Розробка інтегрованої системи глибокого захисту з помічником штучного інтелекту у протидії шкідливим програмам
DOI:
https://doi.org/10.15587/1729-4061.2024.318336Ключові слова:
постійна стала загроза, системи виявлення вторгнень, машинне навчання, виявлення аномалій, великі мовні моделіАнотація
Об'єктом дослідження є багаторівневі системи кіберзахисту для виявлення та протидії розвиненим сталим загрозам шляхом інтеграції технологій машинного навчання, штучного інтелекту та багаторівневих систем безпеки. Проблема полягає в необхідності розробки адаптивних систем виявлення, здатних ефективно реагувати на нові та модифіковані загрози. В ході дослідження розроблено інтегрований підхід. Він поєднує традиційні методи виявлення з сучасними технологіями, такими як машинне навчання та помічники Штучного інтелекту. Кожен із шарів системи показав різний рівень ефективності, наприклад, антивірусні рішення були найбільш ефективними у виявленні відомих загроз, але не змогли впоратися з модифікованими загрозами, які виявили кореляційні правила. Машинне навчання проявило себе найкраще у виявленні безфайлових атак та аномальної активності, яка не могла бути помічена іншими засобами. Отримані результати зумовлені ефективністю комбінації кількох рівнів захисту, де кожен наступний рівень компенсує недоліки попереднього. Антивірусні рішення виявили 100% відомих загроз. Кореляційні правила виявили всі зловмисні файли. Загалом, система змогла виявити 98% шкідливих файлів та 99% тактик, технік і процедур, що використовуються під час атак типу постійної сталої загрози. Особливістю дослідження є інтеграція помічника Штучного інтелекту, що дозволяє автоматизувати процеси аналізу загроз і пришвидшити реагування завдяки використанню історичних даних та контексту минулих інцидентів. Це сприяє зменшенню навантаження на фахівців із кібербезпеки та покращує загальну ефективність системи виявлення загроз, дозволяючи швидко виявляти нові загрози та знижувати кількість хибних спрацювань. Практичне застосування результатів можливе в різних критичних секторах, зокрема у фінансових установах, урядових організаціях та енергетичних компаніях
Посилання
- The swiss cheese model of security and why its important to have multiple layers of security. Firm Guardian. Available at: https://www.firmguardian.com/blog/swiss-cheese-model
- McKee, F., Noever, D. (2023). Chatbots in a Botnet World. International Journal on Cybernetics & Informatics, 12 (2), 77–95. https://doi.org/10.5121/ijci.2023.120207
- Ruby, A. R., Banu, A., Priya, S., Chandran, S. (2023). Taxonomy of AISecOps Threat Modeling for Cloud Based Medical Chatbots. arXiv. https://doi.org/10.48550/arXiv.2305.11189
- Third-Party Cybersecurity Risk Management: A Short Guide for 2024. Available at: https://flare.io/learn/resources/blog/third-party-cybersecurity-risk-management/
- Hassannataj Joloudari, J., Haderbadi, M., Mashmool, A., Ghasemigol, M., Band, S. S., Mosavi, A. (2020). Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning. IEEE Access, 8, 186125–186137. https://doi.org/10.1109/access.2020.3029202
- Li, S., Dong, F., Xiao, X., Wang, H., Shao, F., Chen, J. et al. (2024). NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation. Proceedings 2024 Network and Distributed System Security Symposium. https://doi.org/10.14722/ndss.2024.23204
- Wang, N., Wen, X., Zhang, D., Zhao, X., Ma, J., Luo, M. et al. (2023). TBDetector:Transformer-Based Detector for Advanced Persistent Threats with Provenance Graph. arXiv. https://doi.org/10.48550/arXiv.2304.02838
- Chen, Z., Liu, J., Shen, Y., Simsek, M., Kantarci, B., Mouftah, H. T., Djukic, P. (2022). Machine Learning-Enabled IoT Security: Open Issues and Challenges Under Advanced Persistent Threats. ACM Computing Surveys, 55 (5), 1–37. https://doi.org/10.1145/3530812
- Pham, V.-H., Nghi Hoang, K., Duy, P. T., Ngo Duc Hoang, S., Huynh Thai, T. (2024). Xfedhunter: An Explainable Federated Learning Framework for Advanced Persistent Threat Detection in Sdn. https://doi.org/10.2139/ssrn.4883207
- Zhang, R., Sun, W., Liu, J.-Y. (2020). Construction of two statistical anomaly features for small-sample APT attack traffic classification. arXiv. http://dx.doi.org/10.48550/arXiv.2010.13978
- Jia, B., Tian, Y., Zhao, D., Wang, X., Li, C., Niu, W. et al. (2021). Bidirectional RNN-Based Few-Shot Training for Detecting Multi-stage Attack. Information Security and Cryptology, 37–52. https://doi.org/10.1007/978-3-030-71852-7_3
- Getting Started with Windows Security and Windows Defender. Institute for Advanced Study. Available at: https://www.ias.edu/security/getting-started-with-windows-security-windows-defender
- Downloads. Available at: https://www.snort.org/downloads
- About data models. Splunk. Available at: https://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Aboutdatamodels
- VMware Workstation Pro: Now Available Free for Personal Use. VMware Workstation Zealot. Available at: https://blogs.vmware.com/workstation/2024/05/vmware-workstation-pro-now-available-free-for-personal-use.html
- Redcanaryco/atomic-red-team. Small and highly portable detection tests based on MITRE's ATT&CK. GitHub. Available at: https://github.com/redcanaryco/atomic-red-team
- Piskozub, A., Zhuravchak, D., Tolkachova, A. (2023). Researching vulnerabilities in chatbots with LLM (large language model). Ukrainian Scientific Journal of Information Security, 29 (3), 111–117. https://doi.org/10.18372/2225-5036.29.18069
- Sysmon v15.15. Available at: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2024 Danyil Zhuravchak, Maksym Opanovych, Anastasiia Tolkachova, Valerii Dudykevych, Andrian Piskozub
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.
Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.
