Data mining the user's environment in the problem of remote control detection

Abstract

Целью работы является совершенствование алгоритмов обнаружения удаленного управления пользовательским сеансом. Объект исследования – система обнаружения удаленного управления компьютером пользователя. Предмет исследования – алгоритмы интеллектуального анализа данных, собираемых с помощью инструментов и средств мониторинга в составе клиентской части Web-приложения на стороне браузера, предназначенные для анализа изменения паттернов динамических биометрических признаков в случае удаленного управления. Проанализированы подходы к обнаружению удаленного подключения. Разработана структура системы обнаружения удаленного доступа с современным подходом к сбору и анализу пользовательского окружения в сочетании с методами машинного обучения. Экспериментальная часть работы выполнена на основе анализа базы данных пользовательского окружения, собранных специально для тестирования программной реализации разработанных алгоритмов. Было рассмотрено 16 различных вариантов удаленного подключения с злоумышленника к устройству пользователя. Полученная выборка включала 178 замеров с разным количеством временных интервалов между промежуточными точками траектории движения курсора мыши. Наибольшую эффективность показал алгоритм классификации «случайный лес» с группой признаков, состоящих из временных интервалов между событиями движения курсора мыши. Доля верных предсказаний составила 93 % на тестовых данных. The aim of the work is to improve the detection algorithms for remote control of a user session. Object of study - a system for detecting remote control of a user's computer. The subject of the study is data mining algorithms collected using tools and monitoring tools as part of the client side of the web application on the browser side, designed to analyze changes in the patterns of dynamic biometric features in the case of remote control. The approaches to detecting a remote connection are analyzed. The structure of the remote access detection system with a modern approach to the collection and analysis of the user environment in combination with machine learning methods has been developed. The experimental part of the work is based on an analysis of the user environment database, collected specifically for testing the software implementation of the developed algorithms. 16 different options for remote connection from an attacker to a user's device were considered. The obtained sample included 178 measurements with a different number of time intervals between intermediate points of the mouse cursor path. The highest efficiency was shown by the random forest classification algorithm with a group of features consisting of time intervals between mouse cursor movement events. The share of correct predictions was 93% on test data.