В эпоху Интернета и смарт-устройств обнаружение вредоносных программ стало важным фактором для безопасности системы. Обфусцированные вредоносные программы создают значительные риски для различных платформ, включая компьютеры, мобильные устройства и устройства IoT, поскольку не позволяют использовать передовые решения для обеспечения безопасности. Традиционные эвристические и сигнатурные методы часто не справляются с этими угрозами. Поэтому была предложена экономически эффективная система обнаружения с использованием анализа дампа памяти и методов ансамблевого обучения. На основе набора данных CIC-MalMem-2022 была оценена эффективность деревьев решений, градиентного бустинга деревьев, логистической регрессии, метода случайного леса и LightGBM при выявлении обфусцированных вредоносных программ. Исследование продемонстрировало превосходство методов ансамблевого обучения в повышении точности и надежности обнаружения. Кроме того, SHAP (аддитивные объяснения Шелли) и LIME (локально интерпретируемые объяснения, не зависящие от устройства модели) использовались для выяснения прогнозов модели, повышения прозрачности и надежности. Анализ выявил важные особенности, существенно влияющие на обнаружение вредоносных программ, такие как службы процессов, активные службы, дескрипторы файлов, ключи реестра и функции обратного вызова. Эти идеи имеют большое значение для совершенствования стратегий обнаружения и повышения производительности модели. Полученные результаты вносят вклад в усилия по обеспечению кибербезопасности путем всесторонней оценки алгоритмов машинного обучения для обнаружения обфусцированных вредоносных программ с помощью анализа памяти. В этой статье представлены ценные идеи для будущих исследований и достижений в области обнаружения вредоносных программ, прокладывая путь для более надежных и эффективных решений в области кибербезопасности перед лицом развивающихся и сложных вредоносных угроз.
В настоящее время наблюдается значительный рост инцидентов информационной безопасности, связанных с атаками на веб-ресурсы. Получение несанкционированного доступа к веб-ресурсам остается одним из основных методов проникновения в корпоративные сети организаций и расширения возможностей злоумышленников. В связи с этим множество исследований направлено на разработку систем обнаружения веб-бэкдоров (СОВБ), однако существует задача оценивания результативности функционирования данных систем. Цель данного исследования заключается в разработке объективного подхода для оценки результативности функционирования СОВБ. В данной работе было установлено, что объективно результативность СОВБ проявляется в процессе их использования, поэтому тестирование таких систем необходимо проводить в условиях, максимально приближенных к реальным. В связи с этим в статье предложена методика оценивания результативности функционирования СОВБ. Она основана на расчете трех групп частных показателей, характеризующих действенность, ресурсоемкость и оперативность работы системы обнаружения, а также вычислении обобщенного показателя результативности. На основе анализа исследований в данной области была составлена классификация веб-бэкдоров, встраиваемых злоумышленником в исходный код веб-приложений. Эта классификация используется при формировании тестовых наборов данных для вычисления частных показателей действенности. Разработанная методика применима для СОВБ, которые работают на основе анализа исходного кода веб-страниц. Также для ее использования необходим ряд исходных данных, таких как допустимые предельные ошибки частных показателей действенности и вероятность нахождения их в доверительном интервале, а также весовые коэффициенты частных показателей действенности, которые подбираются экспертными методами. Данная работа может быть полезной для специалистов и исследователей в области информационной безопасности, которые хотят проводить объективную оценку своих СОВБ.
Анализ вредоносных программ является важнейшим аспектом кибербезопасности, направленным на выявление и дифференциацию вредоносного ПО от безвредных программ для защиты компьютерных систем от угроз безопасности. Несмотря на достижения в мерах кибербезопасности, вредоносные программы продолжают представлять значительные риски в киберпространстве, требуя точных и быстрых методов анализа. В этой статье представлен инновационный подход к классификации вредоносных программ с использованием анализа изображений, включающий три ключевых этапа: преобразование кодов операций в данные изображений RGB, использование генеративно-состязательной сети (GAN) для синтетической передискретизации и использование упрощенного классификатора на основе визуального трансформера (ViT) для анализа изображений. Данный метод повышает богатство функций и объяснимость с помощью данных визуальных изображений и устраняет несбалансированную классификацию с использованием методов передискретизации на основе GAN. Предложенная структура сочетает в себе преимущества сверточных автоэнкодеров, гибридных классификаторов и адаптированных моделей ViT для достижения баланса между точностью и вычислительной эффективностью. Как показали эксперименты, наш подход без использования сверток обладает превосходной точностью и прецизионностью по сравнению со сверточными моделями и превосходит модели CNN на двух наборах данных благодаря механизму многоголового внимания. На наборе данных Big2015 наша модель превосходит другие модели CNN с точностью 0,8369 и площадью под кривой (AUC) 0,9791. В частности, наша модель достигает точности 0,9697 и оценки F1 0,9702 на MALIMG, что является экстраординарным результатом.
Цифровизация современной экономики привела к масштабному проникновению информационных технологий в различные сферы человеческой деятельности. Кроме положительных эффектов это крайне обострило проблему противодействия киберугрозам, реализация которых злоумышленниками часто влечет за собой тяжелые последствия. Вредоносное программное обеспечение (ВПО) занимает важное место на современном ландшафте киберугроз, наиболее громкие киберпреступления последних лет связаны с применением ВПО. В связи с этим активно развивается проблемная область противодействия ВПО и одним из перспективных направлений исследований в данной области является создание методов детектирования ВПО на основе машинного обучения. Однако слабым местом многих известных исследований является построение достоверных наборов данных для моделей машинного обучения, когда авторы не раскрывают особенности формирования, предобработки и разметки данных о ВПО, что компрометирует воспроизводимость этих исследований. В данной работе предлагается методика сбора данных об активности ВПО, основанная на матрице MITRE ATT&CK и Sigma-правилах, и рассчитанная на операционные системы семейства Windows. Предлагаемая методика направлена на повышение качества наборов данных, содержащих характеристики поведения ВПО и легитимных процессов, а также на сокращение времени разметки данных экспертным способом. Для апробации методики подготовлен программный стенд и проведены эксперименты, подтвердившие ее адекватность.
Рассматривается проблема безопасности Интернета вещей (Internet of Things), которая не относится к традиционной проблеме кибербезопасности, так как представляет собой локальный или распределенный мониторинг и/или контроль состояния физических систем, подключенных через Интернет. Предыдущее исследование авторов рассматривало архитектуру системы диспетчерского контроля и сбора данных (SCADA). Благодаря внедрению систем SCADA, были проанализированы уязвимости и различные варианты кибератак на них. В качестве исследовательского примера было рассмотрено тематическое исследование, основанное на деревьях, результаты которого были обобщены и визуализированы.
Цель настоящей статьи – сравнить новую индустриальную технологию Интернета вещей (промышленный Интернет вещей, Industrial Internet of Things) с ранее исследованными традиционными системами SCADA.
Промышленный Интернет вещей (Industrial Internet of Things) – это сеть устройств, которые связаны между собой с помощью коммуникационных технологий. В настоящей статье представлены некоторые из наиболее распространенных проблем безопасности устройств промышленного Интернета вещей.
Представлен краткий обзор структуры промышленного Интернета вещей, описываются основные принципы безопасности и основные проблемы, которые могут возникать с устройствами Интернета вещей. Основываясь на исследованиях и анализе риска угроз в области промышленного Интернета вещей, в качестве главного подхода рассмотрен конкретный случай деструктивного воздействия, основанный на древовидном анализе. Дается описание создания значений каждого конечного узла дерева атак, а также приводится анализ полученных результатов. Анализ сценария изменения электронной записи был выполнен для увеличения скорости инфузионного насоса с использованием индекса сложности. Последствия были сравнены с предыдущим исследованием систем SCADA и представлены результаты и выводы.
В статье предложен подход к оценке киберустойчивости компьютерных сетей, основанный на аналитическом моделировании компьютерных атак с применением метода преобразования стохастических сетей. Обосновывается понятие киберу-стойчивости компьютерных сетей. Рассматриваются математические основы такой оценки, позволяющие с помощью аналитических выражений вычислить показатели киберустойчивости. В качестве основного показателя предлагается использовать коэффициент исправного действия по киберустойчивости. Рассматриваемый подход предполагает построение аналитических моделей реализации компьютерных атак. Для построения аналитических моделей кибератак применяется метод преобразования стохастических сетей. Результатом моделирования является функция распределения времени и среднее время реализации кибератаки. Эти оценки используются затем для нахождения показателей киберустойчивости. Приведены экспериментальные результаты аналитического моделирования, которые показали, что предложенный подход обладает достаточно высокой точностью и устойчивостью получаемых решений.
В работе рассматривается задача определения актуальной модели киберугроз цифровой обработки данных по аналитике инноваций DARPA. C 2002 года агенство DARPA проводит широкий спектр научных исследований для достижения и сохранения технологического превосходства вооруженных сил США в киберпространстве. В соответствии с этим задача определения актуальной модели киберугроз цифровой обработки данных рассматривается как адаптивная коррекция современных киберугроз по текущим НИОКР DARPA.
Анализ информационных рисков и вычисление показателей защищенности являются важными задачами для систем управления информацией и событиями безопасности (Security Information and Events Management, SIEM). Они позволяют определить текущую ситуацию в области защищенности и необходимые контрмеры. Данная статья рассматривает методику вычисления показателей защищенности во времени, близком к реальному, и демонстрирует ее применение на примере перерасчета потенциала атаки.
1 - 8 из 8 результатов
