Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox

Сергій Степанович Бучик; Олександр Костянтинович Юдін; Руслана Віталіївна Зюбіна; Іван Дмитрович  Бондаренко; Олег Олексійович Супрун

doi:10.15587/1729-4061.2021.225646

Автор(и)

Сергій Степанович Бучик Київський національний університет імені Тараса Шевченка, Україна https://orcid.org/0000-0003-0892-3494
Олександр Костянтинович Юдін Національна академія Служби безпеки України, Україна https://orcid.org/0000-0002-6417-0768
Руслана Віталіївна Зюбіна Київський національний університет імені Тараса Шевченка, Україна https://orcid.org/0000-0002-8654-6981
Іван Дмитрович Бондаренко Національна академія Служби безпеки України, Україна https://orcid.org/0000-0001-9164-0721
Олег Олексійович Супрун Київський національний університет імені Тараса Шевченка, Україна https://orcid.org/0000-0002-6243-3720

DOI:

https://doi.org/10.15587/1729-4061.2021.225646

Ключові слова:

атака нульового дня, аналітична модель, ранжування станів, мережева пісочниця, захист інформації

Анотація

Представлено метод захисту від атак нульового дня з використанням технології пісочниць на основі розробленої аналітичної моделі з ймовірнісним ранжуванням станів інформаційної системи. В моделі враховано умови апріорної невизначеності щодо параметрів потоку деструктивного впливу на систему з врахуванням типових процедур мережевої пісочниці.

Запропонована модель станів інформаційної системи дозволяє аналізувати та відслідковувати всі можливі стани та оцінювати рівень безпеки в цих станах, та ймовірності переходів до них. Таким чином, можливо виявити найбільш небезпечні, та відслідкувати активності, що стали причиною відповідних змін. Принципова відмінність даної моделі від стандартних підходів полягає в вагових коефіцієнтах, що характеризують не інтенсивність виникнення випадкових подій, а інтенсивність переходів між станами.

Для безпосередньої реалізації та застосування запропонованої аналітичної моделі використано технології багаторівневих мережевих “пісочниць”.

Відмінність від інших популярних антивірусних засобів полягає у використанні апріорної математичної оцінки загроз, що дозволяє виявити впливи, що не розглядаються як загрози класичними системами до моменту нанесення шкоди системі.

Поєднання зі стандартними засобами захисту дозволяє окремо аналізувати файли, які є занадто великими за розміром, чи надходять до системи не через загальний шлюз, що контролюється мережевою “пісочницею”, а з зовнішніх носіїв кінцевих користувачів.

Впровадження розробленої аналітичної моделі дозволило покращити рівень захисту корпоративної мережі на 15 %, відповідно до кількості виявлених загроз. Така різниця пояснюється нездатністю класичних програм виявити нові загрози, якщо вони ще не занесені до бази програми, та їх активність не є тривіальною

Біографії авторів

Сергій Степанович Бучик , Київський національний університет імені Тараса Шевченка

Доктор технічних наук, доцент

Кафедра кібербезпеки та захисту інформації

Олександр Костянтинович Юдін , Національна академія Служби безпеки України

Доктор технічних наук, професор

Кафедра інформаційних систем і технологій та захисту інтересів держави в сфері інформаційної безпеки

Руслана Віталіївна Зюбіна , Київський національний університет імені Тараса Шевченка

Кандидат технічних наук

Кафедра кібербезпеки та захисту інформації

Іван Дмитрович Бондаренко , Національна академія Служби безпеки України

Асистент

Кафедра інформаційних систем і технологій та захисту інтересів держави в сфері інформаційної безпеки

Олег Олексійович Супрун , Київський національний університет імені Тараса Шевченка

Асистент

Кафедра інтелектуальних технологій

Посилання

Moussouris, K., Siegel, M. (2015). The Wolves of Vuln Street: The 1st System Dynamics Model of the 0day Market. RSA Conference 2015. San Francisco. Available at: https://ic3-2017.mit.edu/sites/default/files/documents/MichaelSiegelKatieMoussouris_VulnMarketsRSAC2015Speaker.pdf
Schwartz, A., Knake, R. (2016). Government’s Role in Vulnerability Disclosure: Creating a Permanent and Accountable Vulnerability Equities Process. Discussion Paper 2016-04. Harvard Kennedy School. Available at: https://www.belfercenter.org/sites/default/files/files/publication/Vulnerability%20Disclosure%20Web-Final4.pdf
Yudin, O., Ziubina, R., Buchyk, S., Bohuslavska, O., Teliushchenko, V. (2019). Speaker’s Voice Recognition Methods in High-Level Interference Conditions. 2019 IEEE 2nd Ukraine Conference on Electrical and Computer Engineering (UKRCON). doi: https://doi.org/10.1109/ukrcon.2019.8879937
Gurzhiy, P., Gorodetsky, B., Yudin, O., Ryabukha, Y. (2019). The Method of Adaptive Counteraction to Viral Attacks, Taking Into Account Their Masking in Infocommunication Systems. 2019 3rd International Conference on Advanced Information and Communications Technologies (AICT). doi: https://doi.org/10.1109/aiact.2019.8847893
Edwards, J. (2001). Next-generation viruses present new challenges. Computer, 34 (5), 16–18. doi: https://doi.org/10.1109/2.920606
Hedberg, S. (1996). Combating computer viruses: IBM's new computer immune system. IEEE Parallel & Distributed Technology: Systems & Applications, 4 (2), 9–11. doi: https://doi.org/10.1109/88.494599
Zhao, F., Li, Q., Jin, L. (2006). An Intrusion-Tolerant Intrusion Detection Method Based on Real-Time Sequence Analysis. 2006 International Conference on Machine Learning and Cybernetics. doi: https://doi.org/10.1109/icmlc.2006.258927
Jensen, M. (2013). Challenges of Privacy Protection in Big Data Analytics. 2013 IEEE International Congress on Big Data. doi: https://doi.org/10.1109/bigdata.congress.2013.39
Tesauro, G. J., Kephart, J. O., Sorkin, G. B. (1996). Neural networks for computer virus recognition. IEEE Expert, 11 (4), 5–6. doi: https://doi.org/10.1109/64.511768
Bonneau, J., Anderson, J., Danezis, G. (2009). Prying Data out of a Social Network. 2009 International Conference on Advances in Social Network Analysis and Mining. doi: https://doi.org/10.1109/asonam.2009.45
Azzedin, F., Suwad, H., Alyafeai, Z. (2017). Countermeasureing Zero Day Attacks: Asset-Based Approach. 2017 International Conference on High Performance Computing & Simulation (HPCS). doi: https://doi.org/10.1109/hpcs.2017.129
Popereshnyak, S., Suprun, O., Suprun, O., Wieckowski, T. (2018). Intrusion detection method based on the sensory traps system. 2018 XIV-Th International Conference on Perspective Technologies and Methods in MEMS Design (MEMSTECH). doi: https://doi.org/10.1109/memstech.2018.8365716
Tian, Z.-H., Fang, B.-X., Yun, X.-C. (2003). An architecture for intrusion detection using honey pot. Proceedings of the 2003 International Conference on Machine Learning and Cybernetics (IEEE Cat. No.03EX693). doi: https://doi.org/10.1109/icmlc.2003.1259851
Yudin, O., Boiko, Y., Ziubina, R., Buchyk, S., Tverdokhleb, V., Beresina, S. (2019). Data Compression Based on Coding Methods With a Controlled Level of Quality Loss. 2019 IEEE International Conference on Advanced Trends in Information Theory (ATIT). doi: https://doi.org/10.1109/atit49449.2019.9030431
How to Choose your Next Sandboxing Solution. Featuring insight from gartner’s market guide for network Sandboxing (2016). Check Point Software Technologies Ltd. Available at: https://www.checkpoint.com/downloads/products/check-point-gartner-how-to-choose-sandboxing-solution-whitepaper.pdf
Burnap, P., French, R., Turner, F., Jones, K. (2018). Malware classification using self organising feature maps and machine activity data. Computers & Security, 73, 399–410. doi: https://doi.org/10.1016/j.cose.2017.11.016
ESET Dynamic Threat Defense. Available at: https://www.eset.com/int/business/dynamic-threat-defense/
Lakhno, V., Kasatkin, D., Kozlovskyi, V., Petrovska, S., Boiko, Y., Kravchuk, P., Lishchynovska, N. (2019). A model and algorithm for detecting spyware in medical information systems. International Journal of Mechanical Engineering and Technology, 10 (1), 287–295.
The Problem with Traditional Sandboxing. Available at: https://blog.checkpoint.com/2015/09/14/the-problem-with-traditional-sandboxing/
Villalba, L. J. G., Orozco, A. L. S., Vidal, J. M. (2015). Malware Detection System by Payload Analysis of Network Traffic. IEEE Latin America Transactions, 13 (3), 850–855. doi: https://doi.org/10.1109/tla.2015.7069114
Yudin, O., Ziubina, R., Buchyk, S., Matviichuk-Yudina, O., Suprun, O., Ivannikova, V. (2020). Development of methods for identification of informationcontrolling signals of unmanned aircraft complex operator. Eastern-European Journal of Enterprise Technologies, 2 (9 (104)), 56–64. doi: https://doi.org/10.15587/1729-4061.2020.195510
Yudin, O., Symonychenko, Y., Symonychenko, A. (2019). The Method of Detection of Hidden Information in a Digital Image Using Steganographic Methods of Analysis. 2019 IEEE International Conference on Advanced Trends in Information Theory (ATIT). doi: https://doi.org/10.1109/atit49449.2019.9030479
D'Hoinne, J., Orans, L. (2015). Market Guide for Network Sandboxing. Gartner. Available at: https://www.gartner.com/en/documents/2995621
Cooke, E., Jahanian, F., McPherson, D. (2005). The zombie roundup: Understanding, detecting, and disrupting botnets. SRUTI ’05: Steps to Reducing Unwanted Traffic on the Internet Workshop, 39–44.
Koller, D., Friedman, N. (2009). Probabilistic Graphical Models. Principles and Techniques. MIT Press.
National Vulnerability Database. Statistics. NIST. Available at: https://nvd.nist.gov/vuln/search?adv_search=true&cves=on&pub_date_start_month=0&pub_date_start_year=2010&pub_date_end_month=9&pub_date_end_year=2016&cvss_version=3
CVSS Severity Distribution Over Time. NIST. Available at: https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time
Ablon, L., Libicki, M. C., Abler, A. M. (2017). Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar. RAND Corporation. Available at: https://www.rand.org/pubs/research_reports/RR610.html
Allodi, L., Massacci, F. (2014). Comparing Vulnerability Severity and Exploits Using Case-Control Studies. ACM Transactions on Information and System Security, 17 (1), 1–20. doi: https://doi.org/10.1145/2630069
Chandrasekaran, M., Baig, M., Upadhyaya, S. (2006). AVARE: Aggregated Vulnerability Assessment and Response against Zero-day Exploits. 2006 IEEE International Performance Computing and Communications Conference. doi: https://doi.org/10.1109/.2006.1629458