Сравнение системы обнаружения вторжений на основе машинного обучения с сигнатурными средствами защиты информации

В работе рассмотрен подход к сравнению систем обнаружения вторжений (СОВ) на основе нескольких независимых сценариев и комплексного тестирования, который позволил выявить основные достоинства и недостатки СОВ, основанной на применении методов машинного обучения (ML СОВ); определить условия, при которых ML СОВ способна превосходить сигнатурные системы по качеству обнаружения; оценить практическую применимость ML СОВ. Разработанные сценарии позволили смоделировать реализацию как известных атак, так и эксплуатацию уязвимости «нулевого дня». Сделан вывод о преимуществе ML СОВ при обнаружении ранее неизвестных атак, а также о целесообразности построения гибридных систем обнаружения, сочетающих возможности сигнатурного и эвристических методов анализа.

1. Актуальные киберугрозы: итоги 2021 года. Доступно по ссылке: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity_threatscape_2021_RUS.pdf, 3.11.2022.

2. Appelt D., Nguyen C.D., Panichella A., Briand L.C. A Machine-Learning-Driven Evolutionary Approach for Testing Web Application Firewalls. IEEE Transactions on Reliability, vol. 67, no. 3, Sept. 2018, pp. 733-757. DOI: 10.1109/TR.2018.2805763.

3. Betarte G., Giménez E., Martínez R., Pardo Á. Machine learning-assisted virtual patching of web applications. 2018, 14 p. DOI: 10.48550/arXiv.1803.05529.

4. Applebaum S., Gaber T., Ahmed A. Signature-based and Machine-Learning-based Web Application Firewalls: A Short Survey. Procedia Computer Science, vol. 189, 2021, pp. 359-367.

5. DOI: 10.1016/j.procs.2021.05.105.

6. Mohammadi S., Namadchian A. Anomaly-based Web Attack Detection: The Application of Deep Neural Network Seq2Seq With Attention Mechanism. The ISC International Journal of Information Security,

7. vol. 12, issue 1, 2020, pp. 44-54. DOI: 10.22042/isecure.2020.199009.479.

8. Горюнов М.Н., Мацкевич А.Г., Рыболовлев Д.А. Синтез модели машинного обучения для обнаружения компьютерных атак на основе набора данных CICIDS2017. Труды ИСП РАН, том 32, вып. 5, 2020 г., стр. 81-94. DOI: 10.15514/ISPRAS-2020-32(5)-6. / Goryunov M.N., Matskevich A.G., Rybolovlev D.A. Synthesis of a Machine Learning Model for Detecting Computer Attacks Based on the CICIDS2017 Dataset. Trudy ISP RAN/Proc. ISP RAS, 2020, vol. 32, issue 5, pp. 81-94 (in Russian). DOI: 10.15514/ISPRAS-2020-32(5)-6.

9. Damn Vulnerable Web Application (DVWA). Available at: https://github.com/digininja/DVWA, accessed 3.11.2022.

10. ModSecurity. Available at: https://github.com/SpiderLabs/ModSecurity, accessed 3.11.2022.

11. OWASP ModSecurity Core Rule Set (CRS). Available at: https://github.com/coreruleset/coreruleset, accessed 3.11.2022.

12. Suricata. Available at: https://github.com/OISF/suricata, accessed 3.11.2022.

13. Proofpoint Emerging Threats Rules. Available at: https://rules.emergingthreats.net/open/, accessed 3.11.2022.

14. HTTPS encryption on the web – Google Transparency Report 2021. Available at: https://transparencyreport.google.com/https/overview, accessed 3.11.2022.

15. Weevely. Available at: https://github.com/PhHitachi/Weevely, accessed 3.11.2022.

16. Patator. Available at: https://github.com/lanjelot/patator, accessed 3.11.2022.

17. Netem. Available at: https://github.com/hansfilipelo/netem, accessed 3.11.2022.