Формальні моделі комп'ютерних атак в корпоративних мережах

Клейн, Олександр; Klein, Oleksandr

Формальні моделі комп'ютерних атак в корпоративних мережах

Файли

VOTTP_4_2025+81-88 (1).pdf (856.61 KB)

Дата

2025

Автори

Клейн, Олександр

Klein, Oleksandr

Видавець

Хмельницький національний університет

Анотація

У сучасному цифровому середовищі спостерігається стрімке зростання кількості й складності кіберзагроз, що пов’язано як із розвитком технологій, так і зі зростанням доступності інструментів для здійснення атак. Зловмисники використовують щораз витонченіші методи, комбінують різні техніки проникнення, маскування та обходу захисту, що вимагає від дослідників і фахівців з кібербезпеки створення більш точних, формальних та аналітичних моделей поведінки атак. Такі моделі дають можливість не просто описати відомі сценарії кіберінцидентів, а й прогнозувати можливі шляхи розвитку загроз, оцінювати ризики та передбачати нові варіанти атак на основі існуючих закономірностей. Моделювання комп’ютерних атак дозволяє розглянути вторгнення як структуровану сукупність взаємопов’язаних дій зловмисника, що супроводжується певними технологічними та поведінковими ознаками, і саме таке подання суттєво спрощує автоматичне виявлення атак або їх ранню ідентифікацію. Формальні моделі атак створюють можливість системно уявити процес вторгнення як послідовність кроків, кожен з яких спрямований на досягнення певної проміжної мети — збору інформації, сканування мережі, експлуатації вразливості, закріплення в системі, приховування слідів або подальшого розширення доступу. Це дає змогу аналізувати атакувальну поведінку на різних рівнях системи, виявляти аномалії у взаємодії компонентів і визначати точки, в яких можливе ефективне реагування або блокування шкідливої активності. Завдяки цьому моделі стають важливим інструментом для створення методів штучного інтелекту, що дозволяють автоматично класифікувати події, виділяти підозрілі шаблони та запобігати розвитку кіберінцидентів у реальному часі. У дослідженні акцент зроблено на порівнянні і критичному аналізі існуючих підходів до побудови моделей комп’ютерних атак. Розглянуто переваги й недоліки концептуальних моделей, що описують логіку атаки на абстрактному рівні, графових моделей, які представляють вторгнення як систему станів із переходами між ними, та формальних математичних моделей, що дозволяють кількісно оцінювати ризики та вразливості. Особливу увагу приділено методам машинного навчання, які дедалі частіше застосовуються через здатність обробляти великі обсяги даних, виявляти багатовимірні залежності й адаптуватися до швидкозмінного середовища кіберзагроз. Такі підходи стають основою сучасних систем виявлення вторгнень, оскільки дозволяють навчатися як на відомих, так і на невідомих до цього типах аномалій. Мережевий рівень дослідження є ключовим, оскільки саме він відображає спосіб комунікації вузлів між собою, типи з’єднань, структуру трафіку та інші характеристики, які часто стають визначальними для виявлення або класифікації атаки. Аналіз параметрів мережі дозволяє зрозуміти, які вузли взаємодіють, які протоколи використовуються, які типи запитів є характерними для певних сценаріїв — усе це дає змогу відтворити механізм атаки навіть у тих випадках, коли зловмисник намагається приховати свою присутність. Навіть такі деталі, як назва сервісу, порт або інтенсивність трафіку, можуть допомогти визначити, чи є дане з’єднання частиною звичайної роботи системи, чи воно містить підозрілі елементи. Для практичної демонстрації побудови моделей атак у роботі використано відомий набір даних KDD-99, який включає велику кількість прикладів мережевих з’єднань, кожне з яких має набір характеристичних ознак і належить до одного з типів атак або нормальної активності. Цей набір даних широко застосовується в академічних та практичних дослідженнях з кібербезпеки, оскільки дає змогу проводити експерименти, порівнювати моделі, здійснювати попередню обробку даних, будувати алгоритми класифікації та аналізувати їхню ефективність. Його використання дозволяє поєднати теоретичні підходи з реальними даними, створюючи основу для перевірки моделей, демонстрації їх практичної цінності та розуміння того, як отримані результати можуть бути застосовані у реальних умовах для виявлення та прогнозування кіберінцидентів.
In today's digital environment, there has been a rapid increase in the number and complexity of cyber threats, due to both technological advances and the growing availability of tools for carrying out attacks. Attackers are using increasingly sophisticated methods, combining various techniques of intrusion, camouflage, and bypassing defenses, which requires researchers and cybersecurity specialists to create more accurate, formal, and analytical models of attack behavior. Such models make it possible not only to describe known cyber incident scenarios, but also to predict possible ways in which threats may develop, assess risks, and anticipate new attack options based on existing patterns. Modeling computer attacks allows us to view intrusions as a structured set of interrelated actions by an attacker, accompanied by certain technological and behavioral characteristics, and it is this representation that greatly simplifies the automatic detection of attacks or their early identification. Formal attack models make it possible to systematically represent the intrusion process as a sequence of steps, each of which is aimed at achieving a specific intermediate goal—gathering information, scanning the network, exploiting vulnerabilities, establishing a foothold in the system, covering tracks, or further expanding access. This makes it possible to analyze attack behavior at different levels of the system, detect anomalies in component interactions, and identify points where effective response or blocking of malicious activity is possible. This makes models an important tool for creating artificial intelligence methods that can automatically classify events, identify suspicious patterns, and prevent cyber incidents from developing in real time. The study focuses on comparing and critically analyzing existing approaches to building models of computer attacks. It examines the advantages and disadvantages of conceptual models that describe the logic of an attack at an abstract level, graph models that represent intrusions as a system of states with transitions between them, and formal mathematical models that allow for the quantitative assessment of risks and vulnerabilities. Particular attention is paid to machine learning methods, which are increasingly used due to their ability to process large amounts of data, identify multidimensional dependencies, and adapt to the rapidly changing environment of cyber threats. Such approaches form the basis of modern intrusion detection systems, as they allow learning from both known and previously unknown types of anomalies. The network level of research is key, as it reflects the way nodes communicate with each other, the types of connections, the traffic structure, and other characteristics that are often decisive for detecting or classifying an attack. Analyzing network parameters allows us to understand which nodes interact, which protocols are used, and which types of requests are characteristic of certain scenarios—all of which makes it possible to recreate the attack mechanism even in cases where the attacker tries to hide their presence. Even details such as the name of the service, port, or traffic intensity can help determine whether a connection is part of normal system operation or contains suspicious elements. For a practical demonstration of attack model building, the well-known KDD-99 dataset was used, which includes a large number of examples of network connections, each of which has a set of characteristic features and belongs to one of the types of attacks or normal activity. This dataset is widely used in academic and practical cybersecurity research because it allows you to conduct experiments, compare models, preprocess data, build classification algorithms, and analyze their effectiveness. Its use allows theoretical approaches to be combined with real data, creating a basis for testing models, demonstrating their practical value, and understanding how the results obtained can be applied in real-world conditions to detect and predict cyber incidents.

Ключові слова

комп’ютерні атаки, моделі ризику, рівень ризику, ймовірність атаки, вплив атаки, багатоступеневі атаки, життєвий цикл атаки, марківські моделі, умовні ймовірності переходів, мережеві ознаки, заголовкові характеристики трафіку, класифікація атак, DoS, Probe, R2L, U2R, машинне навчання, нормалізація ознак, аномалії трафіку, статистичні показники, графи станів, оцінка ризику, модель послідовних станів, computer attacks, attack probability, risk models, risk level, attack impact, multi-stage attacks, attack lifecycle, Markov models, conditional transition probabilities, network features, traffic header characteristics, attack classification, DoS, Probe, R2L, U2R, machine learning, feature normalization, traffic anomalies, state graphs, state graphs, sequential state model, risk assessment

Бібліографічний опис

Клейн О. Формальні моделі комп'ютерних атак в корпоративних мережах / О. Клейн // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2025. – № 4. – С. 81-88.

URI

https://elar.khmnu.edu.ua/handle/123456789/20497

Зібрання

ВОТТП - 2025 рік

Повна інформація про документ