Використання метода пошуку аномалій для виявлення мережевих атак

doi:10.26565/2304-6201-2023-60-02

Світлана Деменкова Національний технічний університет Харківський політехнічний інститут, Харків, вул.. Кирпичова,2, 61002 https://orcid.org/0000-0003-0604-5456
Катерина Демченко Державний біотехнологічний університет, вул. Алчевських 44, м. Харків, Україна, 61002 https://orcid.org/0000-0002-3168-5351
Яна Корольова Національний технічний університет Харківський політехнічний інститут, Харків, вул.. Кирпичова,2, 61002 https://orcid.org/0000-0003-0604-5456
Юрій Пахомов Харківський національний університет міського господарства імені О.М. Бекетова, м. Харків, вул. Маршала Бажанова, 17, Україна, 61002 https://orcid.org/0000-0002-2267-8600

DOI: https://doi.org/10.26565/2304-6201-2023-60-02

Ключові слова: пошук аномалій, мережеві атаки, скінчені автомати, верифікація, моделювання, розподілених інформаційних мережах, імовірнісне моделювання, верифікаційне моделювання

Анотація

Стаття присвячена опису моделі виявлення мережевих вторгнень у трафіку мереж, побудованих з урахуванням стека протоколів TCP/IP. Аналізуються основні об'єкти локальної обчислювальної мережі. Описуються основні контрольовані параметри кожного типу об'єктів. У роботі розробляються методи пошуку аномалій, що ґрунтуються як на аналізі за правилами, так і на аналізі з використанням імовірнісних моделей.

Актуальність. У зв'язку з інтенсивним зростанням інформаційних технологій та їх впровадженням у різні галузі діяльності міського господарства питання інформаційної безпеки виходить на перше місце і стає дуже актуальним.

Методи дослідження. Під час вирішення поставлених завдань використовувалися методи теорії управління; методи побудови систем захисту; теорія графів; теорія ймовірності та математична статистика; методи аналізу часових рядів; методи прогнозної аналітики та обробки великих даних; методи побудови високонавантажених захищених програм. Основними методами дослідження є імовірнісне і верифікаційне моделювання.

Результати. Імовірнісне і верифікаційне моделювання мережевих атак підтвердило працездатність запропонованого підходу. Результати синтезу за допомогою САПР показали, що додаткові апаратні витрати не перевищують 20% порівняно з канонічною моделлю опису.

Висновки. Розроблена модель системи дозволяє виявляти атаки на ключові об’єкти, що моделюються. Отримані під час випробувань результати показали високу ефективність виявлення аномалій числових параметрів моделі. Для збільшення точності надалі планується перейти до моделювання поняття «сервіс» та моделювання протоколів HTTP, SMTP, POP3. Модель сесії також дозволяє виявляти існуючі та нові атаки на рівні сесії TCP, а також деякі види атак на відмову в обслуговуванні. Модель потоків мережевого трафіку дозволяє нам виявляти такі види атак, як: різні види сканування системи, установку троянських програм (бо зросте кількість байт у вихідному потоці), установку ICMP шелла (бо зросте кількість ICMP пакетів). Модель часових інтервалів дозволяє виявляти деякі види сканування системи, атаки на відмову в обслуговуванні та встановлення web-шеллу. Стаття присвячена опису моделі виявлення мережевих вторгнень у трафіку мереж, побудованих з урахуванням стека протоколів TCP/IP. Аналізуються основні об'єкти локальної обчислювальної мережі. Описуються основні контрольовані параметри кожного типу об'єктів. Розробляються методи пошуку аномалій, що ґрунтуються як на аналізі за правилами, так і на аналізі з використанням імовірнісних моделей.

Завантаження

##plugins.generic.usageStats.noStats##

Біографії авторів

Світлана Деменкова, Національний технічний університет Харківський політехнічний інститут, Харків, вул.. Кирпичова,2, 61002

старший викладач кафедри автоматизації хіміко-технологічних систем та екологічного моніторингу

Катерина Демченко, Державний біотехнологічний університет, вул. Алчевських 44, м. Харків, Україна, 61002

к.т.н., доцент, доцент кафедри автоматизації та комп’ютерно-інтегрованих технологій

Яна Корольова, Національний технічний університет Харківський політехнічний інститут, Харків, вул.. Кирпичова,2, 61002

к.т.н., доцент кафедри мультимедійних та інтернет технології і системи

Юрій Пахомов, Харківський національний університет міського господарства імені О.М. Бекетова, м. Харків, вул. Маршала Бажанова, 17, Україна, 61002

к.т.н., доцент кафедри комп’ютерних наук та інформаційних технологій

Посилання

/

Посилання

Ruban I. V. Classification of anomaly detection methods in information systems / Ruban I. V., Martovytskyi V. O., Partika S. O. // Armament systems and military equipment. – 2016. – no. 3. – pp. 100-105. https://openarchive.nure.ua/server/api/core/bitstreams/7c434471-942c-40a7-b70c-0cc2655a42fe/content [in Ukrainian]

Miroshnyk M.A. A model of network planning with the use of multiparallel information processing methods / M.A. Miroshnyk, E.D. Tolstoluzkyi. // theses 23 International Scientific and Technical Conference "Problems of Informatics and Modeling", Kharkiv: NTU "KhPI", 2023. – pp. 75-76. https://repository.kpi.kharkov.ua/items/480d4c7b-d463-49dc-8521-c1162b16db88 [in Ukrainian]

Miroshnyk M.A.. Methods of automated design of heterogeneous computer systems and networks of critical application / Miroshnyk M.A., A.A. Mozhaev // Information and control systems on railway transport. – 2019. – No. 4. – P.40-46. DOI: https://doi.org/10.18664/ikszt.v0i4.178719.4 [in Ukrainian]

Miroshnyk M.A. Synthesis of easily testable two-dimensional networks / M. A. Myroshnyk, Y. Yu. Koroleva // Information and control systems in railway transport: abstracts of poster reports and speeches of the participants of the 31st international scientific and practical conference "Information and control systems in railway transport" ( Kharkiv, October 24-26, 2018). – 2018. – No. 4 (appendix). - pp. 20-21. http://lib.kart.edu.ua/handle/123456789/11689 [in Ukrainian]

Korobeynikova T.I. Analysis of modern open intrusion detection and prevention systems / T.I. Korobeynikova, O.O. Tsar // Lviv Polytechnic National University, Ukraine. May 2023, the grail of science. pp. 317-325. DOI:10.36074/grail-of-science.12.05.2023.050, License, CC BY-SA 4.0 [in Ukrainian]

Lukyanenko, T. Yu. Methodology for detecting network intrusions and signs of computer attacks based on an empirical approach. / Lukyanenko T. Yu., Ponochevny P. M., Legominova S. V. // Modern protection of information. – No. 2 (2022). - pp. 15-21.DOI: 10.31673/2409-7292.2022.021521 [in Ukrainian]

Chemeris K. M., Deinega L. Yu. Application of the wavelet analysis method to detect attacks in networks. Science and technology of the Air Force of the Armed Forces of Ukraine. 2022. No. 1(46). pp. 99-107. https://doi.org/10.30748/nitps.2022.46.14 [in Ukrainian]

M.V. Panchenko Identification of information security anomalies based on information system entropy analysis / M. V. Panchenko, A. M. Bigdan, T. V. Babenko, D. S. Timofeev. Energy and automation", No. 1, 2022. DOI 10.31548/energiya [in Ukrainian] http://journals.nubip.edu.ua/index.php/Energiya/article/viewFile/energiya2022.01.072/14743

Tolyupa S. Means of detecting cybernetic attacks on information systems / S. Tolyupa, N. Lukova-Chuiko, Ya. Shestak. Information communication technologies and electronic engineering. - #2 (2). 2021, pp. 19-31. [in Ukrainian] https://science.lpnu.ua/sites/default/files/journal-paper/2022/mar/27268/stattya3stolyupanlukova-chuykoyashestak.pdf [in Ukrainian]

Nicheporuk A.O. An intelligent system for detecting anomalies and identifying devices of smart buildings using collective communication / A.O. Nicheporuk, A.A. Nicheporuk, O.S. Savenko, A.D. Kazantsev. Khmelnytskyi National University // ISSN 2221-3805. Electrical and computer systems. 2021. No. 34 (110) Information systems and technologies Users/Administrator/Downloads/3196-Article Text-2350-1-10-20210904.pdf [in Ukrainian]

Analysis of systems and methods for detecting unauthorized intrusions into computer networks [Electronic resource] / V.V. Litvinov [et al.] // Mathematical machines and systems. K: IPMMS of the National Academy of Sciences of Ukraine, 2018. No. 1. P. 31-40. http://dspace.nbuv.gov.ua/handle/123456789/132008 . [in Ukrainian]

I. Tereykovskyi. Models of standards of linguistic variables for email-spoofing-attack detection systems / I. Tereykovskyi, A. Korchenko, P. Vikulov, I. I. J. Ireifidge // Information security. - 2018. - Vol. 24, No. 2. - P. 99-109. - Access mode: http://nbuv.gov.ua/UJRN/bezin_2018. [in Ukrainian]

Рубан І. В. Класифікація методів виявлення аномалій в інформаційних системах / Рубан І. В., Мартовицький В. О., Партика С. О. // Системи озброєння і військова техніка. – 2016. – №. 3. – С. 100-105. https://openarchive.nure.ua/server/api/core/bitstreams/7c434471-942c-40a7-b70c-0cc2655a42fe/content

Мірошник М.А. Модель мережевого планування із застосуванням методів мультипаралельної обробки інформації / Мірошник М.А., Толстолузький Є.Д. // тези 23 Міжнародна науково-технічная конференція "Проблеми інформатики та моделювання", Харків: НТУ "ХПІ", 2023. с. 75-76. https://repository.kpi.kharkov.ua/items/480d4c7b-d463-49dc-8521-c1162b16db88

Мирошник, М. А. Методы автоматизированного проектирования гетерогенных компьютерных систем и сетей критического применения / М. A. Мирошник, А. А. Можаев // Інформаційно-керуючі системи на залізничному транспорті. 2019. № 4. С.40-46. DOI: https://doi.org/10.18664/ikszt.v0i4.178719.4.

Мирошник М. А. Синтез легкотестируемых двумерных сетей / М. А. Мирошник, Я. Ю. Королева // Інформаційно-керуючі системи на залізничному транспорті : тези стендових доповідей та виступів учасників 31-ї міжнародної науково-практичної конференції "Інформаційно-керуючі системи на залізничному транспорті" (Харків, 24-26 жовтня, 2018 р.). – 2018. – № 4 (додаток). – С. 20-21. http://lib.kart.edu.ua/handle/123456789/11689

Коробейнікова Т.І. Аналіз сучасних відкритих систем виявлення та запобігання вторгнень / Т.І. Коробейнікова, О.О. Цар // Національний університет «Львівська політехніка», Україна. May 2023, Грааль науки. С.317-325. DOI:10.36074/grail-of-science.12.05.2023.050, License, CC BY-SA 4.0

Лук’яненко Т. Ю. Методика виявлення мережевих вторгнень і ознак комп'ютерних атак на основі емпіричного підходу. / Лук’яненко Т. Ю., Поночовний П. М., Легомінова С. В. // Сучасний захист інформації. – № 2 (2022). – с.15-21. DOI: 10.31673/2409-7292.2022.021521

Чемерис К. М., Дейнега Л. Ю. Застосування методу вейвлет-аналізу для виявлення атак в мережах. Наука і техніка Повітряних Сил Збройних Сил України. 2022. № 1(46). С. 99-107. https://doi.org/10.30748/nitps.2022.46.14.

Панченко М.В. Виявлення аномалій інформаційної безпеки на основі аналізу ентропії інформаційної системи / М. В. Панченко, А. М. Бігдан, Т. В. Бабенко, Д. С. Тимофєєв. Енергетика і автоматика", №1, 2022 р. DOI 10.31548/energiya http://journals.nubip.edu.ua/index.php/Energiya/article/viewFile/energiya2022.01.072/14743

Толюпа С. Засоби виявлення кібернетичних атак на інформаційні системи / С. Толюпа, Н. Лукова-Чуйко, Я. Шестак. Інфокомунікаційні технології та електронна інженерія. - №2 (2). 2021, стр. 19-31. https://science.lpnu.ua/sites/default/files/journal-paper/2022/mar/27268/stattya3stolyupanlukova-chuykoyashestak.pdf

Нічепорук А.О. Інтелектуальна система виявлення аномалій та ідентифікації пристроїв розумних будинків із застосуванням колективної комунікації / А.О. Нічепорук, А.А. Нічепорук, О.С. Савенко, А.Д. Казанцев. Хмельницький національний університет // ISSN 2221-3805. Електротехнічні та комп’ютерні системи. 2021. № 34 (110) Інформаційні системи та технології Users/Administrator/Downloads/3196-Article Text-2350-1-10-20210904.pdf

Аналіз систем та методів виявлення несанкціонованих вторгнень у комп’ютерні мережі [Електронний ресурс] / В. В. Литвинов [та ін.] // Математичні машини і системи. К : ІПММС НАН України, 2018. № 1. С. 31-40. http://dspace.nbuv.gov.ua/handle/123456789/132008

Терейковський І. Моделі еталонів лінгвістичних змінних для систем виявлення email-спуфінг-атак / І. Терейковський, А. Корченко, П. Вікулов, І. І. Дж. Ірейфідж // Безпека інформації. - 2018. - Т. 24, № 2. - С. 99-109. Режим доступу: http://nbuv.gov.ua/UJRN/bezin_2018