Виявлення та прогнозування рівня загроз для корпоративної комп’ютерної мережі

Abstract

Актуальність теми дослідження. У сучасному світі проблеми надійності інформації, що є в електронному вигляді, загострюють питання її захисту. Незважаючи на те, що в корпоративних комп’ютерних мережах, інформація більш ізольована від зовнішніх впливів, нелінійність та складність протікання процесів, а також інші загрози, що несе в собі не тільки зовнішній, а і внутрішній мережевий трафік, дає підстави до посилення контролю та аналізу мережевих потоків. Постановка проблеми. Підвищення надійності функціонування комп’ютерних мереж залежить не тільки від вчасного виявлення загроз в її інформаційних потоках, а й від задіяння упереджувальних захисних заходів, які насамперед повинні спиратись на обґрунтовані прогнози виникнення шкідливих впливів. Обидві проблеми взаємопов’язані, оскільки для виконання прогнозування необхідно мати достатню та актуальну статистичну базу подій, що відбуваються в мережі. Аналіз останніх досліджень і публікацій. Сучасні підходи до виявлення та прогнозування загроз для комп’ютерних мереж докладно проаналізовані в роботі [6]. Попри снування достатньої кількості методів і моделей вивчення та передбачення поведінки трафіку, найбільш застосовуваними при практичній реалізації залишаються моделі часових рядів. Виділення недосліджених частин загальної проблеми. На сьогодні є багато інформаційних систем, метою яких є виявлення та запобігання мережевим атакам та аномаліям трафіку, більшість із них працює в реальному часі та надає інформацію про загрозу або вживає необхідних дій за фактом настання цієї загрози. Проте такі системи переважно побудовані на сигнатурному методі виявлення. Незважаючи на те, що в останні роки найбільш використовуваними в цій сфері є методи, пов’язані з машинним навчанням та інтелектуальним аналізом даних, більшість підходів мають лише теоретичну основу. Постановка завдання. Враховуючи потребу в практичному застосуванні аномальних методів виявлення загроз інформації, було прийнято рішення про програмну реалізацію модулів інформаційної системи, які б виконували комплекс завдань збору, аналізу, моделювання розвитку подій у мережі, та були адаптовані до її типу та потреб. Виклад основного матеріалу. Принципи функціонування систем виявлення загроз для комп’ютерної мережі базуються на розділенні загроз корпоративної комп’ютерної мережі на два основні класи – вторгнення в мережу та аномальна мережева поведінка. Системи, метою яких є виявлення та запобігання вторгненням базуються на використанні сигнатурних методів, а системи, що проводять аналіз аномальної мережевої поведінки, – на статистичному аналізі мережевого трафіку. У роботі обґрунтовано обрано та виконано програмну реалізацію алгоритмів двох адаптивних методів виявлення аномальної поведінки в потоках мережі, що вирішують зазначену проблему для різних, взаємовиключних умов, з використанням теорії Хаосу та EWMA-статистики. Одним із методів прогнозування стану або рівня загроз комп’ютерних мереж є Баєсова мережа, оскільки цей метод досить тісно пов’язаний із підходами, заснованими на графах атаки, це дозволяє не тільки прогнозувати рівень загроз для корпоративної комп’ютерної мережі, але й досліджувати послідовність їх виникнення, адресу джерела та призначення, тип загрози тощо. Висновки відповідно до статті. Інформаційні технології визначення та забезпечення надійного рівня взаємодії суб’єктів комп’ютерних мереж є однією з актуальних проблем сучасного кіберсередовища. Проблема прогнозування загроз для корпоративної комп’ютерної мережі має менше існуючих рішень, ніж проблема виявлення та усунення загроз, але її вирішення дає змогу вживати завчасних дій до усунення та подальшого вивчення аномалій у мережевих потоках.