTML, крім важливих тегів, указаних як head, title, meta,
body, h1, h2, h3, h4, h5, h6, p, strong, a, img, hr, table, tbody, tr, th , td, ol, ul, li, ruby і
label. Неважливі елементи видаляються, а їхні дочірні елементи включаються до
батьківських елементів. Потім цей метод видаляє елементи HTML, які не містять
тексту, укладеного в теги. Також скорочується атрибут src елементів img,
закодованих у base64, і атрибут href елементів, що містять довгі URL-адреси.
Запропонований метод періодично видаляє проміжні елементи HTML, доки кількість
токенів не впаде нижче 3000.
52
3.3 Опис технічних засобів
Для розробки програмного модуля було обрано наступні засоби:
• Python:
Python — це інтерпретована мова загального призначення високого рівня
динамічного програмування. Його структура дизайну зосереджена на читабельності
коду разом із змістовним використанням значних відступів.
Python сильний на серверних платформах і настільних комп’ютерах, а отже, це
ідеальна мова програмування на стороні сервера..
У порівнянні з Java та C, для мови програмування Python потрібно менше
кроків. Побудова його мови та підхід, спрямований на об'єкт, допомагає програмістам
писати логічні та зрозумілі коди для малих і великомасштабних проектів.
Мова Python надає користувачеві величезну бібліотеку. Стандартна бібліотека
Python є величезною, і майже всі функції, які потрібно виконати, доступні в її
бібліотеці. Це тому, що вона має величезну підтримку спільноти та корпоративного
спонсорства. Бібліотеки, такі як NumPy, SciPy і Matplotlib, дозволяють ефективно
використовувати Python у наукових обчисленнях, зі спеціалізованими бібліотеками,
такими як Biopython і Astropy, які забезпечують функціональні можливості для певної
області. SageMath — це система комп'ютерної алгебри з інтерфейсом ноутбука,
програмованим на Python: його бібліотека охоплює багато аспектів математики,
включаючи алгебру, комбінаторику, числову математику, теорію чисел і обчислення.
Python зазвичай використовується в проектах зі штучним інтелектом і в проектах
машинного навчання за допомогою таких бібліотек, як TensorFlow, Keras, Pytorch і
Scikit-learn.
GNU Debugger використовує Python як гарний принтер для показу складних
структур, таких як контейнери C++. Esri рекламує Python як найкращий вибір для
написання скриптів в ArcGIS. Він також використовувався в кількох відеоіграх і був
прийнятий як перша з трьох доступних мов програмування в Google App Engine,
двома іншими є Java та Go.
53
Багато операційних систем включають Python як стандартний компонент. Він
постачається з більшістю дистрибутивів Linux, AmigaOS 4 (з використанням Python
2.7), FreeBSD (як пакет), NetBSD і OpenBSD (як пакет) і може використовуватися з
командного рядка (термінал). У багатьох дистрибутивах Linux використовуються
інсталятори, написані на Python.
Python широко використовується в індустрії інформаційної безпеки,
включаючи розробку експлойтів [16].
• Visual Studio:
Visual Studio — це інтегроване середовище розробки (IDE) від Microsoft. Він
використовується для розробки комп'ютерних програм, а також веб-сайтів,
вебдодатків, веб-сервісів та мобільних додатків. Visual Studio використовує такі
платформи розробки програмного забезпечення Microsoft, як Windows API, Windows
Forms, Windows Presentation Foundation, Windows Store і Microsoft Silverlight.
Visual Studio включає редактор коду, який підтримує IntelliSense (компонент
завершення коду ), а також рефакторинг коду. Інтегрований налагоджувач працює і
як налагоджувач на рівні джерела, і як налагоджувач на рівні машини. Інші вбудовані
інструменти включають профайлер коду, конструктор для створення програм із
графічним інтерфейсом користувача, веб-дизайнер, конструктор класів і дизайнер
схем баз даних. Він приймає плагіни, які розширюють функціональність майже на
кожному рівні, включаючи додавання підтримки систем контролю джерел
(наприклад, Subversion і Git) та додавання нових наборів інструментів, таких як
редактори та візуальні конструктори для мов, що стосуються домену, або наборів
інструментів для інших аспектів життєвого циклу розробки програмного
забезпечення (наприклад, клієнт Azure DevOps : Team Explorer)
Visual Studio є одним із середовищ розробки, що дозволяє працювати з Python.
Перевагою даної IDE в порівнянні, наприклад, з PyCharm, слід зазначити перш за все
те, що в її безкоштовній редакції VS 2019 Community доступні ряд функцій та
можливостей, які в тому ж PyCharm доступні лише у платній версії Professional
Edition. Наприклад, це веб-розробка за допомогою різних фреймворків. У той же час
засоби для розробки на Python у Visual Studo доступні поки що у версії для Windows.
54
3.3.1 Реалізація системи
Для дослідження сайтів було розроблено програмний модуль веб сканера,
що отримує дані з сайтів та обробляє їх для подальшого аналізу. Алгоритм модуля
представлено в додатку Б. Оскільки, більшість сайтів використовують JacaScript для
динамічної зміни коду і потрібен деякий час для завантаження сторінки,
використовується Selenium WebDriver для отримання кінцевого HTML коду та знімку
екрана. Selenium використовує протокол WebDriver для керування такими веб-
браузерами, як Chrome, Firefox або Safari. Він може керувати як локально
встановленим екземпляром браузера, так і тим, що працює на віддаленій машині
через мережу. В даному модулі використовується екземпляр Chrome.
Приклад коду представлено на рисунку 3.1.
Рисунок 3.1 – Частина коду для отримання даних сайту.
Далі отримані дані спрощуються за алгоритмом описаним в попередньому
розділі. Частина коду спрощення наведена на рисунку 3.2.
55
Рисунок 3.2 – Частина коду для спрощення даних.
Отримані відомості відправляються в Chat-GPT для аналізу та отримання
висновку по сайту. З отриманого висновку витягуються JSON дані. Приклад коду
взаємодії з Chat-GPT 3.5 представлено на рисунку 3.3.
Рисунок 3.3 – Приклад коду взаємодії з GPT 3.5
3.4 Оцінка роботи та ефективність визначення
Для того щоб оцінити роботу методу, були використані такі метрики як
точність, повнота, F-міра. Отже, точність (Accuracy) є одним із загальновідомих
заходів, що застосовуються для оцінки. Точність, це відношення правильно
визначених фішингових та легітимних ресурсів до загальної кількості ресурсів з
огляду на помилки класифікації, як показано у формулі 3.1 нижче:
56
= ,
(3.1)
де A - точність, Р – кількість зразків по яких класифікатор прийняв правильне
рішення, N – розмір навчальної виборки.
Точність (precision) та повнота (recall) є метриками, які використовуютьтся при
оцінці більшої частини алгоритмів видобуття інформації. Точність в межах класу – це
частка зразків, які дійсно належать цьому класу відносно всіх зразків, які система
віднесла до цього класу. Для розрахунку цих показників використовують таблицю
(табл. 3.1), яка створюється для кожного класу окремо.
Таблиця 3.1 – Таблиця контингентності класу[2]
Категорія Оцінка системи
Позитивна Негативна
Експертна оцінка Позитивна TP FN
Негативна FP TN
де TP – істинно-позитивне рішення, TN- істинно негативне рішення, FP –
хибно-позитивне рішення, FN – хибно-негативне рішення.
Тоді точність та повнота визначаються наступними співвідношеннями:
точність(precision) = ,
+ (3.2)
повнота () = .
+ (3.3)
Чим вищими є точність та повнота, тим краще, однак, вони не можуть бути
досягнуті одночасно в реальності. Тому дяким компромісом, який поєднує
інформацію про точність та повноту, є F-міра. Це є середнє гармонічне між точністю
та повнотою:
Prec ∗ REc
= 2 .
Prec + Rec (3.4)
Для того щоб зробити порівняння, в даному випадку необхідно
використовувати набір даних фішингових та нефішингових посилань, з урахуванням
деяких основних ознак. Для цього порівняння був обраний набір OpenPhish [17] і
Kaggle [18], які є джерелами фішингової інформації і датасетів для навчання. За
допомогою веб-сканера, описаного в розділі 3.3, отримується доступ до початкових
URL-адрес. Щоб забезпечити цілісність набору даних, вручну виключаються веб-
57
сайти з неповним відтворенням і завантаженням зображень. Проводиться ретельний
аналіз скріншотів веб-сайтів з акцентом на два фактори:
• Веб-сайти, які містять логотипи чи назви брендів, пов’язані з добре
відомими службами, або які візуально нагадують законні сайти.
• Веб-сайти, на яких використовуються методи SE, як-от надання
неправдивої інформації (наприклад, фальшиві винагороди, попередження про
зараження вірусами, проблеми з обліковим записом), щоб створити відчуття
терміновості або інтересу.
Із зібраної інформації про веб-сайти виключаютсья ті, що відповідають таким
умовам:
• Веб-сайти, які містять вміст R18 (для дорослих, азартні ігри, знайомства)
через потенційні конфлікти з фільтром вмісту ChatGPT.
• У випадках, коли подібні скріншоти були знайдені серед витягнутих
фішингових сайтів, усі, крім одного, були виключені. Критерії для визначення
подібності включали повне доменне ім’я (FQDN), назву сторінки, зовнішній вигляд
веб-сайту та текстовий вміст. Однак якщо веб-сайти мають однаковий вигляд, але
різними мовами, то їх зберігаємо.
У результаті наведеного вище аналізу формується набір даних про 100
фішингових сайтів з унікальними 100 FQDN.
Було зібрано однакову кількість веб-сайтів як фішингових, так і нефішингових.
Початкові URL-адреси складалися з законних веб-сайтів 153 брендів, на які націлені
фішингові сайти, а також перших 2 тисяч доменних імен зі списку Tranco [19]. З
законних сайтів 153 брендів отримано URL-адреси їхніх домашніх сторінок і, якщо
такі доступні, сторінки входу. Доступ до початкових URL-адрес отримується за
допомогою веб-сканера. Після сканування найпопулярніших 2 тисяч Tranco, успішно
отримується доступ до 1661 URL-адреси. Найпопулярніші сайти Tranco включають
певні категорії, такі як вміст для дорослих, незаконне завантаження/потокове
передавання та азартні ігри. Оскільки ці категорії можуть активувати фільтри вмісту
в ChatGPT або призвести до фішингових сайтів через зловмисну рекламу, такі веб-
58
сайти виключаються. З Решти 764 веб-сайти (з 1000 нефішингових сайтів) було
випадковим чином вибрано 100 найпопулярніших сайтів Tranco, які просканувалися.
Рисунок 3.4. – Фрагменти наборів даних
Щоб отримати результати виявлення з відповідей API, відповідь позначається
як фішингова, якщо значення ключа фішингу або ключа suspicious_domain у відповіді
JSON було правдивим. І навпаки, відповідь позначалася як нефішингова, якщо обидва
ключі були хибними. Через імовірнісні флуктуації у вихідних даних ChatGPT деякі
відповіді не містили машинозчитуваного тексту JSON, наприклад використання
одинарних лапок замість подвійних. Серед відповідей 3 (3%) для GPT-3.5 призвели
до помилок аналізу JSON. Однак, оскільки всі відповіді включали відповідні відповіді
для кожного ключа, вони евристично аналізувались та об’єднались.
З отриманих даних формуються Матриця плутанини(таблиця 3.2) та
порівнюються показники ефективності(таблиця 3.3).
59
Таблиця 3.2 – Матриця плутанини для GPT-3.5
Визначений
Фішинговий Не фішинговий
TP FN
Фішинговий 86 14
Фактичний
FP TN
Не фішинговий 4 96
Таблиця 3.3 – Порівняння показників ефективності
Показник GPT-3.5
Accuracy 0,91%
Precision 0,95%
Recall 0,86%
F-міра 0,90%
Далі представляються кілька прикладів визначення фішингових сайтів та їх
особливості:
1. Приклад фішингового сайту з імітацією Facebook:
Рисунок 3.5 –Приклад Facebook фішингового сайту
На рисунку 3.5 показано знімок екрана фішингового сайту (https://888-
8888888.pages.{...}), а також далі представлена відповідь, згенеровану ChatGPT. Цей
веб-сайт імітує Facebook і намагається створити у користувача відчуття терміновості
щодо проблем облікового запису. ChatGPT правильно ідентифікував цей веб-сайт як
пов’язаний із брендом «Meta Facebook» і визначає, що доменне ім’я не є законним
Facebook. Крім того, ChatGPT розпізнає наявність методів SE та підкреслює наявність
60
підозрілих посилань у HTML. ChatGPT встановив phishing_score на 8, позначивши і
«phishing», і «suspicious_domain» як true. Нижче було скорочено деякі URL-адреси,
включені у відповідь.
Відповідь Chat-GPT:
1. Аналіз HTML, URL та тексту, годин, що є типовим методом
витягнутого за допомогою OCR: соціальної інженерії в атаках фішингу.
HTML аналіз: 2. Визначення назви бренду:
• У HTML коді є зазначена Назва бренду в HTML зазначена
назва "Facebook" в тезі <title>. як "Facebook".
• Проте, посилання <a> має 3. Висновок:
підозрілу URL "https://88", яка може • Ризик фішингу: 8/10
бути пов'язана з фішинговою атакою. • Ім'я бренду: Facebook
URL аналіз: • Сайт фішинговим: Так
• URL"https://888- • Підозрілий домен: Так
8888888.pages.{...}" має підозрілу 4. Результати у форматі JSON:
структуру та може бути пов'язана з {
фішинговою діяльністю. "phishing_score": 8,
Текст OCR аналіз: "brands": "Facebook",
• Витягнутий текст містить "phishing": true,
попередження про "deaktivert kontoen" "suspicious_domain": true
та вимагає підтвердження протягом 24 }
2. Приклад фішингового сайту з імітацією Microsoft.
На рисунку 3.6 представлено знімок екрана фішингового сайту http://pub-
{...}.html. а також далі представлена відповідь, згенеровану ChatGPT. Даний сайт
імітує сторінку входу в обліковий запис Microsoft. Цей веб-сайт імітує Microsoft і
намагається створити у користувача відчуття справжності сторінки. ChatGPT не
ідентифікував цей веб-сайт як пов’язаний із брендом «Microsoft»(OCR не коректно
спрацював), але визначив як фішинговий через підозрілу URL. ChatGPT встановив
phishing_score на 7, позначивши і «phishing» як true, і «suspicious_domain» як false.
Нижче було скорочено деякі URL-адреси, включені у відповідь.
61
Рисунок 3.6 – Приклад фішингового сайту Microsoft
Відповідь Chat-GPT:
1. Аналіз HTML, URL та тексту, неправильно. Також є посилання
витягнутого за допомогою OCR: "Forgot my password", яке може бути
HTML аналіз: використане для фішингу.
• У HTML коді є зазначена 2. Визначення назви бренду:
назва "Sign in to your account" в тегу У HTML коді зазначено "Sign in
<title>. to your account".
• Є елемент <a> з текстом 3. Висновок:
"Forgot my password", який веде на • Ризик фішингу: 7/10
підозрілу URL "https://pa". • Ім'я бренду: Не визначено
• Є кілька елементів <a> з (назва сторінки: "Sign in to your
текстом "Terms of use", "Privacy & account")
cookies", які ведуть на підозрілі URL • Сайт фішинговим: Так
"https://ww" та "https://pr". • Підозрілі елементи: Так
URL аналіз: (підозрілі посилання)
• URL "http://pub-{...}.html" 4. Результати у форматі JSON:
має підозрілу структуру та може бути {
пов'язана з фішинговою діяльністю. "phishing_score": 7,
Текст OCR аналіз: "brands": null,
Витягнутий текст містить фразу "phishing": true,
"Enter password" та зазначає, що пароль "suspicious_domain": false
для облікового запису введений }
3. Приклад Не фішингового сайту:
На рисунку 3.7 представлено знімок екрана сайту http://ntp.org. а також далі
представлена відповідь, згенеровану ChatGPT. Це сайт Network Time Protocol, що
проводить дослідження та розробки протоколу NTP, призначеного для синхронізації
годинника комп’ютерів у мережі із загальною базою часу. ChatGPT правильно
62
ідентифікував бренд «NTP». ChatGPT встановив phishing_score на 2, позначивши і
"phishing", і «suspicious_domain» як false.
Рисунок 3.7 – Досліджуваний сайт
Відповідь 3:
1. Аналіз HTML, URL та тексту, • Витягнутий текст в
витягнутого за допомогою OCR: основному відображає інформацію про
HTML аналіз: NTP Project та містить кілька посилань
• У HTML коді є зазначена на різні ресурси.
назва "Welcome to the home of the 2. Визначення назви бренду:
Network Time Protocol (NTP) Project" в У HTML коді зазначено
тезі <title>. "Welcome to the home of the Network
• Є кілька елементів <a> з Time Protocol (NTP) Project".
текстами "Support", "Reference Library", 3. Висновок:
"Documentation", які ведуть на підозрілі • Ризик фішингу: 2/10
URL "https://ww". (надзвичайно низький, оскільки сайт
• Є елемент <a> з текстом виглядає як легітимний ресурс NTP
"You Can Help Us Reach Our 2023 SSD Project)
Upgrade Goal!", яке веде на підозрілу • Ім'я бренду: Network Time
URL "https://ww". Protocol (NTP) Project
• У тексті є декілька • Сайт фішинговим: Ні
посилань на різні ресурси, такі як • Підозрілі елементи: Ні
"https://bk", "https://ww", 4. Результати у форматі JSON:
"https://www.nwtime.org/". {
URL аналіз: "phishing_score": 2,
• URL "http://ntp.org" має "brands": "Network Time
логічну структуру та є співпадаючим з Protocol (NTP) Project",
назвою NTP Project. "phishing": false,
Текст OCR аналіз: "suspicious_domain": false
}
63
Отже, ChatGPT забезпечує гнучкі та різноманітні відповіді, оскільки його
результати визначаються імовірнісними. Однак це також означає, що результати
виявлення можуть змінюватися залежно від експерименту. У цьому дослідженні
використовувались параметри за замовчуванням для ChatGPT і підготований набір
даних, що складається з різних веб-сайтів, щоб статистично оцінити точність
виявлення. Щоб отримати надійні результати класифікації фішингових сайтів,
деякі параметри, такі як Top_k і Temperature, можуть вимагати коригування для
певних цілей. Для набору даних, використаного в цьому експерименті,
виключались фішингові та нефішингові сайти з вмістом R-18, щоб усунути вплив
фільтра вмісту ChatGPT. Щоб перевірити веб-сайти з вмістом для дорослих або
агресивним вмістом, необхідно буде змінити або вибрати відповідний фільтр
вмісту для ChatGPT. Методи, які використовують LLM, включаючи
запропонований підхід, можуть бути сприйнятливими до атак швидкої ін’єкції [20],
коли оригінальне запрошення перезаписується, а у відповідь вставляється
шкідливий вміст. Запропонована система використовує прості контрзаходи
шляхом спрощення HTML і прояснення текстових розділів шляхом розміщення
потрійних зворотних галочок. Однак фішингові сайти можуть використовувати
оперативні ін’єкції в майбутньому, щоб уникнути аналізу LLM. Будуть потрібні
більш просунуті засоби захисту від миттєвих ін’єкційних атак. Оскільки ChatGPT
навчався на даних до вересня 2021 року, можливо, він не зможе точно
класифікувати фішингові та нефішингові сайти, пов’язані зі службами, створеними
після цієї дати. Здатність класифікації потенційно можна покращити за допомогою
зовнішнього посилання на список доменних імен, що відповідають брендам, або за
допомогою точно налаштованого LLM.
Висновок до 3 розділу
У цьому розділі була представлена система виявлення фішингових сайтів за
допомогою ChatGPT, найсучаснішої LLM. Цей підхід поєднує методи веб-
сканування з контекстним розумінням ChatGPT, щоб класифікувати веб-сайти як
64
фішингові чи ні. Завдяки детальним експериментам система досягла надзвичайної
продуктивності з точністю 95%, демонструючи потенціал LLM для ефективного
виявлення фішингових сайтів і методів соціальної інженерії.
65
ВИСНОВОК
У цьому дослідженні проведено глибокий аналіз проблематики використання
методів штучного інтелекту для аналізу та виявлення шкідливої інформації в
соціальних мережах та медіа. Досліджено різноманітні методи поширення
шкідливої інформації в цих платформах, звертаючи увагу на їх складність та вплив
на суспільство. Особлива увага приділена аналізу методів машинного навчання та
їх потенціалу в контексті кібербезпеки.
У рамках роботи проведено аналіз різноманітних методів машинного
навчання, які можуть бути застосовані для виявлення та аналізу шкідливої
інформації. Особлива увага була приділена їхньому використанню в сфері
кібербезпеки з метою забезпечення надійного захисту від шкідливих впливів.
Результати дослідження вказують на високий потенціал методів штучного
інтелекту у виявленні та аналізі шкідливої інформації в соціальних мережах.
Застосування алгоритмів машинного навчання виявилося ефективним у виявленні
паттернів та аномалій, що свідчить про їх важливість для забезпечення
кібербезпеки в онлайн середовищі.
Окремий розділ роботи був присвячений представленню системи виявлення
фішингових сайтів з використанням мовних моделей з доведеною ефективністю,
зокрема, використанням LLM. Результати експериментів демонструють високі
показники ефективності виявлення фішингових сайтів, що підкреслює потенціал
використання мовних моделей у сфері кібербезпеки.
Загалом, це дослідження вносить значний внесок у розуміння та розвиток
методів інтелектуального аналізу та виявлення шкідливої інформації в онлайн
середовищі. Розкриті перспективи використання штучного інтелекту в цілях
кібербезпеки визначають шлях для подальших досліджень та розвитку
технологічних рішень у цій області.
Ці висновки мають важливе значення для вдосконалення автоматизованих
заходів кібербезпеки та зменшення ризиків шахрайства в Інтернеті, з якими
66
стикаються користувачі. Це дослідження пропонує нові напрямки для вивчення
застосування LLM у різних областях кібербезпеки та подальшої оптимізації їх
можливостей для аналізу та виявлення шкідливого веб-контенту.
В результаті виконання дипломної роботи були вирішені наступні завдання:
• Проаналізовано основні методи поширення шкідливої інформації.
• Проаналізовано основні методи штучного інтелекту.
• Визначено оптимальний метод штучного інтелекту для виявлення
шкідливої інформації.
• Розроблено систему виявлення фішингових сайтів за допомогою
ChatGPT.
Під час виконання дипломного проекту виникли певні обмеження, що
стосуються використання Openai API. Через обмежений час і недостатні знання
взаємодія користувача з Chat-GPT API може бути неефективною. Описаний в
роботі метод буде також надалі поліпшуватися, і допрацьовуватися. Також будуть
виправлені деякі недоробки.
Всі поставлені задачі були виконані в повному обсязі. Головна мета роботи
була досягнута.
67
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Michael Safi, “‘WhatsApp Murders’: India Struggles to Combat Crimes Linked
to Messaging Service,” The Guardian, July 3, 2018, sec. World news.
2. Методи штучного інтелекту в кібербезпеці [Електронний ресурс]уклад.:
І.В. Стьопочкіна, О.М. Новіков Р. 2022р. – Режим доступу:
https://ela.kpi.ua/bitstream/123456789/47605/1/Metody_shtuchnoho_intelektu_v_kiberbez
petsi.pdf
3. Deep Learning for Phishing Detection: Taxonomy, Current Challenges and
Future Directions [Електронний ресурс] 2022р. – Режим доступу:
https://ieeexplore.ieee.org/document/9716113
4. Support Vector Machines [Електронний ресурс]. – Режим доступу:
https://scikit-learn.org/stable/modules/svm.html#svm-classification
5. Decision Trees [Електронний ресурс]. – Режим доступу: https://scikit-
learn.org/stable/modules/tree.html
6. Nearest neighbor pattern classification [Електронний ресурс]T. Cover P. Hart
– Режим доступу: https://doi.org/10.1109/TIT.1967.1053964
7. How Would Information Disclosure Influence Organizations' Outbound Spam
Volume? Evidence from a Field Experiment[Електронний ресурс] S. He, G. M. Lee, S.
Han, and A. B. Whinston, 2016р. – Режим доступу:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2830359
8. Machine Learning-Based Effective Malicious Web Page Detection
[Електронний ресурс]. – Режим доступу: https://dergipark.org.tr/en/download/article-
file/2556308
9. Hidden Naive Bayes [Електронний ресурс]. – Режим доступу:
https://www.cs.unb.ca/~hzhang/publications/AAAI051ZhangH1.pdf
10. Visualizing and Understanding Convolutional Networks [Електронний
ресурс] Proc. Eur. Conf. Comput. Vis. Cham, Switzerland: Springer, 2014 – Режим
доступу: https://link.springer.com/chapter/10.1007/978-3-319-10590-1_53
68
11. What is a large language model (LLM)? [Електронний ресурс]. – Режим
доступу: https://www.elastic.co/what-is/large-language-models
12. A Survey on Machine Learning Techniques for Cyber Security in the Last
Decade [Електронний ресурс] Kamran Shaukat, Suhuai Luo, Vijay Varadharajan, Ibrahim
A. Hameed, Min Xu 2020. – Режим доступу:
https://www.researchgate.net/publication/346487463_A_Survey_on_Machine_Learning_
Techniques_for_Cyber_Security_in_the_Last_Decade
13. Network intrusion detection system: machine learning approach by Ameera S.
Jaradat, Malek M. Barhoush, Rawan Bani Easa [Електронний ресурс]. – Режим доступу:
https://archive.org/details/network-intrusion-detection-system-machine-learning-
approach/page/1156/mode/1up
14. Android Malware Detection: A Survey [Електронний ресурс]. – Режим
доступу:
https://www.researchgate.net/publication/328495819_Android_Malware_Detection_A_Su
rvey
15. ARTIFICIAL INTELLIGENCE AND CYBERSECURITY RESEARCH
ENISA Research and Innovation Brief JUNE 2023 [Електронний ресурс]. – Режим
доступу: https://www.enisa.europa.eu/publications/artificial-intelligence-and-
cybersecurity-research
16. "Core Security". Core Security [Електронний ресурс]. – Режим доступу:
https://www.coresecurity.com/
17. openphish [Електронний ресурс]. – Режим доступу: https://openphish.com/
18. kaggle [Електронний ресурс]. – Режим доступу:
https://www.kaggle.com/datasets/akashkr/phishing-website-dataset/data
19. Tranco. A Research-Oriented Top Sites Ranking Hardened Against
Manipulation [Електронний ресурс]. – Режим доступу: https://tranco-
list.eu/list/K2NZW/1000000
20. Compromising Real-World LLM-Integrated Applications with Indirect Prompt
Injection [Електронний ресурс] Kai Greshake, Sahar Abdelnabi, Shailesh Mishra,
69
Christoph Endres, Thorsten Holz, Mario Fritz. 2023 – Режим доступу:
https://arxiv.org/abs/2302.12173
70
ДОДАТОК А
АЛГОРИТМ СПРОЩЕННЯ HTML КОДУ
71
ДОДАТОК Б
Алгоритм програми збору даних
72
ДОДАТОК В
Програмний код системи збору даних
73
74