Pattern Extraction Algorithm for NetFlow-Based Botnet Activities Detection

As computer and network technologies evolve, the complexity of cybersecurity has dramatically increased. Advanced cyber threats have led to current approaches to cyber-attack detection becoming ineffective. Many currently used computer systems and applications have never been deeply tested from a cybersecurity point of view and are an easy target for cyber criminals. The paradigm of security by design is still more of a wish than a reality, especially in the context of constantly evolving systems. On the other hand, protection technologies have also improved. Recently, Big Data technologies have given network administrators a wide spectrum of tools to combat cyber threats. In this paper, we present an innovative system for network traffic analysis and anomalies detection to utilise these tools. The systems architecture is based on a Big Data processing framework, data mining, and innovative machine learning techniques. So far, the proposed system implements pattern extraction strategies that leverage batch processing methods. As a use case we consider the problem of botnet detection by means of data in the form of NetFlows. Results are promising and show that the proposed system can be a useful tool to improve cybersecurity

Підсистема підтримки прийняття рішень при виникненні пожежі в салоні повітряного судна

Робота публікується згідно наказу Ректора НАУ від 27.05.2021р. №311/од «Про розміщення кваліфікаційних робіт здобувачів вищої освіти в репозиторії університету». Керівник проекту: Кучерява О.М.Стрімке впровадження інфокомунікаційних технологій у різні сфери людської діяльності сприяє розвитку методів протидії їхньому функціонуванню для стримування пропонованих ними можливостей із боку зловмисників. Причому така протидія реалізується на різних рівнях для впливу як на приватних осіб, так і державні структури. Внаслідок цього з'являється безліч класів деструктивних інформаційних кібернетичних впливів (ДІКВ). Загальний аналіз атак показує, що одним із ефективних способів впливів на інфокомунікаційну мережу з метою порушення процесів управління нею є несанкціоноване блокування доступу до інформаційних ресурсів. Найбільш поширеним методом ДІКВ є розподілена атака відмови в обслуговуванні (DDoS-атака). Результати аналізу ДІКВ на інфокомунікаційні мережі у 2021 році вказують на те, що однією з основних цілей ДІКВ є прикладний рівень інфокомунікаційної мережі. Статистика атак за кількістю запитів на секунду показує, що більш ніж у 79,4% випадків атак потужність атаки лежить у межах 10-1000 тис. запитів на секунду (RPS) при середній тривалості від 30 до 60 хвилин на 41,4% випадків. Розглядаючи динаміку тенденції проведення розподілених атак відмови в обслуговуванні прикладного рівня, можна дати прогноз збільшення в найближчому майбутньому частки застосування низькоінтенсивних атак, що потребує вдосконалення методів їх виявлення. З метою мінімізації наслідків DDoS-атак, їх виявлення та класифікація є вкрай важливим і водночас складним завданням. Основний спосіб розпізнавання DDoS-атаки полягає у виявленні аномалій у структурі трафіку. Традиційні механізми забезпечення безпеки – міжмережеві екрани та системи виявлення вторгнень – не є ефективними засобами для виявлення DDoS-атак та захисту від них, особливо атак трафіком великого обсягу. Фундаментальною передумовою виявлення атак є побудова контрольних характеристик трафіку під час роботи мережі у штатних умовах із наступним пошуком аномалій у структурі трафіку (відхилення від контрольних характеристик). Існуючі методи виявлення DoS-атак, засновані на статистичному аналізі порогових значень, що дозволяють ефективно розпізнавати атаки транспортного рівня (SYN-флуд, UDP-флуд та інші), малоефективні для виявлення низькоінтенсивних DoS-атак (Low-Rate DoS) прикладного рівня. Це зумовлює актуальність розробки нових механізмів виявлення низькоінтенсивних атак прикладного рівня типу «відмова в обслуговуванні» в комп'ютерних мережах за допомогою методів штучного інтелекту. Отже метою роботи є розробка технології виявлення мережевих атак низької ефективності на основі аналізу трафіку по повному спектру параметрів з використання методів штучного інтелекту