Academic literature on the topic 'Виявлення атак'

Системи виявлення мережевих вторгнень і виявлення ознак кібератак на інформаційні системи вже давно застосовують як один із необхідних рубежів оборони інформаційних систем. Сьогодні системи виявлення вторгнень і атак – це зазвичай програмні або апаратно-програмні рішення, які автоматизують процес контролю подій, що відбуваються в інформаційній системі або мережі, а також самостійно аналізують ці події в пошуках ознак проблем безпеки. Оскільки кількість різних типів і способів організації несанкціонованих проникнень у чужі мережі за останні роки значно збільшилася, системи виявлення атак (СВА) стали необхідним компо- нентом інфраструктури безпеки більшості організацій. Незважаючи на існування численних методів виявлення аномалій, їхня слабка стійкість, відсутність верифікації, велика кількість хибних спрацьовувань, вузька спеціалізація та дослідницький характер не дають змоги широко їх використовувати. Одним із найпоширеніших типів атак є DDoS-атака – атака типу “відмова в обслуговуванні”, яка за допомогою переривання або призупинення обслуговування хост- сервера робить онлайн-сервіс недоступним для користувачів. У статті запропоновано аналіз такої атаки, можливості її виявлення та реалізації.

Об’єктом вивчення у статті є процес забезпечення інформаційної безпеки рекомендаційних систем. Метою є дослідження відомих моделей атак на рекомендаційні системи з колаборативною фільтрацією. Завдання: дослідити основні особливості відомих атак на рекомендаційні системи, а також методи виявлення та нейтралізації даних атак. Отримані такі результати: проведено дослідження основних моделей атак на рекомендаційні системи з колаборативною фільтрацією, їх впливу на результати роботи рекомендаційних систем, а також характерних особливостей даних атак, що можуть дозволити їх виявляти. Висновки. Проведене дослідження показало, що основним видом атак на рекомендаційні системи є атака ін’єкцією профілів. Даний вид атак може бути реалізований випадковою атакою, середньою атакою, атакою приєднання до більшості, популярною атакою, тощо. Дані атаки можуть використовуватися як для підвищення рейтингу цільового об’єкта, так і для пониження його рейтингу. Але існують спеціалізовані моделі атак, що ефективно працюють для пониження рейтингу, наприклад, атака любов/ненависть та атака обернена приєднанню до більшості. Усі ці атаки відрізняються одна від одної кількістю інформації, яку необхідно зібрати зловмиснику про систему. Чим більше у нього інформації, тим легше йому створити профілі ботів, які системі буде складно відрізнити від справжніх та нейтралізувати, але тим дорожче і довше підготовка до атаки. Для збору інформації про рекомендаційну систему та її базу даних може використовуватися атака зондом. Для захисту рекомендаційних систем від атак ін’єкцією профілів необхідно виявляти профілі ботів та не враховувати їх оцінки для формування списків рекомендацій. Виявити профілі ботів можна досліджуючи статистичні дані профілів користувачів рекомендаційної системи. Було розглянуто показники, які дозволяють виявляти профілі ботів та розпізнавати деякі типи атак.

Розробка системи виявлення мережевих атак один із найважливіших напрямів у сфері інформаційної безпеки, оскільки постійно збільшується різноманітність комп'ютерних мережевих загроз, реалізація яких може призводити до серйозних фінансових втрат у різних організаціях. Тому розглядаються різні існуючі основні методи вирішення завдань виявлення мережевих атак. Основна увага приділяється розгляду робіт, присвячених методу вейвлет-аналізу виявлення аномалій в мережевому трафіку. Отримано тестові дані мережевого трафіку з аномаліями для практичного виконання, виконано шумоусунення сигналу для конкретизації даних та зменшення їх розміру, а також застосовано різні методи вейвлет-аналізу для виявлення можливих аномалій та порівняно спектрограми з використанням пакету Wavelet Tools у середовищі Matlab.

В роботі показано, що інформаційна система має, як правило, складну динамічну структуру, тому можливе використанням мереж Петрі з метою створення моделей виявлення та блокування зовнішніх впливів (DDoS-атак). Дані моделі засновані на описі структури інформаційної системи, на яку здійснюється вплив даною атакою, та процесів зміни станів цієї системи. Створені моделі виявлення та блокування DDoS-атак, які описують за допомогою мереж Петрі процес аналізу вхідного трафіку на предмет наявності даного типу атак, процес виявлення джерел шкідливого трафіку та їх подальшого блокування, що надає можливість для створення відповідних алгоритмів. Побудовані моделі дозволяють підвищити рівень функціональної стійкості інформаційних систем. Під функціональною стійкістю інформаційної системи розуміється властивість системи перебувати в стані працездатності, тобто виконувати необхідні функції протягом заданого інтервалу часу або наробітки в умовах відмов складових частин через зовнішні і внутрішні фактори.

Актуальність теми дослідження. Збільшення можливості для розширення мереж та вибір у використанні сервісів у сучасному світі, призводить до прогалин у безпеці. З цієї причини виконується моделювання системи, що дозволяє відтворити характеристики інформаційної атаки, а також провести оцінювання рівня її небезпеки. Постановка проблеми. Нині немає програмного застосунку, що дозволяє автоматизовано моделювати та оцінювати захищеність власної інформаційної системи без втручання в саму систему. Аналіз останніх досліджень і публікацій. Процес моделювання атак за допомогою мереж Петрі розглядався в декількох роботах закордонних авторів. Виділення недосліджених частин загальної проблеми. Наявні моделі графових атак створювались лише на прикладі певної архітектури мережі, проблемою залишилось створення універсального автоматизованого застосування, на основі вхідних даних про зв’язки та архітектуру мережі. Постановка завдання. Автоматизація виявлення зовнішніх вразливостей для аналізу захищеності інформаційної системи, шляхом розробки програмного забезпечення, що моделює за допомогою мереж Петрі розповсюдження атаки залежно від її архітектури. Виклад основного матеріалу. Програмне забезпечення розроблено на основі мови програмування Java, включає графічну оболонку Java FX, для пошуку сервісів хосту використовується Shodan REST API, для ідентифікації вразливостей ресурси NVD і CVE details. Зібрані дані використовує окремий програмний модуль, що працює зі створенням моделі на основі мережі Петрі. Висновки відповідно до статті. Запропонований метод дозволяє автоматизувати перевірку інформаційної системи на вразливість до хакерських атак.

Проведено теоретичні і експериментальні дослідження можливостей використання значень обчислених в режимі реального часу синергетичних характеристик трафіку – фрактальних, рекурентних, енропійних, нерівноважних, мережних – у якості базових індикаторів атак на мережні сервіси. Проведено аналіз роботи мережі в нормальному стані та в присутності аномалій. Характеристики реального трафіку порівнювались з модельними, максимально наближеними до реальних. Достовірність виявлення аномальних викидів трафіку аналізувалась на прикладі аномалій, викликаних атакою виду Neptune (SYN-flood). Встановлено, що при оптимальних розмірах рухомого вікна більшість індикаторів досить точно фіксують появу аномального стану IP-мережі та можуть бути використані в системах виявлення вторгнень та системах управління інформаційною безпекою.

В роботі застосовано математичну теорію керування системами диференціальних рівнянь з запізненням, для моделювання процесами регулювання кібернетичної безпеки з боку держави на фондовому ринку. Розглянуті умови стійкості інформаційної безпеки держави на прикладі кібернетичного простору фондового ринку. Запропоновано алгоритм побудови функції керування процесом виявлення кількості кібернетичних атак на електронний торгівельний майданчик на фондовому ринку, який розглядається, як динамічна система, яка описується системами диференціальних рівнянь з запізненням. Запропонована структурна схема системи захисту інформації з введенням інфраструктурного сервісу та аналізатора атак. Встановлено, що системи з запізненням породжують нову інформацію, яку необхідно використовувати при модернізації системи захисту.

Метою доповіді є обґрунтування підходів до розробки ефективної системи керування вразливостями для захисту інформаційних систем від цільових атак. В доповіді наводяться методи забезпечення захисту інформаційної системи, а також аналіз сучасних системи оцінювання ризиків та обґрунтовуються вимоги до функцій самої системи.

Метою кваліфікаційної роботи є розробка комп’ютерної системи на основі нечіткої логіки для виявлення прихованих атак. Дана кваліфікаційна робота присвячена удосконаленню методу реалізації систем ідентифікації вторгнень на основі нечіткої логіки.

В роботі запропоновано архітектуру та компоненти розподіленої системи виявлення мережевих атак, в якій поєднано вимоги централізованості, розподіленості, самоорганізованості та на її основі здійснено розробку централізованої розподіленої системи визначення мережевих атак в корпоративних комп’ютерних мережах на основі мультифрактального аналізу. Проведені експериментальні дослідження з реалізованою централізованою розподіленою системою визначення мережевих атак в комп’ютерних мережах підтвердили ефективність функціонування в комп’ютерній мережі.

В роботі розглянуто підходи щодо перевірки запропонованих методів виявлення атак. Проаналізовано наявні набори даних, які використовуються для створення систем виявлення DDoS-атак. Також, проаналізовано декілька інструментів, що використовуються для реалізації чи моделювання DDoS-атак для збору даних.
The paper considers approaches to checking the proposed method of detecting attacks. The existing datasets that scientists use to create DDoS-attack detection systems are analyzed. Also, there are several tools used to implement or simulate DDoS-attacks for data collection

Об’єктом дослідження є процес виявлення атак типу фішинг на основі застосування емулятора. Предметом дослідження є моделі, методи та програмно-технічні засобами виявлення атак типу фішинг на основі застосування емулятора. Метою дипломної роботи є підвищення достовірності та виявлення атак типу фішинг на основі застосування емулятора.

Об’єктом дослідження є: Байєсовська мережа та системи виявлення зловмисного програмного забезпечення. Предметом дослідження є: Можливості використання Байєсовської мережі у системах виявлення зловмисного програмного забезпечення на основі дослідження аномалій в інформаційних системах. Метою дипломної роботи є: Визначити можливі способи використання Байєсовської мережі для виявлення зловмисного програмного забезпечення на основі дослідження аномалій в інформаційних системах. Наукова новизна отриманих результатів полягає в тому, що мережі Байєса використовуються для моделювання в біоінформатиці, медицині, класифікації документів, обробці зображень, обробці даних, машинному навчанні і системах підтримки прийняття рішень. На основі проведених досліджень розроблена математична модель на базі мереж Байєса. Практична значимість отриманих результатів полягає у можливості вдосконалення методів виявлення зловмисного програмного забезпечення в інформаційних система.

ЗМІСТ ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ…………………..……………………… 15 ВСТУП………………………………………..…………………………………… 16 РОЗДІЛ 1. АНАЛІЗ СТАНУ ПИТАННЯ І ПОСТАНОВКА ЗАВДАНЬ ДОСЛІДЖЕННЯ…………………………………………..……………………… 22 1.1 Науково-технічні проблеми виявлення несанкціонованих дій в комп’ютерних мережах………….…………………………………………… 22 1.2 Аналіз існуючих інструментальних засобів виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 28 1.2.1 Сигнатурний аналіз……………………………..……………………… 30 1.2.2 Евристичний аналіз……………………………..……………………… 32 1.3 Порівняння методів і засобів підвищення надійності виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 36 1.3.1 Продукційні системи…………………………………………………… 37 1.3.2 Статистичний метод…………………………………………………… 39 1.3.3 Штучні нейронні системи……………………………………………… 40 1.3.4 Мультиагентні системи………………………………………………… 42 1.3.5 Штучні імунні системи………..……………….….…………………… 43 1.3.6 Діагностика……………………………..……….……………………… 46 1.4. Висновки до першого розділу…………………….……..……………… 49 РОЗДІЛ 2. ОРГАНІЗАЦІЯ РОЗПІЗНАВАННЯ НД ЗАСОБАМИ ШТУЧНИХ ІМУННИХ МЕРЕЖ……………………………….……………………………… 50 2.1. Модель аналізатора несанкціонованих дій………..…………………… 50 2.2. Виявлення ознак для аналізу дій в мережі…………..……….………… 56 2.3. Вибір моделі штучної імунної системи………………………………… 57 2.3.1. Модель клонального відбору………….……………………………… 58 2.3.2. Модель штучної імунної мережі……………………………………… 61 2.3.3. Модель негативного/позитивного відбору………..…….…………… 64 2.3.4. Модель теорії небезпеки………………………….…………………… 65 2.3.5. Дендритна модель……………………………………………...……… 67 2.4. Опис операторів імунних моделей…………………………...………… 69 2.5. Розпізнавання несанкціонованих дій…………………………………… 76 2.6. Висновки розділу 2……………………………………………………… 80 РОЗДІЛ 3. ДІАГНОСТИКА……………………………………………………… 82 3.1. Вибір інструментальної бази для реалізації діагностування НД і опис основних операторів……….…….…………………………………………… 82 3.1.1. Дослідження операторів…….....……………………………………… 82 3.1.2. Визначення структури проникливості………..……………………… 84 3.1.3. Основне переконання………….……………………………………… 84 3.1.4. Правдоподібність переконання……………..………………………… 85 3.1.5. Оператори злиття……………………………………………………… 86 3.1.6. Застосування фрагментів часу……...………………………………… 87 3.1.7. Методика виявлення змін…...………………………………………… 88 3.2. Використання алгоритму затримки…………………………..………… 91 3.3. Організація моделі діагностування………………………..…………… 92 3.3.1. Дерево специфікацій……………………..…….……………………… 93 3.3.2. Дерево діагностики………….………………………………………… 94 3.3.3. Можливість спостереження…………………………………………… 98 3.3.4. Задача діагностування…………….………..………………………… 99 3.3.5. Процедура обчислення діагнозу……………………………………… 99 3.3.6. Методика відбору спостережуваних ………………..……………… 100 3.3.7. Процедура побудови симптомів…………………………..………… 100 3.3.8. Робота з симптомами………………………………………………… 103 3.3.9. Аналіз кінцевого діагнозу…………………………………………… 104 3.3.10. Перевірка діагностування…………..………….…………………… 106 3.3.11. Методика налаштування параметрів діагностики…..….….……… 108 3.4. Висновки до розділу 3……………………………….……….………… 110 РОЗДІЛ 4. ЕКСПЕРИМЕНТАЛЬНЕ ДОСЛІДЖЕННЯ...………..…………… 111 4.1. Опис інструментальної бази…………………………………………… 111 4.2. Отримання і обробка первинних даних при виявленні несанкціонованих дій……………..………………………………………… 114 4.3. Виявлення НД………………...………………………………………… 119 4.4. Аналіз ефективності……….…………………………………………… 127 ВИСНОВКИ……………..…………….………………………………………… 130 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ………………..……………………… 132 ДОДАТОК А. Акти впpовадження у виpобничий та навчальний пpоцес…...146 ДОДАТОК Б. Список публікацій здобувача за темою дисертації та відомості про апробацію результатів дисертації…………………………….………..150 СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ: 1. Zhukov I. A. Detection of computer attacks using outliner method / Жуков І.А, Балакін С.В // Науковий журнал «Молодий вчений». 2016. – № 9(36). – С. 91-93. 2. Балакин С. В. Методы и средства повишения достоверности идентификации несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // VIII Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 11-12. 3. Балакин С. В. Системы предотвращения атак в компьютерной сети на основе сигнатурных методов / С. В. Балакин // IХ Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2016.- С. 12-13. 4. Балакин С. В. Средства диагностирования несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // Х Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2017. – С. 13-14. 5. Balakin S. V. Traffic analysis for intrusion detection systems in telecommunication networks / С. В Балакін // XIV міжнародна науково-практична конференція «Політ.Сучасні проблеми науки» : Тези доповідей.К.: НАУ, 2014. – С. 59-60. 6. Жуков И. А. Идентификация атак в компьютерной сети методом усредненного времени обращений / И. А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2015. – № 2(50). – С.65–69. 7. Балакін С. В. Застосування штучних імунних систем при виявленні шкідливих программ в комп’ютерній мережі / С. В. Балакін // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 1-2(57-58). – С. 61-68. 8. Жуков И. А. Исследование эффективности метода обнаружения вторжений в компьютерные сети на основе искусственных иммуных систем / И.А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 3(59). – С. 65-69. 9. Балакин С. В. Выявление компьютерных атак с помощью мониторинга сетевых объектов / С. В. Балакін // Технологический аудит и резервы производства, 2015. – № 5-6(25). – С.36-38. 10. Балакин С. В. Организация пресечения вторжений в компьютерные сети алгоритмами выявления изменений/ Балакин С. В. // Вісник НТУ «ХПІ». Серія: Механіко-технологічні системи та комплекси. – Харків : НТУ «ХПІ», 2017. – № 20(1242). – С.3-7. 11. Жуков И. А. Обнаружение компьютерних атак с помощью метода отклонений / И. А. Жуков, С. В. Балакин // Радіоелектронні і комп’ютерні системи: наук. – техн. жур. – Х.: ХАИ, 2016. – №5(79). – С. 33-37. 12. Пат. 110330 Україна МПК G06F 12/14. Спосіб запобігання комп’ютерним атакам у мережі за допомогою фільтрації вхідних пакетів / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2016, №19. – 4 с. 13. Пат. 123634 Україна МПК G06F 12/14. Спосіб діагностування несанкціонованих дій в комп’ютерній мережі / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2018, №5. – 4 с. 14. Балакин С. В. Оптимизация искусственных иммунных систем при идентификации несанкционированных сетевых воздействий / С. В. Балакин // ХI Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 7-8
Дисертаційну роботу присвячено вирішенню актуального науково-технічного завдання – підвищенню достовірності ідентифікації несанкціонованих дій і атак в комп’ютерній мережі. Для ефективної, надійної та високошвидкісної ідентифікації несанкціонованих дій і атак в комп’ютерній мережі потрібно впроваджувати і використовувати методи, основані як на штучних імунних системах, так і на можливості діагностування вторгнень. Такий підхід дозволить підвищити ефективність ідентифікації несанкціонованих дій і дасть можливість автономно виявляти підозрілу активність. У роботі визначено методи виявлення несанкціонованих дій і атак в комп’ютерній мережі за рахунок використання засобів штучних імунних систем та діагностування на основі теорії Демпстера-Шафера, котрі дають можливості ефективно протидіяти вторгненням. Досліджено можливості використання операторів імунних систем для моделювання роботи запропонованих методів. На основі цих властивостей запропоновано процедури ідентифікації несанкціонованих дій і атак в комп’ютерній мережі.
The dissertation is devoted to solving the actual scientific and technical task - to increase the authenticity of identification of unauthorized actions and attacks in a computer network. For efficient, reliable and high-speed identification of unauthorized actions and attacks in the computer network, it is necessary to implement and use methods based on artificial immune systems and on the ability to diagnose intrusions. Such approach will increase the effectiveness of identifying unauthorized actions and will give an opportunity autonomically to find out suspicious activity. The paper identifies methods for detecting unauthorized actions and attacks in the computer network through the use of artificial immune systems and diagnosis on the basis of the Dempster-Shafer theory, which provide opportunities to effectively counteract the invasion. The possibilities of use of immune system operators for modeling the work of the proposed methods are explored. Based on these properties, procedures are proposed for identifying unauthorized actions and attacks on the computer network.
Диссертационная работа посвящена решению актуального научно-технического задача - повышению достоверности идентификации несанкционированных действий и атак в компьютерной сети. Для эффективной, надежной и высокоскоростной идентификации несанкционированных действий и атак в компьютерной сети нужно внедрять и использовать методы, основанные как на искусственных иммунных системах, так и на возможности диагностирования вторжений. Такой подход позволит повысить эффективность идентификации несанкционированных действий и даст возможность автономно обнаруживать подозрительную активность. В работе определены методы выявления несанкционированных действий и атак в компьютерной сети за счет использования средств искусственных иммунных систем и диагностирования на основе теории Демпстера-Шафера, которые дают возможность эффективно противодействовать вторжением. Исследованы возможности использования операторов иммунных систем для моделирования работы предложенных методов. На основе этих свойств предложено процедуры идентификации несанкционированных действий и атак в компьютерной сети.