Home » Articole » Articole » Calculatoare » Securitate informatica » Detectarea amenințărilor persistente avansate în atacurile cibernetice

Detectarea amenințărilor persistente avansate în atacurile cibernetice

Modelele tradiționale de atac de rețea și hacking evoluează în mod constant pentru a ține pasul cu dezvoltarea rapidă a tehnologiei de rețea. Amenințarea persistentă avansată (APT), organizată de obicei de un grup de hackeri, este o metodă de atac complexă și direcționată. O perioadă lungă de planificare strategică și căutare de informații precedă de obicei un atac asupra unui obiectiv specific. Accentul este pus pe un obiect vizat și sunt folosite metode specifice personalizate pentru a lansa atacul și pentru a obține informații confidențiale. Sistemul de detactare folosește baza de date NSL-KDD pentru detectarea și verificarea atacurilor. Metoda principală utilizează analiza componentelor principale (PCA) pentru eșantionarea caracteristicilor și îmbunătățirea eficienței detectării. Avantajele și dezavantajele utilizării clasificatoarelor sunt apoi comparate pentru a detecta setul de date, clasificatorul acceptă mașina vectorială, clasificarea naivă Bayes, arborele de decizie și rețelele neuronale. Rezultatele experimentelor arată că mașina vector suport (SVM) are cea mai mare rată de recunoaștere, atingând 97,22% (pentru subdatele antrenate A). Scopul acestui studiu a fost de a stabili un mecanism de model de avertizare timpurie APT, care ar putea fi utilizat pentru a reduce impactul și influența atacurilor APT.1.

Dezvoltarea explozivă recentă a tehnologiei Internet a provocat un boom similar al metodelor de atac al hackerilor, care este actualizat constant. Industria, precum și guvernul, se confruntă acum cu amenințări mai grave la adresa securității informațiilor. Amenințarea la adresa informațiilor din partea amenințării persistente avansate (APT) este mult mai mare decât cea a hackerilor independenți și reprezintă o provocare enormă pentru sistemele de securitate a informațiilor din rețea. Printre caracteristicile importante ale APT este că este avansată și intruziunea este la un nivel foarte ridicat. De asemenea, are o mare capacitate de ecranare, iar calea de atac este adesea indiscernabilă, ceea ce face mai dificilă pentru metodele tradiționale să detecteze și să se apere. Este, de asemenea, persistentă, atacul este continuu și de lungă durată, acest lucru îngreunează și tehnicile de detectare unice, punctuale. Deși operatorul APT se bazează pe big data, acesta aduce o serie de dificultăți în detectarea și protecția APT, dar poate folosi și big data pentru a testa și a răspunde la APT. Dacă există date de informații complete la toate nivelurile și etapele și este detectat orice comportament interactiv, diferite date pot fi utilizate pentru a găsi diferite etape pentru analiza APT. APT este un model de atac major care durează mult timp, implică o cantitate mare de trafic de date și are mai multe fațete. Acest mod de atac prezintă obstacole majore la care detectarea tradițională de potrivire a caracteristicilor punctual nu poate oferi o rezistență serioasă și eficientă.

În 2013, Mandiant, acum parte a grupului FireEye US Information Network Security, a clasificat un atac APT ca fiind ciclic și având cinci etape. Prima este o invazie inițială, folosind în principal e-mailul ca mediu. A doua etapă este stabilirea unui punct de sprijin, iar programele rău intenționate sunt folosite pentru a prelua sistemul țintă. A treia etapă implică obținerea privilegiilor de administrator și spargerea parolei pentru a obține controlul și autoritatea utilizatorului. O investigație internă și difuzarea paralelă cuprind a patra etapă în care sarcina principală este căutarea altor servere din apropiere și achiziționarea de informații interne legate. Etapa finală este monitorizarea și controlul continuu al serverului, precum și furtul și exportul de date. Amenințarea atacului APT devine din ce în ce mai gravă, viteza sa de evoluție depășește imaginația, în timp ce forma sa a devenit mai diversificată. Tehnicile pe care APT le-a adoptat pentru diferite ținte și obiecte s-au schimbat, de asemenea. Metodele obișnuite utilizate acum pentru atacurile APT sunt atacurile „watering hole”, spear phishing și injecție SQL și altele.

Schemele de detectare pentru atacurile APT includ detectarea sandbox, detectarea anomaliilor de rețea și detectarea completă a traficului. Cu toate acestea, metodele existente de detectare a atacurilor APT au o acuratețe mai mică și necesită un număr mare de mostre etichetate. Heba şi colab. a evaluat setul de date NSL-KDD și a propus un sistem de detectare a intruziunilor de anomalii bazat pe SVM, unde PCA este aplicat pentru selectarea caracteristicilor. Ei au examinat eficacitatea sistemului de detectare a intruziunilor prin efectuarea mai multor experimente pe setul de date NSL-KDD. Liu și colab. a propus un model de detecție a intruziunilor în rețea bazat pe intruziune profundă (DBN-SVDD). Această metodă folosește DBN (deep belief net) pentru reducerea dimensionalității structurale pentru a îmbunătăți eficiența detectării și folosește SVDD (suport vector data description) pentru a identifica și detecta seturi de date. Rezultatele experimentale ale setului de date NSL-KDD folosind diverși algoritmi arată că rata de detectare a metodei poate ajunge la 93,71%. Nu este nevoie să marcați un număr mare de mostre, poate procesa date cu dimensiuni mari, detectarea unui atac APT este eficientă și nu este nevoie de supraveghere.

Frecvența atacurilor automate asupra rețelelor a crescut enorm, la fel ca viteza și varietatea malware-urilor utilizate. Furnizarea unei procesări eficiente de analiză pe rețelele de big data este foarte importantă. De altfel, capacitatea de procesare a datelor de atac depășește aproape întotdeauna capacitățile computerelor personale. Furnizorii folosesc multe dispozitive diferite de sistem de detectare a intruziunilor în rețea (NIDS) care sunt disponibile pe piață. Majoritatea folosesc metoda sniffer pentru a monitoriza în timp real pachetele în rețea și pentru a compara pachetele suspecte cu altele folosite în atacurile anterioare. Când se găsește o intruziune suspectată, aceste sisteme de apărare pot lansa un avertisment imediat. Până acum nu există nicio indicație despre care algoritm, dintre mulți, utilizat de orice dispozitiv hardware oferă cea mai bună rată de detectare a datelor APT. În prezent, există trei tipuri comune de detectare a atacurilor APT: sandbox, rețea anormală și detecție full-flow. Toate au deficiențe și precizie scăzute și necesită un număr mare de mostre etichetate. Majoritatea se concentrează pe o etapă a atacului APT, iar astfel de metode de detectare unică nu pot monitoriza ciclul de viață al unui atac APT în fiecare etapă. Este necesar să se studieze datele de atac și să se stabilească o arhitectură integrată de detectare a securității pentru APT care să poată face față complexității atacului. Arhitectura de detectare a securității APT folosește gândirea stratificată pentru a acoperi toate etapele unui atac APT, inclusiv etapele de pregătire, intruziune, infiltrare și recoltare. Este un sistem de detectare în profunzime care acoperă mai multe surse de informații și protocoale de rețea. Atacatorii pot fi destul de norocoși să ocolească una dintre etapele de detectare, dar este foarte dificil să evitați complet detectarea.

În noua eră a big data, volumul imens de date răspândit acum pe întreg globul a adus cu sine noi provocări de securitate, mult mai mari decât am întâlnit vreodată. Există o relație corespunzătoare și paralelă între spațiul realității, sau spațiul real și spațiul de date. Orice activitate, interacțiune și comportament, în special ca știri, în spațiul real are o relație corespunzătoare în spațiul de date. Informațiile despre numărul mare de întreprinderi din întreaga lume și datele acestora, despre miliarde de persoane și chiar obiecte, cloud computing și Internetul lucrurilor, sunt toate purtători care generează date mari. Nu există nicio îndoială cu privire la existența datelor mari, dar a devenit și principalul purtător al atacurilor cibernetice.

Multe experimente au fost efectuate folosind baza de date KDD 99, care a fost cea mai frecvent utilizată în studiile anterioare. Aceste date se bazează pe o bază de date stabilită de DARPA în 1999. DARPA a colectat datele pentru trei săptămâni de flux normal de date și două săptămâni pentru un atac de anomalii. Acest lucru a fost realizat la Lincoln Labs al Institutului de Tehnologie din Massachusetts (MIT) și există 494.021 de înregistrări în setul de antrenament al bazei de date și 311.029 de înregistrări în setul de testare. Există un total de 41 de caracteristici și 5 tipuri de etichete mari (normal, dos, r2l, u2l, probe). Defectele inerente ale setului de date KDD 99 au fost relevate de diverse analize statistice, în care multe studii au găsit defecte care afectează precizia modelării sistemului de detectare a intruziunilor (IDS). Tavallaee și colab. a pus la îndoială datele KDD 99 și a modificat în continuare eșantionul de date. El a introdus baza de date NSL-KDD, care este mai discriminativă și permite o mai bună detectare a intruziunilor.

Setul de date NSL-KDD este potrivit pentru studiul și evaluarea sistemelor de detectare a intruziunilor în rețea. Predecesorul său a fost o versiune îmbunătățită a KDD 99, care avea date redundante eliminate și a depășit problema înregistrărilor recurente ale clasificatorului, care avea tendința de a afecta performanța învățării. În plus, raportul dintre datele normale și anormale este selectat corespunzător, volumele de date de testare și antrenament sunt mai rezonabile și, în general, este mai potrivit pentru evaluarea precisă a diferitelor tehnici de învățare automată. Big data a devenit fundamentul științei și al clarificării, al structurii, al standardizării, al reducerii dimensionalității și al vizualizării. Algoritmii de reducere a dimensionalității mapează datele multidimensionale originale la date cu dimensiuni reduse și descriu principalele caracteristici ale originalului cu mai puține date. Metodele comune utilizate în prezent pot fi liniare sau neliniare. Cele mai frecvent utilizate metode de reducere a dimensionalității neliniare sunt încorporarea liniară locală (LLE) și alinierea spațiului tangent local (LTSA). Cu toate acestea, complexitatea computațională a neliniarității este mare. Cele trei caracteristici importante ale explorării analizei liniare a componentelor principale (PCA) sunt: (1) este cea mai bună schemă liniară, în termeni de eroare pătratică medie, pentru comprimarea și reconstrucția unui set de vectori de dimensiuni mari în vectori de dimensiuni inferioare; (2) permite o calculare directă a parametrilor modelului din date, cum ar fi covarianța eșantionului; (3) compresia și decompresia sunt procese simple pentru execuția parametrilor modelului. În conformitate cu o metodă propusă de Revathi et al., setul de date NSL-KDD a fost utilizat pentru detectarea intruziunilor în rețea. Setul de date are 41 de atribute, dintre care unele pot să nu fie necesare, iar altele fără legătură. Atunci când setul de date este foarte mare, pot apărea probleme dimensionale. Pentru a reduce dimensiunile, se poate folosi PCA, o tehnică de analiză dimensională și multivariată utilizată în principal pentru compresia datelor, procesarea imaginilor, recunoașterea modelelor și predicția serii cronologice.

Tehnologia de detectare a atacurilor APT a fost, de asemenea, combinată cu tehnici de mineritul datelor. Scopul este de a realiza integrarea și clasificarea datelor folosind seturi de modele întâlnite frecvent și reguli de asociere pentru a detecta și obține avertizare timpurie a unui atac APT. Clasificarea este împărțită în categorii care au fost stabilite cu ajutorul datelor de testare. În timpul procesului de extragere a datelor, tehnologia de detectare a atacurilor devine o problemă de clasificare care determină categoria și seturile de caracteristici. Fiecare înregistrare de audit este clasificată ca unul din două tipuri: comportament normal sau comportament de atac. În detectarea atacurilor APT, analiza corelației poate fi utilizată pentru a găsi relația dintre diferitele tipuri de comportament de atac. Această corelație este utilizată pentru clasificarea datelor și pentru detectarea atacurilor. Cei mai influenți algoritmi de clasificare utilizați în mineritul datelor sunt Iterative Dichotomizer 3 (ID3), C4.5, clasificatorul nativ Bayes, bazat pe atitudinea posterioară care folosește teorema Bayes și retropropagarea retelelor bayesiană și neuronală. Dacă acuratețea predicției, viteza de calcul, robustețea și interpretabilitatea sunt folosite pentru a evalua algoritmii de clasificare, se constată că fiecare metodă diferită are avantaje și dezavantaje. Până acum nu s-a găsit nicio metodă superioară celorlalte pentru toate datele. Acestea sunt selectate în funcție de tipul de date și de domeniul de aplicare.

Sursa: Chu, W.-L.; Lin, C.-J.; Chang, K.-N. Detection and Classification of Advanced Persistent Threats and Attacks Using the Support Vector Machine. Appl. Sci. 2019, 9, 4579. https://doi.org/10.3390/app9214579, licența CC BY 4.0. Traducere și adaptare © 2023 Nicolae Sfetcu

Big Data: Modele de afaceri - Securitatea megadatelor
Big Data: Modele de afaceri – Securitatea megadatelor

Termenul megadate (Big Data, date masive) este adesea folosit în mod vag pentru a desemna paleta de algoritmi, tehnologii și sisteme utilizate pentru colectarea datelor de volum și varietate fără precedent și extragerea de valoare din acestea prin calculul masiv … Citeşte mai mult

Nu a fost votat $3.99$5.99 Selectează opțiunile
Căutarea, extragerea, organizarea și evaluarea informațiilor
Căutarea, extragerea, organizarea și evaluarea informațiilor

Informația, ca și concept, include o mare diversitate de sensuri în contexte diferite, de la cele zilnice până la cele tehnice. Conceptul de informație este strâns legat de noțiunile de restricție, comunicare, control, date, forme, educație, cunoaștere, înțelegere, stimul mental, … Citeşte mai mult

Nu a fost votat $3.99$9.61 Selectează opțiunile
Tehnologia Blockchain - Bitcoin
Tehnologia Blockchain – Bitcoin

Internetul a schimbat complet lumea, cultura şi obiceiurile oamenilor. După o primă fază caracterizată prin transferul liber al informaţiilor, au apărut preocupările pentru siguranţa comunicaţiilor online şi confidenţialitatea utilizatorilor. Tehnologia blockchain asigură ambele aceste deziderate. Relativ nouă, ea are şansa să producă … Citeşte mai mult

Nu a fost votat $4.99$11.99 Selectează opțiunile

2 Responses

  1. Stanescuvifor@yahoo.com
    |

    CA urmare a infractiunii de penetrare a contului personal ,fata alertare si anunt ,de catre insasi banca unde am ct.-*** BUC.,IN urma unei simple solicitari ascunse /dosita de banca facuta de catre *** ,banca in loc sa verifice daca exista ;un contract ,o aceeptare ca urmare a unei oferte vizand INLATURARE VIRUSI SI RECLAME NEDORITE ,aparute sistematic pe ecranul calculatorului subs.,a intregit ,culmea arogantei si inselatoriei ,ultimelr 3 cifre dintr-un card vechi si a onorat plata de 87,38 USD din cont catre ac.firma fantoma;
    am deschis proces in instanta ,banca REFUZAND A PUNE LA DISPOZITIE,ca si subsemnatului anterior,documente :contractul de acceptare clauze si plata,cererea de efectuare plati ,doc.de expediere ,pr,v.de scoatere fara INSTIINTAREA subs.a sumei resp.,refuzand orice infatisare ,iar onorata instanta nu intreprinde nimic ,ca de altfel nici ANPC,POLITIA ROMANA ,prin structura antifising specializata,AUT.DIN SEVASTOPOL , toate fara raspuns.
    semnez , ***.

  2. mihalcea ion adrian
    |

    Foart utla lucrare celor care lucreaza in acest domeniu. De fapt ca mai toate lucrarile de informare cu care va osteniti asa mult dvs.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *