Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование методов машинного обучения

Обложка

Цитировать

Полный текст

Аннотация

В данном исследовании представлена классификация и сравнительный анализ методов интеллектуального анализа системных событий, применяемых для обнаружения многошаговых кибератак. Подобные атаки представляют собой последовательность взаимосвязанных шагов злоумышленника, преследующего определенную цель вторжения. В статье анализируются подходы к обнаружению многошаговых кибератак на основе методов машинного обучения на данных о системных событиях, включающие обучение с учителем, без учителя, а также частичное обучение. Рассмотренные подходы анализируются по следующим критериям: метод извлечения знаний о сценариях системных событий и атак, метод представления знаний о сценариях, метод анализа событий безопасности, решаемая задача безопасности и используемый набор данных. Приводятся основные достоинства и недостатки подходов к обнаружению многошаговых кибератак на основе машинного обучения, а также возможные направления исследований в данной области.

Полный текст

Доступ закрыт

Об авторах

Игорь Витальевич Котенко

Санкт-Петербургский федеральный исследовательский центр РАН

Автор, ответственный за переписку.
Email: ivkote@comsec.spb.ru

Доктор технических наук, профессор. Главный научный сотрудник, руководитель лаборатории проблем компьютерной безопасности

Россия, Санкт-Петербург

Диана Альбертовна Левшун

Санкт-Петербургский федеральный исследовательский центр РАН

Email: gaifulina@comsec.spb.ru

Младший научный сотрудник. Лаборатория проблем компьютерной безопасности

Россия, Санкт-Петербург

Список литературы

  1. Котенко И.В., Саенко И.Б., Дойникова Е.В., Новикова Е.С., Шоров А.В., Чечулин А.А., Десницкий В.А. Интеллектуальные сервисы защиты информации в критических инфраструктурах. СПб.: БХВ-Петербург, 2019. 400 с.
  2. Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. V. 10. P. 43387-43420.
  3. Котенко И.В., Левшун Д.А. Методы интеллектуального анализа системных событий для обнаружения многошаговых кибератак: использование баз знаний // Искусственный интеллект и принятие решений. 2023. № 2. С 3-14.
  4. Полетаева Н. Г. Классификация систем машинного обучения // Вестник Балтийского федерального университета им. И. Канта. Серия: Физико-математические и технические науки. 2020. №. 1. С. 5-22.
  5. Joloudari J. H., Haderbadi M., Mashmool A., GhasemiGol M., Band S. S., Mosavi A. Early detection of the advanced persistent threat attack using performance analysis of deep learning // IEEE Access. 2020. V. 8. P. 186125-186137.
  6. Павлычев А. В., Стародубов М. И., Галимов А. Д. Использование алгоритма машинного обучения Random Forest для выявления сложных компьютерных инцидентов // Вопросы кибербезопасности. 2022. № 5. С. 74-81.
  7. Kotenko I., Saenko I., Branitskiy A. Framework for mobile Internet of Things security monitoring based on big data processing and machine learning // IEEE Access. 2018. V. 6. P. 72714-72723.
  8. Li G., Nguyen T. H., Jung J. J. Traffic incident detection based on dynamic graph embedding in vehicular edge computing // Applied Sciences. 2021. V. 11. No 13. P. 5861.
  9. Chen H., Xiao R., Jin S. Real-time detection of cloud tenant malicious behavior based on CNN // 2020 IEEE Intl Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Computing & Communications, Social Computing & Networking (ISPA/BDCloud/SocialCom/SustainCom). IEEE, 2020. P. 998-1005.
  10. Do Xuan C., Dao M. H. A novel approach for APT attack detection based on combined deep learning model //Neural Computing and Applications. 2021. V. 33. No 20. P. 13251-13264.
  11. Mao B., Liu J., Lai Y., Sun M. MIF: A multi-step attack scenario reconstruction and attack chains extraction method based on multi-information fusion // Computer Networks. 2021. V. 198. P. 108340.
  12. Ramaki A. A., Amini M., Atani R. E. RTECA: Real time episode correlation algorithm for multi-step attack scenarios detection // Computers & Security. 2015. V. 49. P. 206-219.
  13. Pivarníková M., Sokol P., Bajtoš T. Early-stage detection of cyber attacks // Information. 2020. V. 11. No 12. P. 560.
  14. Zimba A., Chen H., Wang Z. Bayesian network based weighted APT attack paths modeling in cloud computing // Future Generation Computer Systems. 2019. V. 96. P. 525-537.
  15. Luo W., Zhang H., Yang X., Bo L., Yang X., Li Z., Ye J. Dynamic heterogeneous graph neural network for real-time event prediction // Proceedings of the 26th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2020. P. 3213-3223.
  16. Левшун Д. А. Модель комбинированного применения интеллектуальных методов корреляции событий информационной безопасности // Известия высших учебных заведений. Приборостроение. 2022. Т. 65. № 11. С. 833-841.
  17. Du M., Li F., Zheng G., Srikumar V. Deeplog: Anomaly detection and diagnosis from system logs through deep learning // Proceedings of the 2017 ACM SIGSAC conference on computer and communications security. 2017. P. 1285-1298.
  18. Shen Y., Mariconti E., Vervier P. A., Stringhini G. Tiresias: Predicting security events through deep learning //Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018. P. 592-605.
  19. Heigl M., Weigelt E., Urmann A., Fiala D., Schramm M. Exploiting the outcome of Outlier Detection for novel Attack Pattern Recognition on Streaming Data // Electronics. 2021. V. 10. No 17. P. 2160.
  20. Wang X., Gong X., Yu L., Liu J. MAAC: Novel Alert Correlation Method To Detect Multi-step Attack // 2021 IEEE 20th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). IEEE, 2021. P. 726-733.
  21. Gadal S., Mokhtar R., Abdelhaq M., Alsaqour R., Ali E. S., Saeed, R. Machine Learning-Based Anomaly Detection Using K-Mean Array and Sequential Minimal Optimization// Electronics. 2022. V. 11. No 14. P. 2158.
  22. Shittu R., Healing A., Ghanea-Hercock R., Bloomfield R., Rajarajan M. Intrusion alert prioritisation and attack detection using post-correlation analysis // Computers & Security. 2015. V. 50. P. 1-15.
  23. Tao X. L., Shi L., Zhao F., L, S., Peng Y. A. Hybrid Alarm Association Method Based on AP Clustering and Causality //Wireless Communications and Mobile Computing. 2021. V. 2021. P. 1-10.
  24. Абрамов Е. С., Тарасов Я. В. Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы // Инженерный вестник Дона. 2017. Т. 46. № 3 (46). С. 59-77.
  25. Dhaou A., Bertoncello A., Gourvénec S., Garnier J., Le Pennec E. Causal and Interpretable Rules for Time Series Analysis // Proceedings of the 27th ACM SIGKDD Conference on Knowledge Discovery & Data Mining. 2021. P. 2764-2772.
  26. Xie T., Zheng Q., Zhang W. Mining temporal characteristics of behaviors from interval events in e-learning // Information Sciences. 2018. V. 447. P. 169-185.
  27. Liu F., Wen Y., Zhang D., Jiang X., Xing X., Meng D. Log2vec: A heterogeneous graph embedding based approach for detecting cyber threats within enterprise // Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019. P. 1777-1794.
  28. Lanoe D., Hurfin M., Totel E. A scalable and efficient correlation engine to detect multi-step attacks in distributed systems // 2018 IEEE 37th Symposium on Reliable Distributed Systems (SRDS). IEEE, 2018. P. 31-40.
  29. Hassan W. U., Noureddine M. A., Datta P., Bates A. OmegaLog: High-fidelity attack investigation via transparent multi-layer log analysis // Network and distributed system security symposium. 2020. P 1-16.
  30. Гурина А. О., Гузев О. Ю., Елисеев В. Л. Обнаружение аномальных событий на хосте с использованием автокодировщика // International Journal of Open Information Technologies. 2020. V. 8. No 8. P. 26-36.
  31. Васильев В. И., Вульфин А. М., Гвоздев В. Е., Картак В. М., Атарская, Е. А. Обеспечение информационной безопасности киберфизических объектов на основе прогнозирования и обнаружения аномалий их состояния // Системы управления, связи и безопасности. 2021. №. 6. С. 90-119.
  32. Min B., Yoo J., Kim S., Shin D., Shin D. Network anomaly detection using memory-augmented deep autoencoder // IEEE Access. 2021. V. 9. P. 104695-104706.
  33. Wang L., Qu Z., Li Y., Hu K., Sun J., Xue K., Cui M. Method for extracting patterns of coordinated network attacks on electric power CPS based on temporal–topological correlation // IEEE Access. 2020. V. 8. P. 57260-57272.
  34. Zhang Y., Zhao S., Zhang J. RTMA: Real time mining algorithm for multi-step attack scenarios reconstruction // 2019 IEEE Intl Conf on High Performance Computing and Communications; Smart City; Data Science and Systems (HPCC/SmartCity/DSS). 2019. P. 2103-2110.
  35. Hossain M., Xie J. Third eye: Context-aware detection for hidden terminal emulation attacks in cognitive radio-enabled IoT networks // IEEE Transactions on Cognitive Communications and Networking. 2020. V. 6. No 1. P. 214-228.
  36. Zegeye W. K., Dean R. A., Moazzami F. Multi-layer hidden markov model based intrusion detection system // Machine Learning and Knowledge Extraction. 2018. V. 1. No 1. P. 265-286.
  37. Shawly T., Elghariani A., Kobes J., Ghafoor A. Architectures for detecting interleaved multi-stage network attacks using hidden Markov models // IEEE Transactions on Dependable and Secure Computing. 2019. V. 18. No 5. P. 2316-2330.
  38. Saaudi A., Tong Y., Farkas C. Probabilistic Graphical Model on Detecting Insiders: Modeling with SGD-HMM // ICISSP. 2019. P. 461-470.
  39. Glasser J., Lindauer B. Bridging the gap: A pragmatic approach to generating insider threat data // 2013 IEEE Security and Privacy Workshops. IEEE, 2013. P. 98-104.
  40. Xu W., Huang L., Fox A., Patterson D., Jordan, M. Online system problem detection by mining patterns of console logs // 2009 ninth IEEE international conference on data mining. IEEE, 2009. P. 588-597.
  41. 2000 DARPA intrusion detection scenario specific dataset// Электронный ресурс. URL: https://www.ll.mit.edu/r-d/datasets/2000-darpa-intrusion-detection-scenario-specific-datasets (доступ 20.12.22)
  42. Sharafaldin I., Lashkari A. H., Ghorbani A. A. Toward generating a new intrusion detection dataset and intrusion traffic characterization // ICISSp. 2018. V. 1. P. 108-116.
  43. Meidan Y., Bohadana M., Mathov Y., Mirsky Y., Shabta, A., Breitenbacher D., Elovici Y. N-baiot – network-based detection of IoT botnet attacks using deep autoencoders // IEEE Pervasive Computing. 2018. V. 17. No 3. P. 12-22.
  44. Garcia S., Grill M., Stiborek J., Zunino, A. An empirical comparison of botnet detection methods // Computers & Security. 2014. V. 45. P. 100-123.
  45. Creech G., Hu J. A semantic approach to host-based intrusion detection systems using contiguousand discontiguous system call patterns // IEEE Transactions on Computers. 2013. V. 63. No 4. P. 807-819.
  46. Shiravi, A., Shiravi, H., Tavallaee, M., Ghorbani, A. A. Toward developing a systematic approach to generate benchmark datasets for intrusion detection // Computers & Security. 2012. V. 31. No 3. P. 357-374.
  47. Tavallaee M., Bagheri E., Lu W., Ghorbani A. A. A detailed analysis of the KDD CUP 99 data set // 2009 IEEE symposium on computational intelligence for security and defense applications. 2009. P. 1-6.
  48. Moustafa N., Slay J. UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set) // 2015 Military Communications and Information Systems Conference (MilCIS). IEEE, 2015. P. 1-6.
  49. Shin H. K., Lee W., Yun J. H., Ki, H. HAI 1.0:HIL-based Augmented ICS Security Dataset // 13th USENIX Workshop on Cyber Security Experimentation and Test (CSET 20). 2020. P 1-5.
  50. Autiosalo J. Platform for industrial internet and digital twin focused education, research, and innovation: Ilmatar the overhead crane // 2018 IEEE 4th World Forum on Internet of Things (WF-IoT). IEEE, 2018. P. 241-244.
  51. Котенко И.В., Саенко И.Б. Создание новых систем мониторинга и управления кибербезопасностью // Вестник Российской академии наук. 2014. Т. 84. № 11. С. 993-1001.
  52. Котенко И.В., Федорченко А.В., Саенко И.Б., Кушнеревич А.Г. Технологии больших данных для корреляции событий безопасности на основе учета типов связей // Вопросы кибербезопасности. 2017. № 5 (23). С. 2-16.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать
2. Рис. 1. Классификация подходов к обнаружению многошаговых атак

Скачать (108KB)
Метаданные
3. Рис. 2. Анализ системных событий на основе методов обучения с учителем

Скачать (87KB)
Метаданные
4. Рис. 3. Анализ системных событий на основе методов обучения без учителя

Скачать (81KB)
Метаданные

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».