Меню
Публикации
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
Главный редактор
НИКИФОРОВ
Владимир Олегович
д.т.н., профессор
Партнеры
doi: 10.17586/2226-1494-2023-23-3-500-505
УДК 004.056
Метод выявления групп атакующих на основании анализа полезной нагрузки сетевого трафика по протоколу HTTP
Читать статью полностью
Язык статьи - русский
Ссылка для цитирования:
Аннотация
Ссылка для цитирования:
Павлов А.В., Волошина Н.В. Метод выявления групп атакующих на основании анализа полезной нагрузки сетевого трафика по протоколу HTTP // Научно-технический вестник информационных технологий, механики и оптики. 2023. Т. 23, № 3. С. 500–505. doi: 10.17586/2226-1494-2023-23-3-500-505
Аннотация
Введение. Атаки на веб-приложения являются частым направлением атаки на информационные ресурсы злоумышленниками различного уровня подготовки. Подобные атаки возможно исследовать с помощью анализа HTTP-запросов, произведенных атакующими. В работе исследована возможность выявления групп атакующих по данным событий систем обнаружения вторжений. Выявление групп атакующих позволяет улучшить работу аналитиков безопасности, расследующих и реагирующих на инциденты, снизить влияние событийной усталости при анализе событий безопасности, а также поможет выявить шаблоны и ресурсы атак злоумышленников, что повысит качество защиты системы в целом. Метод. Выявление групп атакующих в рамках предложенного метода выполнено на основании последовательности этапов. Проведено разбиение запросов на токены по регулярному выражению, основанному на особенностях протокола HTTP и атак, которые часто встречаются и выявляются системами обнаружения вторжений. Выполнено взвешивание токенов алгоритмом TF-IDF (Term Frequency- Inverse Document Frequency), что позволяет выделить редкие токены. На следующем этапе произведено отделение основного ядра запросов, не содержащих в себе редкие слова, совпадение по которым позволяет говорить о связанности событий. Таким образом происходит отделение использования публичных, доступных открыто от разработанных или модифицированных атакующими, инструментов атаки. Для определения расстояния применено манхэттенское расстояние. На последнем этапе проведена кластеризация методом DBSCAN (Density- based Spatial Clustering of Applications with Noise). Основные результаты. Показано, что данные полезной нагрузки HTTP-запросов могут использоваться для выявления групп атакующих. Предложен эффективный метод токенизации, взвешивания и кластеризации рассматриваемых данных и использование метода DBSCAN для кластеризации в рамках метода. Проведена оценка метрик: однородности, полноты и V-меры кластеризации, получаемых различными методами на наборе данных CPTC-2018. Выявлено, что предлагаемый метод позволяет получить кластеризацию событий, обладающую высокой однородностью и достаточной полнотой. Представлено комбинирование кластеризации с кластерами, образованными другими методами, с большой однородностью кластеризации для получения высокого показателя полноты и V-меры при сохранении большой однородности. Обсуждение. Предложенный метод может найти применение в работе аналитиков безопасности в SOC (Security Operations Center), CERT (Computer Emergency Response Team) и CSIRT (Cybersecurity Incident Response Team) как при противодействии вторжениям, так и в сборе данных о техниках и тактиках атакующих, включая атаки уровня APT (Advanced Persistent Threat). Метод позволит выявлять шаблоны следов инструментов, используемых атакующими, что даст возможность проводить атрибуцию атак.
Ключевые слова: группы атакующих, сложные атаки, обнаружение вторжений, корреляция событий безопасности, кибербезопасность
Список литературы
Список литературы
1. Hassan W., Guo S., Li D., Chen Z., Jee K., Li Z., Bates A. NoDoze: Combatting threat alert fatigue with automated provenance triage // Proc. of the 2019 Network and Distributed System Security Symposium. 2019. https://doi.org/10.14722/ndss.2019.23349
2. Pavlov A., Voloshina N. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems // Lecture Notes in Computer Science. 2020. V. 12525. P. 32–42. https://doi.org/10.1007/978-3-030-65726-0_4
3. Kotenko I., Gaifulina D., Zelichenok I. Systematic literature review of security event correlation methods // IEEE Access. 2022. V. 10. P. 43387–43420. https://doi.org/10.1109/access.2022.3168976
4. Mirheidari S.A., Arshad S., Jalili R. Alert correlation algorithms: A survey and taxonomy // Lecture Notes in Computer Science. 2013. V. 8300. P. 183–197. https://doi.org/10.1007/978-3-319-03584-0_14
5. Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. V. 76. P. 214–249. https://doi.org/10.1016/j.cose.2018.03.001
6. Zhan J., Liao X., Bao Y., Gan L., Tan Z., Zhang M., He R., Lu J. An effective feature representation of web log data by leveraging byte pair encoding and TF-IDF // Proc. of the ACM Turing Celebration Conference - China (ACM TURC '19). 2019. P. 62. https://doi.org/10.1145/3321408.3321568
7. Qi B., Shi Z., Wang Y., Wang J., Wang Q., Jiang J. BotTokenizer: Exploring network tokens of HTTP-based botnet using malicious network traces // Lecture Notes in Computer Science. 2018. V. 10726. P. 383–403. https://doi.org/10.1007/978-3-319-75160-3_23
8. Chen R.-C., Chen S.-P. Intrusion detection using a hybrid support vector machine based on entropy and TF-IDF // International Journal of Innovative Computing, Information & Control (IJICIC). 2008. V. 4. N 2. P. 413–424.
9. Павлов А.В. Анализ сетевого взаимодействия современных эксплойтов // Информационные технологии. 2022. Т. 28. № 2. С. 75–80. https://doi.org/10.17587/it.28.75-80
10. Salton G., Buckley C. Term-weighting approaches in automatic text retrieval // Information Processing & Management. 1988. V. 24. N 5. P. 513–523. https://doi.org/10.1016/0306-4573(88)90021-0
11. Aggarwal C., Hinneburg A., Keim D. On the surprising behavior of distance metrics in high dimensional space // Lecture Notes in Computer Science. 2001. V. 1973. P. 420–434. https://doi.org/10.1007/3-540-44503-x_27
12. Muniah N., Pelletier J., Su S.-H., Yang S.J., Meneely A. A cybersecurity dataset derived from the national collegiate penetration testing competition // Proc. of the HICSS Symposium on Cybersecurity Big Data Analytics. 2019.
13. Rosenberg A., Hirschberg J. V-Measure: A conditional entropy-based external cluster evaluation measure // Proc. of the 2007 Joint Conference on Empirical Methods in Natural Language Processing and Computational Natural Language Learning (EMNLP-CoNLL). 2007. P. 410–420.
14. Shi J., Malik J. Normalized cuts and image segmentation // IEEE Transactions on Pattern Analysis and Machine Intelligence. 2000. V. 22. N 8. P. 888–905. https://doi.org/10.1109/34.868688
15. Ester M., Kriegel H.-P., Sander J., Xu X. A density-based algorithm for discovering clusters in large spatial databases with noise // Proc. of the 2nd International Conference on Knowledge Discovery and Data Mining (KDD). 1996. P. 226–231.
2. Pavlov A., Voloshina N. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems // Lecture Notes in Computer Science. 2020. V. 12525. P. 32–42. https://doi.org/10.1007/978-3-030-65726-0_4
3. Kotenko I., Gaifulina D., Zelichenok I. Systematic literature review of security event correlation methods // IEEE Access. 2022. V. 10. P. 43387–43420. https://doi.org/10.1109/access.2022.3168976
4. Mirheidari S.A., Arshad S., Jalili R. Alert correlation algorithms: A survey and taxonomy // Lecture Notes in Computer Science. 2013. V. 8300. P. 183–197. https://doi.org/10.1007/978-3-319-03584-0_14
5. Navarro J., Deruyver A., Parrend P. A systematic survey on multi-step attack detection // Computers & Security. 2018. V. 76. P. 214–249. https://doi.org/10.1016/j.cose.2018.03.001
6. Zhan J., Liao X., Bao Y., Gan L., Tan Z., Zhang M., He R., Lu J. An effective feature representation of web log data by leveraging byte pair encoding and TF-IDF // Proc. of the ACM Turing Celebration Conference - China (ACM TURC '19). 2019. P. 62. https://doi.org/10.1145/3321408.3321568
7. Qi B., Shi Z., Wang Y., Wang J., Wang Q., Jiang J. BotTokenizer: Exploring network tokens of HTTP-based botnet using malicious network traces // Lecture Notes in Computer Science. 2018. V. 10726. P. 383–403. https://doi.org/10.1007/978-3-319-75160-3_23
8. Chen R.-C., Chen S.-P. Intrusion detection using a hybrid support vector machine based on entropy and TF-IDF // International Journal of Innovative Computing, Information & Control (IJICIC). 2008. V. 4. N 2. P. 413–424.
9. Павлов А.В. Анализ сетевого взаимодействия современных эксплойтов // Информационные технологии. 2022. Т. 28. № 2. С. 75–80. https://doi.org/10.17587/it.28.75-80
10. Salton G., Buckley C. Term-weighting approaches in automatic text retrieval // Information Processing & Management. 1988. V. 24. N 5. P. 513–523. https://doi.org/10.1016/0306-4573(88)90021-0
11. Aggarwal C., Hinneburg A., Keim D. On the surprising behavior of distance metrics in high dimensional space // Lecture Notes in Computer Science. 2001. V. 1973. P. 420–434. https://doi.org/10.1007/3-540-44503-x_27
12. Muniah N., Pelletier J., Su S.-H., Yang S.J., Meneely A. A cybersecurity dataset derived from the national collegiate penetration testing competition // Proc. of the HICSS Symposium on Cybersecurity Big Data Analytics. 2019.
13. Rosenberg A., Hirschberg J. V-Measure: A conditional entropy-based external cluster evaluation measure // Proc. of the 2007 Joint Conference on Empirical Methods in Natural Language Processing and Computational Natural Language Learning (EMNLP-CoNLL). 2007. P. 410–420.
14. Shi J., Malik J. Normalized cuts and image segmentation // IEEE Transactions on Pattern Analysis and Machine Intelligence. 2000. V. 22. N 8. P. 888–905. https://doi.org/10.1109/34.868688
15. Ester M., Kriegel H.-P., Sander J., Xu X. A density-based algorithm for discovering clusters in large spatial databases with noise // Proc. of the 2nd International Conference on Knowledge Discovery and Data Mining (KDD). 1996. P. 226–231.