ПРИМЕНЕНИЕ СЕТИ БАЙЕСА ДЛЯ ВЫЯВЛЕНИЯ ВНУТРЕННИХ УГРОЗ В БИЗНЕС-ПРОЦЕССАХ КРИТИЧЕСКИ ВАЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ, ОСНОВАННЫХ НА ОБЛАЧНЫХ СЕРВИСАХ
DOI:
https://doi.org/10.52167/1609-1817-2024-134-5-456-464Ключевые слова:
критически важные компьютерные системы, облачные сервисы, внутренний нарушитель, сеть Байеса, программная реализацияАннотация
Было доказано, что внутренние атаки представляют собой постоянно растущую опасность для компаний и организаций, включая те, которые используют критически важные компьютерные системы (КВКС). Это связано с тем, что сотрудники-мошенники и/или инсайдеры, имеющие законный доступ к КВКС, включая облачные сервисы (ОбС), используемые в их бизнес-процессах, и обладающие информацией о политике кибербезопасности, могут избежать обнаружения. Несмотря на широкий арсенал технических средств для выявления внутренних нарушителей кибербезопасности, таких как IDS/IPS, DLP, SIEM, ACS и другие, компании и организации по-прежнему недостаточно готовы к обнаружению, сдерживанию и смягчению сложных внутренних, включая инсайдерские, атак, поскольку их методы кибербезопасности (КБ) в основном адаптированы к внешним угрозам. Была предложена модель сети Байеса (БС), которая может быть полезна службе безопасности КВКС для выявления внутренних нарушителей. Она отличается от аналогичных решений тем, что учитывает угрозу мошенничества со стороны лиц на руководящих должностях в компаниях, использующих ОбС, а также включает в себя цифровые следы, оставляемые сотрудником при работе с КВКС. Была разработана программная реализация предложенной модели БС, которая, испытанная на синтетическом наборе данных, продемонстрировала свою работоспособность, что позволяет считать ее пригодной для внедрения в структуру КБ компаний и/или организаций.
Библиографические ссылки
[1] I. Agrafiotis, A. Erola, M. Goldsmith, and S. Creese. A tripwire grammar for insider threat detection. In Proc. of the 8th ACM CCS International Workshop on Managing Insider Security Threats (MIST’16), Vienna Austria, pp. 105–108. ACM, October 2016.
[2] I. Agrafiotis, J. R. Nurse, O. Buckley, P. Legg, S. Creese, and M. Goldsmith. Identifying attack patterns for insider threat detection. Computer Fraud & Security, 2015(7), pp. 9–17.
[3] W. Eberle, J. Graves, and L. Holder. Insider threat detection using a graph-based approach. Journal of Applied Security Research, 6(1) pp. 32–81, December 2010.
[4] D. M. Cappelli, A. P. Moore, and R. F. Trzeciak. The CERT guide to insider threats: how to prevent, detect, and respond to information technology crimes (Theft, Sabotage, Fraud). Addison-Wesley, January 2012.
[5] O. Brdiczka, J. Liu, B. Price, J. Shen, A. Patil, R. Chow, E. Bart, and N. Ducheneaut. Proactive insider threat detection through graph learning and psychological context. In Proc. of the 2012 IEEE Symposium on Security and Privacy Workshops (SPW’12), San Francisco, California, USA, pages 142–149. IEEE, May 2012.
[6] M. Bishop and C. Gates. Defining the insider threat. In Proc. of the 4th annual workshop on Cyber security and information intelligence research: developing strategies to meet the cyber security and information intelligence challenges ahead (CSIIRW’08), Oak Ridge, Tennessee, USA, page 15. ACM, May 2008.
[7] T. Lewellen, A. P. Moore, D. M. Cappelli, R. F. Trzeciak, D. Spooner, and R. M. Weiland. Spotlight on: Insider threat from trusted business partners. version 2: Updated and revised. Technical report, CERT Coordination Center, Software Engineering Institute, Carnegie Mellon University (PA, USA), October 2012.
[8] R. M. Weiland, A. P. Moore, D. M. Cappelli, R. F. Trzeciak, and D. Spooner. Spotlight on: Insider threat from trusted business partners. CERT Program, February 2010.
[9] A. Patcha and J.-M. Park. An overview of anomaly detection techniques: Existing solutions and latest technological trends. Computer networks, 51(12):3448–3470, August 2007.
[10] M. R. Randazzo, M. Keeney, E. Kowalski, D. M. Cappelli, and A. P. Moore. Insider threat study: Illicit cyber activity in the banking and finance sector. Technical report, CERT Coordination Center, Software Engineering Institute, Carnegie Mellon University, June 2005.
[11] T. Rashid, I. Agrafiotis, and J. R. Nurse. A new take on detecting insider threats: exploring the use of hidden markov models. In Proc. of the 2016 International Workshop on Managing Insider Security Threats (MIST’16), Vienna Austria, pages 47–56. ACM, October 2016.
[12] Lindberg, D. V., & Omre, H. (2015). Inference of the transition matrix in convolved hidden Markov models and the generalized Baum–Welch algorithm. IEEE Transactions on Geoscience and Remote Sensing, 53(12), 6443-6456.
Загрузки
Опубликован
Как цитировать
Выпуск
Раздел
Лицензия
Copyright (c) 2024 Андрей Глазунов, Нурбол Акатаев, Молдир Ыдырышбаева, Бахытжан Ахметов, Евгения Айтхожаева
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial-NoDerivatives» («Атрибуция — Некоммерческое использование — Без производных произведений») 4.0 Всемирная.