CC BY
55
КОМПЬЮТЕРНАЯ ИНЖЕНЕРИЯ
УДК 658.512.011: 681.326: 519.713 МОДЕЛ1 I МЕТОДИ ЗАХИСТУ К1БЕРПРОСТОРУ
АДАМОВ О.С._
Наводиться аналггичний огляд iснуючих моделей, методiв i технологiй захисту iндивiдуального сервю-комп'ютингу. Визначаються переваги i нeдолiки найб№ш затребуваних моделей i мeтодiв, опублжо-ваних в cпeцiальнiй лiтepатуpi: матepiалах конферен-цiй i наукових журналах. На оcновi проведеного аналiзу сформульовано мету i задачi доcлiджeння, оpieнтованi на усунення проблемних мicць i нeдолiкiв icнуючих моделей i мeтодiв у контeкcтi гх peалiзацil в iнфpаcтpуктуpi захисту iндивiдуального сервк-комп'ютингу.
1. Огляд моделей захисту каберпростору
Розглянемо модет, що застосоваш для захисту юберпростору:
1. Стримування атак на юберпроспр [1].
2. Захисту персональних даних [2, 3].
3. Управлшня доступом [4-8].
4. Реагування на шциденти [9-13].
5. Юберзагроз [14-18].
Модель стримування юбератак на юберпроспр включае контроль над юберзброею i юберро-звщку на нацюнальному р1вн1, захист приватних даних на ¡ндивщуальному i корпоративному р1в-нях [1].
Захист персональних даних представлений регуляторними моделями. Наприклад, General Data Protection Regulation (GDPR) для краГн EU [2, 3]. GDPR положення являе собою юридичний шструмент для регулювання обробки персональних даних, що прийнятий в Свропейському Со-юзь Регламент схвалюе стандартизащю. В цьому вщношенш можна говорити про модел1 захисту даних, з огляду на питания захисту персональних даних, з одного боку, а також етику i вщповщальшсть в контексп юберпростору - з шшого. Недолш регуляторноГ модел1 в тому, що приписи i стандарти мають на уваз1 самоконтроль за Гх виконанням. Штрафш санкцп вво-дяться тшьки в раз1, коли витш персональних даних став надбанням громадськосп. У бшь-шосп випадюв под1бн1 шциденти ховаються вщ користувач1в, чиГ персональш даш були ском-прометоваш.
1снуюч1 модел1 управлшня доступом Discretionary access control (DAC), Mandatory access control (MAC), Role-based access control (RBAC) описують права доступу для користува-ча тшьки в рамках одного домена або оргашзацп [4, 5]. У мультидоменному cepeдовищi можлива
ситуащя, коли в pi3H^ доменах визначенi pi3Hi ролi i права доступу для pi3H^ акаунпв кори-стувача, а також до pi3H^ об'eктiв iнформацiйноï iнфраструктури, наприклад, файтв, процесiв, мережевих ресурсiв pi3H^ обчислювальних кла-стерiв [6 - 8]. Таким чином, дан моделi не мо-жуть бути використат в рамках кiберпростору, де у користувача юнують рiзнi уявлення, певн в рiзних доменах, i немае eдиноï провайдераутен-тифiкацiï для вшх доменiв i типiв об'ектiв. Традицшш моделi реагування на iнциденти, представлеш в NIST 800-61 [9], ISO 27035 [10], SANS's Incident Handler's Handbook [11], модель загального реагування на шциденти [12], а також модель Agile [13] мютять опис процешв, пов'яза-них з виявленням, стримуванням, розслщуван-ням, аналiзом, вщновленням i запобiганням ш-цидентiв безпеки в класичнш iнформацiйнiй ш-фраструктурь Однак всi вони не беруть до уваги особливосп хмарноï шфраструктури, такi як SDN та NFV, масштабовашсть, вiдмовостiйкiсть i вiртуальний характер середовища. Моделi кiберзагроз:
1. STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). Найбшьш популярна модель загроз вщ компани Microsoft для розробниюв програм-них додаткiв [14].
2. CAPEC (Common Attack Pattern Enumeration and Classification). Модель вщ MITRE для побу-дови периметра захисту оргашзацп на основi ти-пових сценарiев атак [15].
3. Common vulnerability scoring system (CVS S). Модель ощнки загроз через наявшсть вразли-востi у системi [16].
4. ATT&CK (Adversary Tactics and Techniques and Common Knowledge) вщ MITRE. Глобально доступна база знань супротивноï тактики та методик, заснована на спостереженнях у реальному свт. База знань ATT&CK використовуеться як основа для розробки конкретних моделей та ме-тодологш загроз у приватному сектор^ урядi та у сферi продуктiв i послуг юбербезпеки [17].
5. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) е методолопею для рацiоналiзацiï та оптимiзацiï процесу оцiнки ри-зикiв iнформацiйноï безпеки, щоб оргашзащя могла отримати достатнi результати з невеликими швестищями у час, людей та iншi обмеженi ресурси. Вона органiзовуе розгляд людей, техно-логiй i засобiв у контексп 1'хнього вiдношення до iнформацiï та бiзнес-процесiв i послуг, якi вони шдтримують [18].
6. Модель розвинено1' стало1' загрози (Advanced Persistent Threat - APT) або юберланцюг вбив-ства (Cyber Kill Chain). Вперше була запропоно-вана компанiею Mandiant, яка розкрила цiлi та
дiяльнiсть глобального актора APT1 [19]. Ц заходи включали в себе кравджку сотень терабайт конфщенцшних даних, у тому чи^ бiзнес-плашв, технологiчних креслень i результатiв те-стування щонайменше з 141 оргашзаци у рiзних галузях. Вони оцшили середню тривалiсть збе-реження шюдливих програм у цiльових ор-гашзащях в 1 рiк. З того часу зростае список до-кументованих загроз APT i3 залученням на гло-бальну сцену потужних суб'екпв, включаючи суб'eктiв нацiональних держав. Розумшня мо-тивiв та дiй учасниюв APT вiдiграe важливу роль у виршенш цих проблем. Для подальшого ро-зумiння у доповiдi Мацщанта також запропоно-вано модель життевого циклу APT, вiдому як юберланцюг вбивства (cyber kill chain), що доз-воляе отримати перспективу про те, яю кроки вживае атакуюча сторона задля досягнення сво!х цшей. Типова атака APT складаеться з таких ета-пiв:
1. Юберрозвщка. Збiр даних про цiлi.
2. Проникнення. Наприклад, завантаження шкiдливого коду за допомогою попутного завантаження (drive-by-download) чи цшьово! фшин-гово! (spear-phishing) атаки.
3. Фiксацiя у система Встановлення шюдливо! програми.
4. Комушкаци з центром командування i ке-рування. Для ще! мети можуть використовувати-ся трояни вiддаленого доступу (Remote Administration Tool - RAT).
5. Ескалащя привше!в через експлуатащю враз-ливостей з метою отримання доступу до ресурсiв органiзацii.
6. Внутршня кiберрозвiдка з метою знаходжен-ня серверiв з цiнною конфщенцшною шфор-мацiею.
7. Скритне перемщення по внутрiшнiй мережi.
8. Ексфшьтращя чи вигрузка конфiденцiйноi iнформацii.
9. Завершення атаки та самолiквiдацiя або по-вернення до кроку 4 для отримання нових команд.
Таким чином, юберланцюг вбивства забезпечуе посилання для розумiння та вщображення мо-тивiв, цiлей та дш учасникiв APT. Наразi iснуе бшьше 500 звiтiв APT [20]. 2. Огляд методiв захисту Ki6epnpocTopy Методи захисту, яю використовуються в даний час в iнфраструктурi захисту юберпростору, представлено! КСЗ1 (Комплексна система захисту шформаци) та КСАЗ (Комплексна система антивiрусного захисту), можна умовно роздшити на групи по використовуваному тдходу до де-тектування юберзагроз: детермiнiстичний, iмовiрнiсний.
2.1. Детермiнiстичний пщхщ
Детермiнiстичний пiдхiд можна подiлити на методи на основ! зловживання, яю виявляють по-ведiнку, пов'язану з вщомими атаками. Наприклад, таю методи описаш в [21]. Методи на основi специфiкацii [22, 23], яю виявляють атаки зпдно з полiтиками, визначеними експертами.
Методи на основi сигнатурних вердиктiв вико-ристовують сигнатури, послiдовностi байт, що ушкально iдентифiкують атаку. Сигнатури за-звичай представленi у виглядi правил, що ство-рюються експертами або спещальними роботами i використовуються юберспшьнотою. У бшь-шостi випадкiв таю сигнатури можуть ефективно виявляти певну групу вщомих атак. Однак щ пiдписи сприйнятливi до незначноi модифшацп коду, яка може бути викликана використанням заплутування коду та шифруванням шюдливого коду.
Для швидкого генерування сигнатур на атаки за участю полiфорних шкiдливих програм використовуються таю методи:
1. Генеращя шдпиав на основi мереж! (NSG) [24]. Метод був запропонований як спошб автоматичного i швидкого створення сигнатур для пол!морфних хробаюв на основ! розробленоi мо-делi NSG-PolyTree. Такi сигнатури i ixm варiанти схож! м!ж собою, а деревоподiбна структура мо-же належним чином вiдображати iхню сiмейну под!бшсть.
2. Генерацiя сигнатури на основ! навчання (Learning-based Signature Generation - LSG) включае методи, як! шукають едину велику ш-варiантну шдрядку послщовностей байпв, а також методи, що шукають багато коротких ш-вар!антних шдрядюв. Методи вилучення зразюв е привабливими, тому що сигнатури можуть ге-неруватися i ефективно узгоджуватися, i бшьш ранш роботи показали юнування швар!аш!в у експлойтах. Але автори [25] показали фундамен-тальш обмеження на точшсть великого класу алгоршмв вилучення зразюв у змагальнш об-становщ.
3. DeepSign. Метод глибокого навчання для автоматичного генерування та класифшацп шюдливих програм. Цей метод використовуе глибоку мережу переконань (Beep Belief Network - DBN), реал!зовану з глибоким стеком автоде-кодер!в, що генеруе шуми, генеруючи швар!ант-не компактне представлення поведшки шюдли-вого програмного забезпечення. Незважаючи на те, що для виявлення зловмисних програм звичайш шдписи та методи, засноваш на маркерах, не виявляють бшьшють нових вар!аш!в юнуючих шюдливих програм, результата, представлен! в цш статп, показують, що
сигнатури, створен! DBN, дозволяють точно кла-сифшувати нов! вар!анти шкщливих програм [25]. Проте результати DBN не можуть бути ш-терпретоваш, порушуючи вимоги GDPR. Запропонований в [27] тдхщ нацшений на ранне виявлення цшьових атак з використанням лопчних фшьтр!в, як! в свою чергу приймають на вхщ вердикти мережевих сигнатурних ска-нер!в (Firewall L3,4,7 i Network IDS / IPS). Запропонована методолопя забезпечуе виявлення шдикатор!в на раннш стадii таргетованоi атаки в мережевому трафшу. Проте даний метод не був протестований на практищ. Автори обмежи-лися теоретичним моделюванням, що не дозво-ляе оцшити ефектившсть даного методу для за-хисту вщ реальних юбератак. Популярним шструментом детектування юберза-гроз е Yara [28], який дозволяе створювати роз-ширеш сигнатури на основ! регулярних вираз!в, використовуючи текстов! i бшарш рядки в умов-них виразах правил.
2.2. Пмов1рн1сний пiдхiд та застосування машинного навчання
1мов!ршсний тдхвд переважно використовуе ал-горитми машинного навчання, тому його слщ розглядати в контекст! метод!в i моделей, побу-дованих на основ! алгоритмв машинного нав-чання.
Штучний ттелект (Artificial Intelligence - AI) -це наука, що дозволяе комп'ютеру автоматизува-ти те, що потр!бно людиш: штелект, анал!з i прийняття ршень.
Машинне навчання (Machine Learning) - наука, що дозволяе комп'ютерам вчитися без явно за-програмованого на це. Машинне навчання засто-совуе статистику i алгоритми масштабування на великих обсягах даних. Одна з цшей машинного навчання - це досягнення штучного штелекту. Наука про дам (Data Science) - дисциплша, яка займаеться витягом шформаци з даних. Наука про дан! - це широке поле, що включае машинне навчання.
Серед алгоршмв машинного навчання, як! за-стосовуються для виршення завдань детектування юбератак, автори [29] видшяють так! гру-пи:
1. Supervised: Association Rule Classification (a); Artificial Neural Network (Deep Learning) (b); Support Vector Machines (c); Decision Trees (d); Bayesian Network (e); Hidden Markov Model (f); Kalman Filter (g); Bootstrap, Bagging, and Ada-Boost (h); Random Forest (i).
2. Unsupervised: k-Means Clustering (a); Expectation Maximum (b); k-Nearest Neighbor (c); SOM ANN (d); Principal Components Analysis (e); Subspace Clustering (f).
3. Semi-supervised: Generative models (a); Low-density separation (b); Graph-based methods (с). Алгоритми машинного навчання можуть працювати через навчання з вчителем або без. У навчанш з вчителем (supervised) алгоритм використовуе додаткову шформащю та контекст, або дан! для навчання надаються окремо, в порядку, щоб машина стала бшьш розумною. У навчанш без вчителя (unsupervised) алгоритм мае всю ш-формащю та контекст, з якого можна повшстю зрозум!ти надаш навчальш дан! до нього, щоб вш мш сам вчитися. 1снуе також комбшований метод, де навчальш дан! частково даються алгоритму машинного навчання.
Навчання з вчителем часто необхвдно реал!зо-вувати на набор! даних з доброяюсними ано-мал!ями, щоб передбачити майбутш аномали, як! не е доброяюсними. Але в юбербезпещ високо-яюсш навчальш дан! важко отримати через чис-ленш випадки помилкових спрацьовувань. 1нже-нери в центр! операцшно1' безпеки (SOC) повинш переглядати дан! навчання i надавати коригуван-ня, так! як вказ!вка певних набор!в подш, що представляють вагом! загрози безпеки, а ¡нш -доброяюсш. Тому фахiвцi завжди будуть необ-хщш для нагляду за навчанням для юбербезпеки. Дал! розглянемо приклади реал!зацш метод!в на основ! алгоршмв машинного навчання, що активно застосовуються у юбербезпещ. Виявлення аномалШ (викцщв) е виявленням рщюсних подш, як! викликають шдозри, ютотно вщр!зняючись вщ бшьшост даних [30]. Зпдно з [31] алгоритми виявлення аномалш юнують трьох тишв:
1. Виявлення аномалш без вчителя - так! методи виявляють аномали в наборах даних за умови, що бшьшють екземпляр!в у набор! даних е нор-мальними, шукають приклади, як! найменш схожi на бшьшють даних.
2. Виявлення аномалш ¡з вчителем - так! методи вимагають наб!р даних, як! були б позначен! як "нормальш" чи "ненормальш", i передбачають шдготовку класифшатора (ключова вщмшнють вщ багатьох шших статистичних проблем кла-сифшаци полягае в незбалансованому характер! виявлення викид!в).
3. Виявлення аномалш ¡з нашвнаглядом - так! методи конструюють модель, що представляе звичайну поведшку з даного нормального набору даних навчання, а по^м перев!ряе ймов!рнють того, що дослщжувана модель буде згенерована дослщжуваним екземпляром.
Методи, як! найчаспше використовуються для виявлення аномалш:
1. Методики на основ! щшьносп: a - k-найближчий сусщ [32 - 34]; b - локальний фактор викиду [35]; c - ¡золяцшш люи [36].
2. Виявлення викид1в для високовим1рних даних [37] на основа a - тдпростору [38]; b - кореляцп [39, 54]; c - тензора [40].
3. Однокласов1 машини опорних вектор1в (Support Vector Machines - SVM) [41].
4. Репткатор нейронних мереж [42].
5. Байесов1 мереж1 [42].
6. Приховаш марковсью модел1 (HMM) [42].
7. Виявлення аномалш на основ1 кластерного анатзу [43, 44].
8. Вщхилення вщ правил асощаци та частих набор1в.
9. Виявлення аномалш на основ! неч1ткоГ' лопки.
10. Ансамбл1 метод1в: a - беггшг [45, 46]; б -норматзащя бал1в [47, 48]; в - rnmi методи визначення р1зномаштносп [49, 50]. Продуктившсть р1зних метод1в багато в чому залежить вщ набору даних i параметр1в, а методи мають незначш систематичш переваги перед ш-шими пор1вняно з багатьма наборами даних i параметрами [51].
Розглянемо на прикладах використання моделей машинного навчання для детектування аномалш. У статп [52] подано алгоритм з висновком Байеса, який використовуе переваги, засноваш на сигнатурному метод1 i детектуванш аномалш. Запропонований шдхщ дозволяе витягувати па-терни SQL-запипв у вигляд1 регулярного виразу, яю можуть бути легко включеш в будь-який ме-хашзм обробки правил (наприклад, NIDS Snort). Проте даний шдхщ нацшений на створення ста-тичних сигнатур у вигляд1 правил, як дозволять детектувати лише певний в правит спектр за-гроз.
З1ставлення 3i зразком (pattern matching) - метод анал1зу i обробки структур даних, заснований на виконанш певних умов залежно вщ зб1гу до-слщжуваного значення з тим чи шшим зразком (шаблоном або патерном), яким може бути ча-стина шюдливого коду чи мережевого трафша. Дшг, Фанг та Чарленд з Ушверситету Макгшла у своГй робот [53] виршують проблеми пошуку схожих частин асемблерного коду у шюдливих програмах, захищених обфускащею, та з викори-станням оптим1заци коду тд час компшяци. Пропонуеться спшьно вивчити лексичш семан-тичш вщносини та векторне представлення функцш складання на основ1 асемблерного коду. Розроблена модель представлення асемблерного коду Asm2Vec. Вона потребуе лише коду зб1рки як вхщних даних i не вимагае попередшх знань, таких як правильне вщображення м1ж функщями складання. Метод може знайти i включити багат семантичш вщносини м1ж токенами, що з'явля-ються в код1 зб1рки. Розроблений метод Asm2Vec вивчае векторне представлення функцш складання, вщр1зняючи його вщ шших.
Asm2Vec не вимагае шяких попередшх знань, таких як правильне вщображення м1ж функщями складання або використаним р1внем оптим1зацп компшятора. Модель вивчае лексичш семантичш вщносини токешв, що з'являються у зб1рщ коду, i представляе функщю складання як внутршньо зваженоГ сумш1 прихованоГ семантики. Кр1м функцш складання, вона може застосовуватися на р1зних гранулярностях послщовностей складання, таких як бшарш файли, фрагменти, ос-новш блоки або функци. Авторами були проведет експерименти з пошуку клонованого коду, у якому були використаш р1зш опци оптим1зацп компшятора i методи обфускаци. Результати показали, що Asm2Vec е точним i надшним проти сильно! змши в асемблерних шструкщях та графшу управлшня потоком. Asm2Vec страждае вщ декшькох обмежень. По-перше, вш призначений для одшеГ' мови Асем-блер. Asm2Vec не застосовуеться безпосередньо до семантичних клошв через арх1тектури. Немае спшьного лексично-семантичного простору м1ж двома р1зними мовами Асемблер. По-друге, по-точний селективний мехашзм розширення не може визначити динам1чш стрибки, таю як таб-лиця переходу. По-трете, це обмежена штерпре-татившсть. Asm2Vec не може пояснити або обгрунтувати своГ результати, показуючи клоно-ваш пщграфи або доводячи символ1чну екв1ва-лентшсть.
Дослщники з ушверситет1в М1чиган-Д1рборн, Стоуш-Брук та 1ллшойс в Чикаго [54] спробува-ли виршити проблему виявлення поточноГ' кам-пани APT (Advanced Persistent Threats) за допо-могою кореляцтиого аналiзу. APT атака скла-даеться з сукупност р1знорщних кроюв на ба-гатьох хост1в протягом тривалого перюду часу, в режим1 реального часу та надання анал1тику ви-сокор1вневого пояснення сценар1ю нападу на основ! хост-журнал1в та сповщень IPS (Intrusion Prevention System) вщ пщприемства. 1снуюч1 си-стеми IDS / IPS можуть виявляти та виробляти сповщення про шдозрш поди на хосп. Проте поеднання цих попереджень низького р1вня з метою отримання картини високого р1вня поточноГ кампанп APT залишаеться серйозною проблемою.
НедолЫом розроблеиог системи HOLMES е анал1з лише лопв системних виклиюв на вузлах мережа У той час Гндикатором атаки можуть стати поди, шформащя про яю збер1гаеться в логах файервол1в (L3-4, WAF), IDS/IPS чи сервюу аутенфГкацП, наприклад п1д час DDoS чи bruteforce атак, яю взагал1 не е частиною APT модел1 ланцюга вбивства.
Метод асощативних правил, використаний у ро-бот1 [59], вир1шуе проблему великоГ кшькост1
помилкових позитивних сигнатв тривоги, як! генеруються у великих шфраструктурах для виявлення вторгнень, ускладнюе роздшення помилкових оповщень вщ реальних атак. Одним ¡з засоб!в зменшення ща проблеми е використання метасигнал!в або правил, як! щентифшують вщом! шаблони атак у потоках сигнал!в тривоги. Очевидний ризик при такому шдход! полягае в тому, що база правил не може бути повною сто-совно кожного профшю справжньо1' атаки, особливо тих, як! е новими. Зараз нов! правила вщкриваються вручну, процес, який е дорогим i схильним до помилок. Дослщники представля-ють новий шдхвд, що використовуе видобуток правил асощацп, щоб скоротити час, що минув вщ появи нового профшю атаки в даних до його визначення, як правило, в шфраструктур! мошторингу оргашзацп.
НедолЫом методу е обмежений обсяг проведе-них експерименпв та необхщнють апрюрних знань про атаку задля виявлення асощацш, побу-дови ланцюга атаки та генерацп правил. Автори також дослщжують сигнали тривоги вщ мереже-во1' системи виявлення вторгнень (Network IDS/IPS) для добування асощативних правил. У машинному навчанш та обробщ природно1' мови, тематична модель е типом статистично1' модел! для виявлення абстрактних «тем», як! вщбуваються в набор! документ. Тематичне моделювання е часто використовуваним шстру-ментом видобування тексту для виявлення при-хованих семантичних структур у текстовому тш. 1нтуггивно, враховуючи те, що документ сто-суеться певно1' теми, можна очшувати, що окрем! слова з'являться в документ! бшьш-менш часто [60].
У [61] автори анал!зують повщомлення в блогах для р!зних категорш загроз юбербезпеки, пов'я-заних з виявленням юбератак, юберзлочишв i тероризму. 1снуюч! дослщження штелекту зосе-реджувалися на анал!з! новин або форум!в для шциденпв юбербезпеки, але лише деяю з них бралися з веб-журнал!в чи 1нтернет блопв. Автори використовують ймов!ршсний латентний се-мантичний анал!з для виявлення ключових сл!в з веб-журнал!в юбербезпеки стосовно певних тем. В робот! продемонстровано, як цей метод може представити блогосферу з точки зору тематики з вим!рними ключовими словами, таким чином вщстежуючи популярш розмови та теми в блогосфери Застосовуючи !мов!ршсний шдхщ, мож-ливо полшшити пошук шформацп в мереж! 1н-тернет i виявлення ключових сл!в, а також забез-печити анал^ичну основу для майбутнього анал!зу блогосфери. Недолшом роботи е ii спря-мовашсть лише на анал!з блогосфери.
Однак тематичне моделювання можна викорас-тити не тiльки задля захисту, але ж й для тарге-товано1 атаки. Як це зробити, показали дослщни-ки з SecureData Labs в рамках свое! доповщ на конференцiï RSA Conference 2019 [62], де вони, проаналiзувавши тематику документ жертви, змогли викорастити цю iнформацiю для цiльовоï фiшинговоï атаки.
Таким чином, моделi машинного навчання, що побудованi з урахуванням моделей загроз, пред-ставляють ефективш iнструменти для автомати-зацiï виявлення юбератак на кiберпростiр, пiдвищуючи обороноспроможшсть органiзацiï. При виборi моделi необхщно керуватися не тшь-ки показниками ïï ефективностi, але i типом навчання модели з учителем або без; штерпрето-ванiстю результат i прозорiстю моделi - ви-моги The EU General Data Protection Regulation (GDPR) [63].
2.3. Атаки на методи машинного навчання
У контекст методiв машинного навчання стд згадати, що деяю з них самi по собi вразливi до атак. Так, у робот [64] наводиться приклад тако1' атаки. Автори продемонстрували, що спiльне машинне навчання та пов'язанi з ним методи, таю як федеративне навчання, можуть привести до ненавмисного витоку шформацп про навчаль-ш даш учасникiв через оновлення моделi. Таким чином, це дозволяе розвивати пасивш та активш атаки виводу для використання цього витоку. Автори [65] стверджують, що моделi глибокого навчання (DL - Deep Learning) е також вразли-вими до змагальних прикладiв, тобто до зловми-сно створених вхщних даних. Це призводять до неправильно!' поведшки цiльових моделей DL, що значно ускладнюе застосування DL у доменах, чутливих до безпеки. У свош робот автори представляють розробку, реалiзацiю та оцiнку DEEPSEC, единоï платформи, яка мае на мет подолати цей недолiк. У свош нишшнш ре-алiзацiï DEEPSEC об'еднуе 16 найсучасшших атак з 10 показниками та 13 найсучасшших за-собiв захисту з 5 показниками оборонноï корис-ностi.
В роботi [66] було показано, що машинне навчання та глибою нейронш мережi можуть бути обдуренi атаками ухилення (також називаються прикладами змагальностi), тобто малими змшами вхiдних даних, яю викликають помил-кову класифiкацiю шд час тестування. Ця робота висв^люе уразливiсть методiв виявлення шкiдливих програм, якi використовують глибокi мереж для вивчення з сирих байтiв на прикладi атаки на основi градiента, здатноï уникнути нещодавно запропонованоï глибокоï мережi, пристосованоï для цiеï мети, лише змшюючи кiлька конкретних байтв у кiнцi кожного зразка
шюдливого програмного забезпечення та зберiгаючи при цьому його шюдливу функцiю. Таким чином, змагальш зловмиснi програмнi файли ухиляються вiд детектування у цшьовш мереж з великою ймовiрнiстю, навт якщо менше 1% !хшх байпв змiнено. Автори [67] представили першу надшну та уза-гальнюючу систему виявлення та пом'якшення атак на DNN на основi методiв, яю щентифшу-ють бекдори, описанi в [68-72], i реконструюють можливi тригери атак. Вони щентифшують кшь-ка методiв пом'якшення за допомогою вхвдних фiльтрiв, обрiзання нейронiв i вщривання вiд навчання. У роботi демонструеться !х ефек-тивнiсть за допомогою великих експерименпв на рiзних DNN проти двох типiв iн'екцiй, визначе-них попередньою роботою: атаку з повним доступом до навчально! моделi i троянська атака, керована нейронами, без доступу до моделi навчання. Запропоноваш методи також виявляють надiйнiсть у вiдношеннi ряду варiантiв бекдор атаки.
НедолЫ методу виявлення атак на DNN е проблема узагальнення за межами поточного домену. Методи виявлення / пом'якшення можуть бути узагальнюючими: шту!!щя для виявлення по-лягае в тому, що iнфiкована мiтка е бшьш враз-ливою, нiж нешфшоваш мiтки, i це не повинно залежити вщ домену. Проблема адаптацп моделi до домену потребуе сформулювати процес атаки бекдора i розробити метрику, що вимiрюе, наскiльки вразлива конкретна м^ка. 1нша проблема запропонованого методу це великий простiр потенцшних зустрiчних заходiв зловми-сника, яю неможливо охопити в рамках одного дослщження.
Таким чином, моделi на основi нейронних мереж (ANN, DNN), володдачи низкою штерпретова-них результат i стiйкiстю до атак на моделi машинного навчання, не можуть бути викори-станi як надiйний зашб виявлення кiбератак реального св^у.
2.4. Оцiнка методiв виявлення кабератак
Точнiсть (Precision) та повнота (Recall, Sensetivity, True Positive Rate), яю використову-ються в бiнарнiй класифшацн, е найбiльш адек-ватними критерiями оцiнювання для проблем виявлення юбератак.
Для таких проблем точшсть - це мiра того, наскiльки точним е класифшатор, що виявив атаку. Бшьша точнiсть вiдповiдае меншш кiлькостi помилкових тривог (FP - False Positives), у той час як повнота (Recall) показуе, скшьки атак класифшатор фактично виявив. Бшьш високе значення повноти вiдповiдае меншш кшькосп пропущених атак (FN - False Negative). В iдеалi ми хочемо мати класифшатор з високою точ-
нiстю i повнотою, оскшьки це вiдповiдае низь-ким значенням FP i FN [73].
Точшсть та повнота обчислюються за формулами:
Precision=TP/(TP+FP), Recall = TN/(TN+FN), (1) де TP - iстинно-позитивне рiшення, тобто кшь-кiсть атак, коректно виявлених класифiкатором; TN - ютинно-негативне рiшення, тобто кiлькiсть доброяюсних подiй, коректно виявлених кла-сифшатором; FP - хибно-позитивне рiшення, тобто кшьюсть доброякiсних подiй, помилково виявлених класифшатором, як кiбератака; FN -хибно-негативне ршення, тобто кiлькiсть неви-явлених класифiкатором атак (рисунок).
Relevant elements
False __ True
negatives¡j**** negatives
о о/ о \ о
о / О о До 0
0 [ True False 1 о
1 positives positives 1
••у» 0 о J о 0
О 0 ^Ц —^ о 0
Selected elements
Ддаграма Ейлера, що показуе ввдношення множин ршень класиф1катора
У багатокласовому сценарii точшсть i повнота розраховуються окремо для кожного класу. Щоб розрахувати щ метрики для певного класу, iншi класи розглядаються як один клас. Це також на-зиваеться "одним проти вшх". Нарештi, точнiсть i повнота для всiх класiв об'еднуються разом, використовуючи середньозважену величину [74]. 1снують також iншi показники, наприклад, F-мiра чи мiра Ван Ризбергена, але вони рщко за-стосовуються на практицi для оцшки методiв виявлення кiбератак, тому ми не будемо !х вико-ристовувати у роботi. 3. Аналiз великих даних
Генерацiя великих об'емiв даних (вiд 10 TB до 1 PB на день) у комп'ютерних мережах та на вуз-лах велико! оргашзацн створюе проблему для виявлення юберзагроз класичними системами протидп юберзагрозам та перетворюе щ тра-дицiйнi рiшення на застарш. Хоча аналiз журналiв, мережевих потоюв i си-стемних подiй для кримшалютики та виявлення вторгнень був проблемою в спшьнот шфор-мацшно! безпеки протягом десятилiть, тра-дицшш технологii не завжди можуть збертати аналiтичнi данi протягом тривалого часу та ро-бити пошук у них.
По-перше, збереження велико! кшькосп даних рашше не було економiчно доцiльним. Як наслiдок, у традицшних iнфраструктурах бшь-шiсть журналiв подш та iнших записаних
комп'ютерних операцш видалялась пiсля фшсо-ваного перюду зберiгання (наприклад, 2-3 мюящ). По-друге, виконання аналiтичних i складних запитiв на великих, неструктурованих наборах даних з неповними або зашумленими атрибутами було неефективним. Для виршення цieï проблеми застосовують ме-тоди Big Data Analytics (BDA). BDA може допо-могти в реальному чаш виявляти шкiдливi та шдозрши дiï. Таким чином, ця технолопя дозво-ляе посилити традицiйнi методи юбербезпеки [75].
Наприклад, BDA дозволяе виявляти банкiвськi шахрайства та застосовувати системи запобтан-ня вторгнень на основi виявлення аномалiй (Intrusion Prevention System - IDS). Новi шстру-менти керування iнформацiею та подiями безпе-ки (SIEM) були розроблеш для аналiзу та управ-лшня неструктурованими даними, оскiльки вони можуть ефективно чистити, готувати та запиту-вати даш в рiзнорiдних, неповних та зашумлених форматах даних.
Виявлення шахрайства е одним з найбшьш помiтних способiв використання аналiтики великих даних: кредитш картки та телефоннi ком-пани проводили широкомасштабне виявлення шахрайства протягом десятилiть. Однак спецiально побудована шфраструктура, необ-хiдна для розкриття великих даних для виявлення шахрайства, не була достатньо економiчною для широкомасштабного прийняття. Одним з основних наслщюв технологш великих даних е те, що вони сприяють широкому колу галузей промисловостi для створення доступних шфраструктур для монiторингу безпеки. Великi засоби передачi даних також особливо шдходять для того, щоб стати фундаментальними для вдосконаленого виявлення просунутоï сталоï за-грози (Advanced Persistent Threat - APT) та циф-ровоï кримшалютики [76].
APTs працюють в повшьному режимi, тобто з малою юльюстю подiй та довгостроковим вико-нанням. Такi атаки можуть вщбуватися протягом тривалого перiоду часу, тодi як вторгнення за-лишаеться поза увагою жертви. Щоб виявити щ атаки, необхiдно зiбрати та зютавити велику кiлькiсть рiзноманiтних даних, включаючи внутрiшнi джерела даних та зовшшш спiльнi данi розвiдки, i виконати довгострокову юторич-ну кореляцiю для включення апостерiорноï ш-формацiï про атаку в мережевш iсторiï [77]. Недолгом всiх цих методiв е вiдсутнiсть спо-собiв отримання апрiорноï iнформацiï про юбе-ратаки або критерив виявлення аномалiй, яю можуть вiдрiзнятися залежно вiд джерела даних.
4. 1нфраструктура захисту к^берпростору
1нфраструктура захисту KÍ6epnpocTopy може включати таю компоненти:
1. Системи розмежування доступу до шфор-маци.
2. Криптогрaфiчнi системи.
3. Системи щентифшацл та aвтентифiкaцiï.
4. Системи аудиту та мошторингу.
5. Системи виявлення та попередження вторгнень.
Розглянемо системи активного захисту вщ юбе-ратак, до яких можна вщнести системи виявлення та попередження вторгнень. Система виявлення та попередження вторгнень може бути встановлена:
1. На юнцевш точщ, наприклад, Host Intrusion Prevention System (HIPS) або аш^рус.
2. У мереж^ наприклад, Network Intrusion Prevention System (NIPS).
3. На контроллерi безпеки (у хмар^, який збирае шформащю з хоспв та мереж, наприклад Next-Gen SIEM або SOAR.
На сьогодшшнш день системи активного захисту вщ юбератак поеднують з системами аудиту та мошторингу стану юбербезпеки юберпростору оргaнiзaцiï з метою виявлення аномалш в агрего-ваних даних та пiд час ï^ обробки, якi можуть свiдчити про наявнють aктивноï кiберзaгрози. Нaйчaстiше використовують системи безпеки та yпрaвлiння подiями (Security Information and Event Management - SIEM), таю як: Splunk [55], LogRhythm [56], AlienVault OSSIM [57] та IBM QRadar [58], що допомагають робити корелящю сигнaлiв тривоги. Цi системи збирають журнал подш i сповiщень з рiзних джерел i корелюють ïx. Таке сшввщношення часто використовуе до-ступш iндикaтори, наприклад, чaсовi мiтки. Нова генеращя SIEM рiшень включае також ор-кестрaцiю iнфрaстрyктyри безпеки та автомати-зоване реагування на шциденти (Security Orchestration, Automation and Response - SOAR). Цi методи кореляцiï е корисними, але часто не вистачае розумшня складних вщносин, якi юну-ють мiж попередженнями i фактичними випад-ками вторгнення, i точности необxiдноï для узгодження крокiв атаки, яю вiдбyвaються на рiзниx хостах протягом тривалих перiодiв часу (тижш, або в деяких випадках мюящ). Тому у SIEM та SOAR системах впроваджуються методи обробки великих даних на основi використання штучного штелекту (AI) та машинного навчання (ML). Через потребу збершати велик об'еми даних впродовж 6-12 мюящв, а також шукати в них шформащю про потенцшну юбе-ратаку, цi сервiси розгортають у хмарному сере-довищi.
5. Висновки
Проведено анал^ичний огляд юнуючих моделей, методiв i технологiй захисту iндивiдуального сервiс-комп'ютингу. Визначено переваги i недолiки найбiльш затребуваних моделей i ме-тодiв. На основi проведеного аналiзу сформуль-вано мету i задачi дослiдження, що орiентованi на усунення проблемних мiсць i недолшв юну-ючих моделей i методiв у контекстi !х реалiзацii в iнфраструктурi захисту iндивiдуального сервiс-комп'ютингу.
Мета дослщження - iстотне зменшення часу ви-явлення i блокування юбератак, спрямованих на кiберпростiр суб'екта, шляхом використання ро-зроблених матричних моделей i логiчних методiв тестування, перевiрки та дiагностування за раху-нок введення обчислювально! надмiрностi в ш-фраструктуру кiберпростору. Задачi: 1) Удоско-налити структурно-логiчнi моделi i методи пе-ревiрки кiберпростору для тестування i дiагно-стування шкiдливих компонент на основi використання дедуктивного аналiзу обчислювальних систем. 2) Розробити сигнатурно-куб^ш методи синтезу еталонних лопчних схем malware-функцiональностей i паралельного моделювання malware-driven великих даних для визначення належностi поточного коду до юнуючих де-структивних компонентiв у malware бiблiотецi. 3) Розробити сигнатурно-куб^ну модель активного online cyber se-curity комп'ютингу для монiторингу вхщних потокiв malware-даних i управлiння процесом видалення деструктивних компонентiв. 4) Удосконалити засоби захисту кiберпростору шляхом лопчного тестування i дiагностування атак i шкiдливих компонентiв на основi використання алгоршмв машинного нав-чання. 5) Розробити метод атрибутно-орiентованого розшзнавання URL-адрес з вико-ристанням частотних паттершв i метод перевiрки полiморфних шкiдливих програм на основi врахування контрольних сум Portable Executable секцш у виконуваш файли i застосування апара-ту iнтелектуального аналiзу даних. 6) Виконати тестування i верифшащю розроблених програм-них засобiв тестування, перевiрки та дiагносту-вання шкщливих програм шляхом емуляцii атак на основi iснуючих malware бiблiотек. Функщя мети (Z) - мiнiмiзацiя промiжку часу мiж моментом запуску атаки (A) на юберпрос-тiр i моментом ii дiагностування (D), протягом якого обчислювальний сервю залишаеться ско-мпрометованим (С), що одночасно дозволяе по-лiпшити якiсть сервiсу шляхом забезпечення доступности цiлiсностi i конфщенщйносп об-роблюваноi iнформацii на перюд атаки; мшмь зацiя витрат на вщновлення працездатностi сер-вiсу i фiнансових втрат вiд його простою (TDT)
за рахунок введення мшмально необхiдноi надмiрностi в iнфраструктуру дiагностування
(I):
Z = F(TDT, TC, I) = min[^(TDT + TC + I)], де TC - час, на протязi якого обчислювальний сервю залишаеться скомпрометованим з моменту запуску атаки зловмисником;
TC = t (D) - t (A), тут t(D) - момент детектування атаки; t(A) - момент запуску атаки. Л1тература:
1. Cybersecurity Dilemmas: Technology, Policy, and Incentives: Summary of Discussions at the 2014 Raymond and Beverly Sackler U.S.-U.K. Scientific Forum, National Academy of Science, 2014.
2. P De Hert, V Papakonstantinou, The proposed data protection Regulation replacing Directive 95/46/EC: A sound system for the protection of individuals, Computer Law & Security Review, Elsevier, 2012.
3. E. Lachaud, The General Data Protection Regulation and the rise of certification as a regulatory instrument, Computer Law & Security Review, Vol. 34, Issue 2. April 2018. P. 244-256.
4. Bokefode J.D, Ubale S. A, Apte Sulabha S, Modani D. G, Analysis of DAC MAC RBAC Access Control based Models for Security, International Journal of Computer Applications, Vol. 104-No. 5, October 2014.
5. Luo L., He H., Zhu J. Defect Analysis and Risk Assessment of Mainstream File Access Control Policies. In: Wang G., Ray I., Alcaraz Calero J., Thampi S. (eds) Security, Privacy, and Anonymity in Computation, Communication, and Storage. SpaCCS. Springer. 2016. Lecture Notes in Computer Science. Vol. 10066.
6. Elsayed W., Gaber T., Zhang N., Ibrahim Moussa M. (2016) Access Control Models for Pervasive Environments: A Survey. In: Gaber T., Hassanien A., El-Bendary N., Dey N. (eds) The 1st International Conference on Advanced Intelligent System and Informatics (AISI2015), Springer. November 28-30, 2015, Beni Suef, Egypt. Advances in Intelligent Systems and Computing. Vol. 407.
7. Li, B., Tian, M., Zhang, Y., Lv, S.: Strategy of domain and cross-domain access control based on trust in cloud computing environment // Computer Engineering and Networking. Springer. 2014. Р. 791-798.
8. Cha, B., Seo, J., Kim, J.: Design of attribute-based access control in cloud computing environment // Proc. of the International Conference on IT Convergence and Security 2011. Р. 41-50.
9. Computer Security Incident Handling Guide, NIST 800-61, Sep 2016,
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST .SP.800-61r2.pdf
10. Information security incident management (ISO/IEC 27035-1:2016), Sep 2016
https://www.iso.org/obp/ui/#iso:std:iso-iec:27035:-1:ed-1:v1:en
11. Incident Handler's Handbook, SANS Institute, Sep 2016,https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
12. Felix C. Freiling, Bastian Schwittay, A Common Process Model for Incident Response and Digital Forensics, IMF 2007, Stuttgart, September 2007, http://www.imf-
confer-
ence.org/imf2007/2%20Freiling%20common_model.pdf
13. Grispos G., Glisson W. B., Storer T., Rethinking Security Incident Response: The Integration of Agile Principles, Sep 2016,
https://arxiv.org/ftp/arxiv/papers/1408/1408.2431.pdf
14. ShostackA., Threat Modeling: Designing for Security, Wiley, 2014, p. 626
15. CAPEC: Common Attack Pattern Enumeration and Classification. https://capec.mitre.org/index.html, 2019.
16. Common vulnerability scoring system (CVSS) v3.0: Specification document, https://www.first.org/cvss/specification-document, 2019.
17.Adversary Tactics and Techniques and Common Knowledge, MITRE, https://attack.mitre.org/, 2019.
18. Richard A. Caralli, James F. Stevens, Lisa R. Young, William R. Wilson, Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Software Engineering Institute, 2007.
19.MANDIANT: Exposing One of China's Cyber Espionage Units. https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf, 2019
20. Kone^ix APT 3BmB, Github, https ://github. com/aptnotes/data, 2019.
21. Phillip A Porras and Richard A Kemmerer. Penetration state transition analysis: A rule-based intrusion detection approach // Proc. IEEE Eighth Annual Computer Security Applications Conference, 1992. P. 220-229.
22. Calvin Ko, Manfred Ruschitzka, and Karl Levitt. Execution monitoring of security-critical programs in distributed systems: A specification-based approach // IEEE S&P. 1997.
23. Prem Uppuluri and R Sekar. Experiences with specification-based intrusion detection // RAID. Springer, 2001.
24. Yong Tang; Bin Xiao; Xicheng Lu. Signature Tree Generation for Polymorphic Worms // IEEE Transactions on Computers. 2011. Vol. 60, Issue 4. P. 565 - 579.
25. Venkataraman S., Blum A., Song D. Limits of Learning-based Signature Generation with Adversaries. NDSS, The Internet Society, 2008.
26. David E., Netanyahu N. S. DeepSign: Deep Learning for Automatic Malware Signature Generation and Classification. International Joint Conference on Neural Networks (IJCNN). Killarney, Ireland, July 2015. P. 1-8.
27. Japertas S., Baksys T., Method of Early Staged Cyber Attacks Detection in IT and Telecommunication Networks, ELEKTRONIKA IR ELEKTROTECHNIKA, ISSN 1392-1215, VOL. 24, NO. 3, 2018.
28. Yara, https://virustotal.github.io/yara/, 2019.
29. Dua S., Du X., Data Mining and Machine Learning in Cybersecurity, CRC Press, 2011. P. 23-157.
30. ZimekA., Schubert E. Outlier Detection, Encyclopedia of Database Systems, Springer New York, pp. 1-5, 2017.
31. Chandola, V.; Banerjee, A.; Kumar, V. Anomaly detection: A survey. ACM Computing Surveys. 2009. 41 (3). P. 1-58.
32. Knorr, E. M.; Ng, R. T.; Tucakov, V. Distance-based outliers: Algorithms and applications // The VLDB Journal the International Journal on Very Large Data Bases. 2011. 8 (3-4). P. 237-253.
33. Ramaswamy, S.; Rastogi, R.; Shim, K. (2000). Efficient algorithms for mining outliers from large data sets. Proceedings of the 2000 ACM SIGMOD international conference on Management of data - SIGMOD'00. 427 p.
34.Angiulli, F.; Pizzuti, C. (2002). Fast Outlier Detection in High Dimensional Spaces. Principles of Data Mining and Knowledge Discovery. Lecture Notes in Computer Science. 2431. p. 15.
35. Breunig, M. M.; Kriegel, H.-P.; Ng, R. T.; Sander, J. (2000). LOF: Identifying Density-based Local Outliers (PDF). Proceedings of the 2000 ACM SIGMOD International Conference on Management of Data. SIGMOD. pp. 93-104.
36. Liu, Fei Tony; Ting, Kai Ming; Zhou, Zhi-Hua (December 2008). Isolation Forest. 2008 Eighth IEEE International Conference on Data Mining. P. 413-422.
37. Zimek, A.; Schubert, E.; Kriegel, H.-P. (2012). "A survey on unsupervised outlier detection in high-dimensional numerical data". Statistical Analysis and Data Mining. 5 (5): 363-387.
38. Kriegel, H. P.; Kröger, P.; Schubert, E.; Zimek, A. (2009). Outlier Detection in Axis-Parallel Subspaces of High Dimensional Data. Advances in Knowledge Discovery and Data Mining. Lecture Notes in Computer Science. 5476. 831p.
39. Kriegel, H. P.; Kroger, P.; Schubert, E.; Zimek, A. (2012). Outlier Detection in Arbitrarily Oriented Subspaces. 2012 IEEE 12th International Conference on Data Mining. 379p.
40. Fanaee-T, H.; Gama, J. (2016). "Tensor-based anomaly detection: An interdisciplinary survey". Knowledge-Based Systems. 98: 130-147.
41. Schölkopf, B.; Platt, J. C.; Shawe-Taylor, J.; Smola, A. J.; Williamson, R. C. (2001). "Estimating the Support of a High-Dimensional Distribution". Neural Computation. 13 (7): 1443-71.
42. Hawkins, Simon; He, Hongxing; Williams, Graham; Baxter, Rohan (2002). "Outlier Detection Using Replicator Neural Networks". Data Warehousing and Knowledge Discovery. Lecture Notes in Computer Science. 2454. pp. 170-180.
43. He, Z.; Xu, X.; Deng, S. (2003). "Discovering cluster-based local outliers". Pattern Recognition Letters. 24 (910): 1641-1650.
44. Campello, R. J. G. B.; Moulavi, D.; Zimek, A.; Sander, J. (2015). "Hierarchical Density Estimates for Data Clustering, Visualization, and Outlier Detection". ACM Transactions on Knowledge Discovery from Data. 10 (1): 5:1-51.
45. Lazarevic, A.; Kumar, V. (2005). Feature bagging for outlier detection. Proc. 11th ACM SIGKDD International Conference on Knowledge Discovery in Data Mining. pp. 157-166.
46. Nguyen, H. V.; Ang, H. H.; Gopalkrishnan, V. (2010). Mining Outliers with Ensemble of Heterogeneous Detectors on Random Subspaces. Database Systems for Advanced Applications. Lecture Notes in Computer Science. 5981. p. 368.
47. Kriegel, H. P.; Kröger, P.; Schubert, E.; Zimek, A. (2011). Interpreting and Unifying Outlier Scores. Proceedings of the 2011 SIAM International Conference on Data Mining. pp. 13-24.
48. Schubert, E.; Wojdanowski, R.; Zimek, A.; Kriegel, H. P. (2012). On Evaluation of Outlier Rankings and Outlier Scores. Proceedings of the 2012 SIAM International Conference on Data Mining. pp. 1047-1058.
49. Zimek, A.; Campello, R. J. G. B.; Sander, J. R. (2014). "Ensembles for unsupervised outlier detection". ACM SIGKDD Explorations Newsletter. 15: 11-22.
50. Zimek, A.; Campello, R. J. G. B.; Sander, J. R. (2014). Data perturbation for outlier detection ensembles. Proceedings of the 26th International Conference on Scientific and Statistical Database Management - SSDBM '14. p. 1.
51. Campos, Guilherme O.; Zimek, Arthur; Sander, Jörg; Campello, Ricardo J. G. B.; Micenkova, Barbora; Schubert, Erich; Assent, Ira; Houle, Michael E. (2016). "On the evaluation of unsupervised outlier detection: measures, datasets, and an empirical study". Data Mining and Knowledge Discovery. 30 (4): 891.
52. R. Kozik, M. Choras, Machine Learning Techniques for Cyber Attacks Detection, Image Processing and Communications Challenges 5, 2014. P. 391-398.
53. S. H. H. Ding, B. C. M. Fung, P. Charland, Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization, Proc. of 40th IEEE Symposium on Security and Privacy, 2019.
54. S. M. Milajerdi, R. Gjomemo, B. Eshete , R. Sekar, V.N. Venkatakrishnan, HOLMES: Real-Time APT Detection through Correlation of Suspicious Information Flows, Proc. of 40th IEEE Symposium on Security and Privacy, 2019.
55. Splunk SIEM, https://www.splunk.com/, 2019.
56. LogRhythm SIEM, https://logrhythm.com/, 2019.
57.AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), https://www.alienvault.com/products/ossim, 2019.
58. IBM QRadar SIEM, https://www.ibm.com/us-en/marketplace/ibm-qradar-siem, 2019.
59. Treinen J.J., Thurimella R. (2006) A Framework for the Application of Association Rule Mining in Large Intrusion Detection Infrastructures. In: Zamboni D., Krue-gel C. (eds) Recent Advances in Intrusion Detection. RAID 2006. Lecture Notes in Computer Science, vol 4219. Springer, Berlin, Heidelberg.
60. Blei, David, Probabilistic Topic Models. Communications of the ACM. 55 (4), P. 77-84, 2012.
61. Flora S. Tsai, Kap Luk Chan, Detecting Cyber Security Threats in Weblogs Using Probabilistic Models, Proc. Intelligence and Security Informatics: Pacific Asia Workshop, PAISI 2007, Chengdu, China, April 11-12, 2007, P. 46-57.
62. Greeff E., Ross W. The Rise of the Machines, AI- and ML-Based Attacks Demonstrated, RSA Conference, 2019.
63. Burt A. How will the GDPR impact machine learning? Answers to the three most commonly asked questions about maintaining GDPR-compliant machine learning programs, O'Reilly, 2018, https://www.oreilly.com/ideas/how-will-the-gdpr-impact-machine-learning.
64. Melis L., Song C., Cristofaro E. De, Shmatikov V. , Exploiting Unintended Feature Leakage in Collaborative Learning // Proc. of 40th IEEE Symposium on Security and Privacy, 2019.
65. X. Ling, S. Ji, J. Zou, J. Wang, C. Wu, Bo Li, and T. Wang, DEEPSEC: A Uniform Platform for Security Analysis of Deep Learning Model, Proc. of 40th IEEE Symposium on Security and Privacy, 2019.
66. Kolosnjaji B., Demontis A., Biggio B., Maiorca D., Giacinto G., Eckert C., Roli F, Adversarial Malware Binaries: Evading Deep Learning for Malware Detection in Executables, 2018 26th European Signal Processing Conference (EUSIPCO), 2018, P. 533-537.
67. B. Wang, Y. Yao, S. Shan, H. Li, B. Viswanath, H. Zheng, Ben Y. Zhao, Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks, IEEE Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks, 2018.
68. X. Chen, C. Liu, B. Li, K. Lu, and D. Song, Targeted backdoor attacks on deep learning systems using data poisoning, arXiv preprint arXiv:1712.05526, 2017.
69. J. Clements and Y. Lao, Hardware trojan attacks on neural networks, arXiv preprint arXiv:1806.05768, 2018.
70. W. Li, J. Yu, X. Ning, P. Wang, Q. Wei, Y. Wang, and H. Yang, Hu-fu: Hardware and software collaborative attack framework against neural networks, in Proc. of ISVLSI, 2018.
71. T. Gu, B. Dolan-Gavitt, and S. Garg, "Badnets: Identifying vulnerabilities in the machine learning model supply chain," in Proc. of Machine Learning and Computer Security Workshop, 2017.
72. Y. Liu, S. Ma, Y. Aafer, W.-C. Lee, J. Zhai, W. Wang, and X. Zhang, Trojaning attack on neural networks, in Proc. of NDSS, 2018.
73. Powers, David M W. Evaluation: From Precision, Recall and F-Measure to ROC, Informedness, Markedness & Correlation. Journal of Machine Learning Technologies. 2 (1), P. 37-63, 2011.
74. K.N. Junejo, J. Goh, Behaviour-Based Attack Detection and Classification in Cyber Physical Systems Using Machine Learning, CPSS '16: Proceedings of the 2nd ACM International Workshop on Cyber-Physical System Security, May 2016.
75.A.A. Cárdenas, P.K. Manadhata, S.P. Rajan. Big Data Analytics for Security. IEEE Security & Privacy, Volume: 11, Issue: 6, 2013, pp. 74-76.
76. P. Giura and W. Wang, Using Large Scale Distributed Computing to Unveil Advanced Persistent Threats. Science J., vol. 1, no. 3, 2012, pp. 93-105.
77. T.-F. Yen et al, Beehive: LargeScale Log Analysis for Detecting Suspicious Activity in Enterprise Networks. Proc. Ann. Computer Security Applications Conference (ACSAC 13), ACM, Dec. 2013.
Надшшла до редколегп 03.05.2019 Рецензент: д-р техн. наук, проф. Дрозд О.В. Адамов Олександр Семенович, старший викладач кафедри АПОТ ХНУРЕ. №yKOBi штереси: шбербез-пека. Адреса: Украша, 61166, Харшв, пр. Науки, 14, тел. 70-21-326. E-mail: oleksandr.adamov@nure.ua. Adamov Aleksandr Semenovich, Senior Lecturer, Design Automation Department, NURE. Scientific interests: cybersecurity. Address: Ukraine, 61166, Kharkiv, Nauki Avenue, 14, tel. 70-21-326. E-mail: oleksandr. adamov@nure .ua.
