PRINCIPLE AND METHOD OF DECEPTION SYSTEMS SYNTHESIZING FOR MALWARE AND COMPUTER ATTACKS DETECTION

Kód výsledku v IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F25840886%3A_____%2F23%3AN0000047" target="_blank" >RIV/25840886:_____/23:N0000047 - isvavai.cz</a>

Výsledek na webu

<a href="https://nti.khai.edu/ojs/index.php/reks/article/view/reks.2023.4.10" target="_blank" >https://nti.khai.edu/ojs/index.php/reks/article/view/reks.2023.4.10</a>

DOI - Digital Object Identifier

<a href="http://dx.doi.org/10.32620/reks.2023.4.10" target="_blank" >10.32620/reks.2023.4.10</a>

Jazyk výsledku

ukrajinština

Název v původním jazyce

ПРИНЦИП І МЕТОД СИНТЕЗУ СИСТЕМ ОБМАНУ ДЛЯ ВИЯВЛЕННЯ ЗЛОВМИСНОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ І КОМП’ЮТЕРНИХ АТАК

Popis výsledku v původním jazyce

Кількість різних типів та безпосередньо сама кількість зловмисного програмного забезпечення і комп’ютерних атак постійно збільшуються. Тому, виявлення та протидія зловмисному програмному забезпеченню та комп’ютерним атакам залишаються актуальною проблемою сьогодення. Особливо найбільшої шкоди зазнають користувачі корпоративних мереж. Для виявлення та протидії їм розроблено багато ефективних засобів різноманітного спрямування. Але динамічність в розробці нового зловмисного програмного забезпечення та урізноманітнення проведення комп’ютерних атак спонукають розробників засобів виявлення та протидії постійно вдосконалювати свої засоби та створювати нові. Об’єктом дослідження в роботі є системи обману. Результати цієї роботи розвивають елементи теорії та практики створення таких систем. Особливе місце серед засобів виявлення та протидія зловмисному програмному забезпеченню та комп’ютерним атакам займають системи обману. Ці системи заплутують зловмисників, але теж потребують постійних змін та оновлень. оскільки з часом особливості їх функціонування стають відомими. Тому, актуальною є проблема створення систем обману, функціонування яких залишалось би незрозумілим для зловмисників. Для вирішення цієї проблеми в роботі пропонується но-вий принцип синтезу таких систем. Оскільки формування таких систем буде на базі комп’ютерних станцій корпоративної мережі, тоді систему позиціоновано як мультикомп’ютерну. В системі запропоновано використовувати комбіновані приманки та пастки для створення хибних об’єктів атак. Всі компоненти такої системи формують тіньову комп’ютерну мережу. В роботі розроблено принцип синтезу мультикомп’ютерних систем з комбінованими приманками і пастками та контролером прийняття рішень для виявлення та протидії зловмисному програмному забезпеченню та комп’ютерних атакам. В основу принципу закладено наявність контролера за прийнятими в системі рішеннями та використання спеціалізованого функціоналу з виявлення та протидії. Згідно розробленого принципу синтезу таких систем в роботі виділено підмножину систем з технологіями обману, в яких обов’язково повинен бути контролер та спеціалізований функціонал. Контролер за прийнятими рішеннями в системі є відокремленим від центру прийняття рішень. Його завданням є вибір варіантів наступних кроків системи, які сформовані в центрі системи, в залежності від повторюваності подій. Причому тривале повторення зовнішніх подій вимагає від центру системи формування послідовності наступних кроків. За умови їх повторення зловмисник отримує можливість вивчати функціонування системи. Контролер в системі вибирає з різних можливих варіантів відповідей при однакових повторюваних підозрілих подіях різні відповіді. Таким чином, зловмисник при дослідженні корпоративної мережі на одні й ті ж запити отримує різні варіанти відповідей. Спеціалізований функціонал згідно принципу синтезу таких систем імплементовано в архітектуру систем. Він впливає на її зміну архітектури системи в процесі її функціонування в результаті внутрішніх та зовнішніх впливів. В роботі також розглянуто можливий варіант архітектури таких систем обману, зокрема, архітектура системи з частковою централізацією. Для синтезу таких систем розроблено новий метод синтезу частково централізованих систем для виявлення зловмисного програмного забезпечення в комп’ютерних мережах, який базується на розроблених аналітичних виразах, що визначають стан безпеки таких систем та їх компонентів. Проведено експериментальні дослідження розробленої системи на предмет можливості її функціонування тривалий час та виконання поставлених завдань в умовах втрати нею частини компонентів. Результати двох експериментів з п’ятьма серіями підтвердили ефективність запропонованого рішення. Крім того, за результатами експериментів було встановлено, що втрата 10-20% компонентів не впливає на виконання поставленого завдання. Результати експериментів були опрацьовані з використанням ROC-аналізу та алгоритму побудови ROC-кривої. Результати експериментів дали змогу визначити ступінь деградації так побудованих систем.

Název v anglickém jazyce

PRINCIPLE AND METHOD OF DECEPTION SYSTEMS SYNTHESIZING FOR MALWARE AND COMPUTER ATTACKS DETECTION

Popis výsledku anglicky

The number of different types and the actual number of malware and computer attacks is constantly increasing. Therefore, detecting and counteracting malware and computer attacks remains a pressing issue. Users of corporate networks suffer the greatest damage. Many effective tools of various kinds have been developed to detect and counteract these effects. However, the dynamism in the development of new malware and the diversity of computer attacks encourage detection and countermeasure developers to constantly improve their tools and create new ones. The object of research in this paper is deception systems. The task of this study is to develop the elements of the theory and practice of creating such systems. Deception systems occupy a special place among the means of detecting and counteracting malware and computer attacks. These systems confuse attackers, but they also require constant changes and updates, as the peculiarities of their functioning become known over time. Therefore, the problem of creating deception systems whose functioning would remain in-comprehensible to attackers is relevant. To solve this problem, we propose a new principle for the synthesis of such systems. Because the formation of such systems will be based on computer stations of a corporate net-work, the system is positioned as a multi-computer system. The system proposes the use of combined baits and traps to create false attack targets. All components of such a system form a shadow computer network. This study develops a principle for synthesizing multi-computer systems with combined baits and traps and a decision-making controller for detecting and countering IEDs and spacecraft. The principle is based on the presence of a controller for decisions made in the system and the use of specialized functionality for detection and counteraction. According to the developed principle of synthesizing such systems, this paper identifies a subset of systems with deception technologies that must have a controller and specialized functionality. The decision-making controller in the system is separate from the decision-making center. Its task is to choose the options for the next steps of the system, which are formed in the center of the system, depending on the recurrence of events. Moreover, prolonged recurrence of external events requires the system center to form a sequence of next steps. If they are repeated, the attacker has the opportunity to study the functioning of the system. The controller in the system chooses different answers from different possible answers for the same repeated suspicious events. Thus, an attacker, when investigating a corporate network, receives different answers to the same queries. Specialized functionality, in accordance with the principle of synthesis of such systems, is implemented in the system architecture. It affects the change of system architecture in the process of its functioning as a result of internal and external influences. This paper also considers a possible variant of the architecture of such deception systems, in particular, the architecture of a system with partial centralization. To synthesize such systems, a new method for synthesizing partially centralized systems for detecting malware in computer environments has been developed based on analytical expressions that determine the security state of such systems and their components. In addition, the experiments showed that the loss of 10–20% of the components does not affect the performance of the task. The results of the experiments were processed using ROC analysis and the algorithm for constructing the ROC curve. The results of the experiments made it possible to determine the degree of degradation of the systems constructed in this manner. Conclusions. This paper presents a new principle for the synthesis of multi-computer systems with combined decoys and traps and a decision-making controller for detecting and counteracting IEDs and spacecraft, as well as methods for synthesizing partially centralized systems for detecting malware in computer networks.

Druh

J_SC - Článek v periodiku v databázi SCOPUS

CEP obor

—

OECD FORD obor

20202 - Communication engineering and systems

Projekt

—

Návaznosti

N - Vyzkumna aktivita podporovana z neverejnych zdroju

Rok uplatnění

2023

Kód důvěrnosti údajů

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Název periodika

Radioelectronic and Computer Systems

ISSN

1814-4225

e-ISSN

2663-2012

Svazek periodika

—

Číslo periodika v rámci svazku

4

Stát vydavatele periodika

UA - Ukrajina

Počet stran výsledku

40

Strana od-do

112-151

Kód UT WoS článku

—

EID výsledku v databázi Scopus

2-s2.0-85184899573