Метод выявления групп атакующих на основании анализа полезной нагрузки сетевого трафика по протоколу HTTP
Аннотация:
Введение. Атаки на веб-приложения являются частым направлением атаки на информационные ресурсы злоумышленниками различного уровня подготовки. Подобные атаки возможно исследовать с помощью анализа HTTP-запросов, произведенных атакующими. В работе исследована возможность выявления групп атакующих по данным событий систем обнаружения вторжений. Выявление групп атакующих позволяет улучшить работу аналитиков безопасности, расследующих и реагирующих на инциденты, снизить влияние событийной усталости при анализе событий безопасности, а также поможет выявить шаблоны и ресурсы атак злоумышленников, что повысит качество защиты системы в целом. Метод. Выявление групп атакующих в рамках предложенного метода выполнено на основании последовательности этапов. Проведено разбиение запросов на токены по регулярному выражению, основанному на особенностях протокола HTTP и атак, которые часто встречаются и выявляются системами обнаружения вторжений. Выполнено взвешивание токенов алгоритмом TF-IDF (Term Frequency- Inverse Document Frequency), что позволяет выделить редкие токены. На следующем этапе произведено отделение основного ядра запросов, не содержащих в себе редкие слова, совпадение по которым позволяет говорить о связанности событий. Таким образом происходит отделение использования публичных, доступных открыто от разработанных или модифицированных атакующими, инструментов атаки. Для определения расстояния применено манхэттенское расстояние. На последнем этапе проведена кластеризация методом DBSCAN (Density- based Spatial Clustering of Applications with Noise). Основные результаты. Показано, что данные полезной нагрузки HTTP-запросов могут использоваться для выявления групп атакующих. Предложен эффективный метод токенизации, взвешивания и кластеризации рассматриваемых данных и использование метода DBSCAN для кластеризации в рамках метода. Проведена оценка метрик: однородности, полноты и V-меры кластеризации, получаемых различными методами на наборе данных CPTC-2018. Выявлено, что предлагаемый метод позволяет получить кластеризацию событий, обладающую высокой однородностью и достаточной полнотой. Представлено комбинирование кластеризации с кластерами, образованными другими методами, с большой однородностью кластеризации для получения высокого показателя полноты и V-меры при сохранении большой однородности. Обсуждение. Предложенный метод может найти применение в работе аналитиков безопасности в SOC (Security Operations Center), CERT (Computer Emergency Response Team) и CSIRT (Cybersecurity Incident Response Team) как при противодействии вторжениям, так и в сборе данных о техниках и тактиках атакующих, включая атаки уровня APT (Advanced Persistent Threat). Метод позволит выявлять шаблоны следов инструментов, используемых атакующими, что даст возможность проводить атрибуцию атак.
Ключевые слова:
Постоянный URL
Статьи в номере
- Анализ частотно-робастных многомерных динамических систем
- Фрактальные микро- и нанодендриты из серебра, меди и их соединений для фотокаталитического разложения воды
- Математическое моделирование трехслойного диэлектрика OTFT на основе пентаценового полупроводника для улучшения электрических характеристик
- Исследование гидратов диоксида углерода в тонких пленках методом FTIR-спектроскопии при температурах 11–180 К
- Метод повышения информационной ценности видеоданных на основе фильтрации кадров и оценки энтропии
- Детекция ключевых точек лица с помощью капсульных нейронных сетей
- Обзор национальных и международных стандартов для категорирования объектов критической информационной инфраструктуры
- Критерий безопасности сетевой инфраструктуры
- Новый способ сбора данных для обнаружения аномального поведения в среде Kubernetes и агент для сбора метрик с узлов
- Метод линейной аппроксимации временных параметров в эластичных системах
- Выделение ролей в сетях общественного транспорта с атрибутами узлов: исследование открытых данных Санкт-Петербурга
- Исследование тенденций взаимосвязи между профориентационными предпочтениями пользователей и их цифровыми следами в социальной сети
- Обнаружение слепоты при диабетической ретинопатии с использованием алгоритма связанных компонентов на основе байесовского варианта в Keras и TensorFlow
- Совместное распознавание текста и оформления в исторических документах на русском языке
- Интеллектуальная поддержка клинических решений при небольших выборках числа пациентов
- Оценка готовности компьютерной системы к своевременному обслуживанию запросов при его совмещении с информационным восстановлением памяти после отказов
- Анализ устойчивости ортотропной цилиндрической оболочечной конструкции в программном комплексе ANSYS Mechanical APDL
- Обоснование выбора технологии мобильного широкополосного доступа для построения сетей радиосвязи железнодорожного транспорта
- Сравнительный анализ производительности DVR и DSTATCOM для распределенной генерации с алгоритмом гравитационного поиска
- Оценка моментов квантованной случайной величины
- Экспериментальный метод оценки динамической погрешности приборов и датчиков в условиях их эксплуатации
- Метод моделирования резервуаров сжиженного природного газа типа С на основе оптимизации объема для будущей эксплуатации в режиме частичного заполнения
- Оптические свойства нелинейных кристаллов семейства боратов и их применение в источниках интенсивноготерагерцового излучения
- Модель чувствительного элемента рефрактивного волоконно-оптического сенсора на основе MMF-SMF-MMF структуры с использованием поверхностного плазмонного резонанса