Academic literature on the topic 'Система виявлення атак'

В роботі показано, що інформаційна система має, як правило, складну динамічну структуру, тому можливе використанням мереж Петрі з метою створення моделей виявлення та блокування зовнішніх впливів (DDoS-атак). Дані моделі засновані на описі структури інформаційної системи, на яку здійснюється вплив даною атакою, та процесів зміни станів цієї системи. Створені моделі виявлення та блокування DDoS-атак, які описують за допомогою мереж Петрі процес аналізу вхідного трафіку на предмет наявності даного типу атак, процес виявлення джерел шкідливого трафіку та їх подальшого блокування, що надає можливість для створення відповідних алгоритмів. Побудовані моделі дозволяють підвищити рівень функціональної стійкості інформаційних систем. Під функціональною стійкістю інформаційної системи розуміється властивість системи перебувати в стані працездатності, тобто виконувати необхідні функції протягом заданого інтервалу часу або наробітки в умовах відмов складових частин через зовнішні і внутрішні фактори.

В роботі застосовано математичну теорію керування системами диференціальних рівнянь з запізненням, для моделювання процесами регулювання кібернетичної безпеки з боку держави на фондовому ринку. Розглянуті умови стійкості інформаційної безпеки держави на прикладі кібернетичного простору фондового ринку. Запропоновано алгоритм побудови функції керування процесом виявлення кількості кібернетичних атак на електронний торгівельний майданчик на фондовому ринку, який розглядається, як динамічна система, яка описується системами диференціальних рівнянь з запізненням. Запропонована структурна схема системи захисту інформації з введенням інфраструктурного сервісу та аналізатора атак. Встановлено, що системи з запізненням породжують нову інформацію, яку необхідно використовувати при модернізації системи захисту.

Об’єктом вивчення у статті є процес забезпечення інформаційної безпеки рекомендаційних систем. Метою є дослідження відомих моделей атак на рекомендаційні системи з колаборативною фільтрацією. Завдання: дослідити основні особливості відомих атак на рекомендаційні системи, а також методи виявлення та нейтралізації даних атак. Отримані такі результати: проведено дослідження основних моделей атак на рекомендаційні системи з колаборативною фільтрацією, їх впливу на результати роботи рекомендаційних систем, а також характерних особливостей даних атак, що можуть дозволити їх виявляти. Висновки. Проведене дослідження показало, що основним видом атак на рекомендаційні системи є атака ін’єкцією профілів. Даний вид атак може бути реалізований випадковою атакою, середньою атакою, атакою приєднання до більшості, популярною атакою, тощо. Дані атаки можуть використовуватися як для підвищення рейтингу цільового об’єкта, так і для пониження його рейтингу. Але існують спеціалізовані моделі атак, що ефективно працюють для пониження рейтингу, наприклад, атака любов/ненависть та атака обернена приєднанню до більшості. Усі ці атаки відрізняються одна від одної кількістю інформації, яку необхідно зібрати зловмиснику про систему. Чим більше у нього інформації, тим легше йому створити профілі ботів, які системі буде складно відрізнити від справжніх та нейтралізувати, але тим дорожче і довше підготовка до атаки. Для збору інформації про рекомендаційну систему та її базу даних може використовуватися атака зондом. Для захисту рекомендаційних систем від атак ін’єкцією профілів необхідно виявляти профілі ботів та не враховувати їх оцінки для формування списків рекомендацій. Виявити профілі ботів можна досліджуючи статистичні дані профілів користувачів рекомендаційної системи. Було розглянуто показники, які дозволяють виявляти профілі ботів та розпізнавати деякі типи атак.

Системи виявлення мережевих вторгнень і виявлення ознак кібератак на інформаційні системи вже давно застосовують як один із необхідних рубежів оборони інформаційних систем. Сьогодні системи виявлення вторгнень і атак – це зазвичай програмні або апаратно-програмні рішення, які автоматизують процес контролю подій, що відбуваються в інформаційній системі або мережі, а також самостійно аналізують ці події в пошуках ознак проблем безпеки. Оскільки кількість різних типів і способів організації несанкціонованих проникнень у чужі мережі за останні роки значно збільшилася, системи виявлення атак (СВА) стали необхідним компо- нентом інфраструктури безпеки більшості організацій. Незважаючи на існування численних методів виявлення аномалій, їхня слабка стійкість, відсутність верифікації, велика кількість хибних спрацьовувань, вузька спеціалізація та дослідницький характер не дають змоги широко їх використовувати. Одним із найпоширеніших типів атак є DDoS-атака – атака типу “відмова в обслуговуванні”, яка за допомогою переривання або призупинення обслуговування хост- сервера робить онлайн-сервіс недоступним для користувачів. У статті запропоновано аналіз такої атаки, можливості її виявлення та реалізації.

У статті доводиться, що в Україні наразі відбувається стрімкий розвиток суспільства, «оцифровуються» усі сфери життя. При цьому не за усіма змінами встигають правоохоронні органи. Цифрова реальність пов’язана із появою нових форм злочинності – кіберзлочинів, інформаційного шахрайства, великою кількістю кібернетичних атак на різні підприємства та установи, в тому числі, і державні бази даних. Такі загрози потребують вироблення нових форм протидії, трансформації системи правоохоронних органів, їх «осучаснення». Безумовно, розвиток інформаційних технологій, діджиталізація вимагає закріплення нових форм та методів здійснення правоохоронними органами своїх функцій. Щодо конкретних проявів діджиталізації правоохоронної системи, у статті нами визначаються наступні: 1) Національне антикорупційне бюро України, Спеціалізована антикорупційна прокуратура та Вищий антикорупційний суд розпочали впровадження у свою діяльність системи електронного кримінального провадження eCase MS; 2) затвердження Положення про інформаційно-телекомунікаційну систему досудового розслідування «іКейс» з метою автоматизації процесів досудового розслідування, включаючи створення, збирання, зберігання, пошук, оброблення і передачу матеріалів та інформації (відомостей) у кримінальному провадженні, а також процесів, які забезпечують організаційні, управлінські, аналітичні, інформаційно-телекомунікаційні та інші потреби користувачів; 3) використання правоохоронними органами програми «Безпечне місто» з метою виявлення та розслідування злочинів, вчасне реагування пожежної, рятувальної, медичної, дорожньої й інших комунальних та державних служб, припинення і ліквідацію кризових ситуацій криміногенного, терористичного, природного й техногенного характеру тощо; 4) запровадження проєкту Smart City – інформаційно-аналітична програма нового покоління, що здійснює розпізнавання потенційних небезпек, аналіз ситуації в реальному часі та передачу вже опрацьованих даних про виявлені загрози терористичного, кримінального та іншого характеру.

Устатті представлено аналіз сучасних реалізацій алгоритмів систем виявлення вторгнень та їх перспективність використання у інформаційно телекомунікаційних мережах спеціального призначення.Необхідність в надійних системах виявлення вторгнення стоїть досить гостро. Особливо в сучасних тенденціях збільшення ролі інформаційних технологій в силових відомствах держави та на об’єктах критичної інфраструктури. Застарілі системи захисту дозволяють без особливих труднощів проводити кібератаки, що спонукає до необхідності тримати системи виявлення та захисту інформаційних систем в актуальному стані.В умовах постійної боротьби з вторгненнями у світі було запропоновано безліч методів та алгоритмів для виявлення атаки на інформаційно-телекомунікаційні системи. Так найбільшу розповсюдженість отримали методи виявлення аномалій в роботі системи. Передовими з таких методів є інтелектуальні. Нейронні мережі, нечітка логіка, імунні системи отримали велику кількість варіантів реалізації в таких системах виявлення вторгнень.Вдале поєднання переваг методів виявлення для конкретної інфраструктури може дозволити отримати значну перевагу над атакуючим, та зупинити проникнення. Проте на шляху всеохоплюючої реалізації подібних систем стоїть їх висока вартість у сенсі обчислювальної потужності. Питання застарілого парку комп’ютерної техніки і її повільна заміна ставлять в ситуацію постійного компромісу між передовими досягненнями в галузі захисту системи і можливостей самої системи щодо підтримки таких систем. Ключовіслова:інформаційно-телекомунікаційна система, інформаційна безпека, кібератака, система виявлення вторгнень, загроза інформаційним системам.

Актуальність теми дослідження. Збільшення можливості для розширення мереж та вибір у використанні сервісів у сучасному світі, призводить до прогалин у безпеці. З цієї причини виконується моделювання системи, що дозволяє відтворити характеристики інформаційної атаки, а також провести оцінювання рівня її небезпеки. Постановка проблеми. Нині немає програмного застосунку, що дозволяє автоматизовано моделювати та оцінювати захищеність власної інформаційної системи без втручання в саму систему. Аналіз останніх досліджень і публікацій. Процес моделювання атак за допомогою мереж Петрі розглядався в декількох роботах закордонних авторів. Виділення недосліджених частин загальної проблеми. Наявні моделі графових атак створювались лише на прикладі певної архітектури мережі, проблемою залишилось створення універсального автоматизованого застосування, на основі вхідних даних про зв’язки та архітектуру мережі. Постановка завдання. Автоматизація виявлення зовнішніх вразливостей для аналізу захищеності інформаційної системи, шляхом розробки програмного забезпечення, що моделює за допомогою мереж Петрі розповсюдження атаки залежно від її архітектури. Виклад основного матеріалу. Програмне забезпечення розроблено на основі мови програмування Java, включає графічну оболонку Java FX, для пошуку сервісів хосту використовується Shodan REST API, для ідентифікації вразливостей ресурси NVD і CVE details. Зібрані дані використовує окремий програмний модуль, що працює зі створенням моделі на основі мережі Петрі. Висновки відповідно до статті. Запропонований метод дозволяє автоматизувати перевірку інформаційної системи на вразливість до хакерських атак.

У цій статті пропонується алгоритм, яким керуються системні адміністратори для протидії несанкціонованим спробам шифрування інформації в інформаційних системах. Факти вказують, що терміновість вжитих заходів полягає в тому, що кількість атак програм шифрування досягла 30% від загальної кількості глобальних кібератак та кіберінцидентів. Масштабні кібератаки відбуваються приблизно кожних шість місяців, а методи проникнення та алгоритми шифрування постійно вдосконалюються. Відповідно до моделі Cyber-Kill Chain, зловмисники успішно досягають поставленої мети на цільовому комп’ютері. Метою заходів щодо усунення несанкціонованого шифрування інформації в системі є запобігання її дії на початку роботи. Автори рекомендують заздалегідь розміщувати зразки програмного забезпечення в інформаційній системі, це дозволить своєчасно виявляти ознаки несанкціонованого шифрування інформації в системі. Заходи включають розміщення зразка спеціального програмного забезпечення в системі якомога раніше. Зразок може реалізувати “постійний програмний моніторинг” процесу в системі, щоб зупинити процесор, коли є ознаки шифрування, тобто: коли процесор перевантажений, коли виявляються підозрілі процеси, при виявленні ознак дії алгоритму шифрування, у разі синхронізації і коли важливі файли зникають, у разі спроби перезапустити систему та інших ознак. Автори порівнюють систему мережевої безпеки із ситуацією, коли рекомендовані заходи не застосовуються. Автори вважають, що, виходячи з ефективності відповідних заходів, система захисту мережі зросте до 0,99. Висновок цієї статті полягає в тому, що розміщення спеціального програмного забезпечення в системі дозволить протидіяти якомога швидше вірусу шифрувальнику та покращить безпеку системи. Подальші дослідження дозволять розповсюдити рекомендовані заходи щодо усунення поведінки різних типів кібератак, які досягли цільової машини, а також виникнення кіберінцидентів відповідно до моделі Cyber-Kill Chain.

У статті запропоновано модель системи виявлення вторгнень (СВВ), яка відображає основні процеси, які відбуваються у системі, з метою оптимізації процесів протидії вторгненням. Такі процеси в загальному вигляді можна розглядати як процеси розподілу і використання ресурсів, виділених на захист інформації. Використання методів моделювання із забезпеченням належного рівня захищеності інформації привело до розроблення множини формальних моделей безпеки, що сприяє підтриманню належного рівня захищеності систем на основі об’єктивних і незаперечних постулатів математичної теорії. Запропонована модель протидії порушенням захищеності інформації в ІС, на відміну від подібних відомих сьогодні моделей, які призначені для оцінювання впливів можливих атак і загроз різних рівнів та прийняття обґрунтованого рішення щодо реалізації систем виявлення вторгнення ІС, надає можливість оперативно оцінювати поточний стан захищеності ІС за умов забезпечення працездатності формальних методів за короткими обмеженими вибірками щодо параметрів засобів захисту ІС та параметрів загроз, що впливають на елементи ІС. Застосування запропонованої моделі дасть змогу отримувати поточні оцінки стану захищеності інформації, надати додатковий час на підготовку та здійснення заходів реагування на загрози з метою підвищення безпеки інформації.

Метою доповіді є обґрунтування підходів до розробки ефективної системи керування вразливостями для захисту інформаційних систем від цільових атак. В доповіді наводяться методи забезпечення захисту інформаційної системи, а також аналіз сучасних системи оцінювання ризиків та обґрунтовуються вимоги до функцій самої системи.

В роботі запропоновано архітектуру та компоненти розподіленої системи виявлення мережевих атак, в якій поєднано вимоги централізованості, розподіленості, самоорганізованості та на її основі здійснено розробку централізованої розподіленої системи визначення мережевих атак в корпоративних комп’ютерних мережах на основі мультифрактального аналізу. Проведені експериментальні дослідження з реалізованою централізованою розподіленою системою визначення мережевих атак в комп’ютерних мережах підтвердили ефективність функціонування в комп’ютерній мережі.

В роботі розглянуто підходи щодо перевірки запропонованих методів виявлення атак. Проаналізовано наявні набори даних, які використовуються для створення систем виявлення DDoS-атак. Також, проаналізовано декілька інструментів, що використовуються для реалізації чи моделювання DDoS-атак для збору даних.
The paper considers approaches to checking the proposed method of detecting attacks. The existing datasets that scientists use to create DDoS-attack detection systems are analyzed. Also, there are several tools used to implement or simulate DDoS-attacks for data collection

Об’єктом дослідження є: Байєсовська мережа та системи виявлення зловмисного програмного забезпечення. Предметом дослідження є: Можливості використання Байєсовської мережі у системах виявлення зловмисного програмного забезпечення на основі дослідження аномалій в інформаційних системах. Метою дипломної роботи є: Визначити можливі способи використання Байєсовської мережі для виявлення зловмисного програмного забезпечення на основі дослідження аномалій в інформаційних системах. Наукова новизна отриманих результатів полягає в тому, що мережі Байєса використовуються для моделювання в біоінформатиці, медицині, класифікації документів, обробці зображень, обробці даних, машинному навчанні і системах підтримки прийняття рішень. На основі проведених досліджень розроблена математична модель на базі мереж Байєса. Практична значимість отриманих результатів полягає у можливості вдосконалення методів виявлення зловмисного програмного забезпечення в інформаційних система.

ЗМІСТ ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ…………………..……………………… 15 ВСТУП………………………………………..…………………………………… 16 РОЗДІЛ 1. АНАЛІЗ СТАНУ ПИТАННЯ І ПОСТАНОВКА ЗАВДАНЬ ДОСЛІДЖЕННЯ…………………………………………..……………………… 22 1.1 Науково-технічні проблеми виявлення несанкціонованих дій в комп’ютерних мережах………….…………………………………………… 22 1.2 Аналіз існуючих інструментальних засобів виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 28 1.2.1 Сигнатурний аналіз……………………………..……………………… 30 1.2.2 Евристичний аналіз……………………………..……………………… 32 1.3 Порівняння методів і засобів підвищення надійності виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 36 1.3.1 Продукційні системи…………………………………………………… 37 1.3.2 Статистичний метод…………………………………………………… 39 1.3.3 Штучні нейронні системи……………………………………………… 40 1.3.4 Мультиагентні системи………………………………………………… 42 1.3.5 Штучні імунні системи………..……………….….…………………… 43 1.3.6 Діагностика……………………………..……….……………………… 46 1.4. Висновки до першого розділу…………………….……..……………… 49 РОЗДІЛ 2. ОРГАНІЗАЦІЯ РОЗПІЗНАВАННЯ НД ЗАСОБАМИ ШТУЧНИХ ІМУННИХ МЕРЕЖ……………………………….……………………………… 50 2.1. Модель аналізатора несанкціонованих дій………..…………………… 50 2.2. Виявлення ознак для аналізу дій в мережі…………..……….………… 56 2.3. Вибір моделі штучної імунної системи………………………………… 57 2.3.1. Модель клонального відбору………….……………………………… 58 2.3.2. Модель штучної імунної мережі……………………………………… 61 2.3.3. Модель негативного/позитивного відбору………..…….…………… 64 2.3.4. Модель теорії небезпеки………………………….…………………… 65 2.3.5. Дендритна модель……………………………………………...……… 67 2.4. Опис операторів імунних моделей…………………………...………… 69 2.5. Розпізнавання несанкціонованих дій…………………………………… 76 2.6. Висновки розділу 2……………………………………………………… 80 РОЗДІЛ 3. ДІАГНОСТИКА……………………………………………………… 82 3.1. Вибір інструментальної бази для реалізації діагностування НД і опис основних операторів……….…….…………………………………………… 82 3.1.1. Дослідження операторів…….....……………………………………… 82 3.1.2. Визначення структури проникливості………..……………………… 84 3.1.3. Основне переконання………….……………………………………… 84 3.1.4. Правдоподібність переконання……………..………………………… 85 3.1.5. Оператори злиття……………………………………………………… 86 3.1.6. Застосування фрагментів часу……...………………………………… 87 3.1.7. Методика виявлення змін…...………………………………………… 88 3.2. Використання алгоритму затримки…………………………..………… 91 3.3. Організація моделі діагностування………………………..…………… 92 3.3.1. Дерево специфікацій……………………..…….……………………… 93 3.3.2. Дерево діагностики………….………………………………………… 94 3.3.3. Можливість спостереження…………………………………………… 98 3.3.4. Задача діагностування…………….………..………………………… 99 3.3.5. Процедура обчислення діагнозу……………………………………… 99 3.3.6. Методика відбору спостережуваних ………………..……………… 100 3.3.7. Процедура побудови симптомів…………………………..………… 100 3.3.8. Робота з симптомами………………………………………………… 103 3.3.9. Аналіз кінцевого діагнозу…………………………………………… 104 3.3.10. Перевірка діагностування…………..………….…………………… 106 3.3.11. Методика налаштування параметрів діагностики…..….….……… 108 3.4. Висновки до розділу 3……………………………….……….………… 110 РОЗДІЛ 4. ЕКСПЕРИМЕНТАЛЬНЕ ДОСЛІДЖЕННЯ...………..…………… 111 4.1. Опис інструментальної бази…………………………………………… 111 4.2. Отримання і обробка первинних даних при виявленні несанкціонованих дій……………..………………………………………… 114 4.3. Виявлення НД………………...………………………………………… 119 4.4. Аналіз ефективності……….…………………………………………… 127 ВИСНОВКИ……………..…………….………………………………………… 130 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ………………..……………………… 132 ДОДАТОК А. Акти впpовадження у виpобничий та навчальний пpоцес…...146 ДОДАТОК Б. Список публікацій здобувача за темою дисертації та відомості про апробацію результатів дисертації…………………………….………..150 СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ: 1. Zhukov I. A. Detection of computer attacks using outliner method / Жуков І.А, Балакін С.В // Науковий журнал «Молодий вчений». 2016. – № 9(36). – С. 91-93. 2. Балакин С. В. Методы и средства повишения достоверности идентификации несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // VIII Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 11-12. 3. Балакин С. В. Системы предотвращения атак в компьютерной сети на основе сигнатурных методов / С. В. Балакин // IХ Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2016.- С. 12-13. 4. Балакин С. В. Средства диагностирования несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // Х Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2017. – С. 13-14. 5. Balakin S. V. Traffic analysis for intrusion detection systems in telecommunication networks / С. В Балакін // XIV міжнародна науково-практична конференція «Політ.Сучасні проблеми науки» : Тези доповідей.К.: НАУ, 2014. – С. 59-60. 6. Жуков И. А. Идентификация атак в компьютерной сети методом усредненного времени обращений / И. А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2015. – № 2(50). – С.65–69. 7. Балакін С. В. Застосування штучних імунних систем при виявленні шкідливих программ в комп’ютерній мережі / С. В. Балакін // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 1-2(57-58). – С. 61-68. 8. Жуков И. А. Исследование эффективности метода обнаружения вторжений в компьютерные сети на основе искусственных иммуных систем / И.А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 3(59). – С. 65-69. 9. Балакин С. В. Выявление компьютерных атак с помощью мониторинга сетевых объектов / С. В. Балакін // Технологический аудит и резервы производства, 2015. – № 5-6(25). – С.36-38. 10. Балакин С. В. Организация пресечения вторжений в компьютерные сети алгоритмами выявления изменений/ Балакин С. В. // Вісник НТУ «ХПІ». Серія: Механіко-технологічні системи та комплекси. – Харків : НТУ «ХПІ», 2017. – № 20(1242). – С.3-7. 11. Жуков И. А. Обнаружение компьютерних атак с помощью метода отклонений / И. А. Жуков, С. В. Балакин // Радіоелектронні і комп’ютерні системи: наук. – техн. жур. – Х.: ХАИ, 2016. – №5(79). – С. 33-37. 12. Пат. 110330 Україна МПК G06F 12/14. Спосіб запобігання комп’ютерним атакам у мережі за допомогою фільтрації вхідних пакетів / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2016, №19. – 4 с. 13. Пат. 123634 Україна МПК G06F 12/14. Спосіб діагностування несанкціонованих дій в комп’ютерній мережі / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2018, №5. – 4 с. 14. Балакин С. В. Оптимизация искусственных иммунных систем при идентификации несанкционированных сетевых воздействий / С. В. Балакин // ХI Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 7-8
Дисертаційну роботу присвячено вирішенню актуального науково-технічного завдання – підвищенню достовірності ідентифікації несанкціонованих дій і атак в комп’ютерній мережі. Для ефективної, надійної та високошвидкісної ідентифікації несанкціонованих дій і атак в комп’ютерній мережі потрібно впроваджувати і використовувати методи, основані як на штучних імунних системах, так і на можливості діагностування вторгнень. Такий підхід дозволить підвищити ефективність ідентифікації несанкціонованих дій і дасть можливість автономно виявляти підозрілу активність. У роботі визначено методи виявлення несанкціонованих дій і атак в комп’ютерній мережі за рахунок використання засобів штучних імунних систем та діагностування на основі теорії Демпстера-Шафера, котрі дають можливості ефективно протидіяти вторгненням. Досліджено можливості використання операторів імунних систем для моделювання роботи запропонованих методів. На основі цих властивостей запропоновано процедури ідентифікації несанкціонованих дій і атак в комп’ютерній мережі.
The dissertation is devoted to solving the actual scientific and technical task - to increase the authenticity of identification of unauthorized actions and attacks in a computer network. For efficient, reliable and high-speed identification of unauthorized actions and attacks in the computer network, it is necessary to implement and use methods based on artificial immune systems and on the ability to diagnose intrusions. Such approach will increase the effectiveness of identifying unauthorized actions and will give an opportunity autonomically to find out suspicious activity. The paper identifies methods for detecting unauthorized actions and attacks in the computer network through the use of artificial immune systems and diagnosis on the basis of the Dempster-Shafer theory, which provide opportunities to effectively counteract the invasion. The possibilities of use of immune system operators for modeling the work of the proposed methods are explored. Based on these properties, procedures are proposed for identifying unauthorized actions and attacks on the computer network.
Диссертационная работа посвящена решению актуального научно-технического задача - повышению достоверности идентификации несанкционированных действий и атак в компьютерной сети. Для эффективной, надежной и высокоскоростной идентификации несанкционированных действий и атак в компьютерной сети нужно внедрять и использовать методы, основанные как на искусственных иммунных системах, так и на возможности диагностирования вторжений. Такой подход позволит повысить эффективность идентификации несанкционированных действий и даст возможность автономно обнаруживать подозрительную активность. В работе определены методы выявления несанкционированных действий и атак в компьютерной сети за счет использования средств искусственных иммунных систем и диагностирования на основе теории Демпстера-Шафера, которые дают возможность эффективно противодействовать вторжением. Исследованы возможности использования операторов иммунных систем для моделирования работы предложенных методов. На основе этих свойств предложено процедуры идентификации несанкционированных действий и атак в компьютерной сети.

Метою кваліфікаційної роботи є розробка комп’ютерної системи на основі нечіткої логіки для виявлення прихованих атак. Дана кваліфікаційна робота присвячена удосконаленню методу реалізації систем ідентифікації вторгнень на основі нечіткої логіки.

Желіба, Д. В. Метод виявлення аномалій в ботнет-трафіку : випускна кваліфікаційна робота : 125 "Кібербезпека" / Д. В. Желіба ; керівник роботи Т. А. Петренко ; НУ "Чернігівська політехніка", кафедра кібербезпеки та математичного моделювання . – Чернігів, 2021. – 68 с.
Мета роботи: розробка методу виявлення аномалій в ботнет трафіку Об’єкт дослідження: процес забезпечення інформаційної безпеки мережевого трафіку Предмет дослідження: метод виявлення аномалій в ботнет трафіку Методи дослідження: у процесі вирішення поставлених завдань ми використаємо наступні методи дослідження: вивчення теоретичної науково- практичної літератури про бот-мережі та аномалії, аналіз існуючих методів виникнення аномалій та ботнетів. Використання даних методів дозволило дослідити причини виникнення аномалії та проаналізувати ботнет трафік, визначити переваги та недоліки інших методів виявлення аномалій та розробити метод виявлення аномалій у ботнет трафіку. Результати та новизна: в результаті виконання роботи був розроблений метод виявлення аномалій в ботнет трафіку, який може бути застосований при проектуванні та розробці програмного забезпечення для аналізу та дослідження аномальної поведінки та ботнетів у трафіку і здатний забезпечити безперебійну та раціоналізовану їх роботу. Галузь застосування: реалізація методу виявлення аномалій в ботнет трафіку.
Purpose: to develop a method for detecting anomalies in botnet traffic Object of research: the process of ensuring information security of network traffic Subject of research: method of detecting anomalies in botnet traffic. Methods of research: the following research methods are used to solve the set individual tasks: study of theoretical scientific and practical literature on botnets and anomalies, analysis of existing methods of anomalies and botnets. The use of these methods allowed to investigate the causes of anomalies and analyze botnet traffic, identify the advantages and disadvantages of other methods of detecting anomalies and develop a method of detecting anomalies in botnet traffic. Results and novelty: as a result of the work a method of detecting anomalies in botnet traffic was developed, which can be used in the design and development of software for analysis and study of anomalous behavior and botnets in traffic and can ensure smooth and streamlined operation. Field of the application: implementation of the method of detecting anomalies in botnet traffic.

У кваліфікаційній роботі розглянуто методи та засоби аналізу мережевого трафіку для виявлення комп’ютерних атак. Розроблено нейромережеву систему аналізу мережевого трафіку для виявлення комп’ютерних атак. Подана архітектура системи аналізу мережевого трафіку для виявлення комп’ютерних атак. Запропонована структура і алгоритм навчання нейромережевого імунного детектора. На основі проведеного дослідження реалізовано нейромережева система аналізу мережевого трафіку для виявлення комп’ютерних атак. The qualification work discusses methods and tools for analyzing network traffic to detect computer attacks. A neural network system for analyzing network traffic to detect computer attacks has been developed. The architecture of the network traffic analysis system for detecting computer attacks is presented. The structure and algorithm of training of the neural network immune detector are offered. Based on the study, a neural network system for analyzing network traffic to detect computer attacks was implemented.
ВСТУП...7 1. СТАН І ПЕРСПЕКТИВИ РОЗВИТКУ ЗАСОБІВ ВИЯВЛЕННЯ КОМП’ЮТЕРНИХ АТАК...10 1.1. Системи виявлення атак IDS...10 1.2. Постановка задачі дослідження...19 Висновки до першого розділу...21 2. НЕЙРОМЕРЕЖЕВА СИСТЕМА АНАЛІЗУ МЕРЕЖЕВОГО ТРАФІКУ ДЛЯ ВИЯВЛЕННЯ КОМП’ЮТЕРНИХ АТАК...22 2.1. Архітектура системи аналізу мережевого трафіку для виявлення комп’ютерних атак...22 2.2. Структура і алгоритм навчання нейромережевого імунного детектора...26 2.3. Алгоритм функціонування нейромережевого імунного детектора...31 Висновки до другого розділу ...34 3. РЕАЛІЗАЦІЯ НЕЙРОМЕРЕЖЕВОЇ СИСТЕМИ АНАЛІЗУ МЕРЕЖЕВОГО ТРАФІКУ ДЛЯ ВИЯВЛЕННЯ КОМП’ЮТЕРНИХ АТАК...35 3.1. Реалізація модуля виявлення атак...35 3.2. Тестування системи...55 3.3. Застосування систем виявлення атак...56 Висновки до третього розділу...58 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ....59 4.1. Вимоги щодо охорони праці при роботі з комп’ютерами. Інструкція для програміста...59 4.2. Забезпечення електробезпеки користувачів ПК...62 ВИСНОВКИ...65 ПЕРЕЛІК ДЖЕРЕЛ...66 ДОДАТКИ