Проектування та розроблення інтелектуального агента виявлення кіберзагроз та ШПЗ в корпоративних мережах
Вантажиться...
Дата
2020
Автори
Лисенко, С.М.
Кисіль, Т.М.
Щука, Р.В.
Lysenko, S.
Kysil’, T.
Shchuka, R.
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
В роботі представлено інтелектуальний агент виявлення кіберзагроз та ШПЗ в корпоративних
мережах, який представляє програмну систему із можливістю виявлення відомих та невідомих кібератак, ШПЗ
мережного та хостового типу, а також здатністю продукувати множину сценаріїв безпеки для забезпечення
резильєнтності КС в умовах кіберзагроз. Резильєнтність мережі та хостів забезпечується їх динамічною
адаптивною реконфігурацією та множиною заходів, що дозволяють функціонувати системам в умовах атак.
Інтелектуальний агент виявлення кіберзагроз та ШПЗ BotGRABBER - це мультивекторна система захисту,
оскільки вона поєднує аналіз як в мережі, так і в активності хостів. Комбінована інформація дозволяє не тільки
виявляти кібератаки різного типу, але й автоматично застосовувати необхідний сценарій безпеки мережної
реконфігурації та адаптації КС відповідно до типу виявленої кібератаки. Інтелектуальний агент забезпечує
можливість виявлення відомих та невідомих кібератак, можливість виявлення ботнетів, які використовують
методи ухилення від DNS (циклічне відображення IP-адреси, “домен flux”, “швидкий flux” та DNS-тунелювання),
здатність самостійно застосовувати сценарії безпеки для пом'якшення кібератак, забезпечення резильєнтності
корпоративних мереж в умовах кібератак, забезпечення мультивекторного захисту корпоративних мереж.
The purpose of this paper is to develop an intellectual agent for detection of cyber threats and malware in corporate networks – BotGRABBER. It provides a novel botnet detection framework with the key features given below: ability to detect the most known botnets’ cyberattacks; ability to detect the botnets that use the evasion techniques (cycling of IP mapping, "domain flux", "fast flux" and DNStunneling); ability to self-adaptive appliance of the security scenarios for the cyberattacks mitigation, performed by botnets; assuring the corporate area networks' resilience in the presence of botnets' cyberattacks; assurance of the multi vector protection for corporate area networks. The main components of the intellectual agent are: 1. Knowledge base. Knowledge base provides the information storage concerning to the cyberattacks performed by a botnet in the network and in the hosts. Here, each cyberattack is presented as the feature vector, which consists of functional botnets’ features. To increase the efficiency of the botnet detection each stage of possible botnet’s life cycle functioning (infection; initial registration or connection to C&C server; performance of the malicious activity; maintenance; its functioning termination) is presented by own feature vector. 2. Knowledge acquisition unit. Taking into account the increasing of the new ways to perform the cyberattacks proposed tool is provided by ability to update the knowledge about new botnets. 3. Network monitoring unit. This unit implements the network monitoring via gathering of the inbound and outbound network traffic. Collected information is converted into the feature vectors, and is sent to the SVM-based inference engine for further data processing. 4. Host monitoring unit. This unit implements the gathering the information about the hosts' network activity and reports of the hosts' antiviruses. It also converts the collected information into the feature vectors, and sends it to the SVM-based inference engine for further data processing. 5. SVM-based inference engine. This component provides an ability to classify the feature vectors obtained from the network. The main task of the SVM-based inference engine is to range obtained feature vector in a class, which will indicate whether it is cyberattacks, performed by botnet. If the attack is observed, the security scenario according to detected attack in order to mitigate it is to be applied. 6. Network reconfiguration unit. This unit applies produced by the SVM-based inference engine the security scenario for the CAN's infrastructure.
The purpose of this paper is to develop an intellectual agent for detection of cyber threats and malware in corporate networks – BotGRABBER. It provides a novel botnet detection framework with the key features given below: ability to detect the most known botnets’ cyberattacks; ability to detect the botnets that use the evasion techniques (cycling of IP mapping, "domain flux", "fast flux" and DNStunneling); ability to self-adaptive appliance of the security scenarios for the cyberattacks mitigation, performed by botnets; assuring the corporate area networks' resilience in the presence of botnets' cyberattacks; assurance of the multi vector protection for corporate area networks. The main components of the intellectual agent are: 1. Knowledge base. Knowledge base provides the information storage concerning to the cyberattacks performed by a botnet in the network and in the hosts. Here, each cyberattack is presented as the feature vector, which consists of functional botnets’ features. To increase the efficiency of the botnet detection each stage of possible botnet’s life cycle functioning (infection; initial registration or connection to C&C server; performance of the malicious activity; maintenance; its functioning termination) is presented by own feature vector. 2. Knowledge acquisition unit. Taking into account the increasing of the new ways to perform the cyberattacks proposed tool is provided by ability to update the knowledge about new botnets. 3. Network monitoring unit. This unit implements the network monitoring via gathering of the inbound and outbound network traffic. Collected information is converted into the feature vectors, and is sent to the SVM-based inference engine for further data processing. 4. Host monitoring unit. This unit implements the gathering the information about the hosts' network activity and reports of the hosts' antiviruses. It also converts the collected information into the feature vectors, and sends it to the SVM-based inference engine for further data processing. 5. SVM-based inference engine. This component provides an ability to classify the feature vectors obtained from the network. The main task of the SVM-based inference engine is to range obtained feature vector in a class, which will indicate whether it is cyberattacks, performed by botnet. If the attack is observed, the security scenario according to detected attack in order to mitigate it is to be applied. 6. Network reconfiguration unit. This unit applies produced by the SVM-based inference engine the security scenario for the CAN's infrastructure.
Опис
Ключові слова
шкідливе програмне забезпечення, інтелектуальний агент, кіберзагроза, кібератака, комп’ютерна мережа, сценарій безпеки, malware, intellectual agent, cyberattacks, cyberthreats, computer network, security scenario
Бібліографічний опис
Лисенко С. М. Проектування та розроблення інтелектуального агента виявлення кіберзагроз та ШПЗ в корпоративних мережах / С. М. Лисенко, Т. М. Кисіль, Р. В. Щука // Вісник Хмельницького національного університету. Технічні науки. – 2020. – № 5. – С. 89-94.