Methods of Intelligent System Event Analysis for Multistep Cyber-Attack Detection: Using Knowledge Bases

Cover Page

Cite item

Full Text

Abstract

This study presents a classification and comparative analysis of intelligent system event analysis methods for the detection of multistep cyber-attacks, which are a set of sequential actions of one or more attackers pursuing a specific goal of invasion. The paper studies approaches to multistep cyber-attack detection based on knowledge, such as expert rules and scenarios (sequences) of events. The approaches considered are analyzed according to the following criteria: the method for extracting knowledge about scenarios of system events and attacks, the method for scenario knowledge representation, the method for security events analysis and the security problem to be solved. The paper gives the main advantages and disadvantages of approaches to the multistep cyber-attack detection, as well as possible directions of research in this area.

Full Text

Restricted Access

About the authors

Igor V. Kotenko

Saint Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS)

Author for correspondence.
Email: ivkote@comsec.spb.ru

Doctor of Technical Sciences, Professor, Chief Researcher, Head of the Laboratory of Computer Security Problems

Russian Federation, Saint Petersburg

Diana A. Levshun

Saint Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS)

Email: gaifulina@comsec.spb.ru

Junior Researcher of the Laboratory of Computer Security Problems

Russian Federation, Saint Petersburg

References

  1. Kotenko I.V., Saenko I.B., Doynikova E.V., Novikova E.S., Sharov A.V., Chechulin A.A., Desnitsky V.A. Intellektual'nye servisy zashchity informacii v kriticheskih infrastrukturah [Intelligent information security services in critical infrastructures]. St. Petersburg: BHV-Petersburg. 2019. 400 p.
  2. Branitsky A.A., Kotenko I.V. Obnaruzhenie setevyh atak na osnove kompleksirovaniya nejronnyh, immunnyh i nejro-nechetkih klassifikatorov [Detection of network attacks based on the integration of neural, immune and neuro-fuzzy classifiers] // Informacionno-upravlyayushchie sistemy [Information and control systems]. 2015. No. 4(77). P. 69-77.
  3. Kotenko I. V., Polubelova O.V., Saenko I.B., Chechulin A.A. Primenenie ontologij i logicheskogo vyvoda dlya upravleniya informaciej i sobytiyami bezopasnosti [Application of ontologies and logical inference for information management and security events] // Sistemy vysokoj dostupnosti [High availability systems]. 2012. V. 8. No 2. P. 100-108.
  4. Salah, S., Maciá-Fernández, G., Díaz-Verdejo, J. E. A model-based survey of alert correlation techniques // Computer Networks. 2013. V. 57. No. 5. P. 1289-1317.
  5. Ramaki A.A., Rasoolzadegan A., Bafghi A.G. A systematic mapping study on intrusion alert analysis in intrusion detection systems // ACM Computing Surveys (CSUR). 2018. V. 51. No 3. P. 1-41.
  6. Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. V. 76. P. 214-249.
  7. Husák M., Komárková J., Bou-Harb E., Čeleda P. Survey of attack projection, prediction, and forecasting in cyber security // IEEE Communications Surveys & Tutorials. 2018. V. 21. No 1. P. 640-660.
  8. Albasheer H., Md Siraj M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. CyberAttack Prediction Based on Network Intrusion Detection Systems for Alert Correlation Techniques: A Survey // Sensors. 2022. V. 22. No 4. P. 1494.
  9. Kovačević I., Groš S., Slovenec K. Systematic review and quantitative comparison of cyberattack scenario detection and projection // Electronics. 2020. V. 9. No. 10. P. 1722.
  10. Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. V. 10. P. 43387-43420.
  11. Gaifulina D., Kotenko I. Modeli obrabotki sobytij informacionnoj bezopasnosti v intellektual'nyh sistemah monitoringa i ocenki zashchishchyonnosti kriticheski vazhnyh infrastruktur [Information security event processing models in intelligent systems for monitoring and assessing the security of critical infrastructures] // XI Mezhdunarodnaya nauchno-tekhnicheskaya i nauchno-metodicheskaya konferenciya «Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii (APINO-2022)» [11th International Conference on Advanced Infotelecommunications (ICAIT 2022)], 2022. V. 1. P. 319-324
  12. Kotenko I.V., Khmyrov S.S. Analiz modelej i metodik, ispol'zuemyh dlya atribucii narushitelej kiberbezopasnosti pri realizacii celevyh atak [Analysis of models and techniques used for attribution of cybersecurity violators in the implementation of targeted attacks] // Voprosy kiberbezopasnosti [Cybersecurity issues]. 2022. No 4 (50). P. 52-79.
  13. Gavrilova T. A., Khoroshevsky V. F. Bazy znanij intellektual'nyh sistem [Knowledge bases of intelligent systems]. SPb:Peter, 2000. 383 p.
  14. Snort. Network Intrusion Detection & Prevention System // Electronic resource. URL: https://www.snort.org/ (accessed 16.09.22).
  15. IBM RealSecure Server Sensor // Electronic resource. URL: https://www.ibm.com/common/ssi/cgi- bin/ssialias?infotype=DD&subtype=SM&htmlfid=897/EN US5765-ISS (accessed 16.09.22)
  16. Ravin SIEM by PayamPardaz // Electronic resource. URL: https://payampardaz.com/en/about-payampardaz/ (accessed 16.09.22)
  17. Doynikova E.V., Gaifulina D.A., Kryukov R.O. Opredelenie priznakov celej kiberatak na osnove analiza dannyh bezopasnosti v otkrytyh istochnikah [Determining signs of cyber-attack targets based on the analysis of security data in open sources] // Tendencii razvitiya nauki i obrazovaniya [Trends in the development of science and education]. 2019. No 56(2). P 36-41.
  18. MITRE ATT&CK // Electronic resource. URL: https://attack.mitre.org/ (accessed 15.09.22)
  19. Bajtoš T., Sokol P., Mézešová T. Multi-stage cyberattacks detection in the industrial control systems // Recent Developments on Industrial Control Systems Resilience. Springer, Cham, 2020. P. 151-173.
  20. Fedorchenko A.V., Kotenko I.V. Korrelyaciya informacii v SIEM-sistemah na osnove grafa svyazej tipov sobytij [Correlation of information in SIEM systems based on the graph of connections of event types] // Informacionnoupravlyayushchie sistemy [Information and Control Systems]. 2018. V. 1. No 92. P. 58-67.
  21. Zubkov E.V., Belov V.M. Metodika vyyavleniya dinamicheskoj zavisimosti mezhdu gruppami sobytij [Technique for identifying dynamic dependence between groups of events] // Vestnik SibGUTI [Bulletin of SibGUTI]. 2016. No 1(33). P. 4-16.
  22. Zhou Y., Miao Z. Cyber-attacks, detection and protection in smart grid state estimation // 2016 North American Power Symposium (NAPS). IEEE, 2016. P. 1-6.
  23. Wu M., Moon Y. Alert correlation for cybermanufacturing intrusion detection // Procedia Manufacturing. 2019. V. 34. P. 820-831.
  24. Khosravi M., Ladani B.T. Alerts correlation and causal analysis for APT based cyber-attack detection // IEEE Access. 2020. V. 8. P. 162642-162656.
  25. Gaidamakin N.A., Gibilinda R.V., Sinadsky N. I. Metod ekspress-analiza sobytij, svyazannyh s vozdejstviyami na fajly, prednaznachennyj dlya rassledovaniya incidentov informacionnoj bezopasnosti [Method for express analysis of events associated with impacts on files, designed to investigate information security incidents] // Vestnik SibGUTI [Bulletin of SibGUTI]. 2020. No 4(52). P. 3-10.
  26. Mahdavi E., Fanian A., Amini F. A real-time alert correlation method based on code-books for intrusion detection systems // Computers & Security. 2020. V. 89. P. 101661.
  27. Siddiqui A.J., Boukerche A. TempoCode-IoT: temporal codebook-based encoding of flow features for intrusion detection in Internet of Things // Cluster Computing. 2021. V. 24. No 1. P. 17-35.
  28. Podtopelny V.V., Vetrov I.A. Opredelenie prigodnosti pravil obnaruzheniya setevyh vtorzhenij i ih matematicheskaya ocenka [Determining the suitability of network intrusion detection rules and their mathematical evaluation]
  29. // Vestnik Baltijskogo federal'nogo universiteta im. I. Kanta. Seriya: Fiziko-matematicheskie i tekhnicheskie nauki. [Bulletin of the Baltic Federal University named after Kant. Series: Physical, mathematical and technical sciences]. 2021. No 2. P. 11-18.
  30. Gainov A.E., Zavodtsev I.V. Metodika formirovaniya znachimogo mnozhestva pravil korrelyacii dlya vyyavleniya raspredelennyh sobytij informacionnoj bezopasnosti [Technique for forming a significant set of correlation rules to identify distributed information security events] // Sovremennaya nauka: aktual'nye problemy teorii i praktiki. Seriya: Estestvennye i tekhnicheskie nauki [Modern science: actual problems of theory and practice. series: natural and technical sciences]. 2017. No 5. P. 53-61.
  31. Eckmann S. T., Vigna G., Kemmerer R. A. STATL: An attack language for state-based intrusion detection // Journal of computer security. 2002. V. 10. № 1-2. P. 71-103.
  32. Tidjon L.N., Frappier M., Mammar A. Intrusion detection using ASTDs // International Conference on Advanced Information Networking and Applications. Springer, Cham, 2020. P. 1397-1411.
  33. Meier M., Bischof N., Holz T. SHEDEL – A Simple Hierarchical Event Description Language for Specifying Attack Signatures // Security in the Information Society. Springer, Boston, MA, 2002. P. 559-571.
  34. Jaeger D., Ussath M., Cheng F., Meinel C. Multi-step attack pattern detection on normalized event logs // 2015 IEEE 2nd International Conference on Cyber Security and Cloud Computing. IEEE, 2015. P. 390-398.
  35. Almseidin M., Piller I., Al-Kasassbeh M., Kovacs, S. Fuzzy automaton as a detection mechanism for the multistep attack // International Journal on Advanced Science, Engineering and Information Technology. 2019. V. 9. No 2. P. 575-586.
  36. Kaya E., Özçelik İ., Can Ö. An Ontology Based Approach for Data Leakage Prevention Against Advanced Persistent Threats // Research Conference on Metadata and Semantics Research. Springer, Cham, 2019. P. 115-125.
  37. Korolev I.D., Litvinov E.S., Kostrov S.O. Postroenie ERdiagrammy vzaimosvyazi dannyh o sobytiyah i incidentah informacionnoj bezopasnosti v infrastrukture centrov informacionnoj zashchity [Building an ER-diagram of the relationship of data on information security events and incidents in the infrastructure of information protection centers] // Dnevnik nauki [Diary of science]. 2020. No 10. P. 14.
  38. Doynikova E.V., Kotenko I.V. Sovershenstvovanie grafov atak dlya monitoringa kiberbezopasnosti: operirovanie netochnostyami, obrabotka ciklov, otobrazhenie incidentov i avtomaticheskij vybor zashchitnyh mer [Improving attack graphs for monitoring cybersecurity: handling inaccuracies, processing cycles, displaying incidents and automatic selection of protective measures] // Informatika i avtomatizaciya [Informatics and automation]. 2018. V. 2. No 57. P. 211-240.
  39. Angelini M., Bonomi S., Borzi E., Pozzo A.D., Lenti, S., Santucci, G. An attack graph-based on-line multi-step attack detector // Proceedings of the 19th International Conference on Distributed Computing and Networking. 2018. P. 1-10.
  40. Hossain M.N., Milajerdi S.M., Wang J., Eshete B., Gjomemo R., Sekar R., Venkatakrishnan V.N.SLEUTH: Real-time attack scenario reconstruction from COTS audit data // 26th USENIX Security Symposium (USENIX Security 17). 2017. P. 487-504.
  41. Milajerdi S. M., Gjomemo R., Eshete B., Sekar R., Venkatakrishnan V.N. Holmes: real-time apt detection through correlation of suspicious information flows // 2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019. P. 1137-1152.
  42. Shameli-Sendi A., Dagenais M., Wang L. Realtime intrusion risk assessment model based on attack and service dependency graphs // Computer communications. 2018. V. 116. P. 253-272.
  43. Kotenko I., Saenko I., Ageev S. Hierarchical fuzzy situational networks for online decision-making: Application to telecommunication systems // Knowledge-Based Systems. 2019. V. 185. P. 104935.
  44. Vasiliev V.I., Kirillova A.D., Vulfin A.M. Kognitivnoe modelirovanie vektora kiberatak na osnove metashablonov CAPEC [Cognitive modeling of the cyber-attack vector based on CAPEC metatemplates] // Voprosy kiberbezopasnosti [Cyber security issues]. 2021. No 2(42). P. 2-16.
  45. Sadlek L., Čeleda P., Tovarňák D. Identification of Attack Paths Using Kill Chain and Attack Graphs // NOMS 20222022 IEEE/IFIP Network Operations and Management Symposium. IEEE, 2022. P. 1-6.
  46. Zegzhda D. P., Kalinin M. O., Krundyshev V. M., Lavrova D. S., Moskvin D. A., Pavlenko E. Yu. Primenenie algoritmov bioinformatiki dlya obnaruzheniya mutiruyushchih kiberatak [Application of bioinformatics algorithms to detect mutating cyberattacks] //. Informatika i avtomatizaciya [Informatics and automation]. 2021. V. 20. No 4. P. 820-844.

Supplementary files

Supplementary Files
Action
1. JATS XML
Download
2. Fig. 1. Classification of approaches to detecting multi-step attacks

Download (205KB)
Indexing metadata
3. Fig. 2. Example of application of the assumptions and consequences method

Download (83KB)
Indexing metadata
4. Fig. 3. Stages of the cyber-kill chain

Download (131KB)
Indexing metadata

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».