Исследование динамики и классификация атак на веб-сервисы корпоративной сети
Автор: Исаев С.В., Кононов Д.Д.
Журнал: Сибирский аэрокосмический журнал @vestnik-sibsau
Рубрика: Информатика, вычислительная техника и управление
Статья в выпуске: 4 т.23, 2022 года.
Бесплатный доступ
В статье представлено исследование динамики атак на веб-сервисы с использованием классификации киберугроз по типам на примере корпоративной сети Красноярского научного центра СО РАН. Анализ проведен на основе журналов веб-сервисов и позволяет решить актуальные задачи обеспечения комплексной безопасности веб-сервисов, в том числе выявить как существующие, так и потенциальные угрозы кибербезопасности. Проведен обзор основных подходов к обработке и анализу журналов. Авторы описывают тип и состав источников данных и приводят список используемого программного обеспечения. Особенностью исследования является длительный период наблюдения. Предложена структура системы обработки и реализован программный комплекс для анализа и классификации атак. В работе показано, что использование классифицированных выборок позволяет обнаружить периодичность и выявить тренды по отдельным видам атак. Анализ показал, что наиболее эффективным способом обнаружения повышения риска киберугроз является анализ классифицированных угроз с агрегацией до месяца. Неклассифицированные атаки имеют схожие параметры распределения по разным годам, в случае же применения классификации параметры распределения существенно меняются, что позволяет отслеживать риски в автоматизированных системах предотвращения вторжений. Была построена матрица корреляций по типам атак. Анализ показал, что большинство типов атак имеет слабую корреляцию, за исключением атак «инъекция команд», «просмотр директории», «инъекция кода Ява», которые можно агрегировать. Авторами предложен эвристический метод сравнения рисков, основанный на классификации киберугроз. Метод использует статистические параметры распределений выборок и позволяет работать с различными временными интервалами. В работе выполнена геопривязка IP-адресов, с которых проводились атаки, построены профили атак для разных стран и приведен список стран, имеющих стабильный профиль атак. В заключение указаны особенности предложенного метода и обозначены перспективы использования в других областях.
Анализ, безопасность, веб, интернет, атака, корпоративная сеть
Короткий адрес: https://sciup.org/148325793
IDR: 148325793 | DOI: 10.31772/2712-8970-2022-23-4-593-601
Список литературы Исследование динамики и классификация атак на веб-сервисы корпоративной сети
- System log clustering approaches for cyber security applications: A survey / M. Landauer, F. Skopik, M. Wurzenberger, A. Rauber // Computers & Security. 2020. Vol. 92. P. 101739.
- Towards Automated Log Parsing for Large-Scale Log Data Analysis / P. He, J. Zhu, S. He, J. Li et al. // IEEE Transactions on Dependable and Secure Computing. 2017. Vol. 15, No. 6. P. 931–944.
- Detecting Web Attacks Using Multi-stage Log Analysis / M. Moh, S. Pininti, S. Doddapaneni, T. Moh // IEEE 6th International Conference on Advanced Computing (IACC). 2016. P. 733–738.
- Tools and Benchmarks for Automated Log Parsing / Zhu J. et al. // IEEE/ACM 41st International Conference on Software Engineering: Software Engineering in Practice (ICSE-SEIP). 2019. P. 121–130.
- Ефимова Ю. В., Гаврилов А. Г. Моделирование системы информационной безопасности на основе анализа системных журналов // Инженерный вестник Дона. 2019. № 6 (57). С. 40.
- Моделирование идентификации профиля кибератак на основе анализа поведения устройств в сети провайдера телекоммуникационных услуг / И. П. Болодурина, Д. И. Парфёнов, Л. С. Забродина и др. // Вестник Южно-Уральского гос. университета. 2019. № 4. С. 48–59.
- Drain: an online log parsing approach with fixed depth tree / P. He, J. Zhu, Z. Zheng, M. R. Lyu // Proc. of the International Conference on Web Services (ICWS). 2017. IEEE. P. 33–40.
- Reidemeister T., Jiang M., Ward P. A. Mining unstructured log files for recurrent fault diagnosis // Proc. of the Int. Symp. on Integrated Netw. Mgmt. IEEE. 2011. P. 377–384.
- Сидорова Д. Н., Пивкин Е. Н. Алгоритмы и методы кластеризации данных в анализе журналов событий информационной безопасности // Безопасность цифровых технологий. 2022. № 1 (104). С. 41–60.
- Juvonen A., Sipola T., Hamalainen T. Online anomaly detection using dimensionality reduction techniques for http log analysis // Computer Networks. 2015. No. 91. P. 46–56.
- Incremental clustering for semi-supervised anomaly detection applied on log data / M. Wurzenberger, F. Skopik, M. Landaueret al. // Proc. of the 12th International Conference on Availability, Reliability and Security. ACM. 2017. P. 31:1–31:6.
- One graph is worth a thousand logs: uncovering hidden structures in massive system event logs / M. Aharon, G. Barash, I. Cohen, E. Mordechai // Proc. of the Joint Eur. Conf. on Machine Learning and Knowledge Discovery in Databases. Springer. 2009. P. 227–243.
- Logsed: anomaly diagnosis through mining time-weighted control flow graph in logs / T. Jia, L. Yang, P. Chen et al. // Proc. of the 10th Int. Conf. on Cloud Comp. (CLOUD). IEEE. 2017. P. 447–455.
- Kononov D., Isaev S. Analysis of the dynamics of Internet threats for corporate network web services // CEUR Workshop Proceedings. The 2nd Siberian Scientific Workshop on Data Analysis Technologies with Applications 2021. 2021. Vol. 3047. P. 71–78.
- Analysis of Web Security Using Open Web Application Security Project 10 / M. A. Helmiawan, E. Firmansyah, I. Fadil et al. // 8th International Conference on Cyber and IT Service Management (CITSM). 2020. P. 1–5.
- OWASP ModSecurity Core Rule Set [Электронный ресурс]. URL: https://owasp.org/wwwproject-modsecurity-core-rule-set/ (дата обращения: 13.05.2022).