Розробка підхіду до ідентифікації користувачів системи за їх поведінкою за допомогою методів машинного навчання

One of the biggest reasons that lead to violations of the security of companies’ services is obtaining access by the intruder to the legitimate accounts of users in the system. It is almost impossible to fight this since the intruder is authorized as a legitimate user, which makes intrusion detection systems ineffective. Thus, the task to devise methods and means of protection (intrusion detection) that would make it possible to identify system users by their behavior becomes relevant. This will in no way protect against the theft of the data of the accounts of users of the system but will make it possible to counteract the intruders in cases where they use this account for further hacking of the system. The object of this study is the process of protecting system users in the case of theft of their authentication data. The subject is the process of identifying users of the system by their behavior in the system. This paper reports a functional model of the process of ensuring the identification of users by their behavior in the system, which makes it possible to build additional means of protecting system users in the case of theft of their authentication data. The identification model takes into consideration the statistical parameters of user behavior that were obtained during the session. In contrast to the existing approaches, the proposed model makes it possible to provide a comprehensive approach to the analysis of the behavior of users both during their work (in a real-time mode) and after the session is over (in a delayed mode). An experimental study on the proposed approach of identifying users by their behavior in the system showed that the built patterns of user behavior using machine learning methods demonstrated an assessment of the quality of identification exceeding 0.95Однією з найбільших причин, які призводять до порушень безпеки сервісів компаній, - це отримання доступу зловмисником до легітимних облікових записів користувачів системи. Боротися з цим майже неможливо, оскільки зловмисник авторизований, як легітимний користувач, що робить системи виявлення вторгнень не ефективними. Таким чином, актуальним стає задача розробки методів та засобів захисту (виявлення вторгнення), які б давали змогу ідентифікувати користувачів системи за їх поведінкою. Це ні в якому разі не захистить від крадіжки даних облікових записів користувачів системи, але дасть змогу протидіяти зловмисникам у випадках, коли вони використають цей обліковий запис для подальшого злому системи. Об’єкт досліджень - процес захисту користувачів системи у випадку крадіжки їх даних автентифікації. Предмет досліджень - процес ідентифікації користувачів системи за їх поведінкою в системі. В роботі представлено функціональну модель процесу забезпечення ідентифікації користувачів за їх поведінкою в системі, що дозволяє створити додаткові засоби захисту користувачів системи у випадку крадіжки їх даних автентифікації. Модель ідентифікації враховує статистичні параметри поведінки користувача, які були отримані впродовж сеансу. На вiдмiнy вiд iснyючих пiдхoдiв, запpoпoнoвана мoдель дoзвoляє забезпечити комплексний пiдхiд дo аналiзy пoведiнки кopистyвачiв як пiд час йoгo poбoти (y pежимi pеальнoгo часy), так i після закінчення сеансу (y вiдкладенoмy pежимi). Експериментальне дослідження щодо запропонованого підходу ідентифікації користувачів за його поведінкою в системі показало, що побудовані моделі поведінки користувачів з використанням методів машинного навчання показали оцінку якості ідентифікації більше 0.9

SYNERGY OF BUILDING CYBERSECURITY SYSTEMS

The development of the modern world community is closely related to advances in computing resources and cyberspace. The formation and expansion of the range of services is based on the achievements of mankind in the field of high technologies. However, the rapid growth of computing resources, the emergence of a full-scale quantum computer tightens the requirements for security systems not only for information and communication systems, but also for cyber-physical systems and technologies. The methodological foundations of building security systems for critical infrastructure facilities based on modeling the processes of behavior of antagonistic agents in security systems are discussed in the first chapter. The concept of information security in social networks, based on mathematical models of data protection, taking into account the influence of specific parameters of the social network, the effects on the network are proposed in second chapter. The nonlinear relationships of the parameters of the defense system, attacks, social networks, as well as the influence of individual characteristics of users and the nature of the relationships between them, takes into account. In the third section, practical aspects of the methodology for constructing post-quantum algorithms for asymmetric McEliece and Niederreiter cryptosystems on algebraic codes (elliptic and modified elliptic codes), their mathematical models and practical algorithms are considered. Hybrid crypto-code constructions of McEliece and Niederreiter on defective codes are proposed. They can significantly reduce the energy costs for implementation, while ensuring the required level of cryptographic strength of the system as a whole. The concept of security of corporate information and educational systems based on the construction of an adaptive information security system is proposed. ISBN 978-617-7319-31-2 (on-line)ISBN 978-617-7319-32-9 (print) ------------------------------------------------------------------------------------------------------------------ How to Cite: Yevseiev, S., Ponomarenko, V., Laptiev, O., Milov, O., Korol, O., Milevskyi, S. et. al.; Yevseiev, S., Ponomarenko, V., Laptiev, O., Milov, O. (Eds.) (2021). Synergy of building cybersecurity systems. Kharkiv: РС ТЕСHNOLOGY СЕNTЕR, 188. doi: http://doi.org/10.15587/978-617-7319-31-2 ------------------------------------------------------------------------------------------------------------------ Indexing:                    Розвиток сучасної світової спільноти тісно пов’язаний з досягненнями в області обчислювальних ресурсів і кіберпростору. Формування та розширення асортименту послуг базується на досягненнях людства у галузі високих технологій. Однак стрімке зростання обчислювальних ресурсів, поява повномасштабного квантового комп’ютера посилює вимоги до систем безпеки не тільки інформаційно-комунікаційних, але і до кіберфізичних систем і технологій. У першому розділі обговорюються методологічні основи побудови систем безпеки для об'єктів критичної інфраструктури на основі моделювання процесів поведінки антагоністичних агентів у систем безпеки. У другому розділі пропонується концепція інформаційної безпеки в соціальних мережах, яка заснована на математичних моделях захисту даних, з урахуванням впливу конкретних параметрів соціальної мережі та наслідків для неї. Враховуються нелінійні взаємозв'язки параметрів системи захисту, атак, соціальних мереж, а також вплив індивідуальних характеристик користувачів і характеру взаємовідносин між ними. У третьому розділі розглядаються практичні аспекти методології побудови постквантових алгоритмів для асиметричних криптосистем Мак-Еліса та Нідеррейтера на алгебраїчних кодах (еліптичних та модифікованих еліптичних кодах), їх математичні моделі та практичні алгоритми. Запропоновано гібридні конструкції криптокоду Мак-Еліса та Нідеррейтера на дефектних кодах. Вони дозволяють істотно знизити енергетичні витрати на реалізацію, забезпечуючи при цьому необхідний рівень криптографічної стійкості системи в цілому. Запропоновано концепцію безпеки корпоративних інформаційних та освітніх систем, які засновані на побудові адаптивної системи захисту інформації. ISBN 978-617-7319-31-2 (on-line)ISBN 978-617-7319-32-9 (print) ------------------------------------------------------------------------------------------------------------------ Як цитувати: Yevseiev, S., Ponomarenko, V., Laptiev, O., Milov, O., Korol, O., Milevskyi, S. et. al.; Yevseiev, S., Ponomarenko, V., Laptiev, O., Milov, O. (Eds.) (2021). Synergy of building cybersecurity systems. Kharkiv: РС ТЕСHNOLOGY СЕNTЕR, 188. doi: http://doi.org/10.15587/978-617-7319-31-2 ------------------------------------------------------------------------------------------------------------------ Індексація:                 &nbsp

ВІДБІР ПАРАМЕТРІВ МОНІТОРИНГУ МЕРЕЖНОЇ ІНФРАСТРУКТУРИ ДЛЯ КЛАСИФІКАЦІЇ СТАНУ МЕРЕЖІ

The subject of research in the article is the stage of preliminary data processing for machine learning algorithms and consideration of various pre-processing techniques and evaluation the informativeness of features-based parameters network infrastructure monitoring for effective intellectual state analysis. The aim of the work - to consider various data preprocessing techniques and evaluation of informativeness for determining controls parameters of network infrastructure for more efficient intellectual analysis. The article solves following tasks: consideration of methods for selecting parameters; parameter determination for assessing the state of a network filtration methods, based on algorithms that are not related to classification methods; wrapper methods, based on importance features information, obtained from classification or regression methods, which can determine data deeper patterns; embedded methods that perform feature selection during the classifier training procedure and optimize the set of features used to improve accuracy. Results: various preliminary processing techniques and evaluation of informativeness of feature were analyzed to determine the parameters of network infrastructure monitoring. The results of feature selection methods were analyzed to simplify the different machine learning models. The minimum parameters set has been formed for monitoring the state of the network infrastructure. Conclusions: The use of feature selection methods made it possible to reduce the input parameter set for classifying the state of the network infrastructure methods.Предметом исследования в статье является этап предварительной обработки данных для алгоритмов машинного обучения и рассмотрение различных техник предварительной обработки и оценки информативности признаков при определении параметров контроля сетевой инфраструктуры для более эффективного интеллектуального анализа состояния сетевой инфраструктуры. Цель работы - рассмотрение различных техник предварительной обработки данных и оценки информативности при определении параметров контроля сетевой инфраструктуры для более эффективного интеллектуального анализа. В статье решаются следующие задачи: рассмотрение методов отбора параметров, определение множества параметров для оценки состояния сети. Используются методы фильтрации, организованные на условиях, независящих от метода классификации, методы обертки, основанные на информации о важности признаков, полученной от методов классификации или регрессии, и поэтому могут определить более глубокие закономерности в данных, чем фильтры, встроенные методы, выполняющие отбор признаков во время процедуры обучения классификатора и явно оптимизирующие набор используемых признаков для повышения точности. Получены следующие результаты: проанализированы различные техники предварительной обработки и оценки информативности признаков при определении параметров контроля сетевой инфраструктуры для более эффективного интеллектуального анализа состояния сетевой инфраструктуры. Исследованы результаты применения методов отбора признаков для упрощения различных моделей машинного обучения. Сформирован минимальный набор параметров, необходимых для мониторинга состояния сетевой инфраструктуры. Выводы: Применение методов отбора признаков позволило уменьшить входной набор параметров для методов классификации состояния сетевой инфраструктуры.Предметом дослідження в статті є етап попередньої обробки даних для алгоритмів машинного навчання і розгляд різних технік попередньої обробки та оцінки інформативності ознак при визначенні параметрів контролю мережевої інфраструктури для більш ефективного інтелектуального аналізу стану мережевої інфраструктури. Мета роботи –  розгляд різних технік попередньої обробки даних і оцінки інформативності при визначенні параметрів контролю мережної інфраструктури для більш ефективного інтелектуального аналізу. В статті вирішуються наступні завдання: розгляд методів відбору параметрів, визначення множини параметрів для оцінки стану мережі. Використовуються методи фільтрації, які організовані на критеріях, що не залежать від методу класифікації; методи обгортки, що грунтуються на інформації про важливість ознак, яка отримана від методів класифікації або регресії, і тому можуть визначити більш глибокі закономірності в даних, ніж фільтри; вбудовані методи, які виконують відбір ознак під час процедури навчання класифікатора, і явно оптимізують набір використовуваних ознак для досягнення кращої точності. Отримано такі результати: проаналізовані різні техніки попередньої обробки та оцінки інформативності ознак при визначенні параметрів контролю мережевої інфраструктури для більш ефективного інтелектуального аналізу стану мережевої інфраструктури. Досліджені результати застосування методів відбору ознак для спрощення різних моделей машинного навчання. Сформовано мінімальний набір параметрів, які потрібні для моніторингу стану мережної інфраструктури. Висновки: Застосування методів відбору ознак дозволило зменшити вхідний набір параметрів для методів класифікації стану мережної інфраструктури

Розробка методів генерації стійкого до спотворень цифрового водяного знаку

Active attacks and natural impacts can lead to two types of image-container distortions: noise-like and geometric. There are also image processing operations, e.g. scaling, rotation, truncation, pixel permutation which are much more detrimental to digital watermarks (DWM). While ensuring resistance to removal and geometric attacks is a more or less resolved problem, the provision of resistance to local image changes and partial image deletion is still poorly understood. The methods discussed in this paper are aimed at ensuring resistance to attacks resulting in partial image loss or local changes in the image. This study's objective is to develop methods for generating a distortion-resistant digital watermark using the chaos theory. This will improve the resistance of methods of embedding the digital watermark to a particular class of attacks which in turn will allow developers of DWM embedding methods to focus on ensuring the method resistance to other types of attacks. An experimental study of proposed methods was conducted. Histograms of DWMs have shown that the proposed methods provide for the generation of DWM of a random obscure form. However, the method based on a combination of Arnold’s cat maps and Henon maps has noticeable peaks unlike the method based on shuffling the pixels and their bits only with Arnold’s cat maps. This suggests that the method based only on Arnold’s cat maps is more chaotic. This is also evidenced by the value of the coefficient of correlation between adjacent pixels close to zero (0.0109) for color DWMs and 0.030 for black and white images.Активные атаки и естественные воздействия могут привести к двум видам искажений контейнера-изображения: шумообразным и геометрическим. Существуют также и гораздо более губительные для цифровых водяных знаков (ЦВЗ) операции обработки изображений, например, масштабирование, повороты, усечение, перестановка пикселей. Если обеспечение устойчивости к атакам и геометрическим атакам является более или менее решенной задачей, то обеспечение устойчивости локальных изменений изображения и частичного удаления изображения все еще мало изучено. Методы, рассмотренные в статье, направлены на обеспечение устойчивости к атакам частичной потери изображения или локальных изменений в изображении. Целью данной работы является разработка методов генерации устойчивого к искажениям цифрового водяного знака с использованием теории хаоса. Это позволит увеличить устойчивость методов встраивания цифровых водяных знаков к определенному классу атак, что в свою очередь позволит разработчикам методов встраивания ЦВЗ сосредоточиться на обеспечении устойчивости метода к другим атакам. Проведено экспериментальное исследование по предложенным методам. Гистограммы ЦВЗ показали, что оба метода обеспечивают генерацию ЦВЗ случайной непонятной формы. Но метод, основанный на комбинации карт кота Арнольда и карт Генона, имеет заметные пики, в отличие от метода, основанного на перемешивании пикселей и их бит только с помощью карт кота Арнольда. Это свидетельствует о том, что метод основанный только на картах кота Арнольда носит более хаотический характер. Об этом также свидетельствует и значение коэффициента корреляции между соседними пикселями, приближающееся к 0 и равное 0.0109 для цветных ЦВЗ и 0.030 для черно-белых изображенийАктивні атаки і природні впливи можуть привести до двох видів спотворень контейнера-зображення: шумоподібних і геометричних. Існують також і набагато більш згубні для цифрових водяних знаків (ЦВЗ) операції обробки зображень, наприклад, масштабування, повороти, усічення, перестановка пікселів. Якщо забезпечення стійкості до атак видалення та геометричних атак є більш-менш вирішеним завданням, то забезпечення стійкості до локальних змін зображення та часткового видалення зображення все ще мало вивчено. Методи, розглянуті в статті, спрямовані на забезпечення стійкості до атак часткової втрати зображення або локальних змін в зображені. Метою даної роботи є розробка методів генерації стійкого до спотворень цифрового водяного знаку з використанням теорії хаосу. Це дасть можливість збільшити стійкість методів вбудови цифрових водяних знаків до певного класу атак, що в свою чергу дозволить розробникам методів вбудови ЦВЗ зосередитися на забезпечені стійкості методу до інших типів атак. Проведено експериментальне дослідження щодо запропонованих методів. Гістограми ЦВЗ показали, що запропоновані методи забезпечують генерацію ЦВЗ випадкової незрозумілої форми. Але метод заснований на комбінації карт кота Арнольда та карт Генона має помітні піки, на відміну від метода, який заснований на перемішуванні пікселів та їх біт тільки за допомогою карт кота Арнольда. Це свідчить про те, що метод заснований тільки на картах кота Арнольда має більш хаотичний характер. Про це також свідчить і значення коефіцієнта кореляції між сусідніми пікселями, який наближається до 0 і дорівнює 0.0109 для кольорових ЦВЗ та 0.030 для чорно-білих зображен

Розробка концепції побудови системи безпеки об’єктів критичної інфраструктури

To effectively protect critical infrastructure facilities (CIF), it is important to understand the focus of cybersecurity efforts. The concept of building security systems based on a variety of models describing various CIF functioning aspects is presented. The development of the concept is presented as a sequence of solving the following tasks. The basic concepts related to cyberattacks on CIF were determined, which make it possible to outline the boundaries of the problem and determine the level of formalization of the modeling processes. The proposed threat model takes into account possible synergistic/emergent features of the integration of modern target threats and their hybridity. A unified threat base that does not depend on CIF was formed. The concept of modeling the CIF security system was developed based on models of various classes and levels. A method to determine attacker's capabilities was developed. A concept for assessing the CIF security was developed, which allows forming a unified threat base, assessing the signs of their synergy and hybridity, identifying critical CIF points, determining compliance with regulatory requirements and the state of the security system. The mathematical tool and a variety of basic models of the concept can be used for all CIFs, which makes it possible to unify preventive measures and increase the security level. It is proposed to use post-quantum cryptography algorithms on crypto-code structures to provide security services. The proposed mechanisms provide the required stability (230–235 group operations), the rate of cryptographic transformation is comparable to block-symmetric ciphers (BSC) and reliability (Perr 10–9–10–12)Для эффективной защиты объектов критической инфраструктуры (ОКИ) важно понимать направленность усилий по кибербезопасности. Представлена концепция построения систем безопасности, базирующиеся на множестве моделей, описывающих различные стороны функционирования ОКИ. Разработка концепции представлена в виде последовательности решения следующих задач. Определены основные понятия, связанные с кибератаками на ОКИ, которые позволяют очертить границы проблемы и определить уровень формализации процессов моделирования. Предложенная модель угроз учитывает возможные синергетические/эмерджентные особенности комплексирования современных целевых угроз и их гибридность. Сформирована унифицированная база угроз, которая не зависит от ОКИ. Разработана концепция моделирования системы безопасности ОКИ, которая основана на множестве моделей различных классов и уровней. Разработана методика, которая позволяет определить возможности нападающего. Разработана концепция оценки уровня защищенности ОКИ, что позволяет сформировать унифицированную базу угроз, оценить признаки их синергизма и гибридности, выявить критические точки в инфраструктуре ОКИ, определить уровень выполнения требований регуляторов, и состояние системы защиты. Математический аппарат и множество моделей, лежащих в основе концепции, возможно использовать для всех ОКИ, что позволяет унифицировать превентивные меры и повысить уровень безопасности. Предложено использование алгоритмов постквантовой криптографии на крипто-кодовых конструкциях для обеспечения услуг безопасности. Предложенные механизмы обеспечивают уровень устойчивости (230–235 групповых операций), скорость криптопреобразования сравнима с БСШ и достоверности (Pош 10-9–10-12).Для ефективного захисту об’єктів критичної інфраструктури (ОКІ) важливо розуміти спрямованість зусиль з кібербезпеки. Представлена концепція побудови систем безпеки, що базуються на множині моделей, що описують різні сторони функціонування об’єкта захисту. Розробка концепції наведена у вигляді послідовності рішення наступних завдань. Визначено основні поняття, пов’язані з кібертерористичними атаками на ОКІ, які дозволяють окреслити межі проблеми і визначити рівень формалізації процесів моделювання. Модель загроз, що запропонована, дозволяє врахувати можливі синергетичні/емерджентні особливості комплексування сучасних цільових загроз і їх гибридність. Сформована уніфікована база загроз, яка не залежить від ОКІ. Розроблено концепцію моделювання системи безпеки ОКІ, що базується на множині моделей різних класів і рівнів. Розроблено методику, яка дозволяє визначити можливості нападника. Розроблено концепцію оцінки рівня захищеності ОКІ, що дозволяє сформувати уніфіковану базу загроз, оцінити ознаки їх синергізму та гібридності, виявити критичні точки в інфраструктурі ОКІ, визначити виконання вимог регуляторів, та стан системи захисту. Математичний апарат та множину моделей, які лежать в основі концепції, можливо використовувати для всіх ОКІ, що дозволяє уніфікувати превентивні заходи та підвищити рівень безпеки. Запропоновано використання алгоритмів постквантової криптографії на крипто-кодових конструкціях для забезпечення послуг безпеки. Запропоновані механізми забезпечують рівень стійкості (230–235 групових операцій), швидкість криптоперетворень порівнянна з БСШ та вірогідності (Pпом 10-9–10-12)

Development of Methods for Generation of Digital Watermarks Resistant to Distortion

Active attacks and natural impacts can lead to two types of image-container distortions: noise-like and geometric. There are also image processing operations, e.g. scaling, rotation, truncation, pixel permutation which are much more detrimental to digital watermarks (DWM). While ensuring resistance to removal and geometric attacks is a more or less resolved problem, the provision of resistance to local image changes and partial image deletion is still poorly understood. The methods discussed in this paper are aimed at ensuring resistance to attacks resulting in partial image loss or local changes in the image. This study's objective is to develop methods for generating a distortion-resistant digital watermark using the chaos theory. This will improve the resistance of methods of embedding the digital watermark to a particular class of attacks which in turn will allow developers of DWM embedding methods to focus on ensuring the method resistance to other types of attacks. An experimental study of proposed methods was conducted. Histograms of DWMs have shown that the proposed methods provide for the generation of DWM of a random obscure form. However, the method based on a combination of Arnold's cat maps and Henon maps has noticeable peaks unlike the method based on shuffling the pixels and their bits only with Arnold's cat maps. This suggests that the method based only on Arnold's cat maps is more chaotic. This is also evidenced by the value of the coefficient of correlation between adjacent pixels close to zero (0.0109) for color DWMs and 0.030 for black and white images

Development of A Concept for Building A Critical Infrastructure Facilities Security System

To effectively protect critical infrastructure facilities (CIF), it is important to understand the focus of cybersecurity efforts. The concept of building security systems based on a variety of models describing various CIF functioning aspects is presented. The development of the concept is presented as a sequence of solving the following tasks. The basic concepts related to cyberattacks on CIF were determined, which make it possible to outline the boundaries of the problem and determine the level of formalization of the modeling processes. The proposed threat model takes into account possible synergistic/emergent features of the integration of modern target threats and their hybridity. A unified threat base that does not depend on CIF was formed. The concept of modeling the CIF security system was developed based on models of various classes and levels. A method to determine attacker's capabilities was developed. A concept for assessing the CIF security was developed, which allows forming a unified threat base, assessing the signs of their synergy and hybridity, identifying critical CIF points, determining compliance with regulatory requirements and the state of the security system. The mathematical tool and a variety of basic models of the concept can be used for all CIFs, which makes it possible to unify preventive measures and increase the security level. It is proposed to use post-quantum cryptography algorithms on crypto-code structures to provide security services. The proposed mechanisms provide the required stability (230–235 group operations), the rate of cryptographic transformation is comparable to block-symmetric ciphers (BSC) and reliability (Perr 10–9–10–12

SYNERGY OF BUILDING CYBERSECURITY SYSTEMS

The development of the modern world community is closely related to advances in computing resources and cyberspace. The formation and expansion of the range of services is based on the achievements of mankind in the field of high technologies. However, the rapid growth of computing resources, the emergence of a full-scale quantum computer tightens the requirements for security systems not only for information and communication systems, but also for cyber-physical systems and technologies. The methodological foundations of building security systems for critical infrastructure facilities based on modeling the processes of behavior of antagonistic agents in security systems are discussed in the first chapter. The concept of information security in social networks, based on mathematical models of data protection, taking into account the influence of specific parameters of the social network, the effects on the network are proposed in second chapter. The nonlinear relationships of the parameters of the defense system, attacks, social networks, as well as the influence of individual characteristics of users and the nature of the relationships between them, takes into account. In the third section, practical aspects of the methodology for constructing post-quantum algorithms for asymmetric McEliece and Niederreiter cryptosystems on algebraic codes (elliptic and modified elliptic codes), their mathematical models and practical algorithms are considered. Hybrid crypto-code constructions of McEliece and Niederreiter on defective codes are proposed. They can significantly reduce the energy costs for implementation, while ensuring the required level of cryptographic strength of the system as a whole. The concept of security of corporate information and educational systems based on the construction of an adaptive information security system is proposed