Методологія побудови систем виявлення аномалій породжених кібератаками

The IT development is transforming so fast that the classical defense mechanisms cannot remain effective, malicious software and other cyber threats getting more and more widespread. For this reason, there appears a necessity in intrusion detection systems that could allow prompt detection and prevention of security incidents (especially cyber attacks unknown before) characterized by fuzzy criteria. There is a tuple model for basic component set formation and a number of methods used for intrusion detection, the use of which would expand the functionality of intrusion detection systems. For this purpose, we suggest a cyber attack detection methodology whose basic mechanism relies on the following seven stages: formation of cyber attack identifiers; building of parameter subsets; formation of fuzzy standard subsets; building of subsets of fuzzy param-eters current values; α-level nominalization of fuzzy numbers; determination of identifying terms; formation of basic detection rule subsets. This methodology allows creating tools that would expand the functionalities of modern intrusion detection systems used to determine the level of the abnormal condition characteristic of a certain cyber at-tack type in a poorly formalized fuzzy environment.Развитие информационных технологий трансформируется настолько быстро, что классические механизмы защиты не могут оставаться эффективными, а вредоносное программное обеспечение и другие киберугрозы становятся все более распространенными. Поэтому необходимы системы обнаружения вторжений, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности (особенно ранее неизвестных кибератак), характеризующихся нечетко определенными критериями. Известны кортежная модель формирования набора базовых компонент и ряд методов, применяемых для решения задач выявления вторжений. Их использование позволит усовершенствовать функциональные возможности систем обнаружения вторжений. С этой целью предлагается методология ориентированная на решение задач выявления кибератак, базовый механизм которой основывается на семи этапах: формирование идентификаторов кибератак; построение подмножеств параметров; формирование подмножеств нечетких эталонов; построение подмножеств текущих значений нечетких параметров; α-уровневая номинализация нечетких чисел; определение идентифицирующих термов; формирование подмножеств базовых детекционных правил. Такая методология позволяет строить средства расширяющие функциональные возможности современных систем обнаружения вторжений, используемых для определения уровня аномального состояния, характерного воздействию определенного типа кибератак в слабоформализованной нечеткой среде окружения.Розвиток інформаційних технологій трансформується настільки швидко, що класичні механізми захисту не можуть залишатися ефективними, а шкідливе програмне забезпечення та інші кіберзагрози стають все більш поширеними. Тому необхідні системи виявлення вторгнень, що дозволяють оперативно виявляти і запобігати порушенням безпеки (особливо раніше невідомих кібератак), які характеризуються нечітко визначеними критеріями. Відомі кортежна модель формування набору базових компонент і низка методів, що застосовуються для вирішення завдань виявлення вторгнень. Їх використання дозволить удосконалити функціональні можливості систем виявлення вторгнень. З цією метою пропонується методологія, орієнтована на вирішення завдань виявлення кібератак, базовий механізм якої ґрунтується на семи етапах: формування ідентифікаторів кібератак; побудова підмножин параметрів; формування підмно-жин нечітких еталонів; побудова підмножин поточних значень нечітких параметрів; α-рівнева номіналізація нечітких чисел; визначення ідентифікуючих термів; формування підмножин базових детекційних правил. Така методологія дозволяє будувати засоби, які розширюють функціональні можливості сучасних систем виявлення вторгнень, що використовуються для визначення рівня аномального стану, характерного впливу певного типу кібератак в слабоформалізованому нечіткому середовищі оточення

Моделі еталонів лінгвістичних змінних для систем виявлення email-спуфінг-атак

The development of information systems in the modern world is inextricably linked with the improvement of destructive software, which is aimed at the various resources of information systems. Among the various ways to influence the user, the most dangerous are those that masking by under the really existing software or web service and are trying to access the personal data of the user, or use its resources or software for fraudulent purposes. The activation of such attacks requires the creation of specialized means of detection and counteraction, which will be equally effective against both present and future cyber threats with unidentified or unclearly defined properties. That is, similar means can function in a fuzzy, poorly formalized environment. Modern methods, models and systems based on fuzzy sets can be used to construct and improve existing tools for detecting intrusions and anomalies in information systems that arise as a result of the implementation of cyber threats. There are a number of developments that are used when they are detected, one of which is the method of forming linguistic etalons for intrusion detection systems. In the described method, the mechanism of the process of forming parameters etalons for email spoofing attacks is not disclosed. With this in mind, a model of linguistic variables etalons was developed for detecting email spoofing attacks, which would formalize the process of obtaining parameter benchmarks. (the number of detected IP addresses in spam bases, the number of spam words in the topic, the number of spam messages in the message) for given linguistic variables of the selected environment when solving problems, in relation to detection of attacks. Similar models can be used to increase the effectiveness of information security measures aimed at countering email spoofing attacks in information systems.Развитие информационных систем в современном мире неразрывно связано с совершенствованием деструктивного программного обеспечения, которое направлено на различные ресурсы информационных систем. Среди различных способов воздействия на пользователя особенно опасны те, что с помощью маскировки под реально существующее программное обеспечение или web-сервис пытаются получить доступ к персональным данным пользователя, использовать его ресурсы или программное обеспечение в мошеннических целях. Активизация подобных атак требует создания специализированных средств обнаружения и противодействия, которые будут одинаково эффективны как против имеющихся, так и будущих киберугроз с неустановленными или нечетко определенными свойствами. То есть подобные средства могут функционировать в нечеткой, слабоформализованной среде. Современные методы, модели и системы, основанные на нечетких множествах могут быть использованы для построения и совершенствования имеющихся средств обнаружения вторжений и аномалий в информационных системах, возникающих в результате реализации киберугроз. Есть ряд разработок, используемых при их обнаружении, одной из которых является метод формирования лингвистических эталонов для систем обнаружения вторжений. В описанном методе не раскрыт механизм процесса формирования эталонов параметров для email-спуфинг-атак. С учетом этого, разработана модель эталонов лингвистических переменных для выявления email-спуфинг-атак, которая позволит формализовать процесс получения эталонов параметров (количество выявленных IP-адресов в спам-базах, количество спам-слов в теме, количество спам-слов в сообщении) для заданных лингвистических переменных определенной среды окружения при решении задач выявления атак. Подобные модели могут быть использованы для повышения эффективности средств защиты информации, направленных на противодействие email-спуфинг атакам в информационных системах.Розвиток інформаційних систем у сучасному світі невід’ємно пов’язаний з вдосконаленням деструктивного програмного забезпечення,  яке спрямоване на різноманітні ресурси інформаційних систем. Серед різноманітних способів впливу на користувача особливо небезпечними є такі, що за допомогою маскування під реально існуюче програмне забезпечення чи web-сервіс намагаються отримати доступ до персональних даних користувача, або використати його ресурси чи програмне забезпечення у шахрайських цілях. Активізація подібних атак вимагає створення спеціалізованих засобів виявлення та протидії, що будуть однаково ефективні як проти наявних, так і майбутніх кіберзагроз з невстановленими або нечітко визначеними властивостями. Тобто подібні засоби можуть функціонувати у нечіткому, слабоформалізованому середовищі. Сучасні методи, моделі та системи, що засновані на нечітких множинах можуть бути використані для побудови та вдосконалення наявних засобів виявлення вторгнень та аномалій у інформаційних системах, що виникають в результаті реалізації кіберзагроз. Є ряд розробок, що використовуються при їх виявленні, однією з яких є метод формування лінгвістичних еталонів для систем виявлення вторгнень. В описаному методі не розкритий механізм процесу формування еталонів параметрів для email-спуфінг-атак. З урахуванням цього, розроблено модель еталонів лінгвістичних змінних для виявлення email-спуфінг-атак, що дозволить формалізувати процес отримання еталонів параметрів (кількість виявлених ІР-адрес у спам-базах, кількість спам-слів у темі, кількість спам-слів  у повідомленні) для заданих лінгвістичних змінних обраного середовища оточення при вирішенні задач, щодо виявлення атак. Подібні моделі можуть бути використані для підвищення ефективності засобів захисту інформації, що спрямовані на протидію email-спуфінг атакам в інформаційних системах

Метод формування базових детекційних правил для систем виявлення вторгнень

Due to the intensive development of digital business, malicious software and other cyber threats become more and more common. To increase the security level there is a need of relevant special control, which can remain effective when new types of threats are appeared and allows to detect the cyber attacks in fuzzy conditions targeting on many different resources of information systems. The various attacking effects on appropriate resources, generate different sets of anomalies in the heterogeneous parametric environment. It is also known the tuple model of set formation of basic components allowing us to detect cyber attacks. For its effective use it is required a formal approach implementation towards the sets formation of basic detection rules. With this objective the method focused on cyber attacks detection in computer systems was developed. This method is realized through three basic stages: formation of subsets of the anomalous IDs; the formation of critical functions; formation of a conditional detection expression. Using this method, it is possible to generate the necessary set of detection rules that determine the level of abnormal condition of values in the heterogeneous parametric environment. The implementation of this method in building intrusion detection systems will expand their functionality with respect to the cyber attacks detection in the weakly-formalized fuzzy environment.Вследствие интенсивного развития цифрового бизнеса, вредоносное программное обеспечение и другие киберугрозы становятся все более распространенными. Для повышения уровня безопасности необходимы соответствующие специальные средства противодействия, которые способны оставаться эффективными при появлении новых видов угроз и позволяющие в нечетких условиях выявить кибератаки, ориентированные на множество ресурсов информационных систем. Различные атакующие воздействия на соответствующие ресурсы порождают различные множества аномалий в гетерогенной параметрической среде окружения. Известна кортежная модель формирования набора базовых компонент, которые позволяют выявить кибератаки. Для ее эффективного применения необходима формальная реализация подхода к формированию наборов базовых детекционных правил. С этой целью разработан метод, ориентированный на решение задач выявления кибератак в компьютерных системах, который реализуется посредством трех базовых этапов: формирование подмножеств идентификаторов аномальности; формирование решающих функций; формирование условных детекционных выражений. С помощью такого метода можно сформировать необходимое множество детекционных правил, по которым определяется уровень аномального состояния величин в гетерогенной параметрической среде окружения, характерный для воздействия определенного типа атак. Использование данного метода при построении систем обнаружения вторжений позволит расширить их функциональные возможности относительно выявления кибератак в слабоформализованной нечеткой среде окружения.Внаслідок інтенсивного розвитку цифрового бізнесу, шкідливе програмне забезпечення та інші кіберзагрози стають все більш поширеними. Для підвищення рівня безпеки необхідні відповідні спеціальні засоби протидії, які здатні залишатися ефективними при появі нових видів загроз і дозволяють в нечітких умовах виявити кібератаки орієнтовані на множини ресурсів інформаційних систем. Різні атакуючі впливи на відповідні ресурси породжують різні множини аномалій в гетерогенному параметричному середовищі оточення. Відома кортежна модель формування набору базових компонент, що дозволяють виявити кібератаки. Для її ефективного застосування необхідна формальна реалізація підходу до формування наборів базових детекційних правил. З цією метою розроблено метод, орієнтований на вирішення задач виявлення кібератак в комп'ютерних системах, який реалізується за допомогою трьох базових етапів: формування підмножин ідентифікаторів аномальності; формування вирішальних функцій; формування умовних детекційних виразів. За допомогою такого методу можна сформувати необхідну множину детекційних правил, за якими визначається рівень аномального стану величин в гетерогенному параметричному середовищі оточення, характерний для впливу певного типу атак. Використання даного методу при побудові систем виявлення вторгнень дозволить розширити їх функціональні можливості, щодо виявлення кібератак в слабоформалізованому нечіткому середовищі оточення

Cyberattack detection system

На сегодня одним из условий обеспечения кибербезопасности в крупных организациях, является непрерывность обеспечения процесса обнаружения вторжений (кибератак). К таким, наиболее распространённым системам, относятся те, которые используют известные сигнатуры (шаблоны) атак в сетевом трафике, а также системы, ориентированные на обнаружение аномалий, содержащие профиль нормальной (ненормальной) активности. Они имеют ряд недостатков, которые перекрывают экспертные подходы, основанные на использовании знаний и опыта специалистов соответствующей предметной области. Расширение воздействий кибератак, направленных на различные ресурсы информационных систем инициирует задачи построения технических решений и создание специальных средств, способных оставаться эффективными при появлении новых видов угроз с неустановленными или нечетко определенными параметрами. Известен ряд достаточно эффективных разработок, используемых для решения таких задач выявления кибератак. С этой целью, на базе известной методологии построения систем выявления аномалий, порожденных кибератаками разработана система выявления атак. Она, за счет баз данных кибератак, правил и эталонов, а также модулей формирования текущих значений, альфа-уровневой номинализации, идентифицирующих термов, уровня аномальности и визуализации, позволяет строить средства, расширяющие функциональные возможности современных систем обнаружения вторжений. Это достигается посредством определения уровня ано-мального состояния, характерного воздействию определенного типа кибератак в слабоформализованной нечеткой среде окружения

Програмне забезпечення формування еталонів параметрів для систем виявлення кібератак

The overwhelming majority of intrusion detection systems become an integral part of the protection of any network security, they are used to monitor suspicious activity in the system and detect an attack by an unauthorized party. Ac-tivating of cyberattacks initiates the creation of special technical solutions that can remain effective when new or modified types of cyber threats appear with unidentified or unclearly defined properties. The majority of such systems are aimed to detect suspicious activity or interfering in the network to take adequate measures to prevent cyber at-tacks. Current systems for detecting intrusions are those that are aimed to identify abnormal states, but they have a number of disadvantages. More effective in this regard are expert approaches based on the use of knowledge and experience of specialists in the relevant subject field. The construction of technical solutions and the creation of special tools (for example, software for detection systems that allow detection of previously unknown cyber attacks by controlling the current state of unclear parameters in a poorly formalized environment, based on expert approaches, is a promising area of research. Based on the well-known cyberattack detection system which is based on the methodology for detecting anomalies generated by cyber attacks and the set of appropriate methods and models, software provided by the basic algorithm and a number of developed procedures (grid construction, initialization of values based on a set of databases and modules; graphic forming of parameters, search of common points in ac-cordance with the basic rules and graphic interpretation of the result) allows to automate the process of forming parameters etalons for modern attack detection systems and display the results of detecting abnormal states at a given time interval.Большинство систем обнаружения вторжений становятся неотъемлемой частью защиты какой-либо сетевой безопасности, они используются для мониторинга подозрительной активности в системе и выявления атакующих действий неавторизованной стороны. Активизация кибератак инициирует создание специальных технических решений способных оставаться эффективными при появлении новых или модифициро-ванных видов киберугроз с неустановленными или нечетко определенными свойствами. Большинство таких систем направлено на выявление подозрительной активности или вмешательства в сеть для принятия адекватных мер по предотвращению кибератак. Актуальными системами обнаружения вторжений являются те, которые ориентированы на идентификацию аномальных состояний, но они имеют ряд недостатков. Более эффективными в этом являются экспертные подходы, основанные на использовании знаний и опыта специалистов соответствующей предметной области. Построение технических решений и создания специальных средств (например, программного обеспечения для систем обнаружения атак, позволяющего детектировать ранее неизвестные кибератаки путем контроля текущего состояния нечетко определенных параметров в слабоформализованной среде окружения), основанных на экспертных подходах, является перспективным направлением исследований. На основе известной системы обнаружения кибератак, которая базируется на методологии выявления аномалий (порожденных кибератаками) и множества соответствующих методов и моделей, предложено программное обеспечение, которое, за счет базового алгоритма и ряда разработанных процедур (конструирование координатной сетки; инициализации величин на основе набора баз данных и модулей; графического формирования параметров; поиска общих точек соответственно базовых правил и графической интерпретации результата), позволяет автоматизировать процесс формирования эталонов параметров для современных систем обнаружения атак и отображать результаты детектирования аномального состояния в заданный промежуток времени.Переважна більшість систем виявлення вторгнень стають невід’ємною частиною захисту будь якої мережевої безпеки, вони використовуються для моніторингу підозрілої активності в системі та виявлення атакуючих дій неавторизованої сторони. Активізація кібератак ініціює створення спеціальних технічних рішень, здатних залишатись ефективними при появі нових або модифікованих видів кіберзагроз з невстановленими або нечітко визначеними властивостями. Більшість таких систем направлена на виявлення підозрілої активності чи втручання в мережу для прийняття адекватних заходів щодо запобігання кібератакам. Актуальними системами виявлення вторгнень є ті, які орієнтовані на ідентифікацію аномальних станів але вони мають низку недоліків. Більш ефективні в цьому відношенні є експертні підходи, засновані на використанні знань і досвіду фахівців відповідної предметної галузі. Побудова технічних рішень і створення спеціальних засобів (наприклад, програмного забезпечення для систем виявлення атак, що дозволяють детектувати раніше невідомі кібератаки шляхом контролю поточного стану нечітко визначених параметрів в слабоформалізованому середовищі ото-чення), заснованих на експертних підходах, є перспективним напрямком досліджень. На основі відомої системи виявлення кібератак, яка базується на методології виявлення аномалій (породжених кібератаками) та множини відповідних методів і моделей запропоноване програмне забезпечення, яке, за рахунок базового алгоритму та низки розроблених процедур (конс-труювання координатної сітки; ініціалізації величин на основі набору баз даних та модулів; графічного формування пара-метрів; пошуку спільних точок відповідно базових правил та графічної інтерпретації результату) дозволяє автоматизу-вати процес формування еталонів параметрів для сучасних систем виявлення атак та відображати результати детек-тування аномального стану у заданий проміжок часу

МЕТОД ФОРМУВАННЯ ЕТАЛОННОГО СУБДОВКІЛЛЯ ДЛЯ ВИЯВЛЕННЯ ФІШИНГОВИХ URL-АДРЕС

Increasing and improving the effectiveness of cyber-attacks to detect disease detection systems annually, and the use of modern intrusion detection systems allows you to quickly respond to new types of cyber-attacks and detect cases of infection with protective equipment. Such systems are quite advanced, but their significant operation requires real-time information, which can be used to determine the suspicious activity of an unauthorized party. Such information can be determined using expert approaches. Expert methods can help detect new cyber-attacks. The use of methods, models and systems based on the theory of fuzzy sets in the construction of anomaly detection tools generated by the implementation of new cyber threats is likely to have a trial and detection of an intrusion detection system. The development of computational solutions, calculations in fuzzy conditions, are likely to be identified by previously improbable and modified types of cyber-attacks. There are also enough developments that are used to solve cyber-attack detection problems, for example, a number of methods for creating a reference subenvironment for an intrusion detection system, but they are not focused on phishing approaches. However, as practice shows, when new symptoms and anomalies appear, generated by attacking actions with unspecified or unclearly targeted actions, in relation to media that do not always require effective work, therefore, methods that allow obtaining results in the process of a new reference subsystem for an intrusion detection system are relevant tasks. Phishing is one of the standard means aimed at collecting confidential information, such as logins, passwords, financial details and other personal data. For this developed model of the formation of a reference subenvironment for determining phishing URLs due to the generated set: the number of country parameters by IP address, the age of the domain and expert assessment of the state of the subenvironment of the disclosed system, the formalization of the process of generating the parameters of the reference subenvironment for solving the problems of determining phishing URLs is determined.Збільшення та удосконалення кібератак на інформаційні системи зростає щорічно, а використання сучасних систем виявлення вторгнень дозволяє швидко реагувати на нові види кібератак та вдосконалювати існуючі засоби захисту. Такі системи достатньо розвинуті, але для їх ефективної роботи необхідна інформація у режимі реального часу, з використанням якої можливо виявляти підозрілу активність неавторизованої сторони. Таку інформацію можна проаналізувати з використанням експертних підходів. Експертні методи можуть допомогти виявляти нові неочікувані кібератаки. Використання методів, моделей і систем на основі теорії нечітких множин при побудові засобів виявлення аномалій, породжених реалізацією нових кіберзагроз, дозволить удосконалити та зробити більш ефективними існуючі системи виявлення вторгнень. А розробка відповідних технічних рішень, що працюють в нечітких умовах, дозволить виявляти раніше не відомі та модифіковані види кібератак. Також є досить ефективні розробки, які використовуються для вирішення завдань виявлення кібератак, наприклад, низка методів формування еталонного субдовкілля для системи виявлення вторгнень, але вони не орієнтовані на фішингові підходи. Однак, як показує практика, при появі нових загроз та відповідних аномалій, породжених атакуючими діями з невстановленими або нечітко визначеними властивостями, відповідні засоби не завжди залишаються ефективними, тому розробка методів, що дозволяють удосконалити процес отримання нового еталонного субдовкілля для системи виявлення вторгнень, є актуальним завданням. Одним із небезпечних засобів, який направлений на збір конфіденційної інформації, такої як логіни, паролі, фінансові реквізити та інші особисті дані є фішинг. Для цього розроблений метод формування еталонного субдовкілля для виявлення фішингових URL-адрес за рахунок сформованого набору параметрів: кількість країн за IP-адресою, вік домену та експертного оцінювання стану субдовкілля інформаційної системи дозволить формалізувати процес формування параметрів еталонного субдовкілля для вирішення задач, щодо виявлення фішингових URL-адрес

Data mining для дослідження стану захищеності інформаційного простору Сумського державного університету

У роботі виконано аналіз стану захищеності інформаційного простору Сумського державного університету; розглянуто види кібератак та визначено дії для захисту від них; проаналізовано та порівняно методи Data Mining; розглянуто та порівняно найпопулярніше програмне забезпечення для побудови моделі; побудовано та перевірено на адекватність моделі нейронних мереж для прогнозування. Основна мета дослідження полягає у побудові моделі прогнозування можливості успішних кібератак на досліджуваний інформаційний простір.The analysis of the state of protection of the information space of Sumy State University is performed in the work; types of cyberattacks are considered and actions for protection against them are defined; analyzed and compared Data Mining methods; considered and compared the most popular software for model building; built and tested for the adequacy of the neural network model for forecasting. The main purpose of the study is to build a model for predicting the possibility of successful cyber attacks on the studied information space

Методи ідентифікації аномальних станів для систем виявлення вторгнень

Монографія присвячена теоретико-методологічним і практичним аспектам розробки методів ідентифікації аномальних станів та методології побудови систем виявлення вторгнень. У роботі проведено аналіз засобів виявлення зловживань та аномалій. Значну увагу приділено формалізації процесу створення mi-вимірних параметричних, атакуючих, еталонних, поточних та детекційних середовищ. Це є підґрунтям для створення засобів, які дозволять автоматизувати процес детектування в слабоформалізованому нечітко визначеному середовищі аномальний стан, що породжується кібератаками, у заданий проміжок часу шляхом контролю поточного стану множини визначених параметрів. Такі засоби можуть використовуватися автономно або, як розширювач функціональних можливостей сучасних систем виявлення вторгнень. Книга призначена для науковців, інженерів, аспірантів і студентів вищих навчальних закладів відповідного профілю