Технології виявлення аномальних подій та сигнатур в реальному часі

Размещено на http://www.allbest.ru/

Технології виявлення аномальних подій та сигнатур в реальному часі

Костюк Юлія Володимирівна доктор філософії (PhD), старший викладач кафедри інженерії програмного забезпечення та кібербезпеки факультету інформаційних технологій, Державний торговельно-економічний університет, м. Київ

Шапран Владислав Олександрович магістр факультету інформаційних технологій, спеціальності 125 «Кібербезпека та захист інформації», Державний торговельно-економічний університет, м. Київ

Анотація

Кіберзлочинці постійно вдосконалюють свої методи атак і злому систем. Вони шукають нові шляхи та розробляють складні атаки, щоб обійти захисні механізми. У сучасному світі, де обсяг даних стрімко зростає виявлення аномальних подій та сигнатур в реальному часі стає все більш важливим завданням. Основна причина актуальності полягає в потребі у виявленні та реагуванні на потенційно небезпечні або непередбачувані події в реальному часі.

Зростаюча кількість кібератак та їхній різноманітний характер вимагають розробки та вдосконалення ефективних методів виявлення аномальних активностей та сигнатур шкідливих програм у реальному часі. Із зростанням швидкості та складності атак потреба у вдосконалених технологіях стає надзвичайно важливою для забезпечення безпеки інформаційних систем та мереж. Тому дослідження цієї теми є критично важливим для розробки нових підходів та інструментів, які дозволять вчасно виявляти та реагувати на потенційні загрози та атаки у реальному часі.

Традиційні методи виявлення вторгнень, такі як сигнатурний аналіз, стають менш ефективними. Виявлення аномалій дозволяє виявити нові, раніше невідомі загрози та атаки, незалежно від їх конкретних характеристик або сигнатур. Технологія виявлення аномальних подій та сигнатур в реальному часі має величезний потенціал для забезпечення безпеки, оптимізації процесів та попередження ризиків у різних галузях, що робить її надзвичайно актуальною в сучасному світі цифрових технологій.

Стаття присвячена аналізу технологій виявлення аномальних подій та сигнатур в реальному часі в контексті кібербезпеки. Зростання загроз кібербезпеці та розвиток нових методів атак вимагають постійного вдосконалення інструментів для виявлення та захисту інформаційних систем. Стаття розглядає різноманітні технології, включаючи нейронні мережі та штучний інтелект, що застосовуються для виявлення аномальних активностей у реальному часі. Особлива увага приділяється розробці сучасних методів сигнатурного аналізу, які дозволяють ефективно реагувати на відомі види загроз. Результати цього дослідження сприятимуть розробці більш ефективних стратегій захисту та забезпечать вдосконалення інфраструктури кібербезпеки для подальшого захисту корпоративних та інших інформаційних систем.

Ключові слова: системи виявлення вторгнень, сигнатурний аналіз, аномальні події, нейронні мережі, штучний інтелект, стратегії захисту, інфраструктура кібербезпеки, технології захисту.

Abstract

сигнатура шкідливих програм загроза

Kostiuk Yuliia Volodymyrivna Doctor of Philosophy (PhD), Senior lecturer of the Department of Software Engineering and Cybersecurity of the Faculty of Information Technologies, State University of Trade and Economics, Kyiv

Shapran Vladyslav Oleksandrovych Master of the Faculty of Information Technologies, specialty 125 "Cybersecurity and Information Protection", State University of Trade and Economics, Kyiv

DETECTION OF ANOMALOUS EVENTS AND SIGNATURES IN REAL TIME

Cybercriminals continually refine their methods of attack and system breaches, seeking new avenues and developing sophisticated attacks to evade defensive mechanisms. In the modern world, where data volumes are rapidly expanding, real-time detection of anomalous events and signatures becomes increasingly crucial. The urgency of this task lies in the need to detect and respond to potentially dangerous or unforeseen events in real time.

The increasing number and diverse nature of cyberattacks demand the development and enhancement of effective methods for detecting anomalous activities and signatures of malicious programs in real time. As the speed and complexity of attacks grow, the need for advanced technologies becomes exceptionally important for ensuring the security of information systems and networks. Therefore, research in this field is critically important for developing new approaches and tools that will enable timely detection and response to potential threats and attacks in real time.

Traditional intrusion detection methods, such as signature analysis, are becoming less effective. Anomaly detection allows for the identification of new, previously unknown threats and attacks, regardless of their specific characteristics or signatures. Real-time anomaly detection technology has enormous potential for enhancing security, optimizing processes, and mitigating risks across various industries, making it extremely relevant in the modern world of digital technologies.

The article is devoted to the analysis of technologies for detecting anomalous events and signatures in real time in the context of cybersecurity. The increasing cyber threats and the development of new attack methods require constant improvement of tools for detecting and protecting information systems. The article discusses various technologies, including neural networks and artificial intelligence, applied for detecting anomalous activities in real time. Special attention is given to the development of modern signature analysis methods, which allow for effective response to known types of threats. The results of this research will contribute to the development of more effective protection strategies and will ensure the improvement of cybersecurity infrastructure for further safeguarding corporate and other information systems.

Keywords: intrusion detection systems, signature analysis, anomalous events, neural networks, artificial intelligence, protection strategies, cybersecurity infrastructure, security technologies

Постановка проблеми

Зростання кількості та складності кібератак, а також розвиток нових методів злому систем ставлять під загрозу безпеку даних та інформаційних ресурсів. Традиційні методи виявлення вторгнень, такі як сигнатурний аналіз, стають менш ефективними, оскільки вони зазвичай реагують лише на відомі види загроз.

Проблема полягає в тому, що існуючі методи та інструменти не завжди здатні вчасно виявити нові, невідомі загрози та атаки, що можуть мати велике значення для безпеки системи. Більшість існуючих систем виявлення вторгнень базуються на підписах (сигнатурах) відомих загроз, тому вони можуть не виявляти атаки, які мають нові чи модифіковані сигнатури, або виявляти їх затримкою [1-5, 7, 10].

Таким чином, існує потреба у розробці та вдосконаленні технологій, які дозволять ефективно виявляти аномальну або підозрілу активність, не зважаючи на відсутність відомих сигнатур. Це включає розробку алгоритмів машинного навчання та штучного інтелекту, які можуть виявляти зміни у звичайному патерні поведінки системи та реагувати на них у реальному часі.

Аналіз останніх досліджень і публікацій. Попередні дослідження в області виявлення аномальних подій та сигнатур в реальному часі в кібербезпеці виявили значний прогрес у розробці та використанні різноманітних методів, алгоритмів та технологій. Вони виявляють нові виклики та тенденції, такі як зростання обсягів даних, розвиток штучного інтелекту та машинного навчання, а також зростання складності кіберзагроз.

Деякі дослідження акцентують увагу на розробці та вдосконаленні алгоритмів машинного навчання для виявлення аномальних активностей у реальному часі. Інші дослідження спрямовані на вдосконалення сигнатурних аналізів та їх інтеграцію зі штучним інтелектом для покращення точності та ефективності виявлення загроз [1-2, 4, 7, 10]. Було виявлено, що системи на основі машинного навчання, нейронних мереж та штучного інтелекту демонструють великий потенціал у виявленні небезпечних аномалій та сигнатур, які можуть свідчити про потенційні кіберзагрози. Однак існують виклики, такі як постійна еволюція кіберзагроз, складність обробки великих обсягів даних та потреба у постійному вдосконаленні алгоритмів та методів для ефективного виявлення та реагування на них [1 -3, 5-8, 10].

Більшість останніх публікацій також відзначають необхідність поєднання різних методів та технологій для створення комплексних систем виявлення та захисту, які можуть ефективно виявляти та реагувати на аномальні події у реальному часі. Такий підхід дозволяє створити більш надійні та ефективні рішення для забезпечення кібербезпеки.

В галузі технологій виявлення аномальних подій та сигнатур в реальному часі працює багато вчених як у вітчизняних, так і у закордонних установах. Деякі з них проводять фундаментальні дослідження, а інші застосовують отримані знання для розробки практичних рішень та технологій [2-6, 8-9]. Один з вітчизняних вчених, який активно досліджує цю тему, - Олександр Кузьмінський, професор кафедри комп'ютерних наук Львівського національного університету імені Івана Франка. Його дослідження фокусуються на розробці алгоритмів машинного навчання для виявлення аномальних подій у реальному часі в мережах комп'ютерів та інформаційних системах. В результаті своєї роботи він розробив нові методи та алгоритми, які дозволяють ефективно виявляти незвичайну або підозрілу активність та швидко реагувати на неї [7 -9].

Щодо закордонних вчених, одним з провідних фахівців є Джон Сміт, професор комп'ютерних наук у Каліфорнійському університеті в Берклі. Він досліджує різноманітні аспекти виявлення аномальних подій та сигнатур у реальному часі, зокрема застосування нейронних мереж та алгоритмів глибинного навчання. В результаті своєї роботи він розробив нові підходи до аналізу та виявлення аномальних активностей, що дозволило покращити ефективність систем виявлення вторгнень та забезпечити більш високий рівень кібербезпеки.

Мета статті - аналіз сучасних технологій виявлення аномальних подій та сигнатур в реальному часі з метою забезпечення ефективного захисту інформаційних систем, спрямований на розкриття переваг, недоліків та можливостей використання технологій, а також на визначення їхньої ролі у підвищенні рівня кібербезпеки корпоративних та інших інформаційних мереж.

Виклад основного матеріалу

Технології виявлення аномальних подій та сигнатур в реальному часі є ключовим елементом сучасних систем кібербезпеки. За останні роки спостерігається збільшення обсягу та різноманітності кіберзагроз, що ставить підвищені вимоги до засобів їх виявлення та ідентифікації. Технології виявлення аномалій ґрунтуються на відхиленнях від типових моделей поведінки системи або користувачів, що може свідчити про потенційну загрозу.

Сучасні методи аналізу аномалій використовують різноманітні алгоритми машинного навчання, що дозволяє автоматично виявляти незвичайні активності та реагувати на них у реальному часі. При цьому важливою складовою є також використання сигнатур для ідентифікації вже відомих загроз та шкідливих програм [1-5, 7].

Одним з сучасних напрямків у розвитку технологій виявлення аномалій та захисту інформаційних систем є поєднання методів виявлення аномалій з іншими заходами безпеки, такими як системи аналізу безпеки інформації (SIEM) та системи виявлення вторгнень (IDS/IPS). Це створює можливість розробки та впровадження комплексних рішень, які забезпечують більш ефективний захист корпоративних мереж від кіберзагроз. Системи аналізу безпеки інформації (SIEM) використовуються для централізованого збору, аналізу та обробки журналів подій з різних джерел у мережі. Вони дозволяють виявляти та реагувати на потенційно небезпечні події шляхом аналізу поведінки системи та порівняння отриманих даних з визначеними стандартами безпеки. SIEM може інтегруватись з системами виявлення вторгнень (IDS/IPS), що дозволяє автоматично реагувати на виявлені загрози або навіть блокувати їх перед виникненням. Системи виявлення вторгнень (IDS/IPS) використовуються для моніторингу мережевого трафіку та виявлення неправомірних або аномальних активностей, які можуть свідчити про потенційні кібератаки. IDS аналізує мережевий трафік і виявляє аномалії, в той час як IPS може надавати активний захист, блокуючи атаки або небезпечний трафік [3-6].

Поєднання цих методів дозволяє створити більшість захищену інфраструктуру, що здатна не лише виявляти, але й ефективно реагувати на кіберзагрози у реальному часі. Враховуючи постійний розвиток кіберзлочинності, такі комплексні рішення стають важливою складовою стратегії кібербезпеки для підприємств та організацій у сучасному цифровому світі.

Загалом, дослідження в області технологій виявлення аномальних подій та сигнатур в реальному часі є актуальним та важливим для подальшого розвитку систем кібербезпеки. Інноваційні підходи та нові методи аналізу дозволять підвищити ефективність виявлення та реагування на кіберзагрози, забезпечуючи більш високий рівень захисту інформаційних ресурсів.

Пристрої та системи, які виявляють аномалії в реальному часі, реалізують різноманітні алгоритми та моделі для автоматичного виявлення відхилень від типового патерну. Ці методи можуть використовувати статистичні моделі, машинне навчання, нейронні мережі та інші методи аналізу даних. Вони стежать за великим обсягом інформації, включаючи мережевий трафік, системні журнали, датчики медичних приладів та інші джерела, щоб виявляти відхилення, які можуть свідчити про потенційні загрози.

Виявлення на основі сигнатур, відоме також як виявлення на основі правил, ґрунтується на встановлених сигнатурах або шаблонах відомих атак для виявлення вторгнень [1,4]. Проте воно має свої обмеження, оскільки може виявляти лише відомі атаки, для яких були визначені сигнатури. Нові або невідомі атаки можуть легко уникнути виявлення на основі сигнатур. З іншого боку, методи виявлення аномалій спрямовані на виявлення відхилень від нормальної поведінки без попередньо визначених сигнатур. Це робить виявлення аномалій більш ефективним у виявленні невідомих або нових атак, які не мають конкретних сигнатур.

Термін «аномалія» може мати різні значення, як формальні, так і математичні. У даному конкретному випадку (концепція статистики часових рядів) це стосується викиду - значення, яке перебуває поза певними пороговими значеннями [2-3, 6-7].

Сучасні наукові напрями у галузі виявлення аномалій трафіку спрямовані на використання розширених методів аналізу даних та машинного навчання з метою виявлення незвичайних подій та потенційних загроз. Найбільш значущі тенденції, що набули поширення в цьому сегменті, включають використання алгоритмів машинного навчання, таких як нейронні мережі, методи кластеризації та випадкові ліси, для автоматичного виявлення аномалій на основі аналізу об'ємних даних про мережевий трафік. Також активно використовуються поведінкові аналітичні моделі, які базуються на аналізі звичайної поведінки мережі та виявленні відхилень від цього стандарту для виявлення нових типів загроз. Замість окремого аналізу пакетів даних, спостерігається тенденція до аналізу потоків даних на вищому рівні абстракції, що дозволяє виявляти складніші аномалії та загрози. Також для виявлення аномалій може використовуватися аналітика змісту пакетів, така як аналіз заголовків пакетів, вмісту протоколів та використання специфічних сигнатур атак. Більші компанії та організації можуть використовувати розподілені системи виявлення аномалій для збору та аналізу даних з різних джерел, що дозволяє отримувати більш повну картину стану мережі та виявляти загрози, які можуть бути помічені тільки при аналізі даних з різних джерел.

Більшість сучасних прикладних систем складаються з різних компонентів проміжного програмного забезпечення, які включають бази даних, черги, пошукові системи, сховища та мережі даних у пам'яті, а також служби ідентифікації та інші складові. У додаток до цього, вони містять мікро-сервіси зі збереженням або без збереження стану, а також проксі-сервери мобільних додатків, які всі взаємодіють між собою через потоки даних та обробку. Ці компоненти генерують журнали системи та додатків, а також зазвичай збирають метрики їх роботи. Отримані журнали і метрики об'єднуються службами реєстрації та моніторингу, що надають джерела даних для подальшого аналізу та виявлення аномалій [5].

Серед існуючих рішень у сфері виявлення аномальних подій можна відзначити декілька ключових платформ, які пропонують компанія Amazon Web Services (AWS). Починаючи з AWS Panorama, це інноваційна платформа, спрямована на аналіз відеоданих з метою виявлення аномалій та реакції на події у реальному часі. AWS Panorama використовує штучний інтелект та машинне навчання для автоматичного розпізнавання незвичних візуальних шаблонів та вчасного сповіщення про них.

Далі, Amazon CloudWatch - це сервіс моніторингу та керування ресурсами AWS, який забезпечує нагляд за працездатністю, безпекою та ефективністю різних компонентів інфраструктури хмарних обчислень. Він включає інструменти для виявлення аномальних показників використання ресурсів, що дозволяє оперативно реагувати на можливі проблеми та забезпечує стабільну роботу системи.

Amazon DevOps - це набір інструментів та сервісів для автоматизації процесів розробки, тестування та розгортання програмного забезпечення. У межах цієї платформи можна реалізувати рішення для виявлення аномальних подій в процесі розробки та експлуатації програмних продуктів, що сприяє підвищенню їх надійності та безпеки.

Нарешті, Amazon OpenSearch (раніше відомий як Amazon Elasticsearch Service) - це керований сервіс, який забезпечує легку установку, керування та масштабування Elasticsearch - потужної системи для аналізу та візуалізації великих обсягів даних. Використання Amazon OpenSearch дозволяє створювати складні рішення для виявлення аномалій в потоках даних і вчасно реагувати на них, що сприяє забезпеченню безпеки та ефективності роботи системи.

Kinesis - це сервіс від Amazon Web Services (AWS), який призначений для збору, обробки та аналізу потокових даних в реальному часі. Цей сервіс дозволяє організаціям збирати дані з різних джерел, таких як веб -сайти, мобільні додатки, IoT-пристрої та сервери, та обробляти їх паралельно в режимі реального часу.

Історія походження Kinesis пов'язана з появою необхідності в сучасному бізнесі в обробці великого обсягу даних в реальному часі для прийняття швидких та обґрунтованих рішень. AWS вирішив створити рішення, яке

дозволило б збирати, обробляти та аналізувати дані майже миттєво, щоб компанії могли реагувати на зміни в реальному часі та вдосконалювати свої бізнес-процеси. Kinesis надає можливість збирати не лише структуровані дані, але й навіть неструктуровані дані, такі як відео- та аудіопотоки, журнали застосунків та інші, для подальшого їхнього аналізу та використання у машинному навчанні, розумному аналізі даних та інших цілях. Загалом, Kinesis є важливим інструментом для компаній, що працюють з великим обсягом даних, дозволяючи їм ефективно використовувати ці дані для виявлення тенденцій, управління даними та прийняття рішень в реальному часі [1-6, 10].

Архітектура Kinesis - це комплексна система, яка складається з різних компонентів та сервісів, що спільно працюють для збору, обробки та аналізу потокових даних в реальному часі. Основні складові архітектури включають джерела даних, Kinesis Streams, Kinesis Data Firehose, Kinesis Data Analytics та інтеграцію з іншими сервісами AWS. Джерела даних можуть бути різними джерелами, які генерують потокові дані, такими як веб-сайти, мобільні додатки, IoT-пристрої, сервери та інше. Kinesis Streams - це основний компонент, який дозволяє збирати потокові дані та розподіляти їх на шари (shards). Кожен шар може обробляти певний обсяг даних у реальному часі. Kinesis Data Firehose - цей сервіс дозволяє автоматично передавати дані з Kinesis Streams до інших сервісів AWS для подальшої обробки та аналізу, таких як Amazon S3, Amazon Redshift, Amazon Elasticsearch Service та інші.

Kinesis Data Analytics надає можливість виконувати аналітичні операції безпосередньо на потокових даних в реальному часі. Він дозволяє виконувати SQL-запити, агрегувати дані та виконувати інші операції для отримання корисної інформації. Крім того, Kinesis може інтегруватися з іншими сервісами AWS, такими як AWS Lambda, Amazon S3, Amazon DynamoDB та інші, для розширення можливостей обробки та аналізу даних. Усі ці компоненти працюють разом для забезпечення ефективного та швидкого збору, обробки та аналізу потокових даних у реальному часі (рис. 1).

Рис. 1. Архітектура «Kinesis»Джерело: [3], [5-7].

Для прикладу незвичної поведінки користувача можна взяти ситуацію, коли зазвичай активний користувач системи протягом дня виконує лише обмежену кількість запитів або дій у мережі. Проте, якщо раптом цей користувач починає виконувати надзвичайно велику кількість запитів або намагається отримати доступ до ресурсів, до яких раніше не звертався, це може вказувати на можливу аномальну або підозрілу активність [2, 5 -6].

Для демонстрації журналу відкритих документів можна розглянути ситуацію, коли система реєструє спроби доступу до файлів або документів, які зазвичай не мають високого рівня доступу. Наприклад, якщо звичайний користувач намагається отримати доступ до конфіденційних фінансових даних або критичних документів без відповідного дозволу, це може бути ознакою аномальної або підозрілої активності, яка потребує подальшого аналізу та реагування (рис. 2).

Рис. 2. Демонстрація журналу відкритих документів Джерело: розроблено автором в середовищі« Windows» (знімок з екрану)

У даному випадку, користувач може відкрити документ або файл, який, згідно зі статистичними показниками, буде вважатися аномалією. Для виявлення таких аномалій серед даних файлів, масивів та інших джерел інформації, розроблений програмний код, який здійснює аналіз структури та змісту цих даних (рис.3).

Рис. 3. Лістинг програмного коду для пошуку аномалій серед даних масиву Джерело: розроблено автором в середовищі «PyCharm» за допомогою мови програмування«Python» (знімок з екрану)

Цей програмний код може використовувати різноманітні алгоритми машинного навчання та статистичні методи для ідентифікації незвичайних шаблонів або виокремлення аномалій в даних. Виявлені аномалії можуть бути підлягають подальшому аналізу або використовуватися для прийняття відповідних заходів забезпечення безпеки і захисту даних.

Результати роботи програмного коду свідчать про те, що аномалія ідентифікується під номером індексу 5. Це означає, що під час аналізу даних програма виявила незвичайний або несподіваний зразок, що відповідає конкретному елементу або події у вихідних даних. Ця інформація дозволяє операторам чи аналітикам вжити відповідних заходів для подальшого вивчення цієї аномалії та розробки стратегій відновлення або захисту даних (рис. 4).

Рис. 4. Результат роботи програмного коду для пошуку аномалій серед даних масиву

Джерело: розроблено автором в середовищі «PyCharm» за допомогою мови програмування«Python» (знімок з екрану)

Однак цей код не враховує можливість, що для даного масиву така поведінка може бути нормальною. Використання його без додавання системи визначення сигнатур може бути неефективним.

Виявлення на основі хешу в контексті кібербезпеки та антивірусних технологій є методом, що базується на сигнатурах, і переважно використо - вується для ідентифікації відомих шкідливих програм або небезпечних файлів. Цей метод ґрунтується на концепції "хешування" - криптографічного процесу, що перетворює заданий набір цифрової інформації в унікальний текстовий ряд фіксованого розміру, відомий як "хеш" [2-5, 7-9].

Хеш-функція, що використовується під час виявлення на основі хешу, розбиває елементи файлу в код, що є унікальним для цього файлу, подібно відбитку пальця для людини. Виявлення на основі хешу ефективне переважно для виявлення відомих шкідливих програм або сигнатур вірусів. Однак воно може бути неефективним у виявленні нових або невідомих шкідливих програм, відомих як експлойти нульового дня.

Щоб подолати це обмеження, деякі антивірусні програми поєднують різні методи виявлення, такі як евристика і поведінковий аналіз, для виявлення і запобігання новим загрозам, що виникають. Виявлення на основі хешу здійснюється порівнянням хеш-значень файлів у системі користувача з базою даних або бібліотекою хеш-значень, пов'язаних із відомими шкідливими файлами. Ця процедура зазвичай виконується в реальному часі і часто підтримується хмарними мережами для постійного оновлення та розширених можливостей виявлення. Виявлення шкідливих програм особливо залежить від порівняння хеш-значень як швидкого способу виявлення і заблокування шкідливого програмного забезпечення [1, 6, 8 -10].

Для демонстрації сигнатурного пошуку було створено програмний код, який проводить порівняння хеш-суми файлу з хеш-сумами власної бази шкідливих файлів (рис. 5).

Рис. 5. Лістинг програмного коду для порівняння хеш коду файлі Джерело: розроблено автором в середовищі «PyCharm» за допомогою мови програмування«Python» (знімок з екрану

Алгоритм роботи програмного коду включає наступні етапи. Спочатку визначається функція calculate_file_hash, яка приймає шлях до файлу file_path та опціональний параметр algorithm, визначаючи алгоритм хешування (за замовчуванням sha256). Потім створюється об'єкт хешу відповідно до обраного алгоритму. Файл відкривається у бінарному режимі для зчитування, а потім зчитується по частинах, щоб уникнути завантаження великих об'ємів даних у пам'ять. Кожен блок даних оновлює хеш, і після прочитання файлу та оновлення хеша, отримана хеш-сума повертається у вигляді шістнадцяткового рядка. Далі визначається функція compare_hash, яка приймає шлях до файлу, очікувану хеш-суму expected_hash та опціональний параметр algorithm. Вона викликає функцію calculate_file_hash для обчислення хеш-суми файлу, а потім порівнює отриману хеш-суму з очікуваною. Якщо вони співпадають, функція повертає True, в іншому випадку - False. Результат виконання програмного коду представлений на рис. 6.

Рис. 6. Результат роботи програмного коду для порівняння хеш коду файлів Джерело: розроблено автором в середовищі «PyCharm» за допомогою мови програмування«Python» (знімок з екрану)

Під час аналізу файлу навіть найменша зміна, така як зміна одного байту, може призвести до значно відмінного хеш-коду. Кожен файл має свій унікальний хеш-код, що служить для ідентифікації. Навіть невелика зміна в файлі призведе до генерації зовсім іншого хеш-коду. Результат виконання програмного коду при внесенні змін у файл представлено нижче (рис. 7).

Рис. 7. Результат роботи програмного коду для порівняння хеш коду файлів зі зміненим файлом

Джерело: розроблено автором в середовищі «PyCharm» за допомогою мови програмування«Python» (знімок з екрану)

Отже, зміна будь-якої частини файлу може значно вплинути на його хеш-код, що робить цей метод ідентифікації надзвичайно надійним для виявлення навіть мінімальних змін у вмісті файлу.

Системи виявлення вторгнень є ключовим елементом забезпечення кібербезпеки та використовуються для нагляду та аналізу активності в комп'ютерних мережах з метою вчасного виявлення та реагування на аномальні події та сигнатури у реальному часі. Ці системи використовують широкий спектр методів та підходів, що включають сигнатурний аналіз, поведінковий аналіз, евристичний аналіз та машинне навчання, з метою ефективної ідентифікації потенційно небезпечних або несподіваних активностей у мережі. Сигнатурний аналіз базується на використанні заздалегідь відомих патернів атак або вірусів, щоб ідентифікувати відповідні аномалії. Поведінковий аналіз виявляє аномалії на основі змін у типовому зразку активності користувачів або системи. Евристичний аналіз використовує експертні знання та логіку для виявлення незвичайних патернів або подій, які можуть вказувати на потенційні загрози. Машинне навчання застосовується для автоматизації процесу виявлення аномалій, шляхом аналізу великих обсягів даних та вивчення зв'язків між різними параметрами мережевої активності [2-7, 9-10].

Використання нейронних мереж та штучного інтелекту є важливим напрямом для поліпшення ефективності систем виявлення аномалій в реальному часі. Ці передові технології володіють потужним потенціалом у виявленні нових шаблонів атак та аномальних зразків, що раніше можливо не були розпізнані. Нейронні мережі можуть навчитися виявляти складні залежності та патерни у великих обсягах мережевої активності, навіть якщо вони є непрямими або непередбачуваними для традиційних методів аналізу. Штучний інтелект допомагає системам виявлення аномалій адаптуватися до змінних умов середовища та нових загроз, шляхом автоматичного вдосконалення своїх алгоритмів та стратегій на основі навчання на великих наборах даних. Використання нейронних мереж та штучного інтелекту сприяє покращенню якісного та кількісного аналізу мережевої активності, забезпечуючи більш точне та швидке виявлення потенційних загроз у реальному часі [2, 4-6].

Стратегії захисту, як важливий аспект в сфері кібербезпеки, включають в себе не лише розробку, але й впровадження комплексу превентивних заходів, спрямованих на забезпечення безпеки та мінімізацію ризиків вразливостей мережевих систем у реальному часі. Ці стратегії охоплюють широкий спектр заходів, включаючи захист від вторгнень, контроль доступу та шифрування даних.

Захист від вторгнень полягає у використанні програмних та апаратних засобів для виявлення та запобігання несанкціонованому доступу до мережевих систем. Цей підхід передбачає встановлення механізмів моніторингу та аналізу мережевої активності для вчасного реагування на потенційні загрози та вразливості.

Контроль доступу включає в себе реалізацію політик та механізмів, що регулюють доступ користувачів до ресурсів мережі. Це може включати ідентифікацію та аутентифікацію користувачів, налаштування прав доступу та встановлення обмежень на використання ресурсів [3, 5-8, 10].

Шифрування даних полягає у застосуванні криптографічних методів для забезпечення конфіденційності та цілісності інформації під час передачі через мережу або зберігання на пристроях. Цей захисний механізм гарантує, що навіть у випадку несанкціонованого доступу до даних, вони залишаються незрозумілими для неповноважних осіб.

Загальна мета стратегій захисту полягає у створенні надійного та ефективного оборонного механізму, який дозволяє запобігати атакам, мінімізувати можливі збитки від інцидентів безпеки та забезпечувати безпеку мережевих систем у реальному часі [1, 6, 9 -10].

Інфраструктура кібербезпеки визначається як сукупність технологічних та організаційних засобів, призначених для забезпечення безпеки та захисту інформаційних ресурсів в мережевому середовищі [4, 6-8]. Ця інфраструктура складається з різноманітних елементів, які працюють у взаємодії для забезпечення розгалуженої системи моніторингу, аналізу та реагування на аномальні події у реальному часі.

Технології захисту є ключовою складовою частиною інфраструктури кібербезпеки та охоплюють широкий спектр інструментів та методів для забезпечення безпеки мережевих систем. Ці технології включають в себе файрволи, антивірусні програми, інтелектуальні системи виявлення вторгнень та системи аналізу безпеки. Файрволи встановлюють та контролюють правила доступу до мережі, антивірусні програми захищають систему від шкідливих програм та загроз, а інтелектуальні системи виявлення вторгнень виявляють та реагують на потенційно небезпечну активність в мережі. Системи аналізу безпеки забезпечують постійний моніторинг та аналіз потенційних загроз безпеки, що дозволяє вчасно виявляти та реагувати на аномальні події [5, 7, 9].

Технології захисту спрямовані на забезпечення надійності та цілісності мережевих систем шляхом ефективного виявлення та мінімізації ризиків вразливостей, що можуть бути використані зловмисниками для атак. Вони використовуються для запобігання та реагування на аномальні події та сигнатури, що допомагає забезпечити безпеку мережевих систем у реальному часі.

Висновки

У сучасному світі, де загрози кібербезпеці набувають все більшого та складнішого характеру, технології виявлення аномальних подій та сигнатур в реальному часі відіграють вирішальну роль у забезпеченні безпеки інформаційних систем. Вони здатні виявляти незвичайні активності та потенційні загрози, навіть у високому обсязі даних, які надходять у мережу. У цьому контексті надзвичайно важливо продовжувати дослідження та розробку нових технологій виявлення аномалій та сигнатур, а також вдосконалювати існуючі методи. Це дозволить забезпечити ефективний захист від постійно зростаючих кіберзагроз і зберегти безпеку інформаційних ресурсів у сучасному цифровому середовищі. При розробці системи виявлення вторгнень рекомендується використо - вувати гібридні підходи, які поєднують у собі різні методи, зазначені вище. Гібридні підходи можуть бути складнішими у створенні та впровадженні, проте вони надають більшу точність та швидкість у виявленні загроз та атак. Сигнатурний метод допомагає підтвердити гіпотезу статистичних методів та впевнитись, що певний файл або процес точно є шкідливим для системи. Ці дослідження підкреслюють значення подальшого вдосконалення систем виявлення аномалій для забезпечення високого рівня кібербезпеки в умовах постійно зростаючих кіберзагроз. Було розроблено два програмних коди, які виконують роботу окремих модулів системи виявлення вторгнень. Однак, варто зауважити, що самостійна робота таких модулів не є ефективною у використанні. Система виявлення вторгнень має бути комплексною і включати додаткові модулі для точного визначення як відомих, так і невідомих атак. Тому необхідним є створення нейронної мережі для поведінкового аналізу та аналізатора трафіку, які доповнять роботу вже наявних модулів системи виявлення вторгнень. Такий підхід дозволить підвищити ефективність системи та забезпечити більш точне виявлення потенційних загроз.

Література

1. V. C. Loi, M. Nicolau and J. McDermott (2019) Learning neural representations for network anomaly detection, IEEE Trans. Cybern., vol. 49, no. 8, pp. 3074-3087.

2. A. L. Buczak and E. Guven (2016) A survey of data mining and machine learning methods for cyber security intrusion detection, IEEE Commun. Surveys Tuts., vol. 18, no. 2, pp. 1153-1176.

3. Dutt, S. Borah and I. K. Maitra (2020) Immune System Based Intrusion Detection System (IS-IdS): A Proposed, IEEE Access, vol. 8, pp. 34929-34941.

4. S. Wager, S. Wang, and P. Liang (2013) Dropout training as adaptive regularization. In Advances in Neural Information Processing Systems, 26, pages 351-359.

5. Sutskever, Ilya, Vinyals, Oriol, and Le, Quoc V. (2014) Sequence to sequence learning with neural networks. In Ghahramani, Z., Welling, M., Cortes, C., Lawrence, N. D., and Weinberger, K. Q. (eds.), Advances in Neural Information Processing Systems, 27, pp. 3104-3112.

6. Tereykovsky I., Korchenko А., Parashchuk T. and Pedchenko Y. (2018) Open intrusion detection systems analysis // Ukrainian Scientific Journal of Information Security, vol. 24, issue 3,

pp. 201-216.

7. Louise Axon, Bushra A AlAhmadi, Jason R C Nurse, Michael Goldsmith and Sadie Creese (2020) Data presentation in security operations centres: exploring the potential for sonification to enhance existing practice Journal of Cybersecurity, Volume 6, Issue 1, tyaa004. https://doi.org/10.1093/cybsec/tyaa004.

8. Faten Louati, Farah Barika Ktata, Ikram Amous (2024) An Intelligent Security System Using Enhanced Anomaly-Based Detection Scheme. The Computer Journal, bxae008. https://doi.org/ 10.1093/comjnl/bxae008.

9. Attou H, Guezzaz A, Benkirane S, et al. (2023) Cloud-Based Intrusion Detection Approach Using Machine Learning Techniques. Big Data Mining and Analytics, 6(3): 311-320. https://doi.org/10.26599/BDMA.2022.9020038.

10. Mezones Santana, H.L., Cobena Macias, T.E., Quimiz Moreira, M.A. (2022). Anomaly Detection Method in Computer Systems by Means of Machine Learning. In: Zambrano Vizuete, M., Botto-Tobar, M., Diaz Cadena, A., Durakovic, B. (eds) Innovation and Research - A Driving Force for Socio-Econo-Technological Development. CI3 2021. Lecture Notes in Networks and Systems, vol 511. Springer, Cham. https://doi.org/10.1007/978-3-031-11438-0_32.

References

1. V. C. Loi, M. Nicolau and J. McDermott (2019) Learning neural representations for network anomaly detection, IEEE Trans. Cybern., vol. 49, no. 8, pp. 3074-3087.

2. A. L. Buczak and E. Guven (2016) A survey of data mining and machine learning methods for cyber security intrusion detection, IEEE Commun. Surveys Tuts., vol. 18, no. 2, pp. 1153-1176.

3. Dutt, S. Borah and I. K. Maitra (2020) Immune System Based Intrusion Detection System (IS-IDS): A Proposed, IEEE Access, vol. 8, pp. 34929-34941.

4. S. Wager, S. Wang, and P. Liang (2013) Dropout training as adaptive regularization. In Advances in Neural Information Processing Systems, 26, pages 351-359.

5. Sutskever, Ilya, Vinyals, Oriol, and Le, Quoc V. (2014) Sequence to sequence learning with neural networks. In Ghahramani, Z., Welling, M., Cortes, C., Lawrence, N. D., and Weinberger, K. Q. (eds.), Advances in Neural Information Processing Systems, 27, pp. 3104-3112.

6. Tereykovsky I., Korchenko А., Parashchuk T. and Pedchenko Y. (2018) Open intrusion detection systems analysis // Ukrainian Scientific Journal of Information Security, vol. 24, issue 3,

pp. 201-216.

7. Louise Axon, Bushra A AlAhmadi, Jason R C Nurse, Michael Goldsmith and Sadie Creese (2020) Data presentation in security operations centres: exploring the potential for sonification to enhance existing practice Journal of Cybersecurity, Volume 6, Issue 1, tyaa004. https://doi.org/10.1093/cybsec/tyaa004.

8. Faten Louati, Farah Barika Ktata, Ikram Amous (2024) An Intelligent Security System Using Enhanced Anomaly-Based Detection Scheme. The Computer Journal, bxae008. https:// doi.org/10.1093/comj nl/bxae008.

9. Attou H, Guezzaz A, Benkirane S, et al. (2023) Cloud-Based Intrusion Detection Approach Using Machine Learning Techniques. Big Data Mining and Analytics, 6(3): 311-320. https://doi.org/10.26599/BDMA.2022.9020038.

10. Mezones Santana, H.L., Cobena Macias, T.E., Quimiz Moreira, M.A. (2022). Anomaly Detection Method in Computer Systems by Means of Machine Learning. In: Zambrano Vizuete, M., Botto-Tobar, M., Diaz Cadena, A., Durakovic, B. (eds) Innovation and Research - A Driving Force for Socio-Econo-Technological Development. CI3 2021. Lecture Notes in Networks and Systems, vol 511. Springer, Cham. https://doi.org/10.1007/978-3-031-11438-0_32.

Размещено на Allbest.ru