Модель обнаружения фишинговых атак на основе гибридного подхода для защиты автоматизированных систем управления производством
Автор: Митюков Евгений Алексеевич, Затонский Андрей Владимирович
Рубрика: Инфокоммуникационные технологии и системы
Статья в выпуске: 2 т.20, 2020 года.
Бесплатный доступ
Введение. В связи с ежегодным развитием фишинговых техник злоумышленников, которые направленны на автоматизированные системы управления производством с целью компрометации конфиденциальной информации, актуальной задачей является разработка новых методов определения фишинговых атак, направленных на промышленный сектор. Цель исследования: разработка метода защиты от фишинговых атак на пользователей и сервисы автоматизированных систем управления производством. Материалы и методы. Для анализа предметной области проанализированы возможные источники литературы. Основываясь на собранной информации из предыдущих исследований, продолжена работа над улучшением архитектуры системы защиты от фишинга. В архитектуру системы добавлены восемь эвристик, направленных на улучшение точности детектирования фишинговых URL (Uniform Resource Locator). Ряд эвристик направлен на семантическую проверку URL в части использования специальных символов, точек, слешей, порта, протокола URL и в том числе длины самого URL. Другие же проверяют валидность SSL/TLS (Secure Sockets Layer/Transport Layer Security) сертификата, ищут фишинговые ключевые слова в URL и сравнивают страну хостинг-провайдера со страной домена верхнего уровня. Результаты. Проведены практические исследования новой архитектуры с различными комбинациями эвристик. Приводятся количественные данные, показывающие улучшение ключевых показателей детектирования фишинговых ресурсов системой, которые, в свою очередь, помогают офицеру безопасности принимать решение о фишинговости или легитимности URL. Заключение. Представленная система показывает следующие показатели: TPR (True Positive Rate) - 97,85 % и FPR (False positive Rate) - 2,09 %. Также улучшена точность метода до 98,16 %.
Кибербезопасность, кибератака, автоматизированные системы управления, анти-фишинг, свойства url
Короткий адрес: https://sciup.org/147233758
IDR: 147233758 | УДК: 004.056.5 | DOI: 10.14529/ctcr200206
Phishing attack detection model based the hybrid approach to data protection in industrial control system
Introduction. Today there is an annual development of phishing techniques cybercriminals who are aimed at industrial control systems in order to compromise sensitive information, the task is to develop new methods for determining phishing attacks aimed at the industrial sector is extremely important. Aim. The article discusses developed method to protection against phishing attacks on users and services of industrial control systems. Materials and methods. The possible literature sources of the subject area are analyzed. Based on the information gathered from previous studies, work on improving the architecture of the phishing protection system are continued. With aimed at improving the accuracy of detection of phishing URLs (Uniform Resource Locator), eight heuristics in the system architecture are added. Most heuristics are aimed at semantic verification of URLs, in terms of the use of special characters, periods, slashes, URL protocols and ports, including the length of the URL itself. Additionally, the validity of the SSL/TLS (Secure Sockets Layer/Transport Layer Security) certificate, phishing keywords in the URL and difference the hosting country of the provider with the country of the top-level domain is checked. Results. The practical research of the new architecture system with various combinations of heuristics are carried out. Quantitative data showing the improvement of key indicators to detecting phishing URLs by the system are presented. Security Officer decides on phishing or legitimate URL by new architecture of system are helped. Conclusion. The presented system shows the following indicators: TPR (True Positive Rate) - 97.85 % and FPR (False positive Rate) - 2.09 %. Also, the accuracy of the method to 98.16 % is improved.
Список литературы Модель обнаружения фишинговых атак на основе гибридного подхода для защиты автоматизированных систем управления производством
- Список угроз ФСТЭК. - http://bdu.fstec.ru/threat (дата обращения: 15.02.2020).
- Что такое «фишинг» (2019). - https://encyclopedia.kaspersky.ru/knowledge/what-is-phishing/ (дата обращения: 15.12.2019).
- Митюков, Е.А. Жизненный цикл фишинговых атак и техники их реализации / Е.А. Митюков //Решение. - 2019. - Т. 1. - С. 140-142.
- Митюков, Е.А. Аудит безопасности SCADA-систем / Е.А. Митюков, А.В. Затонский, П.В. Плехов //Защита информации. Инсайд. - 2016. - № 4. - С. 72-77.
- Митюков, Е.А. Уязвимости MS SQL SERVER, или использование хранимых процедур в своих целях /Е.А. Митюков // Защита информации. Инсайд. - 2017. - № 6 (78). - С. 44-47.
- Спам и фишинг (2018). - https://securelist.ru/spam-and-phishing-in-2018/93453/ (дата обращения: 30.12.2018).
- Radiflow Reveals First Documented Cryptocurrency Malware Attack on a SCADA Network (2020). - https://radiflow.com/news/radiflow-reveals-first-documented-cryptocurrency-malware-attack-on-a-scada-network/(дата обращения: 20.01.2020).
- Mityukov, E.A. Phishing detection model using the hybrid approach to data protection in industrial control system / E.A. Mityukov, A.V. Zatonsky, P.V. Plekhov, N. V. Bilfeld // IOP Conference Series: Materials Science and Engineering. - 2019. - Vol. 537. DOI: 10.1088/1757-899X/537/5/052014
- Gastellier-Prevost Sophie. Decisive heuristics to differentiate legitimate from phishing sites. La Rochelle, France / Gastellier-Prevost Sophie, Granadillo Gustavo Gonzalez, Laurent Maryline // Proc. of conference on network and information systems security (SAR-SSI). - May 2011. - P. 1-9. DOI: 10.1109/SAR-SSI.2011.5931389
- Jeeva, S.C. Intelligent phishing URL detection using association rule mining / S.C. Jeeva, E.B. Rajsingh //Human-Centric Comput. Inf. Sci. - 2016. - 6, 10. DOI: 10.1186/s13673-016-0064-3
- Sonowal, G. PhiDMA - A phishing detection model with multi-filter approach / G. Sonowal, K.S. Kuppusamy // Journal of King Saud University - Computer and Information Sciences. - Jule 2017. -Vol. 32 (1). - P. 99-112.
- Teaching Johnny not to fall for phish / Kumaraguru Ponnurangam, Sheng Steve, Acquisti Ales-sandro et al. // Article 7 ACM Transactions on Internet Technology. - May 2010. - 10 (2): 31. DOI: 10.1145/1754393.1754396
- Затонский, А.В. Информационные технологии: Разработка информационных моделей и систем /А.В. Затонский. - М. : ИЦРиор, 2014. - 344 с.
- A framework for detection and measurement of phishing attacks / S. Garera, N. Provos, M. Chew, A.D. Rubin // Proceedings of the 2007 ACM Workshop On Recurring Malcode. - Alexandria, Virginia, USA, ACM, 2007. - P. 1-8. DOI: 10.1145/1314389.1314391
- Zhang Jian. Highly predictive blacklisting / Zhang Jian, Porras Phillip, Ullrich Johannes // Proc. of the 17th conference on security symposium. - CA, USA: USENIX Association Berkeley; 2008. -P. 107-122.
