Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование баз знаний

Обложка

Цитировать

Полный текст

Аннотация

Представлена классификация и сравнительный анализ методов интеллектуального анализа системных событий для обнаружения многошаговых кибератак, представляющих собой совокупность последовательных действий одного или нескольких злоумышленников, преследующих конкретную цель вторжения. Исследованы подходы к обнаружению многошаговых кибератак на основе баз знаний, такие как экспертные правила и методы на основе сценариев (последовательностей) событий. Рассмотренные подходы анализируются по следующим критериям: метод извлечения знаний о сценариях системных событий и атак, метод представления знаний о сценариях, метод анализа событий безопасности и решаемая задача безопасности. Приводятся основные достоинства и недостатки подходов к обнаружению многошаговых кибератак, а также возможные направления исследований в данной области.

Полный текст

Доступ закрыт

Об авторах

Игорь Витальевич Котенко

Санкт-Петербургский федеральный исследовательский центр РАН

Автор, ответственный за переписку.
Email: ivkote@comsec.spb.ru

доктор технических наук, профессор, главный научный сотрудник, руководитель лаборатории проблем компьютерной безопасности

Россия, Санкт-Петербург

Диана Альбертовна Левшун

Санкт-Петербургский федеральный исследовательский центр РАН

Email: gaifulina@comsec.spb.ru

младший научный сотрудник лаборатории проблем компьютерной безопасности

Россия, Санкт-Петербург

Список литературы

  1. Котенко И.В., Саенко И.Б., Дойникова Е.В., Новикова Е.С., Шоров А.В., Чечулин А.А., Десницкий В.А. Интеллектуальные сервисы защиты информации в критических инфраструктурах. СПб.: БХВ-Петербург. 2019. 400 с.
  2. Браницкий А.А., Котенко И.В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейро-нечетких классификаторов // Информационноуправляющие системы. 2015. № 4 (77). С. 69-77.
  3. Котенко И. В., Полубелова О.В., Саенко И.Б., Чечулин А.А. Применение онтологий и логического вывода для управления информацией и событиями безопасности // Системы высокой доступности. 2012. Т.8. № 2. С. 100-108.
  4. Salah S., Maciá-Fernández G., Díaz-Verdejo J. E. A model-based survey of alert correlation techniques // Computer Networks. 2013. V. 57. No 5. P. 1289-1317.
  5. Ramaki A.A., Rasoolzadegan A., Bafghi A.G. A systematic mapping study on intrusion alert analysis in intrusion detection systems // ACM Computing Surveys (CSUR). 2018. V. 51. No 3. P. 1-41.
  6. Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. V. 76. P. 214-249.
  7. Husák M., Komárková J., Bou-Harb E., Čeleda P. Survey of attack projection, prediction, and forecasting in cyber security // IEEE Communications Surveys & Tutorials. 2018. V. 21. No 1. P. 640-660.
  8. Albasheer H., Md Siraj M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. Cyber-Attack Prediction Based on Network Intrusion Detection Systems for Alert Correlation Techniques: A Survey // Sensors. 2022. V. 22. No 4. P. 1494.
  9. Kovačević I., Groš S., Slovenec K. Systematic review and quantitative comparison of cyberattack scenario detection and projection // Electronics. 2020. V. 9. No 10. P. 1722.
  10. Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. V. 10. P. 43387-43420.
  11. Гайфулина Д.А., Котенко И.В. Модели обработки событий информационной безопасности в интеллектуальных системах мониторинга и оценки защищённости критически важных инфраструктур // XI Международная научно-техническая и научнометодическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО-2022)». Труды конференции. Т.1. СПб.: СПбГУТ. 2022. С. 319-324.
  12. Котенко И.В., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак // Вопросы кибербезопасности. 2022. № 4 (50). С. 52-79.
  13. Гаврилова Т. А., Хорошевский В. Ф. Базы знаний интеллектуальных систем. СПб:Питер, 2000. 383 с.
  14. Snort. Network Intrusion Detection & Prevention System // Электронный ресурс. URL: https://www.snort.org/ (доступ 16.09.22).
  15. IBM RealSecure Server Sensor // Electronic resource. URL: https://www.ibm.com/common/ssi/cgi- bin/ssialias?infotype=DD&subtype=SM&htmlfid=897/EN US5765-ISS (accessed 16.09.22).
  16. Ravin SIEM by PayamPardaz // Electronic resource. URL: https://payampardaz.com/en/about-payampardaz/ (accessed 16.09.22).
  17. Дойникова Е.В., Гайфулина Д.А., Крюков Р.О. Определение признаков целей кибератак на основе анализа данных безопасности в открытых источниках // Тенденции развития науки и образования. 2019. № 56-2. С. 36-41.
  18. MITRE ATT&CK // Electronic resource. URL: https://attack.mitre.org/ (accessed 15.09.22).
  19. Bajtoš T., Sokol P., Mézešová T. Multi-stage cyberattacks detection in the industrial control systems // Recent Developments on Industrial Control Systems Resilience. Springer. Cham.2020. P. 151-173.
  20. Федорченко А.В., Котенко И.В. Корреляция информации в SIEM-системах на основе графа связей типов событий // Информационно-управляющие системы. 2018. T. 1. № 92. С. 58-67.
  21. Зубков Е.В., Белов В.М. Методика выявления динамической зависимости между группами событий // Вестник СибГУТИ. 2016. № 1 (33). С. 4-16.
  22. Zhou Y., Miao Z. Cyber-attacks, detection and protection in smart grid state estimation // 2016 North American Power Symposium (NAPS). IEEE.2016. P. 1-6.
  23. Wu M., Moon Y. Alert correlation for cybermanufacturing intrusion detection // Procedia Manufacturing. 2019. V. 34. P. 820-831.
  24. Khosravi M., Ladani B.T. Alerts correlation and causal analysis for APT based cyber-attack detection // IEEE Access. 2020. V. 8. P. 162642-162656.
  25. Гайдамакин Н.А., Гибилинда Р.В., Синадский Н.И. Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности // Вестник СибГУТИ. 2020. № 4 (52). С. 3-10.
  26. Mahdavi E., Fanian A., Amini F. A real-time alert correlation method based on code-books for intrusion detection systems // Computers & Security. 2020. V. 89. P. 101661.
  27. Siddiqui A.J., Boukerche A. TempoCode-IoT: temporal codebook-based encoding of flow features for intrusion detection in Internet of Things // Cluster Computing. 2021. V. 24. No 1. P. 17-35.
  28. Подтопельный В.В., Ветров И.А. Определение пригодности правил обнаружения сетевых вторжений и их математическая оценка // Вестник Балтийского федерального университета им. И. Канта. Серия: Физико-математические и технические науки. 2021. № 2. С. 11-18.
  29. Гайнов А.Е., Заводцев И.В. Методика формирования значимого множества правил корреляции для выявления распределенных событий информационной безопасности // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2017. № 5. С. 53-61.
  30. Eckmann S. T., Vigna G., Kemmerer R. A. STATL: An attack language for state-based intrusion detection // Journal of computer security. 2002. V. 10. № 1-2. P. 71-103.
  31. Tidjon L.N., Frappier M., Mammar A. Intrusion detection using ASTDs // International Conference on Advanced Information Networking and Applications. Springer. Cham. 2020. P. 1397-1411.
  32. Meier M., Bischof N., Holz T. SHEDEL – A Simple Hierarchical Event Description Language for Specifying Attack Signatures // Security in the Information Society. Springer, Boston, MA. 2002. P. 559-571.
  33. Jaeger D., Ussath M., Cheng F., Meinel C. Multi-step attack pattern detection on normalized event logs // 2015 IEEE 2nd International Conference on Cyber Security and Cloud Computing. IEEE, 2015. P. 390-398.
  34. Almseidin M., Piller I., Al-Kasassbeh M., Kovacs, S. Fuzzy automaton as a detection mechanism for the multistep attack // International Journal on Advanced Science, Engineering and Information Technology. 2019. V. 9. No 2. P. 575-586.
  35. Kaya E., Özçelik İ., Can Ö. An Ontology Based Approach for Data Leakage Prevention Against Advanced Persistent Threats // Research Conference on Metadata and Semantics Research. Springer. Cham. 2019. P. 115-125.
  36. Королев И.Д., Литвинов Е.С., Костров С.О. Построение ER-диаграммы взаимосвязи данных о событиях и инцидентах информационной безопасности в инфраструктуре центров информационной защиты // Дневник науки. 2020. № 10. С. 14-14.
  37. Дойникова Е.В., Котенко И.В. Совершенствование графов атак для мониторинга кибербезопасности: оперирование неточностями, обработка циклов, отображение инцидентов и автоматический выбор защитных мер // Информатика и автоматизация. 2018. Т. 2. № 57. С. 211-240.
  38. Angelini M., Bonomi S., Borzi E., Pozzo A.D., Lenti, S., Santucci, G. An attack graph-based on-line multi-step attack detector // Proceedings of the 19th International Conference on Distributed Computing and Networking. 2018. P. 1-10.
  39. Hossain M.N., Milajerdi S.M., Wang J., Eshete B., Gjomemo R., Sekar R., Venkatakrishnan V.N. SLEUTH: Real-time attack scenario reconstruction from COTS audit data // 26th USENIX Security Symposium (USENIX Security 17). 2017. P. 487-504.
  40. Milajerdi S. M., Gjomemo R., Eshete B., Sekar R., Venkatakrishnan V.N. Holmes: real-time apt detection through correlation of suspicious information flows // 2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019. P. 1137-1152.
  41. Shameli-Sendi A., Dagenais M., Wang L. Realtime intrusion risk assessment model based on attack and service dependency graphs // Computer communications. 2018. V. 116. P. 253-272.
  42. Kotenko I., Saenko I., Ageev S. Hierarchical fuzzy situational networks for online decision-making: Application to telecommunication systems // Knowledge-Based Systems. 2019. V. 185. P. 104935.
  43. Васильев В.И., Кириллова А.Д., Вульфин А.М. Когнитивное моделирование вектора кибератак на основе меташаблонов CAPEC // Вопросы кибербезопасности. 2021. № 2 (42). С. 2-16.
  44. Sadlek L., Čeleda P., Tovarňák D. Identification of Attack Paths Using Kill Chain and Attack Graphs // NOMS 20222022 IEEE/IFIP Network Operations and Management Symposium. IEEE. 2022. P. 1-6.
  45. Зегжда Д.П., Калинин М.О., Крундышев В.М., Лаврова Д.С., Москвин Д.А., Павленко Е.Ю. Применение алгоритмов биоинформатики для обнаружения мутирующих кибератак // Информатика и автоматизация. 2021. Т. 20. № 4. С. 820-844.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
2. Рис. 1. Классификация подходов к обнаружению многошаговых атак

Скачать (205KB)
3. Рис. 2. Пример применения метода предпосылок и последствий

Скачать (83KB)
4. Рис. 3. Этапы цепочки вторжений (cyber-kill chain)

Скачать (131KB)

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».