Для обеспечения точного и своевременного реагирования на различные типы атак системы обнаружения вторжений собирают и анализируют большое количество данных, которые могут включать в том числе и информацию с ограниченным доступом, например, персональные данные или данные, представляющие коммерческую тайну. Следовательно, такие системы могут быть рассмотрены как источник рисков, связанных с обработкой конфиденциальной информации и нарушением ее безопасности. Применение парадигмы федеративного обучения для построения аналитических моделей обнаружения атак и аномалий может значительно снизить такие риски, поскольку данные, генерируемые локально, не передаются какой-либо третьей стороне, а обучение модели осуществляется локально – на источниках данных. Использование федеративного обучения для обнаружения вторжений позволяет решить проблему обучения на данных, которые принадлежат различным организациям, и которые в силу необходимости обеспечения защиты коммерческой или другой тайны, не могут быть выложены в открытый доступ. Таким образом, данный подход позволяет также расширить и разнообразить множество данных, на которых обучаются аналитические модели анализа и повысить тем самым уровень детектируемости разнородных атак. Благодаря тому, что этот подход способен преодолеть вышеупомянутые проблемы, он активно используется для проектирования новых подходов к обнаружению вторжений и аномалий. Авторы систематизировано исследуют существующие решения для обнаружения вторжений и аномалий на основе федеративного обучения, изучают их преимущества, а также формулируют открытые проблемы, связанные с его применением на практике. Особое внимание уделяется архитектуре предлагаемых систем, применяемым методам и моделям обнаружения вторжений, а также обсуждаются подходы к моделированию взаимодействия между множеством пользователей системы и распределению данных между ними. В заключении авторы формулируют открытые задачи, требующие решения для применения систем обнаружения вторжений, основанных на федеративном обучении, на практике.
Возможность подключения автономных транспортных средств к сетям порождает новые возможности для атак и, следовательно, потребность в развитии методов кибербезопасности. Таким образом, важно обеспечить, чтобы мониторинг сети в транспортном средстве включал в себя возможность точно обнаруживать вторжение и анализировать кибератаки на основе данных о транспортных средствах и журналов событий транспортных средств с учетом их конфиденциальности. В статье предложен и оценен метод, использующий характеризующую функцию и проведено его сравнение с подходом, основанным на искусственных нейронных сетей. Визуальный анализ соответствующих потоков событий дополняет оценку. Несмотря на то, что метод с характеризующей функцией на порядок быстрее, точность полученных результатов, по крайней мере, сравнима с таковой, полученной с помощью искусственной нейронной сети. Таким образом, этот метод представляет собой перспективный вариант для реализации во встраиваемых системах автомобиля. Кроме того, важным аспектом использования методов анализа в рамках кибербезопасности является объяснимость результатов обнаружения.
DDoS-атаки являются распространённым способом выведения сетевых информационных систем из строя, причём для увеличения эффективности злоумышленники часто используют комбинации из нескольких видов атак. В статье рассматриваются параметры сетевого трафика, позволяющие контролировать состояние системы и отслеживать вторжения. Для этих параметров определены пороговые значения и условия, позволяющие связать поведение параметров с типом атак, которым подвержена система.
В статье предложен подход к формированию профилей нормального функционирования (ПНФ) объектов мониторинга, что является одним из этапов в задачах обнаружения сетевых аномалий. Показаны основные трудности, возникающие при формировании ПНФ по данным мониторинга, и способы их преодоления. В качестве математической основы для формирования ПНФ предлагается использовать итерационные методы, в частности, метод Шискина–Эйзенпресса. Представлены результаты экспериментальной проверки методов формирования ПНФ, сделаны выводы о возможности применения методов в задачах обнаружения сетевых аномалий.
1 - 4 из 4 результатов