Читать статью 'Процедура выявления вторжений в системах информационной безопасности на основе использования нейронных сетей.' в журнале Программные системы и вычислительные методы на сайте nbpublish.com
Рус Eng За 365 дней одобрено статей: 1893,   статей на доработке: 356 отклонено статей: 501 
Библиотека

Вернуться к содержанию

Программные системы и вычислительные методы
Правильная ссылка на статью:

Процедура выявления вторжений в системах информационной безопасности на основе использования нейронных сетей.

Симаворян Симон Жоржевич

кандидат технических наук

доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет

354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94

Simavoryan Simon Zhorzhevich

PhD in Technical Science

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

simsim@mail.ru
Другие публикации этого автора
 

 
Симонян Арсен Рафикович

кандидат физико-математических наук

доцент, кафедра прикладной математики и информатики, ФГБОУ ВО "Сочинский государственный университет"

354000, Россия, г. Сочи, ул. Островского, 37, кв. 91

Simonyan Arsen Rafikovich

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91

oppm@mail.ru
Другие публикации этого автора
 

 
Попов Георгий Александрович

доктор технических наук

Заведующий кафедрой Информационной безопасности, Астраханский государственный технический университет

414025, Россия, Астраханская область, г. Астрахань, ул. Татищева, 16

Popov Georgii Aleksandrovich

Doctor of Technical Science

Head of the Department of Information Security, Astrakhan State Technical University

414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16

popov@astu.org
Другие публикации этого автора
 

 
Улитина Елена Ивановна

кандидат физико-математических наук

доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет

354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94

Ulitina Elena Ivanovna

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

ulitina@rambler.ru
Другие публикации этого автора
 

 

DOI:

10.7256/2454-0714.2020.3.33734

Дата направления статьи в редакцию:

24-08-2020


Дата публикации:

26-10-2020


Аннотация.

Предметом исследования является проблема выявления и противоборства вторжениям (атакам) в системах обеспечения информационной безопасности (ОИБ) на базе системно-концептуального подхода, разрабатываемых в рамках финансируемого проекта РФФИ № 19-01-00383. Объектом исследования являются нейронные сети и системы обеспечения информационной безопасности (ОИБ) автоматизированных систем обработки данных (АСОД). Авторы исходят из основных концептуальных требований, предъявляемых к системам обнаружения вторжений - адаптируемость, обучаемость и управляемость. Разработанная процедура выявления вторжений рассматривает как внутренние, так и внешние угрозы. Состоит из двух подсистем: подсистемы выявления возможных вторжений, включающей в себя подсистемы предсказания, контроля и управления доступом, анализа и выявления повторяемости вторжений, а также подсистемы противодействия вторжениям, включающей в себя подсистемы блокирования/уничтожения защищаемых ресурсов, оценки потерь, связанных с вторжениями, и ликвидации последствий вторжения.   Методологические исследования по разработке процедуры выявления вторжений проводятся с использованием методов искусственного интеллекта, системного анализа, теории нейронных систем в области обеспечения информационной безопасности. Исследования в работе проводятся на базе достижений системно-концептуального подхода к защите информации в АСОД. Основным результатом, полученным в работе, является блок схема (алгоритм) адаптивной процедуры выявления вторжений, содержащий в себе средства и механизмы защиты, построенные по аналогии с нейронными системами, используемыми в системах обеспечения безопасности. Разработанная общая структура системы выявления и противодействия вторжениям позволяет системно взаимоувязывать подсистемы выявления возможных вторжений и противодействия вторжениям на концептуальном уровне.

Ключевые слова: нейронные сети, интеллектуальные системы, защита информации, обеспечение информационной безопасности, системы обнаружения вторжений, стратегии защиты информации, автоматизированная обработка данных, адаптируемые системы, система обнаружение атак, программная защита информации

Abstract.

The subject of the research is the problem of identifying and countering intrusions (attacks) in information security systems (ISS) based on the system-conceptual approach, developed within the framework of the RFBR funded project No. 19-01-00383. The object of the research is neural networks and information security systems (ISS) of automated data processing systems (ADPS). The authors proceed from the basic conceptual requirements for intrusion detection systems - adaptability, learnability and manageability. The developed intrusion detection procedure considers both internal and external threats. It consists of two subsystems: a subsystem for detecting possible intrusions, which includes subsystems for predicting, controlling and managing access, analyzing and detecting the recurrence of intrusions, as well as a subsystem for countering intrusions, which includes subsystems for blocking / destroying protected resources, assessing losses associated with intrusions, and eliminating the consequences of the invasion. Methodological studies on the development of intrusion detection procedures are carried out using artificial intelligence methods, system analysis, and the theory of neural systems in the field of information security. Research in this work is carried out on the basis of the achievements of the system-conceptual approach to information security in ADPS.The main result obtained in this work is a block diagram (algorithm) of an adaptive intrusion detection procedure, which contains protection means and mechanisms, built by analogy with neural systems used in security systems.The developed general structure of the intrusion detection and counteraction system allows systematically interconnecting the subsystems for detecting possible intrusions and counteracting intrusions at the conceptual level.

Keywords:

automated data processing, information protection strategies, intrusion detection systems, information security support, information protection, intelligent systems, neural networks, adaptable systems, attack detection system, software information protection

Введение

Проблема выявления и противоборства атакам в системах обеспечения информационной безопасности (ОИБ) является одной из наиболее актуальных в процессе обеспечения ИБ объектов обработки данных. Особенно актуальна проблема выявления вторжений, то есть атак, сумевших преодолеть внешние рубежи защиты и проникнуть в систему обработки данных. Актуальность данной проблемы отражена, в частности, в серии из четырех нормативных документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) [1],[2].

Данная работа посвящена анализу возможностей использования нейронных сетей применительно к выявлению угроз и, прежде всего, вторжений в систему ОИБ. Работ по данной тематике в открытой печати относительно немного; выделим работы [3],[4],[5] наиболее близких по постановкам задач и их анализу.

Основная часть.

1. Анализ некоторых особенностей проблемы выявления вторжений.

Прежде чем рассмотрим конструктивные вопросы, связанные с процессом выявления вторжений, проведем анализ особенностей этих процессов.

Способность атаки перерасти в угрозу указывает на высокий профессиональный уровень подготовки юридических и физических лиц, осуществляющих эти атаки – назовем их источником угроз. В редких случаях такими источниками оказываются отдельные хакеры или их группы. Но в подавляющем числе случаев источник атак представляет собой специализированную организацию, включающих требуемое число профессионалов самого высокого уровня и имеющих очень серьезные намерения, связанные с проникновением в рассматриваемую систему обработки данных. Применительно к государственным организациям, подобные атаки могут быть организованы спецслужбами других стран, специальными профессиональными коллективами, работающими на крупные государственные организации или частные компании.

Если в случае хакерского проникновения в систему потери организации, на которую совершается атака (назовем хранителем информации), могут оказаться относительно небольшими, то в случае атаки со стороны подготовленных профессиональных организаций потери могу оказаться огромными. Поэтому при формировании системы выявления и противодействия вторжениям необходимо исходить из точки зрения, что вторжения подготовлены и проведены профессионально подготовленной, специализированной организацией, имеющей требуемый состав и требуемое число высокопрофессиональных специалистов, в необходимом объеме финансовые и материальные ресурсы, а также пользующейся поддержкой и/или покровительством государственных органов страны, где она расположена. Рассмотрим некоторые выводы, которые проистекают из данной позиции.

Прежде всего, успешность атаки означает, что, скорее всего, методы совершения злоумышленного проникновения оказались неожиданными и новыми для системы ОИБ, что и обеспечило текущую успешность проведения атаки, то есть возможность проникнуть непосредственно в зону обработки данных. Таким образом, вторжения имеют значимо больший уровень непредсказуемости по сравнению с другими типами атак. Именно из-за высокого уровня непредсказуемости вторжений типовые методы выявления и нейтрализации вторжений оказываются часто бесплодными и нерезультативными.

Далее, потери, вызванными вторжениями, нередко оказываются существенно большими, чем при других типах атак. Это связано, во-первых, с неготовностью системы ОИБ эффективно противостоять вторжениям, и, во-вторых, с тем, что обычно профессиональные действия при взломе хранилищ и систем обработки данных предполагают внедрение программных и иных средств, максимально затрудняющих поиск источника атак и выявления особенностей технологи реализации вторжения, то есть вредоносных программ, приводящих к значительным разрушениям в системах обработки и хранения данных. Таким образом, вторая особенность вторжений, которая не всегда, но часто сопровождает вторжения, – значительные потери в системе обработки данных , вызванные прямым и косвенным воздействием вредоносных программ.

Наконец, третья особенность вторжений – повторяемость попыток по реализации вторжений до тех пор, пока вторжение окажется удачным, повторяемость вторжений в разных местах, на разных объектах, в разное время. Это обусловлено тем, что вторжения осуществляются профессиональными организациями, которые обычно целенаправленно, педантично и последовательно проводят запланированные мероприятия по реализации вторжений. Кроме того, если разработанная технология вторжения оказалась удачной, то источник атак применяет ее многократно – на том же или другом объекте, в разное время, в разной ситуации.

Таким образом, выявлены три характерные особенности вторжений: 1) высокий уровень непредсказуемости вторжений; 2) значительные потери в системе обработки данных; 3) повторяемость вторжений – по попыткам, по месту реализации, по времени реализации. Система выявления и противодействия вторжениям должна, несомненно, учитывать эти особенности вторжений и максимально нивелировать, и уменьшать воздействие этих факторов.

Особенно важным является нивелирование опасности непредсказуемости вторжений. Традиционные методы выявления, основанные на точных моделях и алгоритмах, реализующих эти модели на

принципах использования сигнатурного анализа для обнаружения вредоносных программ, принципиально не могут быть использованы для устранения непредсказуемости вторжений, поскольку они опираются на детерминированные процедуры и не могут быть использованы при появлении новых способов проникновения в систему. Целесообразно использовать методы, способные оперативно адаптироваться при возникновении новых условий и особенностей атак. Перечень подобных методов достаточно обширен: сюда входят: значительная часть эвристических методов, включая разные многочисленные модификации генетического алгоритма, методы с самообучением, случайного поиска и другие.

В последние два десятилетия среди подобных адаптивных методов наибольшую эффективность показали интеллектуальные системы защиты информации, разработанные на основе нейросетевых систем обнаружения атак и механизмов искусственных иммунных систем, в том числе и на базе системно-концептуального подхода. Большие успехи, связанные с их использованием в разных сферах – распознавание лиц, проектирования микросхем и других – вселяют определенные позитивные ожидания, что применительно и к системам ОИБ при решении задач противодействия вторжениям использование нейронных и иммунных систем обнаружения атак приведет к положительным результатам.

Отметим, что использование нейронных и иммунных систем может оказаться успешным и при реализации подсистем, нейтрализующих другие перечисленные выше особенности вторжений. Именно, при попытке уничтожения содержимого системы обработки данных адаптивная система может вовремя среагировать на подобные действия и принять контрмеры. Далее, процесс повторяемости вторжений имеет весьма расплывчатое сходство с первоначальной (или предыдущими) атакой (атаками), и поэтому выявление повторений также целесообразно делать на основе адаптивных методов, чтобы выявить и максимально учесть неизменные повторяемые параметры этих атак. То есть выявление повторяемости атак, приводящих к вторжениям, также целесообразно реализовывать на основе нейронных сетей.

Таким образом, использование нейронных сетей в системах выявления и противодействия вторжениям (СВиПВ) позволит существенно повысить их эффективность. Естественно, встает вопрос разработки конкретной структуры нейронных сетей, решающих перечисленные задачи. Предварительно сформируем общую концепцию построения и общую технологию функционирования указанной СВиПВ.

2. Концепция построения системы выявления и противодействия вторжениям.

В данном разделе приводится общая концепция и общая технология функционирования СВиПВ. Как было обосновано выше, в качестве базового метода в технологии функционирования СВиПВ выбраны нейросетевые системы обнаружения атак и механизмы искусственных иммунных систем. Применительно к СВиПВ одним из важных их достоинств является (хотя возможны и случаи, когда описываемое достоинство превращается в слабость) является то, что система постоянно функционирует в режиме обучения и адаптации, модифицируясь и приспосабливаясь к изменяющимся условиям функционирования, прежде всего, параметрам угроз и вторжений. Напомним, что основная отличительная особенность систем безопасности, в том числе и СВиПВ, является противостояние с субъектом-злоумышленником, который постоянно ищет новые возможности для реализации вторжений и тем самым создавая новые варианты для проникновения к защищаемой информации. Поэтому необходимо непрерывно приспосабливаться к новым вариантам действий злоумышленника.

Выше были выделены три важных специфических свойства, характерных для большинства случаев возникновения вторжений: низкая предсказуемость вторжений, высокие потери, связанные с ними, и определенная повторяемость. Для отслеживания этих свойств предлагается в состав СВиПВ включить три подсистемы: 1) предсказания вторжений; 2) оценки потерь, связанных с конкретными вторжениями; 3) анализ и выявление повторяемости вторжений. Эти подсистемы в целом, работая автономно, в определенных ситуациях могут вступать в контакт и взаимодействовать друг с другом с целью повышения эффективности выявления вторжений. В частности, если в одной из подсистем возникает подозрение на наличие вторжений с относительно невысокой вероятностью этого факта, то возможно путем целенаправленной работы другой подсистемы уточнить факт вторжения, то есть либо увеличить, либо уменьшить указанные вероятности. Здесь под целенаправленными действиями понимаются действия, использующие прежде всего данные, касающиеся предполагаемого вторжения. Поэтому перечисленные подсистемы должны быть способны на проведение узконаправленного анализа информации.

В дополнение к перечисленным трем подсистема необходимо добавить также следующие, типичные для любых систем противодействия угрозам и атакам, подсистемы: выявления возможных вторжений, контроля и управления доступом, противодействия вторжениям, блокирования, уничтожения защищаемых ресурсов, ликвидации последствий вторжения. Это минимально необходимый набор необходимых подсистем. Отметим, что перечисленные подсистемы достаточно сложно устроены. Так, например, одна из наиболее важных подсистем противодействия вторжениям должна включать, в частности, механизмы управления средствами противодействия, анализа их эффективности, локализации и блокирования вторжений, их нейтрализации, выявление возможных каналов проникновения вторжений в объект защиты, анализ эффективности работы подсистемы противодействия. И все эти подсистемы должны функционировать согласовано, под общим управлением. Общая структура СВиПВ приводится на рис. 1.

Рис. 1. Общая структура СВиПВ.

Отметим некоторые особенности функционирования приведенной схемы. Прежде всего, источники вторжений могут быть как внешние, то есть находящиеся за пределами контролируемой зоны, так и внутренние, в том числе со стороны персонала, а также комбинированные, являющиеся продуманным симбиозом внешних и внутренних вторжений. Процедуры выявления вторжений и противодействия для внешних и внутренних вторжений имеют важные отличия. В частности, подсистемы СВиПВ, предназначенные для противодействия внешним вторжениям, сильно связаны с сетевым программно-аппаратным обеспечением. В тоже время подсистемы, связанные с внутренними вторжениями, существенно взаимодействуют с системами контроля доступа. Таким образом, приведенная на рис. 1 система, должна включать автономные механизмы противодействия внешним и внутренним вторжениям.

Основное функциональное ядро СВиПВ разбита на две части: первая часть нацелена на выявление вторжений, а вторая – на эффективное противодействие вторжениям, в том числе и тем, которые не были выявлены. Остальные перечисленные выше подсистемы дополняют указанные две подсистемы рядом дополнительных важных возможностей. Именно, для подсистемы выявления вторжений дополняющими и расширяющими ее возможности являются подсистемы предсказания вторжений, анализа и выявления повторяемости вторжений, контроля и управления доступом; для подсистемы противодействия вторжениям повышающими эффективность противодействия являются подсистемы блокирования и уничтожения защищаемых ресурсов, оценки потерь, связанных с вторжениями и ликвидации последствий вторжения.

Кратко опишем общую технологию функционирования схемы, приведенной на рис. 1. В подсистеме выявления возможных вторжений в режиме непрерывного времени проводится сканирование всех объектов информационной системы на предмет выявления возможных вторжений. Используются разные методы, начиная от технических средств, например, съема данных с разных датчиков, и заканчивая аналитическими методами оценки текущей ситуации. При этом наряду с однозначными ответами (есть вторжение/ нет вторжения) типичной является ситуация, когда однозначного ответа нет, то есть имеются лишь определенные предположения, гипотезы о наличии вторжения. В этом случае для получения более определенного ответа проводится анализ представленных подсистемой выявления данных другим ассоциированными подсистемами: подсистема предсказания вторжений оценивает вероятность вторжения на текущий момент и на этой основе позволяет представление о вторжении; подсистема анализа повторяемости вторжений в учетом оценок циклов повторяемости также позволяет изменить значение вероятности вторжения; наконец, подсистема контроля и управления доступом по полученным данным формирует ответ на вопрос, могло ли вторжение обойти или «обмануть» подсистему контроля доступа. По результатам такого комплексного анализа и делается заключение о наличии/ отсутствии вторжения. Подсистемы предсказания и анализа повторяемости вторжений позволяет также принять определенные превентивные меры по выявлению и противодействию вторжениям, а также по контролю доступа.

В результате работы предыдущих подсистем вторжение либо было выявлено, и тогда подсистемы, входящие в блок противодействия вторжениям, реализуют цикл конкретных действий и мероприятий по нейтрализации вторжения. В случае же если вторжение не было выявлено, системы блока противодействия могут нейтрализовать вторжение на основе обще профилактических и системообразующих (то есть связанных с поддержанием в идеальном порядке всех параметров системы) мероприятий и действий, которые даже «вслепую» могут нейтрализовать вторжение. В случае если вторжение было выявлено достаточно поздно, когда процесс нарушения информационной безопасности стал неотвратимым, реализуются мероприятии, связанные с возможным блокированием закрытых данных или даже их уничтожения, чтобы не произошло утечки информации. После нейтрализации или завершения вторжения СВиПВ проводит серию мероприятий с целью уменьшения последствий вторжения, представленных последними двумя подсистемами.

Отметим, описанный выше цикл системы непрерывно повторяется. Приведенное выше описание процедуры работы СВиПВ показывает, каждая из приведенных на рис. 1 подсистем имеет достаточно сложную структуру и технологию функционирования, что предполагает дальнейший анализ всех подсистем.

Как следует из приведенного выше описания процесса противодействия вторжениям, имеются две наиболее сложные ситуации по вторжениям, которые связаны либо с малой готовностью СВиПВ к противодействию массированным хорошо подготовленным комбинированным вторжениям, использующих весь арсенал возможных средств и методов, либо почти с невозможностью своевременного обнаружения факта вторжения. Отметим, что информационная система может быть подвергнута вторжению, так и не узнав об этом.

Заключение.

В работе проведен анализ основных особенностей вторжений, выявлены три такие особенности, описано их содержание: первая - высокий уровень непредсказуемости вторжений; вторая - значительные потери в системе обработки данных, вызванные прямым и косвенным воздействием вредоносных программ; третья – повторяемость попыток по реализации вторжений до тех пор, пока вторжение окажется удачным в разных местах, на разных объектах, в разное время.

На основе выявленных особенностей, а также типовых мероприятий по противодействию атакам на информационные ресурсы, сформирована общая концепция противодействия вторжениям, представленная в виде схемы рис.1.

Выводы.

Дальнейшие исследования в этом направлении, т.е. в направлении выявления вторжений в системах информационной безопасности на основе использования нейронных сетей, с учетом высокого уровеня непредсказуемости вторжений; значительных потерь в системах обработки данных, вызванные прямым и косвенным воздействием вредоносных программ; а также постоянной повторяемости попыток по реализации вторжений, прежде всего связаны с необходимостью разработки процесса работы каждой из подсистем до уровня конкретных алгоритмов. Разработанная общая структура системы выявления и противодействия вторжениям позволяет на системно связывать подсистемы выявления возможных вторжений и противодействия вторжениям на концептуальном уровне.

Благодарности. Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.

Библиография
1.
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/406-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2012-g-Режим доступа 15.04.2020.
2.
https://fstec.ru/tekhnicheskaya-zashchita-info Режим доступа 15.04.2020.rmatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/407-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-6-marta-2012-g-Режим доступа 15.04.2020.
3.
Г. А. Попов, С. Ж. Симаворян, А. Р. Симонян, Е. И. Улитина Моделирование процесса мониторинга систем информационной безопасности на основе систем массового обслуживания // Информатика и ее применения, 2020. Т. 14. Вып. 1. С. 71-79.
4.
Ковалев Д.О. Выявление нарушений информационной безопасности по данным мониторинга информационно-телекоммуникационных сетей. / Автореферат диссерт. на соиск. канд. техн. наук. Москва. 2011. https://www.dissercat.com/content/vyyavlenie-narushenii-informatsionnoi-bezopasnosti-po-dannym-monitoringa-informatsionno-tele/read-Режим доступа 15.04.2020.
5.
Чио К, Фримэн Д. Машинное обучение и безопасность / пер. с англ. А. В. Снастина. – М.: ДМК Прес, 2020.-388 с.: ил.
References (transliterated)
1.
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/406-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2012-g-Rezhim dostupa 15.04.2020.
2.
https://fstec.ru/tekhnicheskaya-zashchita-info Rezhim dostupa 15.04.2020.rmatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/407-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-6-marta-2012-g-Rezhim dostupa 15.04.2020.
3.
G. A. Popov, S. Zh. Simavoryan, A. R. Simonyan, E. I. Ulitina Modelirovanie protsessa monitoringa sistem informatsionnoi bezopasnosti na osnove sistem massovogo obsluzhivaniya // Informatika i ee primeneniya, 2020. T. 14. Vyp. 1. S. 71-79.
4.
Kovalev D.O. Vyyavlenie narushenii informatsionnoi bezopasnosti po dannym monitoringa informatsionno-telekommunikatsionnykh setei. / Avtoreferat dissert. na soisk. kand. tekhn. nauk. Moskva. 2011. https://www.dissercat.com/content/vyyavlenie-narushenii-informatsionnoi-bezopasnosti-po-dannym-monitoringa-informatsionno-tele/read-Rezhim dostupa 15.04.2020.
5.
Chio K, Frimen D. Mashinnoe obuchenie i bezopasnost' / per. s angl. A. V. Snastina. – M.: DMK Pres, 2020.-388 s.: il.

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

Статья посвящена развитию проблемы обеспечения информационной безопасности и использованию новых инструментов, таких как нейронные сети, для выявления вторжений. Достоинством работы является достаточно подробный анализ существующих угроз и особенностей вторжений. Авторы отмечают эффективность внедрения нейросетевых методов в различных предметных областях, однако в статье отсутствует формулировка актуальности выполненного Авторами исследования. Научная новизна также отмечена. Авторы упоминают наличие сравнительно небольшого количества публикаций по использованию нейронных сетей для выявления угроз и приводят 3 ссылки (в т.ч. автореферат). Во введении желательно было сформулировать актуальность исследования, научную новизну, отметить задачи исследования. Частично данные элементы содержаться в аннотации. Авторы пишут об упоминании актуальности проблемы противоборства атакам, отмеченную в нормативных документах ФСТЭК, однако желательно было сформулировать актуальность именно выполненного авторами исследования прямо в статье. Необходимо также кратко сформулировать основные направления исследований и результаты в данной предметной области. В разделе, посвященном анализу проблем выявления вторжений, желательно привести результаты работ, достигнутые другими авторами, как отечественными, так и зарубежными. Анализ должен быть кратким и ёмким, отражая суть разработок других авторов и подводя читателя к вкладу Авторов статьи в развитие метода. Общее количество источников должно быть не менее 5-10, чему данный материал вполне соответствует. Описательную часть, посвященную общим сведениям об атаках и объему наносимого ими урона, можно было сократить. Особенности вторжений желательно было выделить в тексте, избегая вводных слов и повторений. Авторы перечисляют целый ряд методов, адаптируемых под изменяющиеся условия, однако не приводят обоснования выбора именно нейронных сетей (говорится про их эффективность, однако этот тезис также не конкретизируется). Необходимо изменить формулировку на более четкую. Раздел Концепция построения частично повторяет положения раздела 1. Необходимо использовать более четкие формулировки в части предлагаемых подсистем, т.к. это позволяет оценить вклад Авторов. В настоящий момент вклад Авторов теряется среди подсистем, типичных для любых систем противодействия угрозам, хотя и очевиден читателю. Отсутствует экспериментальная часть, результаты исследований. Если результат работы – предложенная схема рис. 1, необходимо представить обоснование ее компонент и их воздействия на результат. Насколько использование предлагаемой схему повысит эффективность противодействия угрозам по сравнению с используемыми сейчас (Авторы упоминают наличие предыдущих подсистем, 3 абзац с конца раздела). Целесообразно привести некоторые технические характеристики. В работе выделены 2 раздела – Заключение и Выводы, однако раздел Выводы содержит перечень формулировок, производящий впечатление заимствования из формального документа, подготовленного авторами. Желательно чётко сформулировать основные результаты работы и привести критерии оценки. Статья трудна для восприятия, т.к. материалы представлены в основном в виде текстового описания (содержит 1 схему, отсутствуют формулы, таблицы, графики, списки и пр.). рекомендуется рассмотреть возможность более компактного представления результатов работы. В рецензируемой статье отдельные абзацы скомпонованы из документов, написаны формальным языком, что заметно читателю. Перечисленное затрудняет восприятие представленных материалов. Библиография достаточна (5 источников, но 1 ссылка на публикацию в рецензируемом журнале). Желательно веже расширить количество источников до 12-15 позиций, охватывающих отечественные и зарубежные публикации в рецензируемых журналах. Статья носит обзорный характер, не содержит экспериментальной части или результатов реализации предложений авторов, что в принципе не препятствует ее публикации. Приведенные краткие сведения об особенностях вторжений и общие предложения авторов по противодействию вторжениям обладают научным интересом. Статья представляет интерес для специалистов в области информационных систем различного назначения. Рекомендуется опубликовать представленные материалы.