Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование баз знаний
- Авторы: Котенко И.В.1, Левшун Д.А.1
-
Учреждения:
- Санкт-Петербургский федеральный исследовательский центр РАН
- Выпуск: № 2 (2023)
- Страницы: 3-14
- Раздел: Представление знаний
- URL: https://journals.rcsi.science/2071-8594/article/view/269399
- DOI: https://doi.org/10.14357/20718594230201
- ID: 269399
Цитировать
Полный текст
Аннотация
Представлена классификация и сравнительный анализ методов интеллектуального анализа системных событий для обнаружения многошаговых кибератак, представляющих собой совокупность последовательных действий одного или нескольких злоумышленников, преследующих конкретную цель вторжения. Исследованы подходы к обнаружению многошаговых кибератак на основе баз знаний, такие как экспертные правила и методы на основе сценариев (последовательностей) событий. Рассмотренные подходы анализируются по следующим критериям: метод извлечения знаний о сценариях системных событий и атак, метод представления знаний о сценариях, метод анализа событий безопасности и решаемая задача безопасности. Приводятся основные достоинства и недостатки подходов к обнаружению многошаговых кибератак, а также возможные направления исследований в данной области.
Полный текст

Об авторах
Игорь Витальевич Котенко
Санкт-Петербургский федеральный исследовательский центр РАН
Автор, ответственный за переписку.
Email: ivkote@comsec.spb.ru
доктор технических наук, профессор, главный научный сотрудник, руководитель лаборатории проблем компьютерной безопасности
Россия, Санкт-ПетербургДиана Альбертовна Левшун
Санкт-Петербургский федеральный исследовательский центр РАН
Email: gaifulina@comsec.spb.ru
младший научный сотрудник лаборатории проблем компьютерной безопасности
Россия, Санкт-ПетербургСписок литературы
- Котенко И.В., Саенко И.Б., Дойникова Е.В., Новикова Е.С., Шоров А.В., Чечулин А.А., Десницкий В.А. Интеллектуальные сервисы защиты информации в критических инфраструктурах. СПб.: БХВ-Петербург. 2019. 400 с.
- Браницкий А.А., Котенко И.В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейро-нечетких классификаторов // Информационноуправляющие системы. 2015. № 4 (77). С. 69-77.
- Котенко И. В., Полубелова О.В., Саенко И.Б., Чечулин А.А. Применение онтологий и логического вывода для управления информацией и событиями безопасности // Системы высокой доступности. 2012. Т.8. № 2. С. 100-108.
- Salah S., Maciá-Fernández G., Díaz-Verdejo J. E. A model-based survey of alert correlation techniques // Computer Networks. 2013. V. 57. No 5. P. 1289-1317.
- Ramaki A.A., Rasoolzadegan A., Bafghi A.G. A systematic mapping study on intrusion alert analysis in intrusion detection systems // ACM Computing Surveys (CSUR). 2018. V. 51. No 3. P. 1-41.
- Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. V. 76. P. 214-249.
- Husák M., Komárková J., Bou-Harb E., Čeleda P. Survey of attack projection, prediction, and forecasting in cyber security // IEEE Communications Surveys & Tutorials. 2018. V. 21. No 1. P. 640-660.
- Albasheer H., Md Siraj M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. Cyber-Attack Prediction Based on Network Intrusion Detection Systems for Alert Correlation Techniques: A Survey // Sensors. 2022. V. 22. No 4. P. 1494.
- Kovačević I., Groš S., Slovenec K. Systematic review and quantitative comparison of cyberattack scenario detection and projection // Electronics. 2020. V. 9. No 10. P. 1722.
- Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. V. 10. P. 43387-43420.
- Гайфулина Д.А., Котенко И.В. Модели обработки событий информационной безопасности в интеллектуальных системах мониторинга и оценки защищённости критически важных инфраструктур // XI Международная научно-техническая и научнометодическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО-2022)». Труды конференции. Т.1. СПб.: СПбГУТ. 2022. С. 319-324.
- Котенко И.В., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак // Вопросы кибербезопасности. 2022. № 4 (50). С. 52-79.
- Гаврилова Т. А., Хорошевский В. Ф. Базы знаний интеллектуальных систем. СПб:Питер, 2000. 383 с.
- Snort. Network Intrusion Detection & Prevention System // Электронный ресурс. URL: https://www.snort.org/ (доступ 16.09.22).
- IBM RealSecure Server Sensor // Electronic resource. URL: https://www.ibm.com/common/ssi/cgi- bin/ssialias?infotype=DD&subtype=SM&htmlfid=897/EN US5765-ISS (accessed 16.09.22).
- Ravin SIEM by PayamPardaz // Electronic resource. URL: https://payampardaz.com/en/about-payampardaz/ (accessed 16.09.22).
- Дойникова Е.В., Гайфулина Д.А., Крюков Р.О. Определение признаков целей кибератак на основе анализа данных безопасности в открытых источниках // Тенденции развития науки и образования. 2019. № 56-2. С. 36-41.
- MITRE ATT&CK // Electronic resource. URL: https://attack.mitre.org/ (accessed 15.09.22).
- Bajtoš T., Sokol P., Mézešová T. Multi-stage cyberattacks detection in the industrial control systems // Recent Developments on Industrial Control Systems Resilience. Springer. Cham.2020. P. 151-173.
- Федорченко А.В., Котенко И.В. Корреляция информации в SIEM-системах на основе графа связей типов событий // Информационно-управляющие системы. 2018. T. 1. № 92. С. 58-67.
- Зубков Е.В., Белов В.М. Методика выявления динамической зависимости между группами событий // Вестник СибГУТИ. 2016. № 1 (33). С. 4-16.
- Zhou Y., Miao Z. Cyber-attacks, detection and protection in smart grid state estimation // 2016 North American Power Symposium (NAPS). IEEE.2016. P. 1-6.
- Wu M., Moon Y. Alert correlation for cybermanufacturing intrusion detection // Procedia Manufacturing. 2019. V. 34. P. 820-831.
- Khosravi M., Ladani B.T. Alerts correlation and causal analysis for APT based cyber-attack detection // IEEE Access. 2020. V. 8. P. 162642-162656.
- Гайдамакин Н.А., Гибилинда Р.В., Синадский Н.И. Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности // Вестник СибГУТИ. 2020. № 4 (52). С. 3-10.
- Mahdavi E., Fanian A., Amini F. A real-time alert correlation method based on code-books for intrusion detection systems // Computers & Security. 2020. V. 89. P. 101661.
- Siddiqui A.J., Boukerche A. TempoCode-IoT: temporal codebook-based encoding of flow features for intrusion detection in Internet of Things // Cluster Computing. 2021. V. 24. No 1. P. 17-35.
- Подтопельный В.В., Ветров И.А. Определение пригодности правил обнаружения сетевых вторжений и их математическая оценка // Вестник Балтийского федерального университета им. И. Канта. Серия: Физико-математические и технические науки. 2021. № 2. С. 11-18.
- Гайнов А.Е., Заводцев И.В. Методика формирования значимого множества правил корреляции для выявления распределенных событий информационной безопасности // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2017. № 5. С. 53-61.
- Eckmann S. T., Vigna G., Kemmerer R. A. STATL: An attack language for state-based intrusion detection // Journal of computer security. 2002. V. 10. № 1-2. P. 71-103.
- Tidjon L.N., Frappier M., Mammar A. Intrusion detection using ASTDs // International Conference on Advanced Information Networking and Applications. Springer. Cham. 2020. P. 1397-1411.
- Meier M., Bischof N., Holz T. SHEDEL – A Simple Hierarchical Event Description Language for Specifying Attack Signatures // Security in the Information Society. Springer, Boston, MA. 2002. P. 559-571.
- Jaeger D., Ussath M., Cheng F., Meinel C. Multi-step attack pattern detection on normalized event logs // 2015 IEEE 2nd International Conference on Cyber Security and Cloud Computing. IEEE, 2015. P. 390-398.
- Almseidin M., Piller I., Al-Kasassbeh M., Kovacs, S. Fuzzy automaton as a detection mechanism for the multistep attack // International Journal on Advanced Science, Engineering and Information Technology. 2019. V. 9. No 2. P. 575-586.
- Kaya E., Özçelik İ., Can Ö. An Ontology Based Approach for Data Leakage Prevention Against Advanced Persistent Threats // Research Conference on Metadata and Semantics Research. Springer. Cham. 2019. P. 115-125.
- Королев И.Д., Литвинов Е.С., Костров С.О. Построение ER-диаграммы взаимосвязи данных о событиях и инцидентах информационной безопасности в инфраструктуре центров информационной защиты // Дневник науки. 2020. № 10. С. 14-14.
- Дойникова Е.В., Котенко И.В. Совершенствование графов атак для мониторинга кибербезопасности: оперирование неточностями, обработка циклов, отображение инцидентов и автоматический выбор защитных мер // Информатика и автоматизация. 2018. Т. 2. № 57. С. 211-240.
- Angelini M., Bonomi S., Borzi E., Pozzo A.D., Lenti, S., Santucci, G. An attack graph-based on-line multi-step attack detector // Proceedings of the 19th International Conference on Distributed Computing and Networking. 2018. P. 1-10.
- Hossain M.N., Milajerdi S.M., Wang J., Eshete B., Gjomemo R., Sekar R., Venkatakrishnan V.N. SLEUTH: Real-time attack scenario reconstruction from COTS audit data // 26th USENIX Security Symposium (USENIX Security 17). 2017. P. 487-504.
- Milajerdi S. M., Gjomemo R., Eshete B., Sekar R., Venkatakrishnan V.N. Holmes: real-time apt detection through correlation of suspicious information flows // 2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019. P. 1137-1152.
- Shameli-Sendi A., Dagenais M., Wang L. Realtime intrusion risk assessment model based on attack and service dependency graphs // Computer communications. 2018. V. 116. P. 253-272.
- Kotenko I., Saenko I., Ageev S. Hierarchical fuzzy situational networks for online decision-making: Application to telecommunication systems // Knowledge-Based Systems. 2019. V. 185. P. 104935.
- Васильев В.И., Кириллова А.Д., Вульфин А.М. Когнитивное моделирование вектора кибератак на основе меташаблонов CAPEC // Вопросы кибербезопасности. 2021. № 2 (42). С. 2-16.
- Sadlek L., Čeleda P., Tovarňák D. Identification of Attack Paths Using Kill Chain and Attack Graphs // NOMS 20222022 IEEE/IFIP Network Operations and Management Symposium. IEEE. 2022. P. 1-6.
- Зегжда Д.П., Калинин М.О., Крундышев В.М., Лаврова Д.С., Москвин Д.А., Павленко Е.Ю. Применение алгоритмов биоинформатики для обнаружения мутирующих кибератак // Информатика и автоматизация. 2021. Т. 20. № 4. С. 820-844.
