МЕТОД ВИЯВЛЕННЯ КІБЕРЗАГРОЗ ТА ШПЗ ДЛЯ ЗАБЕЗПЕЧЕННЯ ЖИВУЧОСТІ КОМП’ЮТЕРНИХ СИСТЕМ В КОРПОРАТИВНИХ МЕРЕЖАХ НА ОСНОВІ САМОАДАПТИВНОСТІ
METHOD FOR CYBER THREATS AND MALWARE DETECTION TO ENSURE THE COMPUTER SYSTEMS RESILIENCE OF IN CORPORATE NETWORKS BASED ON SELF-ADAPTIVITY
Сторінки: 39-43. Номер: №4, 2020 (287)
Автори:
С.М. ЛИСЕНКО, Т.М. КИСІЛЬ, Ю.О. НІЧЕПОРУК, А.В. ГОРОШКО
Хмельницький національний університет
S. LYSENKO, T. KYSIL, Y. NICHEPORUK, A. GOROSHKO
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2020-287-4-39-43
Рецензія/Peer review : 17.10.2020 р.
Надрукована/Printed : 04.11.2020 р.
Анотація мовою оригіналу
В роботі представлено метод забезпечення живучості комп’ютерних систем в умовах кіберзагроз на основі самоадаптивності, який дозволяє здійснювати адаптивне реконфігурування компонентів КС шляхом сценаріїв безпеки та забезпечує здатність системи до стійкого її функціонування в ситуації наявності кібератак. Живучість забезпечується адаптивним відновленням мережі. Ця реконструкція проводиться на основі сценарію безпеки, прийнятого на основі аналізу раніше зібраних ознак, притаманних кібератакам. Ознаки атак формуються як вектори ознак і підлягають класифікації. Результатом класифікації є віднесення об’єкту класифікації до відповідного класу, який відповідає певній кібератаці. Метою методу є вибір необхідного сценарію захисту мережевої реконструкції відповідно до кібератак. Експериментальні дослідження свідчать про високу достовірність запропонованого методу, зокрема достовірність виявлення кібератак до 99% та здатності забезпечення живучості КС в ситуації кібератак з рівнем до 70%.
Ключові слова: шкідливе програмне забезпечення, живучість, комп’ютерні системи, достовірність виявлення, кібератака, мережний трафік.
Розширена анотація англійською мовою
The paper presents a method for cyber threats and malware detection to ensure the computer systems resilience of in corporate networks based on self-adaptivity. The resilience is ensured by the adaptive reconfiguration of the network. Answer the question how the network has to be reconfigured is received by the means of the cluster analysis of the cyberattacks’ features, which are observed in the network and network hosts. In order to choose the needed security scenarios, the proposed method uses SVM approach. The objects of classification are the feature vectors, which contain the set of the demonstrations, which may indicate the appearance of cyber threats on the in corporate networks. The purpose of the technique is to choose the network and network hosts’ reconfiguration scenarios according to the cyber-attacks, performed by the botnets. The learning stage of the method consists of the following steps: a knowledge formation about the features that may indicate the cyberattacks performed by the botnet; presentation the knowledge about the cyberattacks as the set of feature vectors; a labeled data creation of the feature vectors of the cyberattacks based on knowledge. The monitoring stage of the method consists of the following steps: gathering of the inbound and outbound network traffic; gathering of the information about the hosts’ network activity and reports of the hosts’ antiviruses; construction of the feature vector, based on the information obtained from the network and hosts; implementation of the semi-supervised fuzzy c-means clustering for the choice of the security scenarios; implementation of the security scenarios for the corporate area network’s infrastructure. Usage of the developed system makes it possible to detect known and unknown multi vector cyberattacks performed by the botnets. Experimental results demonstrated that the implemented principals of proposed technique into show the ability to ensure the resilient network functioning in the situation of the cyberattacks by botnets at the rate at about 70%.
Keywords: malware, computer systems, resilience, detection efficiency, network traffic, cyberattack.
References
- McAfee Mobile Threat Report Q1, 2020. URL: https://www.mcafee.com/content/dam/cons umer/en-us/docs/2020-Mobile-Threat-Report.pdf. – 9.12.2019р. (date of access: 10.07.2020).
- 2020 State of Malware Report. URL: https://resources.malwarebytes.com/files/2020/0 2/2020_State-of-Malware-Report.pdf (date of access: 10.07.2020).
- Jun C., Chi C. Design of complex event-processing IDS in internet of things. In Sixth International Conference on Measuring Technology and Mechatronics Automation (ICMTMA) (January 2014). 2014. P. 226–229.
- Lee P. A., Clark L., Bushnell R., Poovendran A passivity framework for modeling and mitigating wormhole attacks on networked control systems, IEEE Trans. Autom. Control. 2014. Vol. 59. No. 12. Pp. 3224–3237.
- Zhang J., Blum R.S., Lu X., Conus D. Asymptotically optimum distributed es- timation in the presence of attacks, IEEE Trans. Signal Process. 2015. Vol. 63. No. 5. P. 1086–1101.
- Pongle P., Chavan G. Real time intrusion and wormhole attack detection in internet of things. International Journal of Computers and Applications. 2015. Vol. 121. No. 9.
- Cervantes C., Poplade D., Nogueira M., Santos A. Detection of sinkhole attacks for supporting secure routing on 6lowpan for internet of things. In IFIP/IEEE International Symposium on Integrated Network Management (IM)(May, 2015). 2015. P. 606–611.
- An R., Feng H., Liu Q., Li L. Three elliptic curve cryptography-based RFID authentication protocols for Internet of Things. In International Conference on Broadband and Wireless Computing, Communication and Applications. Springer International Publishing (November 2016). 2016. P. 857–878.
- Sun H., Wang X., Buyya R., Su J. CloudEyes: Cloud‐based malware detection with reversible sketch for resource‐constrained internet of things (IoT) devices. Software, Practice & Experience. 2017. Vol. 47. No. 3. P. 421–441. doi:10.1002/spe.2420
- Arrington B., Barnett L., Rufus R., Esterline A. Behavioral Modeling Intrusion Detection System (BMIDS) Using Internet of Things (IoT) Behavior-Based Anomaly Detection via Immunity-Inspired Algorithms. In 25th International Conference on Computer Communication and Networks (ICCCN) (August 2016). 2016. P. 1–6.
- Hodo E., Bellekens X., Hamilton A., Dubouilh P.L., Iorkyase E., Tachtatzis C., Atkinson R. Threat analysis of iot networks using artificial neural network intrusion detection system. In International Symposium on Networks, Computers and Communications (ISNCC)(May 2016). 2016. P. 1–6.
- Le A., Loo J., Chai K. K., Aiash M.A. Specification-Based IDS for Detecting Attacks on RPL- Based Network Topology. Information. 2016. Vol. 7. No. 2. p. 25. doi:10.3390/info7020025
- Lysenko S., Bobrovnikova K., Savenko O., Kryshchuk A. BotGRABBER: SVM-Based Self-Adaptive System for the Network Resilience Against the Botnets’ Cyberattacks. Communications in Computer and Information Science, ISSN: 1865-0929. 2019. P. 127–143.
- Lysenko S., Savenko O., Bobrovnikova K., Kryshchuk A. Self-adaptive system for the corporate area network resilience in the presence of botnet cyberattacks. Communications in Computer and Information Science, ISSN: 1865-0929. 2018. P. 385–401.
- Weston J., Mukherjee S., Chapelle O., Pontil , Poggio T. Vapnik Feature selection for SVMs. In: Advances in neural information processing systems. 2001. P. 668–674.
- Hofmann T., Scholkopf B., Smola A. J. Kernel methods in machine learning. The annals of statistics. 2008. P. 1171–1220.
- Foody G.M., Mathur A. A relative evaluation of multiclass image classification by support vector machines. IEEE Transactions on geoscience and remote sensing. 2004. Vol. 42. No. 6. P. 1335–1343.
- Sergii Lysenko, Pomorova Oksana, Savenko Oleg, Kryshchuk Andrii, Bobrovnikova Kira. DNS-based Anti-evasion Technique for Botnets Detection. The IEEEE 8th International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications: Proceedings (Warsaw, Poland, September 24-26, 2015). Warsaw, 2015. Vol. 1. P. 453–458.
- Lysenko S.M. Metody vyiavlennia bot-merezh v kompiuternykh systemakh / S.M. Lysenko, K.Iu. Bobrovnikova, V.S. Kharchenko // Suchasni informatsiini systemy. – 2019. – T. 3. № 4. – S. 87–95.
- Canadian Institute for Cybersecurity. Botnet dataset. URL: https://www.unb.ca/cic/datasets/botnet.html (date of access: 10.07.2020).