Збільшення та удосконалення кібератак на інформаційні системи зростає щорічно, а використання сучасних систем виявлення вторгнень дозволяє швидко реагувати на нові види кібератак та вдосконалювати існуючі засоби захисту. Такі системи достатньо розвинуті, але для їх ефективної роботи необхідна інформація у режимі реального часу, з використанням якої можливо виявляти підозрілу активність неавторизованої сторони. Таку інформацію можна проаналізувати з використанням експертних підходів. Експертні методи можуть допомогти виявляти нові неочікувані кібератаки. Використання методів, моделей і систем на основі теорії нечітких множин при побудові засобів виявлення аномалій, породжених реалізацією нових кіберзагроз, дозволить удосконалити та зробити більш ефективними існуючі системи виявлення вторгнень. А розробка відповідних технічних рішень, що працюють в нечітких умовах, дозволить виявляти раніше не відомі та модифіковані види кібератак. Також є досить ефективні розробки, які використовуються для вирішення завдань виявлення кібератак, наприклад, низка методів формування еталонного субдовкілля для системи виявлення вторгнень, але вони не орієнтовані на фішингові підходи. Однак, як показує практика, при появі нових загроз та відповідних аномалій, породжених атакуючими діями з невстановленими або нечітко визначеними властивостями, відповідні засоби не завжди залишаються ефективними, тому розробка методів, що дозволяють удосконалити процес отримання нового еталонного субдовкілля для системи виявлення вторгнень, є актуальним завданням. Одним із небезпечних засобів, який направлений на збір конфіденційної інформації, такої як логіни, паролі, фінансові реквізити та інші особисті дані є фішинг. Для цього розроблений метод формування еталонного субдовкілля для виявлення фішингових URL-адрес за рахунок сформованого набору параметрів: кількість країн за IP-адресою, вік домену та експертного оцінювання стану субдовкілля інформаційної системи дозволить формалізувати процес формування параметрів еталонного субдовкілля для вирішення задач, щодо виявлення фішингових URL-адрес.