ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/5992| Title: | Роль систем виявлення вторгнення у забезпеченні безпеки критичних інфраструктур |
| Authors: | Байрак, Анатолій Володимирович Дука, Олексій Вікторович |
| Keywords: | ids;idsp;snort;hids |
| Issue Date: | 2024 |
| Abstract: | "Метою роботи є вивчення ролі та ефективності систем виявлення вторгнення (IDS) у забезпеченні кібербезпеки критичних інфраструктур, а також у розробці рекомендацій щодо їх вдосконалення з метою підвищення стійкості до сучасних кіберзагроз. Дослідити сутність, класифікацію та можливості систем виявлення вторгнення (IDS). Вивчити вразливості критичних інфраструктур та роль IDS у їх захисті. Проаналізувати технології та алгоритми IDS, оцінити їх ефективність. Розробити рекомендації щодо вдосконалення захисту критичних інфраструктур із використанням IDS. " |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/5992 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Дука_Байрак.pdf Restricted Access | 1.88 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ,
АВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2024 року
Пояснювальна записка
до дипломного роботи
магістра
(освітньо-кваліфікаційний рівень)
на тему Роль систем виявлення вторгнення у забезпеченні безпеки критичних
інфраструктур
Виконав: студент 2 курсу, групи мБІ-31
Спеціальності 125 – ««Кібербезпека та захист
інформації»» ,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних і ко-
мунікаційних систем»
(назва освітньої програми)
Дука О.В.
(прізвище та ініціали)
Керівник Байрак А.В.
(прізвище та ініціали)
Рецензент Чепинога А.В.
(прізвище та ініціали)
Черкаси – 2024 року
ЗМІСТ
ВСТУП ..................................................................................................................... 2
РОЗДІЛ 1. ТЕОРЕТИЧНІ ЗАСАДИ СИСТЕМ ВИЯВЛЕННЯ ВТОРГНЕННЯ
ТА ЗАХИСТУ КРИТИЧНИХ ІНФРАСТРУКТУР .............................................. 5
1.1. Сутність та класифікація систем виявлення вторгнення (IDS) ................... 5
1.2. Особливості критичних інфраструктур та їх вразливості до кіберзагроз 17
1.3. Основні технології та алгоритми в системах IDS ....................................... 25
1.4. Огляд сучасних IDS-систем та їх можливості для захисту критичних
інфраструктур ........................................................................................................ 30
РОЗДІЛ 2. ДОСЛІДЖЕННЯ ЕФЕКТИВНОСТІ ЗАСТОСУВАННЯ СИСТЕМ
ВИЯВЛЕННЯ ВТОРГНЕННЯ ДЛЯ ЗАХИСТУ КРИТИЧНИХ
ІНФРАСТРУКТУР ................................................................................................ 35
2.1. Роль та значення IDS у виявленні кіберзагроз для критичних об’єктів ... 35
2.2. Порівняльний аналіз продуктивності та ефективності IDS у різних
секторах критичної інфраструктури ................................................................... 39
2.3. Переваги та обмеження IDS у забезпеченні кібербезпеки критичних
інфраструктур ........................................................................................................ 43
2.4. Рекомендації щодо вдосконалення захисту критичних інфраструктур із
використанням систем IDS ................................................................................... 49
РОЗДІЛ 3 ОГЛЯД ДАНИХ ТА ПРОГРАМНОЇ РЕАЛІЗАЦІЇ ПРОДУКТУ ... 62
3.1 Аналіз даних, виявлення аномалій та архітектура системи ....................... 62
3.2 Оцінка виявлення вторгнень .......................................................................... 71
3.3 Розробка програмного продукту з використанням штучного інтелекту .. 82
ВИСНОВКИ ......................................................................................................... 104
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ .................................................... 107
ЧДТУ.24.23310.001 ПЗ
Змн. Арк. № докум. Підпис Дата
Розроб. Дука Роль систем виявлення Літ. Арк. Акрушів
Перевір. Байрак. вторгнення у забезпеченні 3
Реценз. Чепинога безпеки критичних
Н. Контр. Байрак інфраструктур ЧДТУ
Затверд. Палагін
ВСТУП
Системи виявлення вторгнення (IDS) є ключовим інструментом
забезпечення кібербезпеки критичних інфраструктур у сучасному цифровому
середовищі. З огляду на зростання кількості та складності кібератак, захист
критичних об’єктів, що мають життєво важливе значення для економіки,
національної безпеки, охорони здоров’я, енергетики та інших секторів, стає
одним з пріоритетів інформаційної безпеки держави. Злом або порушення
роботи таких інфраструктур може призвести до катастрофічних наслідків,
зокрема до економічних збитків, порушення громадського порядку або навіть
загрози життю людей. Тому запобігання кіберзагрозам і забезпечення
стійкості критичних систем є нагальною необхідністю.
Актуальність дослідження зумовлена постійним зростанням
кіберзагроз, спрямованих на критичні інфраструктури, що є важливими для
національної безпеки та стабільного функціонування суспільства. З розвитком
цифрових технологій та впровадженням інтернету речей значно підвищується
ризик уразливості інфраструктурних об'єктів, таких як енергетичні системи,
транспорт, фінансові установи, медичні заклади та інші ключові сектори. У
разі зломів або збоїв у роботі таких систем можливі серйозні наслідки,
включаючи втрату економічної стабільності, порушення суспільного порядку
та навіть загрозу життю і здоров'ю громадян.
Системи виявлення вторгнення (IDS) виступають одним із важливих
елементів захисту, оскільки дозволяють своєчасно виявляти підозрілу
активність у мережі, що може свідчити про спроби несанкціонованого доступу
чи зловмисного втручання. З огляду на те, що кіберзагрози постійно
змінюються та вдосконалюються, ефективність і точність роботи IDS стають
вирішальними факторами у забезпеченні кібербезпеки. Таким чином,
дослідження механізмів та алгоритмів роботи IDS, їх здатності адаптуватися
до нових загроз та викликів є надзвичайно актуальним у контексті збереження
безпеки критичної інфраструктури на сучасному етапі розвитку технологій.
ЧДТУ.24.23310.001 ПЗ
№ П
Мета дослідження полягає у вивченні ролі та ефективності систем
виявлення вторгнення (IDS) у забезпеченні кібербезпеки критичних
інфраструктур, а також у розробці рекомендацій щодо їх вдосконалення з
метою підвищення стійкості до сучасних кіберзагроз.
Для досягнення поставленої мети визначено такі завдання дослідження:
1. Дослідити сутність та класифікацію систем виявлення вторгнення, їх
функціональні можливості та обмеження.
2. Вивчити особливості критичних інфраструктур, їх вразливості до
кіберзагроз та роль IDS у їх захисті.
3. Проаналізувати основні технології та алгоритми, що використовуються
в IDS, і оцінити їхню здатність до виявлення сучасних загроз.
4. Провести огляд сучасних IDS-систем, порівняти їх можливості та
ефективність у контексті захисту критичних інфраструктур.
5. Виконати порівняльний аналіз продуктивності IDS у різних секторах
критичної інфраструктури, враховуючи їх специфічні вимоги до безпеки.
6. Оцінити переваги та обмеження IDS-систем у забезпеченні
кібербезпеки, визначити напрямки вдосконалення їхніх функціональних
можливостей.
7. Розробити практичні рекомендації щодо вдосконалення захисту
критичних інфраструктур із використанням систем IDS, враховуючи сучасні
кіберзагрози та технологічні можливості.
Предметом дослідження є системи виявлення вторгнення (IDS) як
комплексний інструмент кібербезпеки, призначений для захисту критичних
інфраструктур від зовнішніх і внутрішніх кіберзагроз. Це включає вивчення
принципів функціонування IDS, технологій та алгоритмів аналізу мережевого
трафіку, методів ідентифікації аномалій, а також можливостей інтеграції цих
систем у загальну стратегію кіберзахисту критичних об’єктів із метою
запобігання загрозам.
Об'єктом дослідження є критичні інфраструктури як сукупність систем,
ресурсів та об’єктів, що забезпечують стабільне функціонування ключових
ЧДТУ.24.23310.001 ПЗ
№ П
секторів суспільства, таких як енергетика, транспорт, зв’язок, фінансові
послуги, охорона здоров’я та державне управління, які потребують надійного
захисту від кіберзагроз для забезпечення національної безпеки, економічної
стабільності та громадської безпеки.
Методи дослідження включають теоретичний аналіз наукової
літератури та нормативних документів для визначення основних
характеристик і класифікації систем виявлення вторгнень (IDS), порівняльний
аналіз існуючих технологій і алгоритмів IDS для оцінки їх ефективності, а
також емпіричні методи, зокрема аналіз випадків та статистичних даних про
кіберінциденти, для дослідження ролі IDS у забезпеченні захисту критичних
інфраструктур.
ЧДТУ.24.23310.001 ПЗ
№ П
РОЗДІЛ 1. ТЕОРЕТИЧНІ ЗАСАДИ СИСТЕМ ВИЯВЛЕННЯ
ВТОРГНЕННЯ ТА ЗАХИСТУ КРИТИЧНИХ ІНФРАСТРУКТУР
1.1. Сутність та класифікація систем виявлення вторгнення (IDS)
Системи виявлення вторгнення (IDS) є важливою складовою
кібербезпеки, особливо в контексті критичних інфраструктур, де кожна
загроза може спричинити значні економічні та соціальні наслідки. Основна
функція IDS полягає у виявленні шкідливих активностей та потенційних
загроз у мережі чи системах. Це дозволяє організаціям оперативно реагувати
на інциденти, зменшувати ймовірність витоків інформації та захищати
важливі дані.
IDS є основною лінією оборони у виявленні аномальних дій, і вони
здатні забезпечити додатковий рівень захисту поряд із фаєрволами та іншими
засобами безпеки. Зокрема, IDS забезпечують моніторинг подій у реальному
часі, можуть повідомляти про підозрілу діяльність та допомагати аналізувати
патерни атак.
Історія систем виявлення вторгнення (IDS) почалася в 1970-1980-х
роках, коли розвиток комп’ютерних мереж та збільшення кількості
підключених пристроїв створили нові ризики. Поява перших загроз для
безпеки мереж, які могли вплинути на конфіденційність і цілісність даних,
викликала потребу у розробці рішень для виявлення аномалій і захисту від
вторгнень. Однією з перших технологій IDS стала система "Intrusion Detection
Expert System" (IDES), розроблена у 1984 році Джеймсом Андерсоном для
Міністерства оборони США. Основною метою IDES було створення
аналітичної системи, здатної відстежувати підозрілі дії користувачів та
автоматично сигналізувати про можливе вторгнення. Це рішення стало
проривом, адже IDES першим запропонував підхід до виявлення аномальної
поведінки, зокрема незвичайної активності користувачів, яка могла свідчити
про злом або несанкціонований доступ.
ЧДТУ.24.23310.001 ПЗ
№ П
Згодом, у 1990-х роках, IDS набули значного розвитку завдяки
швидкому поширенню інтернету та зростанню кіберзагроз, які ставали дедалі
складнішими. Це десятиліття стало етапом активного впровадження IDS у
корпоративне середовище, і тоді ж з’явилися перші комерційні системи, такі
як NetRanger та RealSecure, які мали вдосконалені механізми для виявлення
мережевих атак. Ці системи були побудовані на сигнатурному методі, що
передбачав порівняння даних трафіку з базою вже відомих шаблонів атак.
Такий підхід дозволив швидко ідентифікувати відомі загрози, що значно
підвищувало рівень безпеки. Сигнатурний метод виявлення став стандартом,
оскільки був простим і досить ефективним для ідентифікації поширених атак.
Однак цей метод мав обмеження, оскільки не дозволяв виявляти нові, ще
невідомі загрози.
На початку 2000-х років система IDS зазнала нової хвилі інновацій
завдяки інтеграції евристичних алгоритмів, методів на основі аномалій та
машинного навчання. Це зробило IDS більш гнучкими і здатними до
самонавчання, що дозволило значно зменшити кількість помилкових
спрацювань. Системи стали спроможними адаптуватися до нових загроз, і
з’явилися гібридні системи виявлення (IDPS – Intrusion Detection and
Prevention Systems), що не тільки виявляли, але й могли запобігати атакам.
Гібридні рішення поєднали в собі сильні сторони сигнатурного підходу та
поведінкового аналізу, завдяки чому вони ефективно працювали навіть з
новими, раніше невідомими загрозами. Такі системи використовували
комплексний підхід, який дозволяв охопити ширший спектр загроз і
забезпечити кращу захищеність мереж.[12]
Сьогодні розвиток IDS продовжується завдяки швидкому прогресу у
сферах штучного інтелекту та машинного навчання, які дозволяють системам
виявлення загроз передбачати й адаптуватися до нових видів атак. Сучасні IDS
часто інтегрують у більш масштабні системи управління безпекою, що
дозволяє забезпечувати високий рівень автоматизації та адаптивності навіть у
складних мережах критичної інфраструктури. Наприклад, рішення, такі як
ЧДТУ.24.23310.001 ПЗ
№ П
Snort, Suricata та Zeek, стали надзвичайно популярними завдяки їхнім
можливостям масштабування, адаптивності та здатності до інтеграції з
іншими системами кіберзахисту. Ці системи продовжують удосконалюватися,
адаптуючись до нових потреб, що дозволяє їм залишатися на передовій у
боротьбі з кіберзагрозами.
Сутність систем виявлення вторгнення (IDS) полягає в їхній здатності
виявляти та аналізувати потенційні загрози в мережевих і комп’ютерних
системах, захищаючи їх від несанкціонованого доступу та шкідливих дій. IDS
функціонують як своєрідні «вартові» кіберпростору, які не лише відстежують
активність у режимі реального часу, але й аналізують потоки даних, що
проходять через систему, з метою виявлення будь-яких відхилень або
підозрілих дій. Завдяки своїм компонентам IDS може ідентифікувати як відомі
загрози, використовуючи базу даних сигнатур, так і невідомі, з використанням
поведінкових моделей та аномалійного аналізу. Ця багаторівнева методика
дозволяє системі бути ефективною навіть у ситуаціях, коли загроза є новою та
не має чітко визначеного шаблону.
Одним із ключових компонентів IDS є аналізатор трафіку. Він
забезпечує постійний моніторинг мережі в реальному часі та збирає
інформацію про кожен пакет даних, що проходить через систему. Завдяки
цьому аналізатор може швидко виявити потенційно небезпечну активність,
відрізняючи її від звичайного трафіку. Наприклад, якщо IDS зафіксує
підозрілу активність з незвичного IP-адресу або неочікуваний обсяг переданих
даних, аналізатор трафіку негайно передасть ці відомості для подальшого
аналізу, що забезпечує негайне реагування на загрозу.
Іншим важливим елементом системи є база даних сигнатур, яка містить
шаблони, що використовуються для ідентифікації відомих атак. Ця база
містить сигнатури різноманітних видів атак, таких як DDoS, SQL-ін’єкції чи
шкідливе програмне забезпечення. Коли трафік проходить через IDS, система
перевіряє його на відповідність цим сигнатурам. Якщо виявляється збіг, IDS
може ідентифікувати загрозу як відомий вид атаки та відправити відповідне
ЧДТУ.24.23310.001 ПЗ
№ П
сповіщення адміністраторам. База даних сигнатур є необхідною для швидкого
реагування на відомі загрози, проте її можливості обмежені, оскільки вона не
дозволяє виявляти нові види загроз, для яких ще не створено шаблони.
Для подолання цього обмеження IDS включають модуль аналізу
поведінки, який спеціалізується на виявленні аномалій у трафіку. Цей модуль
працює на основі статистичного аналізу та моделей поведінки мережі, що дає
змогу виявляти будь-які нетипові відхилення від звичного функціонування.
Наприклад, якщо в мережі спостерігається незвично висока активність з
певного пристрою, IDS може позначити це як аномалію, оскільки така
активність відрізняється від попередньо встановлених норм. Аналіз поведінки
особливо корисний для виявлення нових, ще невідомих типів атак, адже він не
обмежується шаблонами, а використовує власну модель нормальної поведінки
для виявлення відхилень.
Нарешті, інтерфейс користувача є важливою складовою частиною IDS,
яка дозволяє адміністраторам взаємодіяти з системою, отримувати детальну
інформацію про виявлені загрози, налаштовувати параметри системи та
переглядати історію подій. За допомогою зручного інтерфейсу адміністратори
можуть контролювати всі аспекти роботи IDS, від налаштувань до конкретних
сповіщень. Інтерфейс користувача також надає можливість аналізувати зібрані
дані та приймати рішення щодо подальших заходів. Це підвищує ефективність
управління безпекою, адже адміністратори можуть оперативно реагувати на
сповіщення про загрози та адаптувати роботу IDS залежно від поточних
потреб мережі.[22]
Завдяки цим компонентам IDS функціонують як потужний інструмент
для забезпечення кібербезпеки, надаючи організаціям змогу виявляти,
ідентифікувати та реагувати на загрози в режимі реального часу, що робить їх
надзвичайно важливими для захисту критичних мережевих систем.
Основні методи виявлення в системах IDS включають кілька підходів,
кожен із яких має свої особливості та призначення. Метод на основі сигнатур
є одним із найбільш поширених та перевірених підходів у виявленні загроз.
ЧДТУ.24.23310.001 ПЗ
№ П
Цей метод працює шляхом порівняння мережевого трафіку з базою даних вже
відомих шаблонів атак, або сигнатур. Сигнатури містять специфічні патерни
та характеристики атак, що дозволяє IDS швидко розпізнавати ті, які вже
відомі й внесені до бази. Система, зіставляючи поточний трафік із
сигнатурами, може миттєво визначити, чи становить певний потік даних
загрозу, якщо він відповідає шаблону з бази. Це забезпечує високу швидкість
та точність у випадках відомих загроз, адже така методика дозволяє швидко
реагувати на загрозу і відправляти попередження. Однак цей метод має значні
обмеження: він не здатен розпізнавати нові загрози, оскільки для кожної нової
атаки має бути створена відповідна сигнатура. Це означає, що атаки, які ще не
включені до бази, можуть пройти непоміченими, і саме тому метод на основі
сигнатур не є універсальним рішенням для виявлення кіберзагроз, що постійно
еволюціонують.
Інший підхід – це метод на основі аномалій, який значно відрізняється
від сигнатурного. Аномалійний підхід побудований на створенні моделі
нормальної поведінки системи або мережі, після чого система порівнює
реальний трафік із цією моделлю. Коли відбувається якась діяльність, що
виходить за межі нормального діапазону або значно відрізняється від звичного
трафіку, IDS позначає це як потенційно небезпечну активність або аномалію.
Аномалійний метод особливо ефективний для виявлення нових та раніше
невідомих атак, адже йому не потрібно знати точні сигнатури загроз. Це
дозволяє системі виявляти атаки, які ще не мають шаблонів або які були
модифіковані для обходу сигнатурних IDS. Однак цей підхід також має свої
недоліки, адже визначення того, що є нормальним, може бути суб’єктивним,
особливо в умовах складних мереж, де трафік постійно змінюється. В
результаті аномалійний метод може мати високий рівень помилкових
спрацювань, оскільки деякі відхилення від норми не є загрозами, але все ж
можуть бути помилково ідентифіковані як небезпечна активність.[6]
Гібридний метод поєднує в собі сильні сторони як сигнатурного, так і
аномалійного підходів, що робить його одним із найбільш ефективних і
ЧДТУ.24.23310.001 ПЗ
№ П
гнучких методів виявлення загроз. В основі гібридного підходу лежить
комбінування порівняння з відомими сигнатурами та аналізу аномалій, що
дозволяє підвищити ефективність виявлення. У такій системі сигнатурний
аналіз використовується для швидкої ідентифікації відомих атак, що гарантує
низький рівень помилкових спрацювань у разі вже ідентифікованих загроз. У
той же час, поведінковий аналіз або аналіз на основі аномалій забезпечує
можливість виявлення нових загроз, з якими система ще не знайома.
Гібридний метод дозволяє ефективно обмежувати недоліки кожного з підходів
окремо: сигнатурного, який не може виявляти нові атаки, та аномалійного,
який має високий рівень помилкових спрацювань. Таким чином, гібридний
метод стає важливим інструментом для комплексного захисту мережі, адже
він забезпечує як швидку реакцію на відомі загрози, так і адаптивність до
нових атак.
Класифікація систем виявлення вторгнення (IDS) залежить від їхнього
методу розгортання та типу аналізу, який вони здійснюють для виявлення
загроз. Один із головних типів IDS – це мережева система виявлення
вторгнення (NIDS), яка встановлюється на критичних точках перехоплення
мережевого трафіку, таких як периметри мережі або проміжні вузли. Цей
підхід дозволяє NIDS здійснювати моніторинг трафіку у реальному часі, що
надзвичайно ефективно для виявлення зовнішніх загроз. NIDS працює як
своєрідний фільтр на кордоні мережі, пропускаючи лише ті пакети, які не
мають ознак загроз. Це робить її особливо корисною для захисту від атак
ззовні, таких як DDoS, спроби зловмисного сканування або вторгнення з
інтернету. Проте цей метод не завжди вдається застосувати для виявлення
внутрішніх загроз, оскільки система фокусується саме на перехопленні та
аналізі трафіку, що перетинає периметр мережі. Відповідно, мережева IDS
може не помітити активності, яка відбувається всередині мережі між вузлами,
що може залишити певні внутрішні загрози непоміченими.
На відміну від NIDS, хостова система виявлення вторгнення (HIDS)
розгортається безпосередньо на вузлах, таких як сервери або робочі станції
ЧДТУ.24.23310.001 ПЗ
№ П
користувачів. Вона дозволяє моніторити дії на рівні окремого пристрою та має
доступ до внутрішніх системних файлів, реєстрів, журналів та інших
компонентів, які не видно на рівні мережевого трафіку. HIDS здатна виявляти
спроби несанкціонованого доступу до пристрою або змін у системних файлах,
що робить її корисною для виявлення внутрішніх загроз, таких як зловмисна
активність з боку користувачів мережі чи підозрілі процеси, які можуть
сигналізувати про компрометацію системи. Однак цей метод також має свої
обмеження: хостові IDS створюють додаткове навантаження на ресурси вузла,
оскільки постійно працюють у фоновому режимі, моніторячи систему. Крім
того, кожен пристрій повинен мати окремо встановлену HIDS, що може
ускладнити управління захистом у великих мережах.
Гібридна система IDS є комплексним рішенням, яке поєднує елементи
мережевої та хостової систем для забезпечення всеосяжного моніторингу як
зовнішніх, так і внутрішніх загроз. Гібридна IDS дозволяє розширити межі
видимості на всю мережу, водночас отримуючи детальні дані про події на
кожному пристрої, що робить її найефективнішим варіантом для
комплексного захисту мереж. Така система аналізує трафік на периметрі, що
дозволяє їй відстежувати зовнішні загрози, і водночас може контролювати
події на рівні окремих пристроїв, що надає можливість виявлення внутрішніх
загроз і контролю за користувачами. Завдяки цьому гібридна IDS забезпечує
повноцінний захист, комбінуючи сильні сторони обох підходів, що робить її
важливою складовою захисту у складних, багаторівневих мережах.
Залежно від типу аналізу системи виявлення вторгнення (IDS) можуть
бути сигнатурними, аномалійними або евристичними, що визначає, як саме
вони ідентифікують загрози та реагують на підозрілі активності. Сигнатурні
IDS є одним із найбільш поширених і простих у використанні видів систем
виявлення загроз. Їхній принцип роботи базується на зіставленні вхідного
трафіку з наявними патернами, або сигнатурами, атак, які зберігаються в базі
даних системи. Це означає, що коли мережева активність відповідає
характеристикам вже відомої атаки, система миттєво ідентифікує її та
ЧДТУ.24.23310.001 ПЗ
№ П
відправляє попередження про загрозу. Сигнатурний підхід дозволяє швидко та
точно виявляти ті атаки, які були раніше ідентифіковані й внесені до бази,
завдяки чому сигнатурні IDS можуть оперативно реагувати на відомі загрози.
Однак цей метод має істотні обмеження, оскільки він не здатен виявити нові
види атак, для яких ще не створено відповідних сигнатур. Тому сигнатурні IDS
можуть пропустити раніше невідомі загрози, що робить їх менш ефективними
в умовах швидко мінливого кіберсередовища.
Аномалійні IDS, на відміну від сигнатурних, використовують методи
статистичного аналізу, щоб виявляти будь-які відхилення від стандартної
поведінки мережі. Це означає, що аномалійні IDS здатні розпізнавати не лише
відомі загрози, а й нові, незнайомі атаки. Робота аномалійних IDS побудована
на моделюванні нормального трафіку, створеного для конкретної мережі або
системи, і, коли виникає активність, що значно відхиляється від цієї моделі,
система інтерпретує це як можливу загрозу. Такий підхід дозволяє ефективно
виявляти атаки, які не мають чітко визначених сигнатур і можуть бути новими
для мережі. Проте метод виявлення на основі аномалій має свої особливості:
визначення "нормальної" поведінки є складним завданням, і з часом параметри
нормальної поведінки можуть змінюватися. Як наслідок, такі системи часто
схильні до помилкових спрацювань, коли звичайна, але рідкісна активність
може бути позначена як загроза. Це підвищує навантаження на
адміністраторів, які повинні розрізняти справжні атаки від хибних сигналів,
що знижує ефективність використання аномалійних IDS у певних
середовищах.[19]
Евристичні IDS поєднують елементи обох підходів, застосовуючи
комплексні правила та алгоритми для виявлення підозрілих активностей,
навіть якщо шаблон не відповідає відомим атакам. Використання евристичних
алгоритмів дозволяє системі більш гнучко реагувати на потенційні загрози,
забезпечуючи додатковий рівень виявлення, особливо у випадку складних або
багатоступеневих атак, які можуть не бути виявлені жодним із попередніх
методів. Евристичний аналіз дозволяє IDS розпізнавати загрози на основі
ЧДТУ.24.23310.001 ПЗ
№ П
ознак, які не завжди збігаються з чіткими сигнатурами або аномаліями, але все
ж можуть свідчити про можливу небезпеку. Це робить евристичні IDS цінними
в умовах складних мережевих середовищ, де загрози можуть бути замасковані
або проходити декілька стадій для досягнення мети. Водночас евристичні IDS,
хоча і забезпечують більш адаптивний підхід, також можуть генерувати
певний рівень помилкових спрацювань, особливо якщо налаштування правил
і алгоритмів є надто чутливими.
Рисунок 1.1 – Архітектура менеджера IDS
На цій схемі зображено архітектуру системи виявлення вторгнення
(IDS) з ключовими компонентами, їхніми зв’язками та потоками даних. В
центрі схеми розташований монітор повідомлень, який виконує функцію
отримання та обробки сигналів тривоги. Монітор повідомлень є вузловим
елементом, який взаємодіє з іншими компонентами, приймаючи та передаючи
інформацію про виявлені аномалії та загрози.
ЧДТУ.24.23310.001 ПЗ
№ П
Детектор відповідає за первинну обробку даних і виявлення потенційних
загроз на основі отриманої інформації. З нього надходять повідомлення до
монітора, що дозволяє швидко реагувати на можливі атаки. Поруч із
детектором розташовані сенсори, які збирають дані з мережі та передають їх
на аналіз. Сенсори відслідковують мережевий трафік, виявляючи підозрілі дії
та надсилаючи інформацію детектору, який в свою чергу повідомляє про
загрози іншим компонентам системи.
Машина контрмір реалізує функцію реагування на виявлені загрози.
Вона взаємодіє з монітором повідомлень, отримуючи сигнали тривоги, і на їх
основі автоматично виконує необхідні дії для запобігання або зменшення
наслідків загрози. Це може включати віддалене керування або автоматичну
реакцію на тривогу.
Консоль виконує роль інтерфейсу для адміністратора, дозволяючи
контролювати та управляти всіма процесами системи. Адміністратор через
консоль може отримувати інформацію про загрози, а також контролювати та
налаштовувати сенсори і детектор. Консоль також служить місцем для
адміністрування всіх дій і забезпечує розповсюдження адміністративних дій у
системі.
Менеджер конфігурації взаємодіє з базами даних IDS CFG та аудиту,
забезпечуючи управління налаштуваннями системи. Він записує зміни
конфігурації та надсилає ці дані до сенсорів і детектора, забезпечуючи
налаштування системи відповідно до встановлених вимог. Менеджер
конфігурації також зберігає та передає інформацію про сигналізацію тривог до
бази аудиту, що дозволяє зберігати історію дій та подій для подальшого
аналізу.
На схемі чітко виділені різні потоки: потоки управління, які керують
взаємодією між компонентами; потоки подій, які передають інформацію про
загрози; та потоки протокоуправління і передача конфігурацій між
менеджером конфігурації, сенсорами та детектором. Це забезпечує узгоджену
роботу системи, де кожен компонент виконує свою роль у загальній
ЧДТУ.24.23310.001 ПЗ
№ П
архітектурі, дозволяючи системі ефективно виявляти та реагувати на загрози
в реальному часі.
Рисунок 1.2 – Глобальна архітектура систем виявлення вторгнень
На цій схемі зображена багаторівнева система аналізу безпеки, що
охоплює різні аспекти активності в мережі та на рівні окремих користувачів.
У верхній частині схеми розташована система аналізу більш високий рівнів,
яка виконує узагальнюючий та глобальний аналіз, забезпечуючи інтеграцію
даних з нижчих рівнів і сегментів для отримання цілісної картини стану
безпеки. Ця система виявляє потенційні загрози на основі даних, отриманих з
детальних аналізів на нижчих рівнях, що дозволяє більш точно визначати
аномалії та реагувати на них.
На середньому рівні знаходиться комплексний аналіз у рамках окремих
сегментів. У даній схемі показано два сегменти: сегмент 1 та сегмент 2. Кожен
із них отримує дані з різних аспектів активності та виконує локальний аналіз
в рамках свого сегмента, що дозволяє сегментувати дані та зосереджувати
увагу на специфічних областях безпеки. Це підходить для великих мереж або
систем із різними зонами безпеки, де кожен сегмент відповідає за свою
частину інформації та забезпечує детальний аналіз подій у межах свого
контексту. Кожен сегмент передає свої висновки до системи аналізу високого
рівня, що дозволяє узагальнювати результати та розглядати загальну картину
безпеки.
ЧДТУ.24.23310.001 ПЗ
№ П
На нижньому рівні схеми представлені окремі блоки аналізу різних
типів активності. Вони включають аналіз мережевої активності, аналіз
системної активності, аналіз активності програм, аналіз активності сервісів
безпеки, аналіз інших аспектів активності та аналіз активності користувача.
Кожен із цих блоків виконує вузькоспеціалізований аналіз відповідної
діяльності, що дозволяє виявляти аномалії або потенційні загрози у різних
компонентах системи. Наприклад, аналіз мережевої активності
зосереджується на трафіку та зв'язках, що може виявити підозрілі з'єднання
або вторгнення в мережу. Аналіз системної активності відслідковує роботу
операційної системи, а також важливі процеси, що можуть сигналізувати про
внутрішні загрози. Аналіз програмної активності фокусується на додатках,
виявляючи нестандартну поведінку програмного забезпечення, яка може бути
ознакою шкідливого ПЗ. Аналіз активності сервісів безпеки контролює роботу
захисних інструментів, забезпечуючи їхню відповідність політикам безпеки.
Аналіз інших аспектів активності та активності користувача дозволяють
контролювати широкий спектр дій і взаємодій користувачів із системою, що
дає змогу виявляти зловживання привілеями або внутрішні загрози.[33]
Ця архітектура забезпечує ієрархічний підхід до моніторингу та аналізу
загроз, де кожен рівень системи виконує певну функцію. Спеціалізовані блоки
аналізу на нижньому рівні надають детальну інформацію про різні типи
активності, передаючи її для комплексного аналізу в межах кожного сегмента,
а система високого рівня об'єднує ці дані для глобальної оцінки стану безпеки.
Системи виявлення вторгнення (IDS) стали критично важливими у
захисті сучасних мереж від кіберзагроз, забезпечуючи як сигнатурний, так і
поведінковий аналіз. Вони мають багату історію розвитку, починаючи з
простих сигнатурних систем і до сьогоднішніх комплексних рішень на основі
штучного інтелекту. Завдяки цьому IDS здатні не лише виявляти, а й
запобігати різноманітним загрозам, що дозволяє підвищити загальний рівень
кібербезпеки.
ЧДТУ.24.23310.001 ПЗ
№ П
1.2. Особливості критичних інфраструктур та їх вразливості до
кіберзагроз
Критична інфраструктура — це комплекс систем, об’єктів і мереж, які є
життєво важливими для функціонування суспільства та економіки. Від роботи
критичних інфраструктур залежить стабільне постачання електроенергії, води,
транспорту, зв’язку, медичних послуг, фінансів та інших важливих сфер. Збої
в цих системах можуть мати серйозні наслідки для населення, економіки, а
також національної безпеки.
Однією з ключових особливостей сучасних критичних інфраструктур є
їхня взаємозалежність. Інфраструктури не існують у вакуумі — вони тісно
пов’язані між собою, і цей взаємозв'язок робить їх ще більш вразливими до
кіберзагроз. Наприклад, енергетичні системи залежать від інформаційних
технологій, адже вони потребують складного програмного забезпечення для
моніторингу та управління енергетичними потоками. Фінансові установи, у
свою чергу, повністю залежать від стабільності телекомунікаційних систем
для обробки фінансових операцій та забезпечення зв’язку з клієнтами. Збій або
атака на одну систему може спричинити ланцюгову реакцію, яка пошириться
на інші галузі. Так, якщо відбувається атака на енергетичну систему, це може
призвести до перебоїв у роботі телекомунікацій, фінансових установ і навіть
транспорту, які залежать від безперервного постачання електроенергії. Ця
взаємозалежність значно збільшує масштаб потенційних наслідків
кіберзагроз, оскільки вразливість однієї галузі може стати точкою входу для
зловмисників, здатних завдати шкоди одразу кільком секторам одночасно.
Автоматизація та цифровізація є іншою важливою особливістю
критичних інфраструктур, яка підвищує як ефективність їх роботи, так і ризик
кіберзагроз. Сучасні критичні інфраструктури все більше покладаються на
інформаційно-комунікаційні технології для управління основними процесами,
що дозволяє швидко обробляти великі обсяги даних, контролювати складні
системи і мінімізувати людський фактор. Автоматизовані системи управління
ЧДТУ.24.23310.001 ПЗ
№ П
— такі як SCADA (Supervisory Control and Data Acquisition) — забезпечують
віддалене керування і моніторинг критичних процесів у режимі реального
часу. Проте, водночас автоматизація підвищує вразливість до кібератак,
оскільки автоматизовані системи можуть стати мішенню для зловмисників, які
можуть отримати доступ до ключових компонентів та порушити роботу
інфраструктури. Наприклад, атаки типу "Stuxnet" демонструють, як кібератака
може зруйнувати інфраструктуру, впливаючи на автоматизовані системи.
Крім того, зростаюча цифровізація створює більше точок входу для
кіберзловмисників, що ускладнює захист всієї інфраструктури.
Критичні інфраструктури також характеризуються високою складністю
та масштабністю. Вони складаються з великої кількості взаємопов'язаних
компонентів, кожен з яких має свої особливості і може бути як джерелом
вразливості, так і ключовим елементом захисту. Масштабність цих систем
ускладнює процес управління безпекою, адже кожен окремий компонент
потребує захисту, постійного моніторингу та своєчасного оновлення.
Наприклад, у великій енергетичній системі можуть бути тисячі різних
датчиків, контролерів, програмного забезпечення та мережевих з'єднань, які
працюють разом для забезпечення стабільного постачання електроенергії.
Таке різноманіття створює складнощі у виявленні та реагуванні на загрози,
адже велика кількість елементів значно ускладнює контроль над всією
системою. Крім того, взаємодія між багатьма компонентами підвищує ризик
виникнення прихованих вразливостей, які можуть залишатися непоміченими
протягом тривалого часу.[4]
Критичні інфраструктури мають низку вразливостей до кіберзагроз, які
можуть суттєво вплинути на їхню роботу та безпеку. Одним із найсерйозніших
видів кіберзагроз є кіберфізичні атаки, коли зловмисники використовують
кіберпростір для того, щоб впливати на фізичні процеси. Такі атаки
дозволяють не просто отримати доступ до інформації, але й змінювати
параметри роботи обладнання, що може призвести до катастрофічних
наслідків. Наприклад, кіберзлочинці можуть змінити налаштування в
ЧДТУ.24.23310.001 ПЗ
№ П
системах управління енергетичною станцією або водопостачальною мережею,
що спричинить перевантаження або аварійне відключення. Вплив на фізичні
компоненти через кіберпростір уможливлює атаки, які можуть вийти за межі
кіберпростору та завдати реальних матеріальних збитків або загрожувати
життю людей.
Недостатній захист інформаційних систем є ще однією серйозною
вразливістю критичних інфраструктур. Багато об'єктів критичної
інфраструктури, такі як електростанції, системи водопостачання чи
транспортні вузли, побудовані на базі старих технологій, що не враховують
сучасні вимоги до кіберзахисту. Це обладнання не завжди відповідає сучасним
стандартам безпеки, адже часто використовує застарілі системи, які важко
оновлювати або адаптувати до нових загроз. В результаті такі об'єкти стають
легкими цілями для зловмисників, які можуть скористатися вразливостями в
застарілих системах для реалізації атак. Застаріле програмне забезпечення, яке
не підтримується новими патчами та оновленнями, не здатне ефективно
протистояти новітнім загрозам, що створює значний ризик для безпеки
критичних інфраструктур.
Людський фактор є ще одним важливим елементом, який підвищує
ризик успішних кібератак. Помилки персоналу, недостатня обізнаність щодо
сучасних практик кібербезпеки та відсутність регулярних тренінгів роблять
критичні інфраструктури більш вразливими до атак. Наприклад,
співробітники можуть випадково відкрити шкідливий файл або перейти за
фішинговим посиланням, що дозволяє зловмисникам отримати доступ до
внутрішніх систем. Недостатня обізнаність щодо основних правил
кібергігієни, таких як використання складних паролів або уникання підозрілих
електронних листів, часто призводить до того, що атаки з соціальної інженерії
виявляються успішними. Безпека критичних інфраструктур значною мірою
залежить від професійної підготовки персоналу, і відсутність систематичних
тренінгів та інструктажів знижує загальний рівень захисту.
ЧДТУ.24.23310.001 ПЗ
№ П
Відсутність координації між різними секторами та державними
органами також значно ускладнює ефективне реагування на кіберзагрози.
Критична інфраструктура складається з численних взаємопов’язаних систем,
які належать до різних секторів, таких як енергетика, транспорт, фінанси та
телекомунікації. Недостатня взаємодія та обмін інформацією між цими
секторами може призвести до того, що кіберзагрози залишаться непоміченими
або на них буде відреаговано із запізненням. Крім того, відсутність чітко
налагоджених протоколів координації з державними органами ускладнює
спільну роботу в умовах критичної ситуації. Для забезпечення надійного
захисту критичної інфраструктури важливо, щоб між різними секторами
існував постійний обмін інформацією про кіберзагрози, спільне планування
заходів безпеки та швидке реагування у разі виникнення надзвичайної
ситуації.
Кібератаки на критичну інфраструктуру набули особливої актуальності
за останні десятиліття, демонструючи, як загроза з кіберпростору може
перетворитися на реальні руйнівні наслідки для суспільства. Одним із
найвідоміших прикладів є атака на енергетичну систему України у 2015 році.
Цей інцидент став першим зафіксованим випадком, коли кібератака призвела
до масштабного відключення електроенергії. Зловмисники проникли у
систему енергетичної компанії через фішингову атаку, отримали контроль над
операційними системами та віддалено вимкнули живлення для сотень тисяч
споживачів. Внаслідок цього інциденту тисячі людей залишилися без
електроенергії протягом кількох годин, а масштабний збій вказав на серйозні
вразливості в енергетичному секторі, зокрема щодо захисту від кібератак на
промислові системи управління.
Іншим резонансним випадком став інцидент у США у 2024 році, коли
хакери змогли отримати доступ до систем управління водопостачальною
інфраструктурою. Ця атака продемонструвала, що сектор водопостачання є не
менш вразливим до кіберзагроз, ніж енергетика чи транспорт. Зловмисники
отримали контроль над системою, яка регулює рівні хімічних речовин у воді,
ЧДТУ.24.23310.001 ПЗ
№ П
що могло призвести до отруєння води для населення. Хоча атаку вдалося
вчасно виявити та зупинити, цей інцидент показав, що доступ до
водопостачальних систем може бути використаний для значного завдання
шкоди або навіть як засіб біологічної атаки.[17]
Ще один важливий приклад — атака на Colonial Pipeline у 2021 році. Це
була одна з найбільших кібератак на паливну інфраструктуру США, яка
паралізувала постачання пального на східне узбережжя країни. Зловмисники
використали програмне забезпечення для шифрування даних (ransomware),
заблокувавши доступ до ключових систем і вимагаючи викуп. В результаті
атаки компанія змушена була тимчасово зупинити роботу трубопроводів, що
призвело до дефіциту палива, паніки серед споживачів і економічних збитків.
Атака на Colonial Pipeline стала показовою, оскільки вона вказала на критичні
вразливості в паливній інфраструктурі та спонукала уряд США розглянути
нові заходи для підвищення кібербезпеки у критичних галузях.
У 2010 році стався інцидент із використанням вірусу Stuxnet, який
вразив іранські ядерні об'єкти, зокрема завод зі збагачення урану в Натанзі.
Вірус Stuxnet був створений для впливу на промислові системи управління
(SCADA), які використовувалися для контролю центрифуг. Програма завдала
шкоди, змусивши центрифуги працювати з аномальною швидкістю, що
призвело до їхньої поломки. Цей випадок став першим задокументованим
прикладом використання кіберзброї для фізичної дестабілізації критичної
інфраструктури і продемонстрував, як кіберзагрози можуть застосовуватися
для досягнення військових і політичних цілей.
У 2017 році кібератака з використанням вірусу NotPetya стала однією з
наймасштабніших атак у світі. Вірус, який спершу замаскували під програму-
вимагач, був спрямований на українські компанії та урядові установи, проте
згодом швидко поширився в інші країни, вразивши глобальні мережі великих
корпорацій, таких як Maersk, Merck і FedEx. Атака спричинила масштабні збої
в роботі критичних систем, що паралізувало бізнес-операції на кілька днів та
завдало мільярдних збитків. NotPetya був націлений на порушення
ЧДТУ.24.23310.001 ПЗ
№ П
операційної діяльності, а не на отримання фінансової вигоди, що вказує на
новий рівень кіберзагроз — атаки для дестабілізації національної економіки та
інфраструктури.
Також відома атака на ізраїльські системи водопостачання, яка сталася
у 2020 році. Цей інцидент був спробою маніпулювати рівнем хімічних речовин
у водопостачальних мережах Ізраїлю, що могло спричинити серйозні наслідки
для здоров'я населення. Ізраїльська влада оперативно відреагувала на атаку і
змогла запобігти реальній шкоді, але ця подія стала серйозним сигналом щодо
необхідності підвищення безпеки водопостачальної інфраструктури та
впровадження додаткових заходів кіберзахисту.
Кібератака на муніципальну транспортну систему Сан-Франциско у
2016 році також є прикладом успішного впливу на критичну інфраструктуру.
Зловмисники атакували систему продажу квитків, що призвело до того, що
пасажири змогли користуватися транспортом безкоштовно, а компанія зазнала
фінансових збитків. Хоча ця атака не створила прямих загроз для життя людей,
вона продемонструвала, як кіберзлочинці можуть дестабілізувати роботу
транспортних мереж і впливати на суспільні послуги.
Кожен із цих випадків показує, наскільки вразливою є критична
інфраструктура до кібератак і як наслідки таких інцидентів можуть виходити
далеко за межі кіберпростору, завдаючи матеріальної шкоди, впливаючи на
економіку і, у деяких випадках, ставлячи під загрозу здоров'я та життя людей.
Підвищення кібербезпеки критичних інфраструктур вимагає
комплексного підходу, який охоплює різні аспекти захисту, починаючи від
регулярного оцінювання ризиків і закінчуючи координацією між різними
секторами та державними органами. Одним з основних заходів є оцінка
ризиків, яка передбачає регулярний аналіз можливих загроз і вразливостей. Це
дозволяє краще розуміти, які саме компоненти інфраструктури є найбільш
вразливими, а також визначити, які загрози є найбільш імовірними. Завдяки
оцінці ризиків можна розробити відповідні заходи для зниження впливу
загроз, адаптувати кіберзахист до специфічних потреб та забезпечити
ЧДТУ.24.23310.001 ПЗ
№ П
готовність до потенційних атак. Наприклад, у США Агентство з кібербезпеки
та інфраструктурної безпеки (CISA) проводить регулярні оцінки ризиків для
різних секторів критичної інфраструктури, що дозволяє швидко виявляти та
усувати вразливі місця.
Сучасні технології захисту відіграють ключову роль у забезпеченні
кібербезпеки критичних інфраструктур. Використання передових засобів
кібербезпеки та оновлення застарілих систем є необхідними кроками для
зменшення ризиків. Це включає впровадження нових технологій, таких як
системи виявлення та запобігання вторгненням (IDS/IPS), технології
шифрування, засоби моніторингу та аналізу аномалій. Важливим аспектом є
також оновлення застарілого обладнання та програмного забезпечення, яке
вже не відповідає сучасним вимогам безпеки. Наприклад, у післявоєнний
період Україна почала активно модернізувати свої енергетичні об’єкти,
впроваджуючи сучасні системи кібербезпеки для захисту від повторення атак,
подібних до тих, що сталися у 2015 році. Це включало оновлення SCADA-
систем та інтеграцію новітніх засобів моніторингу, які здатні виявляти
підозрілу активність у режимі реального часу.
Навчання персоналу є важливим аспектом підвищення рівня
кібербезпеки, адже людський фактор залишається однією з основних причин
успішних атак на критичну інфраструктуру. Недостатня обізнаність
працівників про кіберзагрози та методи їх запобігання підвищує ризик
випадкового надання зловмисникам доступу до внутрішніх систем через,
наприклад, фішингові атаки або інші методи соціальної інженерії. Регулярні
тренінги та навчання для персоналу дозволяють підвищити їхню обізнаність і
здатність правильно реагувати на потенційні загрози. Відомі приклади таких
заходів можна знайти в банківському секторі, де навчання працівників є
обов’язковою частиною політики кібербезпеки. Наприклад, банки
Європейського Союзу активно проводять регулярні навчальні тренінги для
своїх співробітників, що дозволяє значно знизити ризик успішних атак з
використанням соціальної інженерії.
ЧДТУ.24.23310.001 ПЗ
№ П
Міжсекторальна співпраця є важливим елементом у забезпеченні
кібербезпеки, оскільки критична інфраструктура складається з численних
взаємопов’язаних систем, що належать до різних секторів, таких як
енергетика, транспорт, зв’язок, водопостачання та охорона здоров’я. Без
ефективної координації між цими секторами важко забезпечити належний
рівень кібербезпеки, адже атака на одну галузь може вплинути на інші.
Забезпечення координації між секторами та державними органами є
необхідним для ефективного реагування на інциденти та швидкого обміну
інформацією про загрози. Наприклад, у Європейському Союзі існує мережа
для обміну інформацією про кіберзагрози, що об’єднує різні країни та сектори,
дозволяючи швидко обмінюватися інформацією про нові загрози та ефективні
методи їх запобігання. Це дозволяє країнам спільно реагувати на
кіберінциденти та знижувати ризики.[5]
Серед відомих прикладів запобігання кібератакам можна назвати
зусилля ізраїльських кіберфахівців, які успішно запобігли атаці на систему
водопостачання у 2020 році. Зловмисники намагалися отримати контроль над
системами, що регулюють рівень хімічних речовин у воді, але ізраїльські
служби кібербезпеки вчасно виявили та нейтралізували загрозу, запобігши
серйозним наслідкам для здоров'я населення. Ще одним прикладом є успішна
протидія кібератаці на транспортну інфраструктуру Сан-Франциско, коли
після нападу на систему продажу квитків міська влада змогла швидко
відновити контроль над системою, уникнувши значних збитків. Ці приклади
показують, що завдяки регулярному моніторингу, координації та підвищенню
обізнаності працівників можна ефективно протидіяти кіберзагрозам і
запобігати атакам, які могли б мати значний вплив на суспільство та
економіку.
Захист критичної інфраструктури від кіберзагроз є ключовим елементом
національної безпеки, що вимагає комплексного підходу та постійного
вдосконалення заходів безпеки.
ЧДТУ.24.23310.001 ПЗ
№ П
1.3. Основні технології та алгоритми в системах IDS
Системи виявлення вторгнень (IDS) є ключовими елементами
забезпечення кібербезпеки сучасних інформаційно-комунікаційних мереж.
Вони дозволяють своєчасно виявляти загрози, реагувати на атаки та
мінімізувати їхній вплив на критичні інфраструктури. Розвиток технологій у
сфері IDS тісно пов’язаний із зростанням складності кіберзагроз, що вимагає
впровадження новітніх алгоритмів і підходів для забезпечення точності,
швидкості та адаптивності систем. У цьому розділі розглянуто основні
технології та алгоритми, які формують основу сучасних систем IDS, їхні
характеристики та роль у захисті інформаційного середовища.
Сигнатурний аналіз є одним із найстаріших та найпоширеніших методів,
що використовуються в системах виявлення вторгнень (IDS). Його основна
концепція полягає у порівнянні вхідного трафіку або дій у системі з
попередньо визначеними шаблонами, відомими як сигнатури, які
відповідають відомим загрозам або атакам. Цей підхід забезпечує високу
точність у виявленні вже відомих атак, оскільки він базується на детально
розроблених сигнатурах, що описують специфічні характеристики шкідливих
дій.
Сигнатури можуть бути представлені у вигляді унікальних
послідовностей байтів, характерних для певного шкідливого коду, або як
специфічні шаблони поведінки, що вказують на спробу вторгнення.
Антивірусні програми та IDS використовують ці сигнатури для сканування
файлів та мережевого трафіку з метою виявлення потенційних загроз. Однією
з ключових переваг сигнатурного аналізу є його здатність точно
ідентифікувати тип загрози, що дозволяє застосовувати відповідні заходи для
її нейтралізації.
Однак, незважаючи на високу ефективність у виявленні відомих загроз,
сигнатурний аналіз має певні обмеження. Він не здатний виявляти нові або
модифіковані атаки, для яких ще не створено відповідних сигнатур. Це
ЧДТУ.24.23310.001 ПЗ
№ П
означає, що системи, які покладаються виключно на сигнатурний аналіз,
можуть бути вразливими до атак нульового дня або до шкідливого
програмного забезпечення, яке зазнало незначних змін, щоб уникнути
виявлення. Крім того, сигнатурний аналіз вимагає регулярного оновлення бази
даних сигнатур, щоб залишатися ефективним проти нових загроз.
Незважаючи на ці обмеження, сигнатурний аналіз залишається
важливим компонентом систем виявлення вторгнень завдяки своїй простоті
впровадження та низьким вимогам до обчислювальних ресурсів. Він
забезпечує швидке та точне виявлення відомих загроз, що робить його
незамінним інструментом у загальному арсеналі засобів кібербезпеки. Однак
для забезпечення більш комплексного захисту сигнатурний аналіз часто
поєднують з іншими методами, такими як поведінковий аналіз та аналіз
аномалій, що дозволяє виявляти як відомі, так і нові загрози.
Поведінковий аналіз є сучасним підходом у системах виявлення
вторгнень, який фокусується на вивченні та моделюванні нормальної
поведінки системи, пристроїв та користувачів. На відміну від сигнатурного
аналізу, який шукає відомі шаблони загроз, поведінковий аналіз спрямований
на виявлення відхилень від встановлених норм, що можуть свідчити про
потенційні загрози або аномалії.
Цей підхід дозволяє виявляти нові та невідомі типи атак, включаючи
атаки нульового дня, які не мають попередньо визначених сигнатур.
Поведінковий аналіз базується на зборі та аналізі великого обсягу даних про
нормальну діяльність системи, що включає мережевий трафік, дії
користувачів, використання ресурсів та інші параметри. На основі цих даних
створюються моделі нормальної поведінки, з якими порівнюються поточні дії
для виявлення аномалій.[24]
Однією з ключових переваг поведінкового аналізу є його здатність
адаптуватися до нових загроз та змін у поведінці користувачів або системи.
Однак цей підхід також має свої виклики. Він вимагає значних
обчислювальних ресурсів для збору та обробки даних, а також може
ЧДТУ.24.23310.001 ПЗ
№ П
призводити до високого рівня помилкових спрацювань, особливо у випадках,
коли нормальна поведінка є варіативною або складною для моделювання.
Аналіз аномалій є ключовим підходом у системах виявлення вторгнень
(IDS), спрямованим на ідентифікацію подій або дій, що відхиляються від
встановлених норм поведінки системи чи мережі. Цей метод дозволяє
виявляти непередбачувані загрози, включаючи нові типи кібератак, які не
мають попередньо визначених сигнатур. Основою аналізу аномалій є обробка
статистичних даних, розпізнавання шаблонів та кластеризація, що забезпечує
можливість адаптивного виявлення загроз.
Впровадження алгоритмів машинного навчання значно підвищує
ефективність аналізу аномалій. Зокрема, методи без нагляду, такі як
кластеризація, дозволяють виявляти відхилення без необхідності
попереднього маркування даних. Це особливо корисно для виявлення нових
або невідомих атак, які не були враховані під час навчання системи. Крім того,
використання методів з наглядом, таких як нейронні мережі, дозволяє
системам IDS навчатися на основі історичних даних та покращувати точність
виявлення загроз.
Однак, незважаючи на переваги, аналіз аномалій має певні виклики.
Високий рівень помилкових спрацювань може бути проблемою, оскільки
нормальна поведінка системи може змінюватися з часом, що ускладнює
визначення чітких меж між нормальною та аномальною активністю. Крім
того, процес навчання моделей потребує значних обчислювальних ресурсів та
доступу до великих обсягів даних, що може бути складним у реалізації.
Незважаючи на ці виклики, аналіз аномалій залишається важливим
інструментом у арсеналі засобів кібербезпеки. Поєднання цього підходу з
іншими методами, такими як сигнатурний аналіз та поведінковий моніторинг,
дозволяє створити багаторівневу систему захисту, здатну ефективно реагувати
на широкий спектр загроз. Інтеграція з сучасними технологіями, такими як
штучний інтелект та машинне навчання, відкриває нові можливості для
підвищення точності та адаптивності систем виявлення вторгнень.
ЧДТУ.24.23310.001 ПЗ
№ П
Сучасні системи виявлення вторгнень (IDS) все частіше інтегрують
методи машинного навчання та штучного інтелекту для підвищення
ефективності виявлення та прогнозування кіберзагроз. Алгоритми, такі як
глибоке навчання, нейронні мережі та метод опорних векторів, дозволяють не
лише ідентифікувати існуючі загрози, але й передбачати можливі вектори
атак, забезпечуючи більш точний та адаптивний захист.
Використання глибоких нейронних мереж дозволяє обробляти великі
обсяги даних у реальному часі, виявляючи складні та приховані
закономірності, які можуть свідчити про потенційні загрози. Це особливо
важливо в умовах постійно зростаючого обсягу та складності мережевого
трафіку. Метод опорних векторів, у свою чергу, ефективно класифікує дані,
розділяючи нормальну та аномальну активність, що сприяє точнішому
виявленню вторгнень.
Інтеграція машинного навчання та штучного інтелекту в системи IDS
дозволяє автоматизувати процеси виявлення та реагування на загрози,
зменшуючи залежність від людського фактора та підвищуючи швидкість
реакції на інциденти. Крім того, ці технології здатні адаптуватися до нових
типів атак, постійно оновлюючи свої моделі на основі нових даних та досвіду.
Однак впровадження таких алгоритмів вимагає значних
обчислювальних ресурсів та доступу до великих обсягів якісних даних для
навчання моделей. Крім того, складність та непрозорість деяких моделей
машинного навчання можуть ускладнювати інтерпретацію результатів та
прийняття рішень на їх основі.
Незважаючи на ці виклики, використання машинного навчання та
штучного інтелекту в системах IDS відкриває нові горизонти у сфері
кібербезпеки, дозволяючи створювати більш ефективні та адаптивні системи
захисту, здатні протистояти сучасним та майбутнім загрозам.
Кореляційний аналіз у системах виявлення вторгнень (IDS) є потужним
інструментом, який дозволяє виявляти складні зв’язки між подіями, що
можуть залишитися непоміченими при традиційних підходах до аналізу.
ЧДТУ.24.23310.001 ПЗ
№ П
Завдяки об'єднанню даних із різних джерел, таких як мережеві журнали, дані
про активність користувачів, трафік та системні логи, кореляційний аналіз
здатен виявляти багатоаспектні атаки, які часто є багатоступеневими та
взаємопов’язаними. Це має критичне значення для захисту складних і
динамічних мережевих середовищ.
Використання технологій обробки великих даних (Big Data) є
невід'ємною частиною сучасних підходів до кореляційного аналізу. Завдяки
обробці величезних обсягів інформації в реальному часі системи IDS
отримують можливість не лише реагувати на загрози, але й прогнозувати
потенційні ризики. Застосування методів кластеризації, розподіленої обробки
та пошуку аномалій у великих наборах даних дозволяє розкривати
закономірності, які важко або неможливо виявити звичайними методами.
Кореляційний аналіз із використанням Big Data створює умови для
швидкого й точного ідентифікування загроз у складних середовищах.
Наприклад, аналіз взаємозв’язку між нетиповими вхідними запитами до
серверів, різким збільшенням трафіку з певного регіону та нетиповою
активністю користувачів може виявити координовану атаку. Однак така
методика потребує значних обчислювальних ресурсів та ретельно
налаштованих алгоритмів для уникнення помилкових спрацювань.[9]
Інтеграція кореляційного аналізу з іншими технологіями, такими як
штучний інтелект і машинне навчання, значно підвищує його ефективність.
Такі алгоритми можуть автоматично адаптуватися до нових загроз та
зменшувати вплив людського фактора. Зокрема, вони дозволяють
оптимізувати обробку даних у режимі реального часу, знижуючи затримки в
реагуванні на загрози.
Хмарні платформи стають основою для сучасних систем IDS завдяки
їхній здатності забезпечувати масштабованість і доступ до значних
обчислювальних ресурсів. Хмарні IDS пропонують низку переваг, таких як
швидка обробка даних у реальному часі, інтеграція з іншими системами
безпеки та централізований моніторинг.
ЧДТУ.24.23310.001 ПЗ
№ П
Завдяки хмарним технологіям стало можливим проводити глобальний
аналіз загроз із використанням інформації з різних джерел, що забезпечує
комплексний підхід до кіберзахисту. Наприклад, дані про загрози, отримані з
однієї мережі, можуть бути використані для захисту іншої, запобігаючи
поширенню атак. Це забезпечує синергію між різними об’єктами
інфраструктури.
Утім, використання хмарних технологій також пов’язане з певними
ризиками, зокрема, із залежністю від зовнішніх провайдерів і потенційними
вразливостями самих хмарних платформ. Для подолання цих викликів
потрібне впровадження додаткових заходів безпеки, таких як шифрування
даних і багаторівневий доступ.
Системи виявлення вторгнень базуються на широкому спектрі
технологій та алгоритмів, що розвиваються разом із еволюцією кіберзагроз.
Використання сигнатурного аналізу, поведінкового моніторингу, машинного
навчання та обробки великих даних дозволяє забезпечити високий рівень
точності виявлення атак. Поєднання цих підходів у гібридних системах
створює комплексний захист, здатний реагувати на динамічні виклики
кібербезпеки. Інтеграція із хмарними платформами та новітніми технологіями
обіцяє значне підвищення ефективності IDS у майбутньому.
1.4. Огляд сучасних IDS-систем та їх можливості для захисту критичних
інфраструктур
Системи виявлення вторгнень (IDS) є ключовим інструментом для
моніторингу та забезпечення безпеки мереж і критичних інфраструктур. Вони
дозволяють ідентифікувати загрози в режимі реального часу, аналізуючи
мережевий трафік, поведінку користувачів та системні журнали. Сучасні IDS
поділяються на мережеві IDS (NIDS), які аналізують трафік у мережі, та
хостові IDS (HIDS), що відстежують активність на окремих пристроях. Крім
того, існують гібридні IDS, які поєднують функціонал обох підходів.
ЧДТУ.24.23310.001 ПЗ
№ П
Одним із важливих аспектів сучасних IDS є їхня здатність до інтеграції
з іншими системами кібербезпеки, такими як SIEM (Security Information and
Event Management), для забезпечення централізованого аналізу та реагування
на інциденти. Вони також використовують розширені алгоритми машинного
навчання, аналіз великих даних і хмарні обчислення, що дозволяє
масштабувати їх можливості та підвищувати ефективність.
Snort є одним із найпопулярніших рішень у сфері IDS, яке поєднує
можливості мережевого моніторингу та захисту від вторгнень. Ця система
базується на сигнатурному аналізі, дозволяючи виявляти загрози за
допомогою шаблонів атак. Snort активно використовується для аналізу
трафіку у великих мережах завдяки своїй гнучкості та масштабованості.
Головною перевагою Snort є її відкрита архітектура, яка дозволяє
користувачам створювати власні правила виявлення загроз. Крім того, система
інтегрується з іншими інструментами безпеки, що робить її універсальним
рішенням для організацій різного масштабу. Проте, залежність від сигнатур
обмежує її ефективність проти Zero-Day атак, що є її основним недоліком.
Suricata є вдосконаленим рішенням, яке розроблено як альтернатива
Snort. Основною особливістю Suricata є її здатність працювати на
високошвидкісних мережах завдяки багатопотоковій архітектурі. Вона
підтримує аналіз трафіку на рівнях L7 протоколів, що дозволяє виявляти
загрози навіть у зашифрованих даних. Suricata використовує як сигнатурний,
так і поведінковий підхід до виявлення загроз, що значно розширює її
функціонал. Вона також інтегрується з технологіями машинного навчання для
виявлення аномалій у трафіку. Серед основних переваг Suricata — її
продуктивність, точність і підтримка сучасних протоколів. Водночас її
впровадження може вимагати значних ресурсів і налаштувань, що ускладнює
використання для менших організацій.
Bro/Zeek є унікальною системою IDS, яка зосереджується на глибокому
аналізі протоколів і виявленні аномалій на основі поведінки. На відміну від
Snort або Suricata, які орієнтовані на сигнатурний підхід, Bro/Zeek забезпечує
ЧДТУ.24.23310.001 ПЗ
№ П
аналіз метаданих і логів, що дозволяє ідентифікувати складні атаки. Однією з
ключових переваг Bro/Zeek є її здатність до створення кастомізованих політик
безпеки, що дозволяє адаптувати систему до специфіки кожної мережі.
Bro/Zeek також активно використовується для виявлення атак на базу даних,
сканування портів і фішинг-атак. Однак ця система має більш високий поріг
входження для користувачів через складність її налаштувань.
IBM QRadar є комплексним рішенням, яке поєднує функції IDS та SIEM
для забезпечення централізованого управління кіберзагрозами. Система
забезпечує аналіз великих обсягів даних у режимі реального часу, інтегруючи
інформацію з різних джерел, таких як мережеві логи, дані про активність
користувачів і результати аналізу трафіку. QRadar використовує машинне
навчання для ідентифікації складних загроз, включаючи Zero-Day атаки. Вона
також підтримує автоматизоване реагування на інциденти, що дозволяє
швидко блокувати шкідливий трафік або ізолювати уражені системи.
Основною перевагою QRadar є її масштабованість і здатність адаптуватися до
потреб великих організацій, проте її висока вартість і складність
впровадження можуть бути обмежуючим фактором.[6]
Cisco Firepower — це інтегроване рішення, яке поєднує функції IDS,
брандмауера та системи запобігання вторгненням (IPS). Ця система забезпечує
багаторівневий підхід до захисту, аналізуючи трафік і поведінку користувачів
для ідентифікації загроз. Firepower використовує технології машинного
навчання та аналізу великих даних для забезпечення точності та адаптивності.
Однією з її головних переваг є інтеграція з іншими продуктами Cisco, що
забезпечує комплексний підхід до захисту мережі. Водночас її ефективність
залежить від регулярного оновлення та якісної конфігурації, що вимагає
наявності кваліфікованих фахівців.
Система IDS від Palo Alto Networks є однією з провідних у галузі,
особливо в контексті захисту хмарних середовищ. Вона використовує
штучний інтелект і машинне навчання для виявлення загроз у реальному часі,
забезпечуючи захист як локальних, так і розподілених середовищ. Однією з
ЧДТУ.24.23310.001 ПЗ
№ П
особливостей рішення від Palo Alto Networks є інтеграція з платформою
Cortex, яка дозволяє проводити розширений аналіз загроз і забезпечувати
автоматизоване реагування. Система також підтримує Zero Trust підхід,
забезпечуючи мінімізацію ризиків за рахунок обмеження доступу до ресурсів.
Її основним недоліком є висока вартість впровадження, але вона
компенсується багатофункціональністю та надійністю.
Сучасні IDS відіграють важливу роль у захисті критичних
інфраструктур, забезпечуючи моніторинг та виявлення загроз у реальному
часі. Вони дозволяють ідентифікувати складні багатовекторні атаки,
аналізувати зашифрований трафік і реагувати на Zero-Day загрози. Інтеграція
з хмарними сервісами та підтримка розподілених середовищ робить їх
ефективними для забезпечення безпеки масштабних систем. Сучасні системи
IDS також забезпечують автоматизацію процесів виявлення та реагування, що
є критичним для зменшення часу реагування на інциденти. Використання
алгоритмів машинного навчання дозволяє адаптуватися до нових загроз, а
інтеграція з іншими інструментами кібербезпеки забезпечує комплексний
підхід до захисту.
Таблиця 1.1
Порівняння систем виявлення вторгнень (IDS)
Система Основна Підходи до Переваги Недоліки
IDS особливість виявлення
Snort Відкрита Сигнатурний Безкоштовна, Не виявляє Zero-Day
платформа для гнучка, велика загрози, залежність
мережевого спільнота від бази сигнатур,
моніторингу користувачів, потребує регулярного
можливість оновлення
створювати
власні правила
Suricata Багатопотокова Сигнатурний, Висока Вимогливість до
архітектура, поведінковий продуктивність, ресурсів, складність
підтримка підтримка L7- впровадження
високошвидкісних протоколів,
мереж інтеграція з
машинним
навчанням
Bro/Zeek Зосереджена на Поведінковий Глибокий аналіз Високий поріг
аналізі протоколів протоколів, входження,
кастомізовані
ЧДТУ.24.23310.001 ПЗ
№ П
і поведінковому політики, складність
аналізі докладне налаштувань
логування,
корисна для
складних
середовищ
IBM Інтеграція IDS та Кореляційний, Централізоване Висока вартість,
QRadar SIEM, аналітика машинне управління потреба у
великих даних навчання загрозами, кваліфікованих
автоматизоване спеціалістах
реагування,
масштабованість
Cisco Інтеграція IDS із Сигнатурний, Багаторівневий Залежність від
Firepower IPS та поведінковий захист, регулярного
брандмауером інтеграція з оновлення, висока
іншими складність
продуктами налаштування
Cisco,
автоматизоване
реагування
Palo Alto Інновації у Машинне Ефективний Висока вартість,
Networks хмарних навчання, захист хмарних потреба у
середовищах, Zero Trust середовищ, висококваліфікованих
інтеграція з підтримка Zero фахівцях
платформою Trust,
Cortex розширений
аналіз загроз
Сучасні IDS є необхідним елементом у захисті критичних
інфраструктур, пропонуючи широкий спектр можливостей для забезпечення
безпеки в умовах швидкого розвитку кіберзагроз. Їхній подальший розвиток,
включаючи інтеграцію штучного інтелекту та квантових обчислень, створює
значні перспективи для покращення ефективності захисту.
ЧДТУ.24.23310.001 ПЗ
№ П
РОЗДІЛ 2. ДОСЛІДЖЕННЯ ЕФЕКТИВНОСТІ ЗАСТОСУВАННЯ
СИСТЕМ ВИЯВЛЕННЯ ВТОРГНЕННЯ ДЛЯ ЗАХИСТУ КРИТИЧНИХ
ІНФРАСТРУКТУР
2.1. Роль та значення IDS у виявленні кіберзагроз для критичних
об’єктів
Критичні інфраструктури є основою функціонування сучасного
суспільства та економіки. Вони включають енергетичні системи, транспорт,
водопостачання, фінансові установи та телекомунікації, які забезпечують
життєдіяльність держави. Кіберзагрози, спрямовані на ці об’єкти, можуть мати
катастрофічні наслідки, включаючи перебої в роботі систем, витік даних та
фінансові втрати. У таких умовах системи виявлення вторгнень (IDS)
відіграють ключову роль у забезпеченні кібербезпеки, дозволяючи
ідентифікувати загрози та мінімізувати їхній вплив.
Системи виявлення вторгнень (IDS) є однією з найважливіших
складових забезпечення кібербезпеки, особливо у контексті захисту
критичних об’єктів. Їхня основна мета полягає у своєчасному виявленні загроз
і наданні можливості для їхньої нейтралізації ще до того, як вони завдадуть
значної шкоди. Принципи роботи IDS засновані на ретельному аналізі
мережевого трафіку, дій користувачів та записів у системних журналах для
ідентифікації підозрілих дій або аномалій. Ці системи розглядаються як
основний бар’єр між інфраструктурою та потенційними атаками, що робить їх
незамінними для критичних об’єктів.
Основою функціонування IDS є моніторинг мережевого середовища в
реальному часі. Це дозволяє системам не лише фіксувати підозрілі дії, але й
реагувати на них негайно. Наприклад, аналізуючи потік даних між серверами,
IDS може виявити невідповідність нормальному патерну, що свідчить про
потенційно шкідливу активність, як-от сканування портів або спроби
проникнення. Вчасне ідентифікування таких дій дозволяє операторам вжити
відповідних заходів для запобігання проникненню.
ЧДТУ.24.23310.001 ПЗ
№ П
Одна з ключових функцій IDS — це запобігання несанкціонованому
доступу до системних ресурсів. Для критичних об’єктів, де компрометація
даних може мати катастрофічні наслідки, ця функція є визначальною. IDS
здатні визначати та блокувати спроби доступу з невідомих або підозрілих
джерел, запобігаючи потенційним атакам ще на початкових етапах. Це
особливо важливо для запобігання поширеним атакам, як-от брутфорс, фішинг
або експлуатація відомих вразливостей.
IDS спеціалізуються на виявленні складних загроз, які часто
залишаються непоміченими традиційними методами захисту. Наприклад,
багатоступеневі атаки, що складаються з кількох етапів, таких як сканування,
ескалація привілеїв і встановлення шкідливих програм, потребують
інтегрованого підходу до виявлення. Системи IDS здатні аналізувати зв’язок
між цими етапами, формуючи цілісну картину атаки. Виявлення атак
нульового дня, які не мають відомих сигнатур, стає можливим завдяки аналізу
аномальної поведінки, що значно підвищує рівень захисту критичних об’єктів.
Захист чутливих даних є ще одним важливим завданням, яке
виконується системами IDS. Для критичних об’єктів інформація часто є
стратегічно важливим ресурсом, і її компрометація може мати далекосяжні
наслідки. IDS забезпечують контроль за доступом до цих даних,
відслідковують підозрілі спроби завантаження великих обсягів інформації або
зміни конфігурацій. Наприклад, IDS можуть зафіксувати аномальні дії
користувача, який несподівано починає копіювати велику кількість файлів, що
може вказувати на інсайдерську загрозу.[1]
Сучасне кіберсередовище характеризується стрімким зростанням
кількості та складності атак, що робить системи виявлення вторгнень (IDS)
надзвичайно актуальними, особливо для захисту критичних об’єктів.
Інфраструктура, яка забезпечує функціонування суспільства, є привабливою
ціллю для зловмисників через її стратегічне значення. Це включає енергетичні
системи, транспортні мережі, телекомунікації та інші життєво важливі
ЧДТУ.24.23310.001 ПЗ
№ П
об’єкти, порушення роботи яких може призвести до масштабних негативних
наслідків.
Однією з ключових характеристик сучасних загроз є їхня складність.
Кіберзлочинці дедалі частіше використовують багатоступеневі атаки, які
включають кілька етапів, таких як проникнення у мережу, ескалація привілеїв
і виконання шкідливих дій. Такі атаки можуть бути настільки добре
замаскованими, що традиційні методи захисту виявляються неефективними.
IDS надають можливість аналізувати комплексність цих дій, виявляючи
зв’язок між етапами атак і формуючи цілісне розуміння їхньої природи.
Ще однією важливою рисою сучасних кіберзагроз є їхня тривалість.
Багато атак, особливо спрямованих на критичні інфраструктури, можуть
розтягуватися в часі, часто залишаючись непоміченими протягом тижнів або
навіть місяців. Зловмисники прагнуть не лише порушити роботу об’єктів, але
й отримати тривалий доступ до системи для збору даних, маніпуляції або
підготовки до масштабніших атак. IDS є надзвичайно ефективними у
виявленні таких тривалих загроз завдяки своїй здатності аналізувати
довгострокові закономірності в активності мережі та дій користувачів.
Адаптивність сучасних атак є ще однією серйозною проблемою.
Використання методів соціальної інженерії, шкідливого програмного
забезпечення та автоматизованих інструментів робить атаки
непередбачуваними. Наприклад, зловмисники можуть швидко змінювати
тактику, уникаючи виявлення за допомогою традиційних сигнатурних
методів. IDS, особливо ті, що використовують технології машинного навчання
та штучного інтелекту, здатні ефективно реагувати на ці виклики. Вони
аналізують аномалії у мережевому трафіку, створюючи динамічні моделі для
виявлення нових загроз.
У сучасному кіберсередовищі важливе значення має швидкість
виявлення загроз. IDS забезпечують моніторинг у реальному часі, що дозволяє
зменшити час між виникненням загрози та її виявленням. Це критично
важливо для мінімізації наслідків атак, оскільки навіть невелика затримка у
ЧДТУ.24.23310.001 ПЗ
№ П
реагуванні може призвести до значних втрат. Для критичних об’єктів, де
кожна хвилина має вирішальне значення, швидкість і точність роботи IDS є
життєво необхідними.
Системи IDS також відіграють важливу роль у підтриманні
безперервності роботи критичних інфраструктур. Їхнє впровадження дозволяє
знизити ризик простоїв, які можуть виникнути через успішні кібератаки.
Безперервність операцій є однією з ключових вимог до критичних об’єктів, і
IDS забезпечують реалізацію цієї вимоги шляхом виявлення та нейтралізації
загроз до того, як вони завдадуть шкоди.
Таблиця 2.1
Типи IDS та їх роль у забезпеченні кібербезпеки критичних об’єктів
Тип IDS Опис Роль у захисті критичних об’єктів
Мережеві Виконують аналіз мережевого Виявлення загроз у мережевому
IDS (NIDS) трафіку, виявляючи аномальні середовищі, таких як атаки типу
з’єднання або спроби атак на DoS або сканування портів.
інфраструктуру.
Хостові IDS Захищають індивідуальні пристрої Захист серверів і робочих станцій
(HIDS) та сервери, забезпечуючи від локальних загроз і небажаних
локальний контроль дій. змін.
Гібридні Поєднують функції мережевих і Створення багаторівневого захисту,
IDS хостових систем, забезпечуючи охоплюючи як мережу, так і
комплексний підхід до виявлення локальні пристрої, для максимальної
загроз. ефективності.
Системи виявлення вторгнень (IDS) відіграють ключову роль у
мінімізації ризиків для критичних об’єктів, забезпечуючи своєчасне виявлення
та реагування на кіберзагрози. Постійний моніторинг, який здійснюють IDS,
дозволяє швидко ідентифікувати підозрілу активність, що значно скорочує час
між виникненням загрози та її нейтралізацією. Це особливо важливо для
критичних інфраструктур, де навіть короткочасний простій може призвести до
серйозних наслідків.
Вчасне виявлення загроз за допомогою IDS запобігає зупинкам роботи
систем, таких як водопостачання, енергетика чи транспорт. Безперервність
функціонування цих систем є життєво важливою, і IDS забезпечують
необхідний рівень захисту, виявляючи потенційні атаки до того, як вони
ЧДТУ.24.23310.001 ПЗ
№ П
зможуть завдати шкоди. Наприклад, виявлення спроби несанкціонованого
доступу до системи управління енергомережами може запобігти масштабному
відключенню електроенергії.
Використання IDS сприяє дотриманню нормативних вимог та стандартів
безпеки, таких як ISO 27001, які є обов’язковими для багатьох критичних
об’єктів. Впровадження IDS демонструє прихильність організації до високих
стандартів кібербезпеки, що може бути важливим фактором для партнерів,
клієнтів та регуляторних органів. Таким чином, IDS не лише підвищують
рівень захисту, але й сприяють відповідності нормативним вимогам, що є
критично важливим для безпечної та стабільної роботи критичних
інфраструктур.[21]
Системи виявлення вторгнень відіграють центральну роль у
забезпеченні кібербезпеки критичних об’єктів. Вони дозволяють виявляти
загрози на ранніх етапах, мінімізувати ризики атак і забезпечувати
безперервність роботи. Завдяки своїй здатності адаптуватися до сучасних
викликів, IDS стають невід’ємним елементом стратегій захисту критичних
інфраструктур. Однак для максимізації їхньої ефективності необхідно
вдосконалювати алгоритми, інтегрувати штучний інтелект і покращувати
механізми обробки великих даних.
2.2. Порівняльний аналіз продуктивності та ефективності IDS у різних
секторах критичної інфраструктури
Системи виявлення вторгнень (IDS) є ключовим компонентом
забезпечення кібербезпеки у різних секторах критичної інфраструктури, таких
як енергетика, транспорт, водопостачання, охорона здоров’я та
телекомунікації. Їхня продуктивність і ефективність варіюються залежно від
специфіки сектора, рівня загроз та унікальних характеристик інфраструктури.
Для розуміння важливості IDS і оптимізації їхнього застосування необхідно
провести порівняльний аналіз їхньої продуктивності у кожному секторі.
ЧДТУ.24.23310.001 ПЗ
№ П
Таблиця 2.2
Порівняльний аналіз продуктивності та ефективності IDS у різних секторах
критичної інфраструктури
Сектор Роль IDS Особливості Вимоги до IDS Виклики
критичної загроз
інфраструктури
Енергетика Захист Атаки на Висока Висока
систем промислові продуктивність, складність
SCADA, протоколи, точність у мережевої
моніторинг командні виявленні архітектури,
промислових ін’єкції, специфічних атак. ризик збоїв
протоколів. зміна через помилкові
конфігурацій спрацювання.
обладнання.
Транспорт Моніторинг GPS-спуфінг, Миттєве Розподіленість
систем атаки на реагування, мереж,
управління системи адаптація до необхідність
рухом, управління динамічного інтеграції
захист IoT- трафіком. середовища. різнорідних
пристроїв. пристроїв.
Водопостачання Контроль Атаки на Висока швидкість Велика кількість
систем якість води, обробки даних, промислових
очищення саботаж, захист внутрішніх протоколів,
води, захист помилки і зовнішніх потреба у
насосів та персоналу. векторів загроз. безперервному
резервуарів. функціонуванні.
Охорона Захист Атаки з Робота з великою Складність
здоров’я медичних вимогою кількістю інтеграції з
систем, IoT- викупу, пристроїв, різними
пристроїв, крадіжка відповідність медичними
чутливих медичних нормативам системами,
даних даних. (GDPR, HIPAA). високий ризик
пацієнтів. компрометації
даних.
Телекомунікації Захист DDoS-атаки, Висока Великі обсяги
мережевих втручання у продуктивність на трафіку,
вузлів, канали високошвидкісних масштабування
базових зв’язку. мережах, для глобальних
станцій, мінімізація мереж.
серверів затримки.
управління.
У секторі енергетики роль IDS полягає у забезпеченні захисту систем
SCADA, які є основою управління енергетичними мережами. Системи IDS у
цьому контексті мають забезпечувати моніторинг промислових протоколів,
таких як Modbus або DNP3, які часто використовуються у цьому секторі.
ЧДТУ.24.23310.001 ПЗ
№ П
Загрози, з якими стикається енергетика, включають атаки на промислові
протоколи, які можуть змінювати конфігурацію обладнання чи подавати
шкідливі команди. Це створює ризик порушення роботи мережі або навіть
аварій. IDS у цьому секторі мають бути надзвичайно точними, оскільки
помилкові спрацювання можуть призвести до перебоїв у критичних процесах.
Висока складність мережевої архітектури додає викликів, адже системи
повинні функціонувати без впливу на безперервність роботи інфраструктури.
Транспортний сектор, у свою чергу, вимагає від IDS здатності реагувати
на специфічні загрози, такі як GPS-спуфінг або атаки на системи управління
рухом. Захист IoT-пристроїв, які широко використовуються у сучасних
транспортних системах, також є важливим аспектом. Загрози у цьому секторі
мають динамічний характер, що вимагає миттєвого реагування від IDS.
Наприклад, атака на систему управління авіатрафіком може створити значні
ризики для безпеки людей. Водночас, розподіленість транспортних мереж і
необхідність інтеграції IDS із різними пристроями та системами значно
ускладнюють завдання.
Сектор водопостачання, який забезпечує критично важливі послуги для
населення, зіштовхується з унікальними викликами. IDS тут виконують
функції контролю за системами очищення води, насосними станціями та
резервуарами. Загрози можуть включати атаки, спрямовані на погіршення
якості води, а також внутрішні ризики, такі як помилки персоналу чи саботаж.
Для цього сектору важливо, щоб IDS працювали з високою швидкістю
обробки даних, адже навіть короткочасні перебої можуть створити значні
проблеми для життєдіяльності. Використання багатьох промислових
протоколів також ускладнює впровадження ефективних систем IDS.
В охороні здоров’я IDS мають ще складніші завдання, оскільки медичні
системи, підключені до мережі, містять надзвичайно чутливі дані. Атаки з
вимогою викупу або спроби крадіжки медичної інформації можуть призвести
до серйозних наслідків, як для пацієнтів, так і для установ. IDS у цьому
контексті повинні забезпечувати захист великої кількості IoT-пристроїв, таких
ЧДТУ.24.23310.001 ПЗ
№ П
як кардіомонітори, томографи та інше обладнання, підключене до мережі.
Відповідність нормативним вимогам, таким як GDPR у Європі або HIPAA у
США, також є важливою складовою ефективної роботи IDS у медичному
середовищі. Складність інтеграції з медичними системами створює додаткові
виклики, які необхідно враховувати.
Телекомунікаційний сектор має свої унікальні вимоги до IDS. У цьому
контексті IDS використовуються для захисту вузлів зв’язку, базових станцій і
серверів управління. Загрози включають DDoS-атаки, які можуть паралізувати
мережі, або втручання у канали зв’язку, що призводить до перехоплення
даних. IDS у телекомунікаціях повинні забезпечувати продуктивність навіть
на високошвидкісних мережах із великими обсягами трафіку. Це вимагає
мінімізації затримки, щоб забезпечити безперебійну роботу. Крім того,
глобальний характер телекомунікаційних мереж вимагає масштабованості IDS
для роботи у великих розподілених інфраструктурах.
IDS у різних секторах критичної інфраструктури стикаються з різними
викликами та завданнями, які визначають їхню продуктивність і ефективність.
Кожен сектор має свої унікальні вимоги, але в усіх випадках ключовою метою
є забезпечення безпеки критичних процесів і мінімізація ризиків для
населення та економіки. Використання спеціалізованих та адаптивних IDS є
обов’язковим для ефективного захисту кожного сектору, враховуючи їхні
специфічні потреби та загрози.[18]
Порівняльний аналіз ефективності IDS у різних секторах критичної
інфраструктури показує, що продуктивність цих систем сильно залежить від
специфіки середовища, в якому вони працюють. Сектори енергетики,
транспорту, водопостачання, охорони здоров’я та телекомунікацій мають
унікальні вимоги до IDS, які включають моніторинг промислових протоколів,
роботу з великими обсягами даних і забезпечення відповідності нормативним
стандартам.
Незважаючи на відмінності, у всіх секторах IDS є важливим
інструментом для забезпечення безпеки. Використання гібридних підходів,
ЧДТУ.24.23310.001 ПЗ
№ П
машинного навчання та розподілених обчислень дозволяє підвищити їхню
продуктивність і адаптивність до нових загроз. Для досягнення максимальної
ефективності необхідно проводити постійну оптимізацію систем IDS і
враховувати специфічні потреби кожного сектора.
2.3. Переваги та обмеження IDS у забезпеченні кібербезпеки критичних
інфраструктур
Системи виявлення вторгнень (IDS) є одними з найважливіших
інструментів у забезпеченні кібербезпеки, особливо коли йдеться про захист
критичних інфраструктур. Енергетика, транспорт, водопостачання,
телекомунікації та інші сектори критично залежать від інформаційних систем,
що робить їх потенційними цілями для складних і небезпечних атак. IDS
забезпечують своєчасне виявлення загроз, сприяють мінімізації ризиків і
допомагають гарантувати безперервність роботи. Утім, як і будь-яка
технологія, вони мають свої переваги та обмеження, які впливають на
ефективність їх використання.
Системи виявлення вторгнень (IDS) є фундаментальними
інструментами у сучасному забезпеченні кібербезпеки, зокрема для критичних
об’єктів та інфраструктур, де кожна секунда має значення у боротьбі з
потенційними загрозами. Однією з їхніх найбільш значущих переваг є
здатність працювати у реальному часі, забезпечуючи безперервний
моніторинг і реагування. Це дозволяє ідентифікувати небезпечну активність
ще до того, як вона переросте у серйозний інцидент. Своєчасність такої реакції
має вирішальне значення у ситуаціях, коли атака може спричинити фінансові
збитки, порушення роботи систем або навіть загрожувати життю людей.
Моніторинг у реальному часі, що забезпечується IDS, дозволяє
фіксувати підозрілу активність у мережах або на окремих пристроях. Це може
бути несанкціонований доступ до системи, аномальні з’єднання або спроби
експлуатації вразливостей. Наприклад, якщо зловмисник намагається
ЧДТУ.24.23310.001 ПЗ
№ П
здійснити атаку типу «груба сила» для отримання доступу до серверів, IDS
може виявити цей патерн дій, сповістити операторів і заблокувати дії
зловмисника. Аналогічно, спроби модифікації конфігурацій обладнання або
підключення невідомих пристроїв також можуть бути відстежені і зупинені,
що мінімізує ризик пошкодження систем.
Окрім здатності працювати в режимі реального часу, IDS забезпечують
багаторівневий захист. Це можливо завдяки використанню різних типів
систем, таких як мережеві IDS (NIDS), хостові IDS (HIDS) та гібридні рішення.
Мережеві IDS аналізують трафік, що проходить через мережу, і дозволяють
виявляти загрози на ранніх етапах їхнього розвитку. Наприклад, вони можуть
виявляти сканування портів, спроби проникнення або DDoS-атаки, що робить
їх незамінними для великих інфраструктур, таких як телекомунікаційні
компанії або транспортні вузли. Хостові IDS працюють безпосередньо на
пристроях, таких як сервери чи робочі станції, що дозволяє їм забезпечувати
локальний контроль та виявляти загрози, спрямовані на конкретні системи.
Гібридні системи поєднують функції мережевих і хостових IDS, створюючи
комплексний захист, що охоплює як мережі, так і окремі пристрої.
Інтеграція IDS із сучасними технологіями, такими як штучний інтелект
(ШІ) та машинне навчання, ще більше підвищує їхню ефективність.
Алгоритми ШІ дозволяють системам аналізувати величезні обсяги даних,
розпізнавати закономірності та виявляти аномалії навіть у складних і
динамічних середовищах. Зокрема, поведінковий аналіз, який підтримується
цими технологіями, дозволяє ідентифікувати дії, що виходять за межі
нормальної поведінки користувачів чи систем. Це є особливо важливим для
виявлення атак нульового дня, які не мають відомих сигнатур і можуть бути
невидимими для традиційних методів захисту. Наприклад, якщо поведінка
користувача раптово змінюється (несподіване завантаження великого обсягу
даних або спроби змінити права доступу), IDS, підтримувана ШІ, може
швидко ідентифікувати такі дії як потенційну загрозу.
ЧДТУ.24.23310.001 ПЗ
№ П
Ще однією перевагою IDS є їхній внесок у виконання нормативних
вимог і стандартів безпеки. У багатьох секторах, таких як енергетика,
фінансові послуги чи охорона здоров’я, існують жорсткі вимоги до
забезпечення безпеки даних, що регулюються такими стандартами, як ISO
27001, NIST або GDPR. IDS допомагають організаціям дотримуватися цих
стандартів, забезпечуючи моніторинг виконання політик безпеки, фіксацію
інцидентів та створення звітів для аудиту. Наприклад, у медичному секторі
IDS можуть відстежувати доступ до конфіденційної інформації пацієнтів,
забезпечуючи її захист від несанкціонованого використання, що є вимогою
таких нормативів, як HIPAA.[32]
Крім нормативного аспекту, IDS сприяють мінімізації репутаційних і
фінансових ризиків. У сучасному цифровому світі витік даних або кібератака
можуть мати катастрофічні наслідки для репутації компанії, викликаючи
втрату довіри клієнтів і партнерів. IDS дозволяють своєчасно виявляти
інциденти, запобігати їхньому розвитку і тим самим захищати репутацію
організації. Наприклад, у випадку DDoS-атаки на онлайн-платформу, IDS
можуть виявити її на початковій стадії і допомогти організувати ефективну
відповідь, мінімізуючи втрати і зберігаючи безперебійну роботу сервісу.
Ще одна значуща перевага IDS полягає у їхній гнучкості. Вони можуть
бути адаптовані до потреб конкретної організації або сектора. Наприклад, у
транспортному секторі IDS можуть бути налаштовані для моніторингу систем
управління рухом та IoT-пристроїв, у той час як у секторі водопостачання вони
будуть спрямовані на контроль насосів і систем очищення. Це дозволяє
створювати індивідуальні рішення, що враховують специфіку загроз і
операційні вимоги кожного середовища.
Загалом, переваги IDS у забезпеченні кібербезпеки є незаперечними.
Їхня здатність працювати у реальному часі, забезпечувати багаторівневий
захист, інтегруватися з сучасними технологіями та відповідати нормативним
вимогам робить їх ключовим елементом у захисті сучасної інфраструктури від
зростаючого числа загроз. IDS не лише дозволяють виявляти та запобігати
ЧДТУ.24.23310.001 ПЗ
№ П
загрозам, але й сприяють створенню більш стійких, захищених і відповідних
сучасним стандартам інформаційних систем.
Системи виявлення вторгнень (IDS) є важливим інструментом
забезпечення кібербезпеки, однак їхня ефективність не завжди залишається на
високому рівні через низку обмежень, властивих цій технології. Попри
здатність IDS забезпечувати моніторинг і виявлення загроз у реальному часі,
певні недоліки системи можуть створювати значні труднощі в її впровадженні
та експлуатації, особливо у складних інфраструктурах.
Однією з найбільш серйозних проблем є висока кількість помилкових
спрацювань. Ця ситуація виникає, коли IDS інтерпретує звичайну активність
як потенційну загрозу. Наприклад, зміни в мережевому трафіку, пов’язані зі
зростанням обсягу даних або оновленням програмного забезпечення, можуть
спричинити спрацювання системи. Надмірна кількість помилкових сигналів
створює додаткове навантаження на операторів безпеки, які змушені
витрачати час і ресурси на аналіз подій, що не становлять реальної загрози. У
великих мережах, де обсяги трафіку величезні, ця проблема може досягати
критичного рівня, коли навіть найефективніші команди не встигають
обробляти всі сповіщення. Як наслідок, справжні загрози можуть бути
пропущені, що підвищує ризик успішних атак.
Іншою значною проблемою є залежність IDS від налаштувань і
конфігурацій. Для ефективної роботи системи необхідно створити специфічні
правила, політики та сигнатури, які враховують унікальні характеристики
кожного середовища. Наприклад, корпоративна мережа з великою кількістю
пристроїв, які використовують різні протоколи і додатки, вимагає ретельного
налаштування, що може зайняти значний час і потребувати участі
кваліфікованих фахівців. Без належного налаштування IDS можуть
пропускати специфічні загрози, які не відповідають наявним правилам, або
створювати надмірну кількість попереджень, що знижує загальну
ефективність системи.
ЧДТУ.24.23310.001 ПЗ
№ П
Ще одним важливим обмеженням є обробка великих обсягів даних. У
сучасних мережах, особливо в розподілених системах і глобальних
інфраструктурах, щодня генеруються терабайти даних, які потребують аналізу
в реальному часі. IDS повинні працювати з високою продуктивністю, щоб
забезпечити своєчасне виявлення загроз. Проте такі вимоги створюють значне
навантаження на обчислювальні ресурси системи. У деяких випадках це може
призводити до затримок у реагуванні або навіть до втрати даних, що ставить
під загрозу безпеку мережі. Хмарні технології пропонують часткове
вирішення цієї проблеми, забезпечуючи масштабовані ресурси для обробки
даних. Однак використання хмар також додає нових ризиків, таких як
залежність від зовнішніх провайдерів або вразливості самих хмарних
платформ.
Особливо складним для IDS є виявлення сучасних атак, які
використовують методи соціальної інженерії. Ці атаки ґрунтуються на
маніпуляції людьми для отримання доступу до конфіденційних даних або
систем. Оскільки такі атаки не залишають явних цифрових слідів, їхнє
виявлення значно ускладнюється. Наприклад, фішингові атаки, спрямовані на
отримання доступу до облікових записів користувачів, можуть бути
невидимими для IDS, якщо вони не використовують додаткові засоби для
аналізу контексту і поведінки. Адаптивне шкідливе програмне забезпечення
також створює труднощі для IDS, оскільки воно постійно змінює свій код,
уникаючи виявлення за допомогою сигнатурного аналізу.
Недоліки IDS також включають проблеми з інтеграцією в існуючу
інфраструктуру. У багатьох організаціях інформаційні системи складаються з
різнорідних компонентів, які працюють на різних платформах і
використовують різні протоколи. Це створює значні труднощі для
налаштування IDS, яка повинна враховувати всі ці аспекти. Наприклад, у
промислових системах, де використовуються специфічні протоколи, такі як
Modbus або DNP3, стандартні IDS можуть бути неефективними без додаткової
ЧДТУ.24.23310.001 ПЗ
№ П
адаптації. Це збільшує витрати на впровадження і ускладнює технічне
обслуговування.
Обмеження IDS також стосуються їхньої залежності від методів
виявлення загроз. Традиційні системи, які використовують сигнатурний
аналіз, є ефективними лише для відомих атак. Нові загрози, такі як атаки
нульового дня, не можуть бути виявлені цими системами, оскільки вони не
мають попередньо визначених сигнатур. Використання поведінкового аналізу
і алгоритмів машинного навчання дозволяє вирішити цю проблему, проте такі
методи також мають свої виклики. Наприклад, поведінковий аналіз може
генерувати велику кількість помилкових спрацювань, якщо нормальна
поведінка системи є варіативною.[16]
Зрештою, IDS також мають обмеження у масштабованості. У великих
організаціях, які використовують розподілені мережі з тисячами підключених
пристроїв, IDS можуть зіткнутися з проблемами ефективності. Наприклад,
аналіз трафіку у великій мережі може займати більше часу, ніж це дозволяє
реальне середовище, що знижує здатність системи швидко реагувати на
загрози. Для вирішення цієї проблеми часто використовуються розподілені
IDS, однак їхня розробка і впровадження є складними і вимагають значних
ресурсів.
Обмеження IDS у забезпеченні кібербезпеки є багатогранними і
включають технічні, організаційні та економічні аспекти. Попри це, IDS
залишаються важливим інструментом для виявлення і запобігання загрозам,
особливо у поєднанні з іншими засобами кібербезпеки. Для подолання цих
обмежень необхідно постійно вдосконалювати технології, розробляти нові
підходи до аналізу загроз і забезпечувати інтеграцію IDS у сучасні складні
мережеві середовища.
Системи IDS є важливим компонентом кібербезпеки, що забезпечують
захист критичних інфраструктур від численних загроз. Їхні переваги,
включаючи здатність виявляти загрози у реальному часі, підтримку
багаторівневого захисту та інтеграцію із сучасними технологіями, роблять їх
ЧДТУ.24.23310.001 ПЗ
№ П
невід’ємним інструментом для запобігання інцидентам. Однак ефективність
IDS залежить від подолання певних обмежень, таких як помилкові
спрацювання, залежність від конфігурацій та обмеження у виявленні складних
загроз. Для максимального використання потенціалу IDS необхідно постійно
вдосконалювати їхні технології, адаптувати до специфічних потреб критичних
об’єктів та інтегрувати з іншими інструментами кібербезпеки. Таким чином,
IDS залишаються ключовим елементом у боротьбі з сучасними
кіберзагрозами, забезпечуючи стабільність і безпеку важливих секторів
інфраструктури.
2.4. Рекомендації щодо вдосконалення захисту критичних інфраструктур
із використанням систем IDS
Критичні інфраструктури, такі як енергетика, транспорт,
телекомунікації та водопостачання, є основою функціонування сучасного
суспільства. Їхній захист від кіберзагроз вимагає комплексного підходу, де
системи виявлення вторгнень (IDS) відіграють ключову роль. Однак для
ефективного використання IDS необхідно враховувати виклики, пов’язані з
їхньою роботою, та розробляти стратегії вдосконалення. Це включає
оптимізацію технологій, адаптацію до специфіки інфраструктури та
інтеграцію з іншими засобами кібербезпеки.
Оптимізація конфігурації та налаштування систем виявлення вторгнень
(IDS) є критичним аспектом забезпечення ефективної роботи цих систем у
захисті критичної інфраструктури. Враховуючи складність та специфіку
кожної інфраструктури, налаштування IDS повинно бути ретельно адаптоване
до її унікальних потреб та викликів, щоб забезпечити максимальну
ефективність виявлення загроз та мінімізувати ризик помилкових спрацювань.
Процес оптимізації починається з аналізу середовища, в якому
працюватиме система. Необхідно чітко ідентифікувати всі можливі загрози та
ризики, притаманні конкретному об'єкту. Наприклад, у промислових
ЧДТУ.24.23310.001 ПЗ
№ П
системах, таких як електромережі або водопостачання, ключову роль
відіграють специфічні протоколи, такі як Modbus або DNP3, які часто стають
мішенню для атак. Аналіз таких ризиків дозволяє розробити індивідуальні
правила для IDS, які враховують ці специфічні загрози та забезпечують їхнє
своєчасне виявлення.
Розробка сигнатур є наступним важливим кроком у налаштуванні IDS.
Сигнатури є шаблонами, за якими система розпізнає відомі загрози. У
середовищах із критичною інфраструктурою важливо розробити сигнатури,
що охоплюють як стандартні атаки, так і специфічні загрози, характерні для
цієї інфраструктури. Наприклад, якщо в системі використовуються SCADA-
протоколи, сигнатури повинні враховувати можливі маніпуляції з командами,
що надсилаються на обладнання. Для динамічних середовищ, де характер
трафіку постійно змінюється, необхідно також створювати гнучкі правила, які
дозволяють виявляти аномалії у поведінці системи.
Оновлення бази сигнатур є постійним процесом, адже характер загроз
еволюціонує з кожним днем. Нові атаки, такі як атаки нульового дня, не мають
попередньо визначених шаблонів, що ускладнює їхнє виявлення. Для
забезпечення актуальності роботи IDS потрібно регулярно додавати нові
сигнатури, засновані на останніх дослідженнях у галузі кібербезпеки, аналізі
реальних атак та рекомендаціях провідних експертів. Це вимагає тісної
співпраці з аналітичними центрами, які відстежують нові загрози, та
використання автоматизованих систем, що оновлюють базу даних IDS у
реальному часі.[24]
Ще одним важливим елементом оптимізації є зменшення кількості
помилкових спрацювань. Помилкові спрацьовування, коли система
ідентифікує звичайну активність як загрозу, можуть суттєво знизити
ефективність роботи IDS. Вони створюють додаткове навантаження на
операторів, які змушені аналізувати численні сповіщення, більшість із яких не
становлять реальної небезпеки. Для мінімізації цієї проблеми необхідно
проводити ретельне тестування налаштувань IDS перед їх впровадженням у
ЧДТУ.24.23310.001 ПЗ
№ П
реальне середовище. Використання спеціалізованих інструментів аналізу
дозволяє виявити потенційні конфлікти у правилах, усунути надмірну
чутливість системи та забезпечити баланс між точністю виявлення загроз і
кількістю помилкових спрацювань.
Також важливим аспектом є використання поведінкового аналізу для
підвищення точності роботи IDS. Визначення базового рівня нормальної
поведінки системи дозволяє створювати динамічні правила, які автоматично
адаптуються до змін у середовищі. Наприклад, якщо у певний час доби
завантаження даних традиційно зростає, IDS не повинна сприймати це як
аномалію. Натомість, якщо подібна активність відбувається у нетиповий час,
система повинна ідентифікувати це як потенційну загрозу.
Нарешті, важливим етапом оптимізації є регулярний моніторинг та
оцінка ефективності роботи IDS після її впровадження. Потрібно постійно
відслідковувати ефективність правил, виявляти слабкі місця у захисті та
вносити необхідні зміни. Наприклад, якщо певний тип загроз залишається
непоміченим, необхідно переглянути налаштування сигнатур або
поведінкових правил. Регулярний моніторинг дозволяє також оцінити
продуктивність системи під час високого навантаження, забезпечуючи її
стабільну роботу навіть у стресових умовах.
Оптимізація конфігурації та налаштування IDS є безперервним
процесом, який вимагає глибокого розуміння специфіки середовища,
ретельного тестування та постійного вдосконалення. Лише за таких умов
можна досягти максимальної ефективності у захисті критичної
інфраструктури та забезпечити її стійкість до сучасних загроз.
Інтеграція систем виявлення вторгнень (IDS) із сучасними технологіями
є одним із найбільш перспективних напрямів для підвищення ефективності
їхньої роботи та адаптації до динамічних умов сучасного кіберсередовища.
Використання штучного інтелекту (ШІ) та алгоритмів машинного навчання
відкриває нові можливості для вдосконалення механізмів виявлення загроз,
забезпечуючи більш точне та адаптивне реагування на нові типи атак. Це
ЧДТУ.24.23310.001 ПЗ
№ П
особливо важливо в умовах, коли обсяг даних і складність атак постійно
зростають.
Штучний інтелект забезпечує автоматизацію багатьох процесів, які
раніше вимагали втручання людини. У контексті IDS це означає здатність
систем самостійно навчатися на основі отриманих даних, створювати моделі
нормальної поведінки систем і виявляти аномалії, які можуть свідчити про
загрозу. Наприклад, якщо у мережі раптово з’являється новий пристрій, який
починає надсилати незвично великий обсяг даних, ШІ може автоматично
ідентифікувати це як підозрілу активність і попередити операторів безпеки. Це
дозволяє значно скоротити час виявлення загроз і мінімізувати ризик їхнього
розвитку.
Машинне навчання, як підгалузь ШІ, надає IDS здатність аналізувати
поведінкові патерни та створювати прогностичні моделі. Наприклад,
алгоритми машинного навчання можуть аналізувати історичні дані про атаки,
ідентифікувати характерні ознаки загроз і використовувати цю інформацію
для передбачення майбутніх атак. Це дозволяє IDS бути не лише реактивними,
а й проактивними, запобігаючи атакам до їхнього розвитку. Алгоритми
кластеризації та розпізнавання аномалій дозволяють виявляти нові, раніше
невідомі типи загроз, які не мають попередньо визначених сигнатур.
Інтеграція IDS із технологіями великих даних (Big Data) є ще одним
ключовим елементом у підвищенні їхньої ефективності. Сучасні
інфраструктури генерують величезні обсяги інформації, що складається з
логів подій, мережевого трафіку, активності користувачів та даних IoT-
пристроїв. Аналіз таких обсягів даних вручну або за допомогою традиційних
методів є практично неможливим. Використання технологій Big Data дозволяє
IDS ефективно обробляти ці дані в реальному часі, створюючи більш детальні
картини про стан мережі та можливі загрози. Наприклад, аналіз кореляцій між
подіями в різних частинах інфраструктури може допомогти виявити
багатоступеневі атаки, які залишаються невидимими при ізольованому аналізі
окремих компонентів.
ЧДТУ.24.23310.001 ПЗ
№ П
Хмарні обчислення є ще одним важливим компонентом інтеграції IDS із
сучасними технологіями. Використання хмарних платформ дозволяє
масштабувати обчислювальні ресурси залежно від потреб, забезпечуючи
продуктивність навіть у великих розподілених мережах. Наприклад, якщо в
певний момент у мережі спостерігається значне збільшення обсягу трафіку,
IDS, що працюють у хмарі, можуть швидко залучити додаткові ресурси для
обробки цих даних. Крім того, хмарні обчислення забезпечують доступ до
потужних інструментів аналізу, таких як обробка великих даних та алгоритми
машинного навчання, які можуть бути інтегровані безпосередньо у роботу
IDS.[29]
Використання хмарних технологій також забезпечує географічну
масштабованість IDS. У глобальних організаціях, які мають розподілену
інфраструктуру з офісами та об’єктами у різних країнах, хмарні платформи
дозволяють централізувати моніторинг та управління безпекою. Це зменшує
складність інтеграції систем і забезпечує більш ефективний захист всієї
інфраструктури.
Однак інтеграція IDS із сучасними технологіями має враховувати
потенційні ризики. Наприклад, використання хмарних платформ створює
залежність від зовнішніх провайдерів, що може стати вразливістю у випадку
компрометації цих провайдерів. Для мінімізації таких ризиків необхідно
впроваджувати додаткові заходи безпеки, такі як шифрування даних,
багаторівнева аутентифікація та постійний аудит безпеки.
Інтеграція IDS із сучасними технологіями значно підвищує їхню
адаптивність до нових викликів кібербезпеки. Штучний інтелект, машинне
навчання, великі дані та хмарні обчислення створюють синергетичний ефект,
дозволяючи IDS працювати з більшим обсягом даних, більшою швидкістю та
точністю. Це забезпечує не лише виявлення вже відомих загроз, але й здатність
ідентифікувати нові, раніше невідомі атаки, що є критично важливим у
сучасному кіберсередовищі.
ЧДТУ.24.23310.001 ПЗ
№ П
Розробка багаторівневої системи захисту є одним із найважливіших
підходів до забезпечення кібербезпеки критичних об’єктів. Системи
виявлення вторгнень (IDS) демонструють свою максимальну ефективність у
поєднанні з іншими інструментами захисту, створюючи цілісний,
інтегрований механізм протистояння сучасним загрозам. Комплексний підхід
до захисту дозволяє враховувати специфіку кожного рівня інфраструктури та
забезпечувати більш надійний і стійкий захист від атак.
У багаторівневій системі кібербезпеки IDS виконує функцію
моніторингу та виявлення загроз у реальному часі, проте її можливості значно
розширюються завдяки інтеграції з системами управління подіями та
інформацією безпеки (SIEM). SIEM дозволяє централізувати дані з різних
джерел, включаючи IDS, і забезпечує комплексний аналіз подій. Завдяки
цьому можна виявляти складні багатоступеневі атаки, які охоплюють кілька
частин інфраструктури. Наприклад, SIEM може корелювати дані про
аномальну поведінку в мережі, які були зафіксовані IDS, з журналами доступу
до системи, виявляючи взаємозв’язок між діями зловмисника. Це значно
підвищує точність і швидкість реагування на загрози.
Системи запобігання вторгнень (IPS) є ще одним важливим
компонентом багаторівневого підходу. На відміну від IDS, які фіксують
загрози та надають сповіщення, IPS може автоматично реагувати на виявлені
загрози, блокуючи їх до того, як вони зможуть завдати шкоди. Наприклад,
якщо IDS ідентифікує спробу несанкціонованого доступу до мережі, IPS може
автоматично закрити підозріле з’єднання або заблокувати IP-адресу
зловмисника. Це забезпечує оперативну реакцію на загрози, зменшуючи час
між виявленням атаки та її нейтралізацією. У поєднанні з IDS, IPS створюють
більш ефективний механізм захисту, оскільки об’єднують можливості
виявлення та блокування загроз.
Ще одним важливим рівнем захисту є засоби аутентифікації та
контролю доступу. Вони забезпечують обмеження доступу до чутливих даних
і систем, мінімізуючи ризик інсайдерських загроз або несанкціонованого
ЧДТУ.24.23310.001 ПЗ
№ П
доступу. Наприклад, багатофакторна аутентифікація дозволяє забезпечити
додатковий рівень перевірки для користувачів, зменшуючи ризик
компрометації облікових записів. Контроль доступу також дозволяє
встановлювати різні рівні привілеїв для користувачів і систем, що мінімізує
вплив потенційного зловмисника навіть у разі успішного проникнення. У
поєднанні з IDS такі засоби дозволяють виявляти та запобігати аномальним
діям, наприклад, якщо користувач намагається отримати доступ до ресурсів,
для яких у нього немає дозволу.
Багаторівневий підхід до кіберзахисту також включає використання
шифрування для забезпечення конфіденційності даних. Наприклад, у разі
атаки типу «людина посередині» (Man-in-the-Middle) зловмисник може
перехоплювати дані, що передаються через мережу. Використання протоколів
шифрування, таких як TLS, значно знижує ризик компрометації, оскільки
навіть у разі перехоплення даних вони залишаються недоступними для
зловмисника.
Інтеграція IDS із засобами резервного копіювання та відновлення даних
є ще одним важливим компонентом багаторівневої системи захисту.
Наприклад, у разі атаки програм-вимагачів (Ransomware) IDS може
ідентифікувати спробу шифрування файлів, але для мінімізації наслідків такої
атаки важливо мати регулярні резервні копії даних. Засоби резервного
копіювання дозволяють швидко відновити роботу системи, навіть якщо
частина даних була пошкоджена або втрачена в результаті атаки.
Важливою перевагою багаторівневої системи захисту є її здатність
зменшувати залежність від одного інструменту. У разі компрометації одного з
компонентів система залишається функціональною завдяки іншим засобам
захисту. Наприклад, якщо зловмисник обходить IDS, IPS або засоби
аутентифікації можуть виявити та нейтралізувати загрозу. Це забезпечує
більшу стійкість системи до атак і знижує ризик повного порушення безпеки.
Використання поведінкового аналізу у системах виявлення вторгнень
(IDS) є одним із найперспективніших напрямів розвитку кібербезпеки,
ЧДТУ.24.23310.001 ПЗ
№ П
оскільки цей підхід дозволяє значно підвищити точність і ефективність
ідентифікації загроз. На відміну від традиційних методів, які спираються на
сигнатури відомих атак, поведінковий аналіз базується на вивченні звичайної,
очікуваної поведінки систем, користувачів та пристроїв і виявленні аномалій,
які можуть сигналізувати про потенційну загрозу.
Основна ідея поведінкового аналізу полягає у створенні базових
моделей нормальної поведінки для кожного елемента системи. Наприклад,
якщо користувач зазвичай взаємодіє з певними ресурсами у певний час доби,
завантажує обмежені обсяги даних або використовує лише конкретні
програми, ці параметри формують шаблон, який система вважає нормальною
поведінкою. У разі відхилення від цієї норми, наприклад, якщо користувач
раптово починає завантажувати великі обсяги даних у нетиповий час, система
визначає це як потенційну аномалію і генерує сповіщення.
Поведінковий аналіз дозволяє виявляти широкий спектр загроз, які
можуть залишитися непоміченими за допомогою сигнатурного аналізу.
Наприклад, атаки нульового дня, які ще не мають відомих сигнатур, часто
включають незвичну поведінку користувачів або пристроїв. У таких випадках
поведінковий аналіз може ідентифікувати загрозу на основі аномального
використання ресурсів, нетипової мережевої активності або підозрілих змін у
конфігураціях системи. Це особливо актуально для великих і складних
інфраструктур, де зловмисники можуть використовувати інноваційні методи
обходу традиційних систем захисту.[30]
Ключовим аспектом поведінкового аналізу є збір і обробка великих
обсягів даних для створення базових моделей. Наприклад, у мережі може бути
зібрано інформацію про кожен сеанс користувача, включаючи час входу в
систему, тривалість активності, використання програм та обсяги переданих
даних. Ця інформація аналізується за допомогою алгоритмів машинного
навчання, які створюють динамічні моделі нормальної поведінки. У разі
значного відхилення від цих моделей система може визначити подію як
ЧДТУ.24.23310.001 ПЗ
№ П
потенційно шкідливу. Такий підхід дозволяє виявляти навіть найменші
аномалії, які можуть бути попередниками серйозних атак.
Важливою перевагою поведінкового аналізу є його здатність
адаптуватися до змін у поведінці систем і користувачів. Наприклад, у разі
впровадження нового програмного забезпечення або змін у робочих процесах
система може автоматично оновити базові моделі поведінки, щоб врахувати ці
зміни і зменшити кількість помилкових спрацювань. Це робить поведінковий
аналіз особливо ефективним у динамічних середовищах, таких як
корпоративні мережі або інфраструктури IoT.
Поведінковий аналіз також дозволяє виявляти внутрішні загрози, які
можуть виникати через помилки або зловмисні дії співробітників. Наприклад,
якщо працівник, який зазвичай не має доступу до конфіденційних даних,
раптово намагається отримати доступ до таких ресурсів, система може
визначити це як аномалію і ініціювати розслідування. Це значно знижує ризик
витоку інформації або несанкціонованих дій усередині організації.
Регулярне тестування та оновлення систем виявлення вторгнень (IDS) є
критично важливим елементом забезпечення їхньої ефективності у виявленні
та реагуванні на загрози. У сучасному динамічному кіберсередовищі загрози
постійно змінюються, стають складнішими та адаптивнішими, що вимагає
постійного вдосконалення захисних систем. Тестування та оновлення IDS
забезпечують їхню актуальність, здатність протистояти новим атакам і
готовність працювати у різних умовах.
Тестування IDS є важливим процесом, який дозволяє оцінити здатність
системи виявляти загрози, навіть ті, які використовують новітні техніки
обходу традиційних механізмів захисту. Імітаційні атаки, такі як пентестинг
(penetration testing), дозволяють моделювати реальні сценарії атак і перевіряти,
як система реагує на них. Наприклад, тестування може включати спроби
зловмисників проникнути у мережу за допомогою сканування портів, атаки на
паролі або впровадження шкідливого коду. Аналіз результатів таких тестів
ЧДТУ.24.23310.001 ПЗ
№ П
дозволяє виявити слабкі місця у налаштуваннях системи, визначити, які види
атак залишаються непоміченими, та вдосконалити механізми виявлення.
Оцінка продуктивності IDS у різних сценаріях є ще одним важливим
аспектом тестування. Сучасні мережі генерують величезні обсяги даних, і IDS
повинна мати можливість обробляти цей трафік у режимі реального часу.
Тестування під високим навантаженням дозволяє оцінити, як система
справляється з великим обсягом даних, і визначити, чи здатна вона працювати
ефективно без затримок. Наприклад, у випадку розподіленої атаки типу DDoS,
коли на мережу здійснюється масована атака з тисяч підключень, IDS повинна
мати достатню обчислювальну потужність, щоб аналізувати трафік і виявляти
шкідливі з’єднання. Якщо система перевантажується і починає пропускати
загрози, це вказує на необхідність оптимізації її налаштувань або оновлення
обладнання.
Оновлення програмного забезпечення IDS є невід’ємною частиною
забезпечення їхньої актуальності та безпеки. З розвитком нових методів атак
старі версії програмного забезпечення можуть втратити свою ефективність,
залишаючи систему вразливою до сучасних загроз. Регулярне оновлення
дозволяє впроваджувати нові сигнатури для виявлення відомих атак,
покращувати алгоритми аналізу трафіку та усувати вразливості, які могли
бути виявлені у попередніх версіях. Наприклад, оновлення можуть включати
нові функції для аналізу поведінкових патернів, інтеграцію із сучасними
протоколами шифрування або покращення сумісності з іншими засобами
кібербезпеки.
Тестування IDS також дозволяє виявити і вирішити проблеми, які
можуть виникати у процесі роботи системи. Наприклад, надмірна кількість
помилкових спрацювань, які перевантажують операторів безпеки, може бути
результатом неефективно налаштованих правил або конфліктів між різними
компонентами системи. Регулярне тестування дозволяє виявити такі проблеми
та внести необхідні корективи, щоб зменшити кількість хибних тривог і
підвищити точність виявлення реальних загроз.
ЧДТУ.24.23310.001 ПЗ
№ П
Ефективність роботи систем виявлення вторгнень (IDS) значною мірою
залежить не лише від технологічних аспектів, але й від рівня підготовки та
компетенції персоналу, який їх обслуговує. Навіть найбільш інноваційні та
досконалі IDS можуть бути малоефективними, якщо оператори, які працюють
із системою, не володіють достатніми знаннями та навичками. Освіта та
регулярна підготовка фахівців є ключовими факторами для досягнення
високої ефективності виявлення загроз і забезпечення належного рівня
кібербезпеки.
Для того щоб персонал міг ефективно працювати з IDS, необхідно
забезпечити глибоке розуміння принципів роботи цих систем. Оператори
повинні знати, як IDS аналізує трафік, визначає потенційні загрози та формує
сповіщення. Це включає знання про різні типи IDS, такі як мережеві, хостові
та гібридні системи, а також розуміння їхньої ролі у забезпеченні
кібербезпеки. Важливо навчити фахівців налаштовувати IDS відповідно до
специфіки інфраструктури, визначати релевантні сигнатури та створювати
поведінкові моделі для виявлення аномалій.[15]
Окрім технічного розуміння, оператори повинні вміти аналізувати
сповіщення, що генеруються системою. IDS можуть створювати значну
кількість сигналів, зокрема помилкових спрацювань, які не становлять
реальної загрози. Фахівці повинні бути здатні швидко ідентифікувати істотні
загрози серед великої кількості даних, розпізнавати патерни шкідливої
активності та відкидати помилкові сигнали. Це вимагає розуміння характеру
сучасних атак, їхніх ознак і технік, які використовують зловмисники.
Наприклад, атаки типу «груба сила» або DDoS мають чіткі патерни, які можуть
бути помітними для досвідченого фахівця, але неочевидними для новачка.
Навчання персоналу повинно бути регулярним і включати як теоретичну
підготовку, так і практичне відпрацювання знань у реальних сценаріях.
Практичні тренінги дозволяють фахівцям отримати досвід роботи з IDS у
середовищах, максимально наближених до реальних. Наприклад, навчання
може включати імітацію атак, де оператори мають реагувати на загрози,
ЧДТУ.24.23310.001 ПЗ
№ П
аналізувати інциденти та вживати заходів для їхньої нейтралізації. Такі
тренінги дозволяють не лише закріпити знання, але й розвинути навички
швидкого прийняття рішень у стресових умовах, що є критично важливим для
забезпечення ефективної роботи IDS.
Підготовка персоналу також повинна враховувати постійний розвиток
методів атак і технологій захисту. Зловмисники постійно вдосконалюють свої
техніки, використовуючи нові способи обходу систем виявлення. Тому фахівці
з кібербезпеки повинні бути обізнаними з останніми тенденціями у сфері
загроз, наприклад, з атаками нульового дня або використанням шкідливого
програмного забезпечення з адаптивними характеристиками. Для цього
можуть використовуватися спеціалізовані курси, семінари, участь у
кібербезпекових конференціях та обмін досвідом із колегами з інших
організацій.
Використання хмарних технологій у контексті роботи IDS додає нових
можливостей для підвищення ефективності систем, але також вимагає від
персоналу додаткових знань та навичок. Хмарні платформи дозволяють
обробляти великі обсяги даних у реальному часі, масштабувати ресурси
залежно від потреб мережі та інтегрувати IDS із іншими засобами
кібербезпеки. Наприклад, хмарні IDS можуть бути використані для
моніторингу розподілених інфраструктур або для обробки даних із численних
джерел у централізованій системі.
Однак використання хмарних технологій вимагає додаткових заходів
безпеки, які оператори повинні розуміти та впроваджувати. Зокрема, це
стосується шифрування даних, які передаються та зберігаються у хмарі, а
також контролю доступу до хмарних ресурсів. Навчання персоналу у цій сфері
має включати розуміння ризиків, пов’язаних із залежністю від зовнішніх
провайдерів, та способів їхньої мінімізації. Наприклад, фахівці повинні знати,
як налаштовувати політики доступу, здійснювати моніторинг активності у
хмарі та реагувати на інциденти, пов’язані з можливими вразливостями
хмарної платформи.
ЧДТУ.24.23310.001 ПЗ
№ П
Підготовка персоналу до роботи з IDS також включає розвиток навичок
командної роботи. У сучасних організаціях кібербезпека є колективним
завданням, яке потребує тісної взаємодії між фахівцями різних напрямків.
Наприклад, оператори IDS повинні співпрацювати з командами з управління
подіями та інформацією безпеки (SIEM), адміністраторами мереж і фахівцями
з аналізу інцидентів. Від злагодженості цієї взаємодії часто залежить
швидкість і ефективність реагування на загрози.
Для забезпечення ефективного захисту критичних інфраструктур із
використанням IDS необхідно постійно вдосконалювати ці системи та
адаптувати їх до нових викликів. Це включає оптимізацію конфігурації,
інтеграцію з сучасними технологіями, розробку багаторівневих рішень,
впровадження поведінкового аналізу та регулярне тестування. Крім того,
важливим аспектом є підготовка кваліфікованих фахівців, які можуть
ефективно працювати з IDS. Лише комплексний підхід до розвитку цих систем
дозволить забезпечити високий рівень безпеки для критичних об’єктів у
сучасному кіберсередовищі.
ЧДТУ.24.23310.001 ПЗ
№ П
РОЗДІЛ 3 ОГЛЯД ДАНИХ ТА ПРОГРАМНОЇ РЕАЛІЗАЦІЇ ПРОДУКТУ
3.1 Аналіз даних, виявлення аномалій та архітектура системи
Використання машинного навчання для забезпечення безпеки
комунікаційної мережі має низку значних переваг, які включають можливість
виявляти загрози в режимі реального часу, автоматизувати відповіді на них,
виявляти нові типи атак, а також знижувати кількість помилкових
спрацьовувань. Завдяки цим перевагам можна значно підвищити загальний
рівень безпеки мережі та забезпечити надійний захист важливих даних і
ресурсів від зовнішніх та внутрішніх загроз. Такий підхід дозволяє оперативно
реагувати на нові виклики, тим самим мінімізуючи потенційний ризик для
інфраструктури.
У рамках дослідження було прийнято рішення використовувати набір
даних TON_IoT Datasets [33], який є публічним і включає інформацію як про
безпечні, так і типові атаки, що імітують реальні загрози для сучасних мереж.
Цей набір містить результати аналізу мережевого трафіку, що може бути
застосований в таких системах як виявлення вторгнень, виявлення
зловмисного програмного забезпечення, збереження конфіденційності даних
та пошук загроз. Така різноманітність даних дозволяє використовувати набір
для тренування моделей машинного навчання, що спеціалізуються на
виявленні різноманітних мережевих аномалій і атак.
TON_IoT Datasets містить численні файли CSV, які описують різні
атрибути мережевого трафіку. Серед них є, зокрема:
мітки часу, що фіксують момент передачі кожного пакету;
IP-адреси джерела та призначення, що дозволяють ідентифікувати
учасників мережевої комунікації;
порти джерела та призначення, які можуть допомогти в
ідентифікації типу трафіку або застосовуваних сервісів;
використовувані протоколи, що дають змогу аналізувати типи
з'єднань;
ЧДТУ.24.23310.001 ПЗ
№ П
тривалість з'єднання, що вказує на час активності мережевих
зв'язків;
кількість пакетів, що передаються під час сесії;
обсяг переданих даних, що дозволяє оцінити інтенсивність
трафіку.
Ці атрибути є важливими для аналізу та виявлення мережевих аномалій,
оскільки дають можливість класифікувати трафік за різними параметрами і, в
разі необхідності, виявляти аномалії або підозрілі активності, що можуть бути
ознаками атак.[2]
Цей набір даних є надзвичайно корисним для проведення глибокого
аналізу мережевого трафіку, оскільки дає змогу ідентифікувати типові атаки
та аномалії, що виникають у мережах. Завдяки широкому спектру атрибутів,
таких як IP-адреси, порти, протоколи, кількість пакетів і обсяг даних, можна
ефективно класифікувати трафік за різними параметрами, а також виявляти
аномалії або підозрілі активності, які можуть бути ознаками кібератак. Це
дозволяє автоматизувати процес виявлення загроз і значно покращити
ефективність системи виявлення вторгнень (IDS).
Набір даних TON_IoT Datasets дозволяє не лише здійснювати детальний
аналіз мережевого трафіку, але й навчати моделі машинного навчання для
виявлення і запобігання кібератакам. Він включає приклади різних типів атак,
таких як DoS (Denial of Service), DDoS (Distributed Denial of Service) та
ransomware, що дозволяє створювати моделі, здатні виявляти ці загрози в
реальному часі.
Однією з особливостей цього набору є те, що він був зібраний у
реалістичних умовах великомасштабного мережевого середовища, де
використовувалися різні техніки злому, зокрема атаки на веб-додатки, шлюзи
IoT (Internet of Things) та комп'ютерні системи. Це дозволяє моделювати і
відтворювати реальні сценарії кібератак, що робить його корисним
інструментом для дослідження та розробки заходів з кібербезпеки.
ЧДТУ.24.23310.001 ПЗ
№ П
Датасет також містить дані, зібрані з великої кількості джерел,
включаючи датчики Інтернету речей (IoT) та промислового Інтернету речей
(IIoT). Це дозволяє аналізувати мережевий трафік не тільки для стандартних
комп'ютерних систем, але й для пристроїв, що знаходяться в екосистемах IoT
та IIoT, які можуть бути вразливими до специфічних видів атак. Завдяки
цьому, використання цього датасету дає змогу більш ефективно охоплювати
широкий спектр потенційних загроз у сучасних розподілених мережах.
Для ефективного аналізу мережевого трафіку та інтеграції різних
інструментів обробки даних у рамках дослідження було обрано програмне
забезпечення GNS3 (Graphical Network Simulator-3). Це потужне програмне
середовище дозволяє створювати складні мережеві сценарії та інтегрувати
різноманітні інструменти для моніторингу, тестування та аналізу мережевого
трафіку.
GNS3 підтримує створення віртуальних мереж, що включають реальні
операційні системи та мережеві пристрої, що дозволяє емулювати реальні
мережеві компоненти, такі як маршрутизатори, комутатори, брандмауери,
сервери та інші пристрої. Це дозволяє симулювати і тестувати мережі без
ризику для реальних інфраструктур, що є важливим для дослідження нових
технологій або для підготовки до впровадження в реальних умовах.
Однією з головних переваг GNS3 є здатність інтегрувати та емулювати
різноманітні мережеві пристрої від різних виробників, таких як Juniper,
Mikrotik, CheckPoint, а також Cisco. Завдяки цій можливості можна
створювати реалістичні мережеві топології, які відображають справжні умови
функціонування сучасних корпоративних мереж. Це дозволяє моделювати
різні варіанти мережевого трафіку та протестувати, як система буде реагувати
на потенційні кібератаки, а також оцінити ефективність системи виявлення
вторгнень (IDS).
GNS3 дає змогу не лише тестувати окремі елементи мережі, а й
розгортати повноцінні мережеві середовища для навчання, досліджень та
розробки нових мережевих рішень. Така гнучкість дозволяє швидко
ЧДТУ.24.23310.001 ПЗ
№ П
адаптуватися до змінюваних умов і забезпечує максимально ефективний
процес аналізу даних та інтеграції інструментів для обробки мережевого
трафіку (Рис. 3.1).
Рисунок 3.1 – Встановлення та налаштування GNS3, створення
проекту, додавання мережевих пристроїв (маршрутизатори, комутатори,
сервери, клієнтські пристрої), налаштування інтерфейсів та IP-адрес.
Процес налаштування та інтеграції різних мережевих пристроїв у GNS3
починається з інсталяції програмного забезпечення на робочому комп'ютері.
Після цього, за допомогою налаштувань середовища, здійснюється створення
нового проекту. У цьому проекті користувач визначає основні параметри
мережі, вибирає пристрої для додавання та налаштовує їх для роботи.
На наступному етапі до проекту додаються різні мережеві пристрої, які
можуть включати маршрутизатори, комутатори, сервери та клієнтські
пристрої. Маршрутизатори допомагають визначати маршрути для трафіку між
різними мережами, комутатори організовують мережеві з'єднання, сервери
обробляють запити клієнтів, а клієнтські пристрої емулюють користувачів
мережі.
Після додавання пристроїв потрібно налаштувати їхні інтерфейси для
забезпечення взаємодії між різними компонентами через фізичні або
віртуальні мережеві з'єднання. Кожному мережевому пристрою присвоюється
ЧДТУ.24.23310.001 ПЗ
№ П
унікальна IP-адреса, що необхідно для коректного маршрутування даних у
межах мережі.
Ці кроки разом дозволяють створити реалістичну мережеву
інфраструктуру, в якій можна провести різноманітні дослідження та аналіз
мережевого трафіку, а також виявлення аномалій, що є критичними для
подальшої роботи системи виявлення вторгнень.
Після налаштування мережевих інтерфейсів на маршрутизаторі та
призначення кожному з них унікальних IP-адрес, було досягнуто стабільної
роботи мережі, що дозволяє ефективно маршрутизувати трафік між різними
сегментами. Для кожного інтерфейсу виконуються наступні етапи
налаштувань, що забезпечують правильну роботу маршрутизатора і стабільне
підключення до мережі.[18]
Першим кроком є увімкнення інтерфейсу. Це необхідно для того, щоб
маршрутизатор міг приймати та передавати пакети даних через цей інтерфейс.
Без увімкненого інтерфейсу маршрутизатор не може функціонувати належним
чином, оскільки він не зможе взаємодіяти з іншими мережами або пристроями.
Наступним кроком є призначення IP-адреси кожному інтерфейсу. Це
важливий етап, оскільки для кожного підключеного пристрою в мережі
потрібна унікальна адреса, яка дозволяє однозначно ідентифікувати його в
межах локальної мережі або Інтернету. Призначення правильних IP-адрес на
інтерфейсах маршрутизатора гарантує, що дані будуть правильно
маршрутизовані між різними мережами.
Після цього налаштовується автоматичний режим дуплексу, що
визначає, як маршрутизатор передає і приймає дані через інтерфейс. У
автоматичному режимі дуплекс маршрутизатор самостійно визначає, чи буде
використовуватися напівдуплекс (передача і прийом даних по черзі) чи повний
дуплекс (передача та прийом даних одночасно). Це налаштування дозволяє
оптимізувати роботу інтерфейсу і підвищити загальну ефективність мережі.
Окрім того, на кожному інтерфейсі встановлюється швидкість передачі
даних. Це налаштування забезпечує відповідність швидкості роботи
ЧДТУ.24.23310.001 ПЗ
№ П
інтерфейсу та можливостей пристрою, що до нього підключений. Важливо,
щоб швидкість передачі не була надмірно високою або низькою, оскільки це
може призвести до зниження ефективності передачі даних або до надмірного
навантаження на мережеві ресурси.
Завдяки виконаним налаштуванням, мережеві інтерфейси
маршрутизатора можуть ефективно передавати і приймати дані, що дозволяє
стабільно працювати всім пристроям, підключеним до мережі. Це забезпечує
безперебійну роботу мережі та її здатність справлятися з великими обсягами
трафіку, а також гарантує правильну маршрутизацію та обробку даних між
різними сегментами мережі.
Рисунок 3.2 – Конфігураційні команди для налаштування інтерфейсів
Для налаштування мережевих інтерфейсів маршрутизатора
використовуються кілька основних кроків.
ЧДТУ.24.23310.001 ПЗ
№ П
Увімкнення інтерфейсу. Першим кроком є активація інтерфейсу
маршрутизатора. Це здійснюється за допомогою команди no shutdown, яка
дозволяє інтерфейсу працювати, якщо він був вимкнений за замовчуванням.
Це необхідно для того, щоб інтерфейс почав передавати та отримувати
мережеві пакети.
Призначення IP-адреси. Наступним кроком є призначення унікальної IP-
адреси інтерфейсу для забезпечення його комунікації в мережі. Команда ip
address 192.168.1.1 255.255.255.0 задає конкретну IP-адресу і маску підмережі
для інтерфейсу, що дозволяє маршрутизатору коректно комунікувати з
іншими пристроями в тій самій мережі.
Встановлення автоматичного дуплексу і швидкості. Для забезпечення
оптимальної роботи інтерфейсу слід налаштувати параметри дуплексу та
швидкості з'єднання. Команди duplex auto та speed auto дозволяють
маршрутизатору автоматично вибирати відповідні налаштування дуплексу та
швидкості в залежності від можливостей підключеного пристрою. Це
забезпечує гнучкість та стабільність з'єднання.
Ці кроки є базовими для налаштування інтерфейсів маршрутизатора в
середовищі GNS3 або на реальному обладнанні Cisco, забезпечуючи коректну
роботу мережі та ефективну взаємодію між пристроями.
За допомогою Wireshark або TShark можна ефективно захоплювати і
аналізувати мережевий трафік у реальному часі, що дозволяє детально
вивчити пакети даних та їх параметри, такі як IP-адреси джерела і
призначення, порти джерела та призначення, протоколи, а також можливі
аномалії чи атаки. Використовуючи фільтри, можна вибірково виділити
необхідні пакети для більш глибокого аналізу.[27]
TShark, як командний інтерфейс для Wireshark, дає можливість
автоматизувати процес збору та аналізу даних. Це дозволяє захоплювати
трафік на конкретних мережевих інтерфейсах та зберігати його для
подальшого аналізу. Таким чином, можна ефективно моніторити мережу,
виявляти потенційні аномалії та оцінювати рівень захисту мережевих ресурсів,
ЧДТУ.24.23310.001 ПЗ
№ П
що є важливим для забезпечення безпеки в емульованих мережах або на етапі
тестування в реальних умовах.
Цей процес забезпечує високий рівень автоматизації, що значно
спрощує аналіз даних, зокрема у великих мережах або в автоматизованих
сценаріях тестування. Завдяки TShark можна ефективно працювати з
великими обсягами мережевого трафіку та швидко отримувати необхідну
інформацію для оцінки та покращення безпеки мережі.
Рисунок 3.3 – Встановлення та налаштування Wireshark/TShark,
захоплення трафіку за допомогою Wireshark, автоматизація процесу за
допомогою TShark
Цей рисунок ілюструє процес налаштування та використання
інструментів Wireshark і TShark для захоплення та аналізу мережевого
трафіку. На рисунку показано:
Встановлення Wireshark – процес інсталяції програмного забезпечення
Wireshark на комп'ютер. На цьому етапі користувач отримує можливість
запускати програму та здійснювати захоплення трафіку на різних мережевих
інтерфейсах.
Налаштування Wireshark – налаштування фільтрів і параметрів
захоплення для збору мережевого трафіку, наприклад, фільтрація за IP-
адресами, портами та протоколами.
Захоплення трафіку за допомогою Wireshark – показано, як здійснюється
реальне захоплення мережевого трафіку для подальшого аналізу. Користувач
ЧДТУ.24.23310.001 ПЗ
№ П
може переглядати пакети даних, що передаються по мережі, і детально
вивчати їх зміст.
Автоматизація захоплення трафіку з TShark – на рисунку
демонструється, як використовувати TShark для автоматичного захоплення та
збереження даних. TShark дозволяє користувачеві налаштувати автоматичне
захоплення пакетів, що може бути особливо корисно для великих мереж або
для інтеграції з іншими системами для моніторингу.
Цей рисунок ілюструє, як обидва інструменти можуть
використовуватися для збору та аналізу трафіку в реальному часі,
автоматизації процесів збору даних, а також для виявлення аномалій і загроз в
мережі.
Рисунок 3.4 – Перевірка ефективності захисних заходів в емульованій
мережі, аналіз захоплених даних та оцінка реакції на атаки
На рисунку показано, як у емульованій мережі здійснюється перевірка
ефективності захисних заходів за допомогою різних типів атак, таких як DoS,
DDoS, ransomware та інших, використовуючи дані з набору TON_IoT. Ось
основні етапи, що відображаються на рисунку:
Застосування типів атак – на рисунку продемонстровано, як в
емульованій мережі здійснюються атаки типу DoS (Denial of Service), DDoS
(Distributed Denial of Service), ransomware, а також інші, що є в наборі даних
ЧДТУ.24.23310.001 ПЗ
№ П
TON_IoT. Атаки генеруються з використанням реалістичних мережевих
сценаріїв для перевірки роботи захисних систем.
Захоплення трафіку під час атак – процес захоплення трафіку в мережі,
коли відбуваються атаки, за допомогою таких інструментів, як Wireshark або
TShark. Захоплені дані містять інформацію про мережеві пакети, час їх
надходження, протоколи, порти та інші атрибути.
Аналіз захоплених даних – після захоплення трафіку проводиться
глибокий аналіз отриманих пакетів, щоб визначити, чи були атаки успішно
заблоковані захисними механізмами. Це включає перевірку, чи відповідають
пакети правилам фільтрації та виявлення атак, чи відбувалася аномальна
активність в мережі.[7]
Оцінка реакції мережі – на рисунку показано, як оцінюється реакція
мережі на ці загрози. Це включає визначення часу реагування системи на
атаку, ефективність блокування атак, а також аналіз того, чи збереглася
працездатність мережі під час атак. Результати аналізу дозволяють оцінити
ефективність застосованих захисних механізмів.
Цей рисунок демонструє, як можна використовувати емульовану
мережу для тестування захисних систем, оцінки їх ефективності в реальних
умовах і виявлення можливих вразливостей, що можуть бути використані під
час атак.
3.2 Оцінка виявлення вторгнень
Для визначення мінімальної продуктивності класифікації та розробки
оптимальної моделі для виявлення мережевих вторгнень на основі машинного
навчання, слід ретельно проаналізувати сценарії використання та обрати
конкретний набір ознак. Це дозволить створити ефективну модель, яка
демонструє надійні результати в реальних мережевих сценаріях.
Один із ключових аспектів такого аналізу — це визначення ознак, що є
критично важливими для класифікації. Наприклад, деякі ознаки, такі як
ЧДТУ.24.23310.001 ПЗ
№ П
параметри на основі TTL (Time-To-Live), можуть мати непропорційно високу
передбачувану силу, але бути нереалістичними або неактуальними в реальних
умовах. Усунення таких ознак є важливим кроком для забезпечення точності
та практичності моделі.
Датасет ToN-IoT, представлений у форматі CSV, використовується для
навчання моделей. Він містить метки, які вказують, чи є трафік атакою чи
звичайною поведінкою, а також підкласи атак. До підкласів належать дев’ять
типів загроз, серед яких:
XSS (Cross-Site Scripting) – атаки на веб-додатки для
впровадження шкідливого коду.
DDoS (Distributed Denial of Service) – атаки на відмову в
обслуговуванні через перенавантаження системи.
DoS (Denial of Service) – схожі на DDoS, але здійснюються з
одного джерела.
Атаки злому паролів – спроби підбору паролів для отримання
доступу до системи.
Розвідка або верифікація (Reconnaissance) – збір інформації про
мережу перед здійсненням атаки.
MITM (Man-In-The-Middle) – атаки перехоплення трафіку між
клієнтом і сервером.
Програми-вимагачі (Ransomware) – шкідливі програми, які
блокують доступ до даних до виконання вимог зловмисників.
Бекдори (Backdoors) – приховані способи доступу до системи,
встановлені зловмисником.
Ін’єкційні атаки – атаки, що використовують впровадження коду
для компрометації систем.
Цей набір даних є вкрай важливим для створення моделей, оскільки він
відображає широкий спектр загроз і включає підкласи атак для детального
аналізу. У таблиці 3.1 представлено детальний опис типів даних, які містяться
ЧДТУ.24.23310.001 ПЗ
№ П
в цьому датасеті, їх призначення та приклади використання для навчання
моделей машинного навчання.
Дані з наборів ToN-IoT охоплюють різні операційні системи та мережеві
сценарії, що забезпечує широкий спектр для аналізу та навчання моделей
машинного навчання. Зокрема, дані поділені на кілька категорій, кожна з яких
включає як звичайні події, так і різні типи атак.
Набір даних для Windows 7 містить 28,366 записів та 132 функції. Цей
набір включає події, характерні для операційної системи Windows 7, що
дозволяє аналізувати специфічні загрози, які виникають у цій ОС.
Набір даних для Windows 10 включає 35,975 записів та 124 функції. У
порівнянні з Windows 7, цей набір даних враховує більш сучасні сценарії атак
та звичайної поведінки, які виникають у середовищі Windows 10.
Набір даних Network охоплює 21,978,632 записів та 42 функції, що
робить його найбільшим за обсягом у цьому переліку. Він зосереджується на
аналізі мережевого трафіку, що є ключовим для ідентифікації атак, таких як
DDoS чи MITM.[18]
Набір даних Win10–Network містить 1,073,754 записи. Він поєднує дані
з операційної системи Windows 10 та відповідного мережевого трафіку,
дозволяючи виявляти атаки у комплексних сценаріях взаємодії системи з
мережею.
Набір даних IoT спеціалізується на подіях, характерних для інтернету
речей, і дозволяє аналізувати загрози в цій швидко зростаючій сфері.
Кожен із зазначених наборів використовується для навчання та
тестування моделей машинного навчання, що дозволяє створювати системи
виявлення загроз для різних типів середовищ. У таблиці 3.2 детально
представлені характеристики кожного набору даних, включаючи кількість
записів, функції та приклади загроз, які вони охоплюють.
Цей підхід забезпечує багатогранний аналіз, дозволяючи враховувати
різноманітні аспекти кібербезпеки в різних операційних та мережевих
середовищах.
ЧДТУ.24.23310.001 ПЗ
№ П
Таблиця 3.1
Типи та кількість записів
Тип події Загальний запис даних Запис про Train–Test
Backdoor 508,116 20 000
DoS 3,375,328 20 000
DDoS 6,165,008 20 000
Ін'єкційний 452,659 20 000
MITM 1052 1043
Сканування 7,140,161 20 000
програми- 72,805 20 000
вимагачі
Пароль 1,718,568 20 000
XSS 2,108,944 20 000
нормальний 796,380 300 000
Всього 22,339,021 461,043
Таблиця 3.2
Кількість звичайних записів і типів вкладень
Тип події Windows 7 Windows 10 Network Win10–
Network
Backdoor 1779 - - 508,116
DoS - 525 3,375,328 109,957
DDoS 2134 4608 508,116 498,920
Ін'єкційний 998 612 452,659 24,311
Мітм - 15 1052 87
Сканування 226 447 7,140,161 208,572
Програми- 82 - 72,805 -
вимагачі
Пароль 757 3628 1,718,568 101,398
XSS 4 1269 21,089,844 106,746
Нормальний 22,387 24,871 796,380 23,763
Метою даного етапу є забезпечення якісної підготовки та обробки даних
для подальшого використання у процесі навчання моделей машинного
навчання. Цей етап включає завантаження даних, їх очищення, нормалізацію
та збереження у зручному форматі для навчання та тестування моделей.
ЧДТУ.24.23310.001 ПЗ
№ П
Вхідний набір даних містить інформацію про мережеві з'єднання та типи
атак, представлений у вигляді таблиці зі стовпцями, які включають такі
параметри:
IP-адреси джерела та призначення – дозволяють ідентифікувати
кінцеві точки мережевого трафіку.
Порти джерела та призначення – визначають специфіку взаємодії
в мережі.
Протоколи – описують типи передавання даних, наприклад, TCP,
UDP.
Тривалість з'єднання – характеризує взаємодію між пристроями.
Кількість байтів – дозволяє оцінити обсяг переданих даних.
Ці дані розділено на навчальний та тестовий набори у співвідношенні
70% до 30%, що було реалізовано за допомогою функції train_test_split із
параметром train_size=0.7. Таке розділення гарантує достатню кількість даних
для якісного навчання моделі та подальшої оцінки її продуктивності.
Для кожного з наборів даних було виконано кілька ключових етапів
обробки:
Очищення даних – усунення пропущених або некоректних значень, які
можуть викривляти результати аналізу. Наприклад, рядки з відсутніми IP-
адресами чи портами було вилучено.
Нормалізація – масштабування числових значень до єдиного діапазону,
що дозволяє уникнути домінування параметрів із великими числовими
значеннями під час навчання моделі. Наприклад, було застосовано метод
MinMaxScaler, щоб значення потрапили в діапазон [0, 1].
Кодування категоріальних змінних – параметри, такі як протокол або
тип атаки, було закодовано в числовий формат. Це забезпечує коректну
обробку цих параметрів моделями машинного навчання.
Фільтрація значущих ознак – видалення характеристик із низькою
інформативністю або тих, які мають аномально високу кореляцію, наприклад,
значення TTL (Time To Live).
ЧДТУ.24.23310.001 ПЗ
№ П
Результатом цього етапу є високоякісний підготовлений набір даних, що
дозволяє створити ефективні моделі для виявлення загроз. Оброблені дані
було збережено у форматі CSV для зручності подальшого аналізу та навчання
моделей.
Додатково до основних етапів очищення та нормалізації даних було
виконано такі специфічні перетворення для забезпечення коректної роботи
моделей машинного навчання:
Заміна дефісів на нулі
У деяких стовпцях набору даних значення "-" використовувалися як
маркер відсутності числового значення. Для коректної обробки ці значення
було замінено на нулі, щоб уникнути помилок під час роботи моделей.
Перетворення булевих значень
Булеві значення, представлені у форматі "F" (False) та "T" (True), були
конвертовані в числові аналоги: "F" замінено на 1, а "T" – на 2. Це дозволяє
зберігати інформацію про ці значення у вигляді чисел, які можуть
використовуватися моделями.
Перетворення IP-адрес
IP-адреси джерела та призначення, представлені у стандартному
форматі (наприклад, 192.168.0.1), було перетворено в числовий формат. Для
цього кожен октет адреси було конвертовано в число, що спрощує обробку
даних та покращує продуктивність моделей.[24]
Перетворення рядкових значень
Рядкові значення, що зустрічалися в деяких стовпцях, були замінені на
числові індекси. Наприклад:
Протоколи "tcp", "udp" та "icmp" було перетворено на 1, 2 та 3
відповідно.
Інші текстові значення були замінені на унікальні числові значення, що
дозволяє зберегти структуру даних у числовій формі.
ЧДТУ.24.23310.001 ПЗ
№ П
Ці перетворення забезпечують стандартизацію даних, необхідну для
побудови надійних і ефективних моделей машинного навчання, а також
значно спрощують процес аналізу даних.
Результат обробки та нормалізації вхідних даних дозволив підготувати
їх до ефективного використання у процесі машинного навчання. Після
виконання всіх етапів очищення, перетворень та нормалізації, отриманий
набір даних став повністю готовим для використання в алгоритмах побудови
моделей, зокрема для навчання та тестування класифікаторів.
Оброблені дані тепер представлені у стандартизованому форматі: всі
значення числові, відсутні некоректні чи пропущені дані, а текстові та булеві
параметри переведені у цифровий вигляд. Ця стандартизація значно спрощує
подальшу обробку, забезпечує стабільність роботи моделей та сприяє
підвищенню їхньої точності.
На рисунку 3.5 продемонстровано структуру підготовлених даних,
зокрема, приклад рядків із вхідного набору даних після виконання всіх етапів
очищення та нормалізації.
Кожен етап процесу обробки даних був ретельно задокументований і
реалізований, щоб забезпечити якість та точність підготовки. Це включало
завантаження вихідного набору даних, його очищення від некоректних або
пропущених значень, нормалізацію числових параметрів та адаптацію даних
до форматів, необхідних для моделей машинного навчання.
Особливу увагу приділено збереженню результатів на кожному етапі,
що дозволяє відстежувати всі зміни, зроблені в процесі обробки. Такий підхід
забезпечує можливість повторного використання підготовленого набору
даних та його інтеграцію в різні сценарії моделювання або тестування.
Рисунок 3.5 – Результат первинної обробки даних
ЧДТУ.24.23310.001 ПЗ
№ П
Наступний етап передбачав уніфікацію типів атак шляхом їх
перетворення в єдиний тип із значенням "1". Це дозволило спростити
подальший процес аналізу даних і створити більш узагальнену модель для
виявлення загроз. Окрім цього, було видалено особливості з низькою
кореляцією з виходом, що дозволило зосередитись на більш значущих
параметрах для навчання моделі.
Процес включав декілька важливих кроків. Спочатку було завантажено
набір даних і виконано перетворення типів атак у відповідне єдине значення.
Після цього здійснено підрахунок частотності нових значень, що дозволило
перевірити правильність перетворення. Далі були видалені нерелевантні
особливості, які не мали суттєвого впливу на результати аналізу, щоб
зменшити обчислювальну складність і підвищити точність моделі.
Для зручності роботи із результатами було створено додаткову функцію,
яка організовувала директорії для зберігання отриманих файлів. Це
забезпечило легкий доступ до проміжних і кінцевих результатів, а також
сприяло впорядкованості під час обробки великого обсягу даних. Усі
результати були збережені у нові файли, що стали основою для наступних
етапів аналізу та навчання моделі.
Перший крок полягав у створенні необхідних директорій для організації
збереження результатів. Це забезпечило структурований підхід до збереження
даних, що суттєво полегшувало доступ до проміжних і фінальних результатів
у подальшій роботі. Завдяки впорядкованій структурі директорій вдалося
ефективно організувати процес обробки великого обсягу даних, мінімізуючи
ймовірність плутанини та помилок.[7]
Оптимальним підходом для спрощення моделі виявлення атак було
перетворення різних типів атак у єдиний тип, позначений значенням 1. Це
дозволило знизити складність задачі і полегшити подальшу обробку даних.
Для цього в стовпці type всі конкретні типи атак, такі як flooding, injection та
інші, були замінені на значення 1. Заміни виглядали таким чином:
Значення 2 (наприклад, flooding) замінювалося на 1.
ЧДТУ.24.23310.001 ПЗ
№ П
Значення 3 (наприклад, injection) також замінювалося на 1.
Для інших типів атак проводилась аналогічна заміна на значення
1.
Такий підхід дозволив спростити аналіз і покращити ефективність
моделі машинного навчання, оскільки всі атаки були приведені до єдиного
формату.
Не всі особливості в наборі даних мають високу кореляцію з вихідними
даними (міткою). Особливості, які мають низьку кореляцію до виходу, можуть
створювати складнішу модель, яка не дасть хороших результатів і погіршить
ефективність виявлення атак. Тому наступним кроком було проведення
аналізу кореляції кожної з особливостей з міткою.
Цей процес включав оцінку, наскільки кожна особливість впливає на
результат, і вилучення тих, які не дають значущого внеску в модель. Таким
чином, були видалені ті функції, які мали низьку або нульову кореляцію з
міткою, що допомогло зменшити складність моделі та покращити її
ефективність.
Після видалення особливостей з низькою кореляцією та заміни типів
атак, наступним кроком був підрахунок частотності нових значень у стовпці
type. Це дозволило оцінити, скільки записів у наборі даних належать до нового
типу атаки (значення 1), та перевірити коректність заміни типів атак. Завдяки
цьому можна було впевнитися, що в наборі даних не залишилось старих типів
атак, і всі записи були правильно категоризовані.
Для подальшого покращення результатів моделі, було здійснено
балансування кількості записів у різних класах. Кількість записів для класу з
більшою кількістю було зменшено до рівня класу з меншою кількістю. Це
дозволило вирівняти кількість записів між різними класами, що важливо для
покращення навчання моделі і зменшення ймовірності упередженості моделі
до певних класів.
Після виконання недобору записів, була здійснена перевірка частотності
значень типів атак у збалансованих даних, щоб переконатися у правильності
ЧДТУ.24.23310.001 ПЗ
№ П
виконаного збалансування та підготовки набору даних для подальшого
використання в навчанні моделі.
Для реалізації навчання та тестування глибокої нейронної мережі (DNN)
на збалансованих даних, був виконаний кілька етапів. Спочатку створена
модель DNN, яка була навчена за допомогою механізму ModelCheckpoint. Цей
механізм дозволяє зберігати найкращу модель, що має мінімальну втрату на
валідаційному наборі даних, що дозволяє запобігти перенавчанню і
забезпечити максимальну ефективність моделі.
Після завершення навчання, найкраща модель використовувалася для
тестування на тестовому наборі даних. Оцінка результатів тестування
проводилася за допомогою матриці невідповідностей (Confusion Matrix), що
дозволяло визначити точність класифікації, а також оцінити кількість хибно
класифікованих значень (як для позитивних, так і для негативних класів). Це є
важливим кроком для виявлення слабких місць моделі та її подальшого
покращення.
Для покращення точності класифікації атак можна застосувати й інші
моделі, такі як BiLSTM (двонаправлена довготривала короткострокова
пам'ять) та CNN (згорткова нейронна мережа). Моделі BiLSTM добре
справляються з обробкою послідовних даних, таких як мережевий трафік,
виявляючи контексти з попередніх та наступних елементів послідовності.
Моделі CNN можуть бути корисними для виділення локальних особливостей
у даних, особливо коли мова йде про зображення або структуровані дані, що
мають просторові залежності.[25]
Поєднання цих моделей з моделлю DNN може значно покращити
загальну точність класифікації, дозволяючи виявляти мережеві загрози з
вищою ефективністю.
ЧДТУ.24.23310.001 ПЗ
№ П
Рисунок 3.6 – Результат показників оцінки якості моделі
При побудові глибокої нейронної мережі (DNN) важливо ретельно
обирати кількість нейронів у кожному шарі, оскільки це безпосередньо
впливає на здатність моделі до навчання та узагальнення. Першим етапом у
виборі оптимальної кількості нейронів є розуміння, що нейрони в кожному
шарі відповідають за обробку певних аспектів вхідних даних, і їх кількість
повинна бути пропорційною складності задачі та типу даних.
У першому шарі нейронна мережа повинна мати стільки нейронів,
скільки є вхідних ознак у наборі даних. Це дозволяє кожному нейрону
відповідати за обробку конкретної ознаки вхідних даних, зберігаючи якомога
більше інформації про їхню структуру. Наприклад, якщо вхідний набір даних
містить 100 ознак, то перший шар мережі повинен мати 100 нейронів. Такий
підхід дозволяє нейронній мережі ефективно засвоювати основні
характеристики вхідних даних, не втрачаючи важливу інформацію.
Наступним кроком є вибір кількості нейронів у другому шарі. Тут
важливо знайти оптимальний баланс між точністю моделі та її складністю.
Якщо кількість нейронів буде занадто великою, це може призвести до
ЧДТУ.24.23310.001 ПЗ
№ П
перенавчання (overfitting), коли модель "запам'ятовує" дані навчання, а не
навчається узагальнювати їх. У той же час, якщо нейронів буде занадто мало,
модель може не мати достатньої потужності для вирішення задачі. Тому
кількість нейронів у другому шарі обирається таким чином, щоб зберегти
достатню ємність для обробки складних взаємозв’язків між ознаками, але не
створювати надмірної складності, яка може погіршити продуктивність моделі.
У вашому випадку оптимальним вибором стало використання 12
нейронів у другому шарі. Ця кількість дозволяє зберегти баланс між точністю
моделі та її здатністю узагальнювати дані. Подальше зменшення кількості
нейронів в наступних шарах є поширеною практикою, оскільки це дозволяє
знизити розмір моделі та обчислювальні витрати, зберігаючи при цьому
здатність моделі ефективно обробляти нові дані. Зменшення кількості
нейронів у глибинних шарах також знижує ймовірність перенавчання,
оскільки модель має менше параметрів, що дозволяє їй уникати надмірної
складності.
Вибір 8 нейронів для останнього шару є результатом цього підходу. Це
дозволяє знизити ризик перенавчання та одночасно зменшити обчислювальні
витрати, що є важливим фактором для забезпечення ефективності моделі на
реальних даних. Загалом, такий підхід до вибору кількості нейронів дозволяє
моделі зберігати достатню здатність до узагальнення, при цьому знижуючи
ймовірність перенавчання та оптимізуючи обчислювальні ресурси.
3.3 Розробка програмного продукту з використанням штучного
інтелекту
Інтеграція реалістичної симуляції мережі та навченої моделі для
розпізнавання атак з платформою Cisco SecureX через API є важливим етапом
для автоматизації процесу виявлення і реагування на загрози в реальному часі.
Така інтеграція дозволяє не лише отримати інформацію про мережеві події,
але й застосувати результати роботи машинного навчання для оперативного
ЧДТУ.24.23310.001 ПЗ
№ П
прийняття рішень на платформі безпеки. Розглянемо процес цієї інтеграції
більш детально.
Спершу потрібно налаштувати середовище для виконання скриптів, що
буде включати встановлення всіх необхідних бібліотек і інструментів. Для
роботи з API Cisco SecureX використовуються популярні Python бібліотеки,
зокрема requests для надсилання HTTP-запитів і json для обробки даних у
форматі JSON, який є стандартним для цього API. Окрім цього, необхідно
підключити бібліотеки для роботи з навченою моделлю, такі як TensorFlow або
PyTorch, оскільки ці платформи забезпечують зручний інтерфейс для взаємодії
з нейронними мережами, які можуть обробляти дані та передавати результати
аналізу в SecureX.[16]
Ключовим етапом інтеграції є аутентифікація в API SecureX. Для цього
необхідно отримати API-ключ, який буде використовуватися для ідентифікації
та доступу до ресурсів платформи. Ключ доступу зазвичай видається в адмін-
панелі Cisco або через спеціальні інтерфейси для управління обліковими
записами. Отриманий ключ доступу необхідно додати в заголовки кожного
HTTP-запиту, що відправляється до API, щоб платформа SecureX могла
перевірити автентичність запитів і дозволити доступ до своїх ресурсів.
Після налаштування аутентифікації та отримання ключа доступу,
наступним кроком є написання коду для безпосередньої взаємодії з SecureX
API. Це включає в себе створення функцій для підготовки і форматування
даних, що будуть передаватися, і обробку отриманих відповідей. Зазвичай,
дані, що передаються до API, є результатом симуляцій атак або інформацією
про реальні загрози, які можуть бути розпізнані за допомогою моделі
глибокого навчання. Для цього використовуються структуровані JSON-
формати, які містять всю необхідну інформацію про тип атаки, її
характеристики та час події.
При відправці запиту до API, важливо правильно налаштувати
заголовки, які містять інформацію про авторизацію. Для цього в заголовки
запиту додається поле "Authorization", в якому вказується Bearer токен (API-
ЧДТУ.24.23310.001 ПЗ
№ П
ключ). Після того як дані надіслані на сервер, SecureX API повертає відповідь
у форматі JSON. Ця відповідь може містити різні дані, наприклад,
підтвердження отримання запиту або інформацію про результат обробки
даних, що були передані.
Завдяки цьому підходу можна вивести дані з результатами симуляцій
або інформацію про виявлені атаки з системи, що здійснює моніторинг, на
платформу SecureX для подальшого аналізу та реагування. Наприклад, після
того як модель розпізнає тип атаки, ці дані можуть бути надіслані до Cisco
SecureX для подальшого оброблення. Відповідно до налаштувань, платформа
може автоматично застосовувати певні заходи безпеки, наприклад, блокувати
підозрілі з'єднання або ініціювати інші процеси захисту.
Інтеграція навченої моделі для розпізнавання атак з API SecureX
створює потужний інструмент для автоматизованого реагування на мережеві
загрози. Важливою частиною цього процесу є правильна налаштування
аутентифікації та формату передачі даних, а також ефективне оброблення
результатів, щоб забезпечити максимальну ефективність виявлення та
реагування на атаки.
В результаті інтеграції та налаштування платформи на базі хмарного
забезпечення, рівень інформаційної безпеки було оцінено за допомогою
інструменту Infection Monkey. Цей інструмент є відкритим і активно
розвивається, що робить його доступним для використання та модифікації.
Головною особливістю Infection Monkey є те, що він виконуватиме тести
безпосередньо в середині мережі, імітуючи поведінку зловмисника, який уже
зміг проникнути в систему. Такий підхід дозволяє оцінити реальний рівень
захисту не лише з точки зору периметру мережі, а й з урахуванням загроз
зсередини, що є важливою складовою забезпечення кібербезпеки.
Важливою характеристикою є те, що більшість існуючих рішень
зосереджені виключно на захисті від атак, які здійснюються ззовні (наприклад,
захист від зовнішніх вторгнень), але не враховують ситуації, коли зловмисник
уже знаходиться всередині системи. Infection Monkey дозволяє змоделювати
ЧДТУ.24.23310.001 ПЗ
№ П
такі сценарії, перевіряючи, наскільки ефективно система здатна протистояти
атакам зсередини.
Інструмент запускається з точки, яка може бути схожа на
компрометований вузол у мережі — це може бути будь-який комп'ютер чи
сервер, що знаходиться в межах внутрішньої мережі. Цей вузол сканує
навколишні пристрої, зокрема перевіряючи IP-адреси, аналізуючи таблиці
маршрутизації та інші мережеві дані для виявлення потенційних цілей для
подальших атак.
Infection Monkey використовує вбудовану базу даних відомих
вразливостей (CVE) та загальнодоступні експлойти, щоб провести детальну
перевірку вразливих пристроїв. Це включає перевірку на наявність
незахищених мережевих сервісів, слабких паролів, а також перевірку на
застарілі конфігураційні проблеми, які можуть бути використані для
подальшого проникнення або ескалації привілеїв у мережі. Таким чином, цей
інструмент дозволяє отримати всебічну картину безпеки внутрішньої мережі
та забезпечити своєчасне виявлення уразливих місць для їхнього подальшого
усунення.
Тестування за допомогою Infection Monkey дозволяє не лише оцінити
ефективність поточних захисних механізмів, а й виявити потенційні слабкі
місця в мережевій інфраструктурі, що можуть бути використані
зловмисниками для атаки або компрометації системи. Це дає змогу вжити
необхідних заходів для підвищення рівня безпеки та захисту від можливих
загроз.
ЧДТУ.24.23310.001 ПЗ
№ П
Рисунок 3.7 – Карта сканування
В процесі спроб проникнення через виявлені вразливості, інструмент
Infection Monkey намагається отримати доступ до сусідніх пристроїв всередині
мережі. Це досягається шляхом використання різних методів, зокрема тих, що
характерні для реальних атак зловмисників.
Один з таких методів — брутфорсинг паролів, який полягає в
автоматичному підборі слабких або дефолтних паролів. Зловмисник може
скористатися списком найбільш поширених паролів або ж відомими
дефолтними паролями для популярних мережевих пристроїв чи систем,
намагаючись отримати доступ до внутрішніх ресурсів мережі. Цей метод
особливо ефективний, коли пристрої налаштовані з використанням слабких
або легко вгадуваних паролів.
Іншим методом є використання експлойтів, коли для отримання доступу
до системи запускаються спеціально розроблені скрипти або програми, що
експлуатують відомі вразливості в програмному забезпеченні. Ці вразливості
можуть бути пов’язані з незахищеними сервісами, застарілими версіями
програмного забезпечення або неправильними конфігураціями.
Використовуючи ці експлойти, зловмисник може проникнути в систему та
отримати контроль над пристроєм або виконувати шкідливі дії.
ЧДТУ.24.23310.001 ПЗ
№ П
Крім технічних методів, інструмент також може імітувати техніки
соціальної інженерії, зокрема моделюючи сценарії, де користувачі самостійно
надають доступ зловмисникам. Одним із поширених варіантів є фішинг, коли
зловмисник намагається обманним шляхом змусити користувача розкрити
свої облікові дані, наприклад, шляхом надсилання фальшивих електронних
листів або посилань, що виглядають як офіційні запити від організацій чи
сервісів. Цей метод дозволяє отримати доступ до внутрішніх систем без
потреби у технічному проникненні.[18]
За допомогою таких методів Infection Monkey моделює реальні умови
нападу, перевіряючи, чи здатна система або мережа захистити себе від атак,
що здійснюються зсередини, після того як зловмисник вже здобув доступ до
мережі. Цей підхід дозволяє детально оцінити рівень захисту та виявити
уразливості, які можуть бути використані для ескалації привілеїв або
подальшого компрометування мережі.
Перейдемо до розробки програмного продукту.
Спочатку підключимо необхідні бібліотеки, які забезпечать
функціональність для обробки даних, створення моделі глибокого навчання та
інтеграції з веб-застосунком. Для роботи з даними використовуватимемо
pandas та numpy, які надають зручні структури для маніпуляцій з даними та
виконання математичних операцій. Для візуалізації результатів на допомогу
прийде matplotlib.pyplot.
Для побудови та навчання моделі глибокого навчання використовуємо
бібліотеку tensorflow, а зокрема її підмодулі, як-от Sequential, Dense, Dropout,
LSTM, Bidirectional, Conv1D, MaxPooling1D та Flatten, що дозволяють
створювати нейронні мережі різної архітектури. Для поділу даних на
навчальну та тестову вибірки застосуємо train_test_split з
sklearn.model_selection, а для обробки категоріальних і числових даних —
LabelEncoder та StandardScaler із sklearn.preprocessing.
Для створення веб-застосунку використовуватимемо фреймворк Flask,
який дозволяє організувати прийом запитів і відправлення відповідей у
ЧДТУ.24.23310.001 ПЗ
№ П
форматі JSON. Бібліотека os допоможе працювати з файловою системою,
зокрема для перевірки існуючих файлів або створення нових директорій, а time
дозволить вимірювати час виконання окремих частин коду. Нарешті,
бібліотека requests використовується для здійснення HTTP-запитів до
зовнішніх ресурсів або API.
Ці бібліотеки разом нададуть всі необхідні інструменти для ефективного
виконання задач машинного навчання та інтеграції з веб-системою.
Рисунок 3.8 – Обробка та підготовка даних для класифікації атак
Почнемо з завантаження даних, яке здійснюється через метод read_csv з
бібліотеки pandas. Це дозволяє завантажити файл з мережевими даними в
форматі CSV. Одним з перших кроків є обробка відсутніх значень, тому ми
ЧДТУ.24.23310.001 ПЗ
№ П
заміняємо всі значення, що містять символ '-', на NaN за допомогою методу
replace.
Далі проводиться кодування категоріальних змінних. Для цього
використовуємо LabelEncoder з бібліотеки sklearn.preprocessing, щоб
перетворити значення в колонці type у числові значення. Це дозволяє моделі
легше обробляти ці дані під час навчання.
Щоб працювати з категоріальними змінними, які містять текст, таких як
proto, service та conn_state, ми застосовуємо метод get_dummies, який створює
бінарні змінні для кожного унікального значення в цих колонках, що дозволяє
уникнути проблеми з текстовими змінними під час подальшої обробки.
Далі ми видаляємо колонки, які не є суттєвими для побудови моделі, такі
як type, src_ip, dst_ip, src_port та dst_port, оскільки вони не містять корисної
інформації для класифікації атак.
Для обробки відсутніх числових значень в інших колонках ми
заповнюємо NaN середніми значеннями відповідних колонок,
використовуючи метод fillna.
Оскільки мета аналізу полягає в класифікації, ми видаляємо рядки, в
яких відсутнє значення в цільовій змінній label.
Далі ми розділяємо дані на вхідні (X) та вихідні (y) змінні, де y — це
колонка label, яка містить мітки класів, а вхідні змінні представлені всіма
іншими колонками, окрім label.
Для того, щоб уникнути проблем із текстовими значеннями в X, ми
перевіряємо типи даних у всіх колонках і залишаємо лише числові значення,
використовуючи метод select_dtypes.
Нарешті, ми масштабовуємо числові змінні за допомогою
StandardScaler, щоб привести всі вхідні дані до одного масштабу, що може
покращити ефективність навчання моделі.
ЧДТУ.24.23310.001 ПЗ
№ П
Рисунок 3.9 – Створення та тренування моделі нейронної мережі для
класифікації атак
Спочатку дані розділяються на тренувальні та тестові набори за
допомогою функції train_test_split з бібліотеки sklearn.model_selection. Для
цього використовується 70% даних для тренування, а 30% для тестування.
Розмір тестового набору встановлюється через параметр test_size, який
дорівнює 0.3, а random_state забезпечує повторюваність розподілу даних при
кожному запуску.[6]
Наступним кроком є перетворення даних для подальшої обробки в
мережі. Для цього дані для обох наборів (тренувального та тестового)
змінюються за допомогою методу reshape, щоб створити тривимірні масиви.
Вхідні дані мають форму (кількість зразків, кількість ознак, 1), що необхідно
ЧДТУ.24.23310.001 ПЗ
№ П
для згорткових нейронних мереж (Conv1D), які приймають послідовності
одно- або багатовимірних даних.
Модель створюється за допомогою класу Sequential з бібліотеки
tensorflow.keras.models. Перший шар — це згортковий шар (Conv1D), який має
64 фільтри з розміром ядра 3 та функцією активації ReLU. Цей шар відповідає
за виявлення локальних патернів у даних. Після цього додається шар
підвибірки (MaxPooling1D) для зменшення розміру кожного зображення (в
даному випадку, зниження розмірності послідовностей), що дозволяє
зменшити обчислювальні витрати.
Далі йдуть два бідирекційних LSTM шари, які обробляють
послідовності з урахуванням як попередніх, так і наступних значень у часі.
Відповідно до принципу бідирекційних LSTM, мережа використовує як
прямий, так і зворотний прохід через дані для підвищення точності
моделювання складних залежностей.
Для уникнення перенавчання використовується техніка Dropout з
імовірністю 0.5, що означає випадкове вимикання половини нейронів на
кожній ітерації тренування.
Останнім шаром є Dense, який здійснює остаточну класифікацію на
основі результатів з попередніх шарів. Для цього використовуємо функцію
активації sigmoid, оскільки завдання є бінарним (класифікація на два класи).
Модель компілюється з використанням оптимізатора adam, функції
втрат binary_crossentropy для задач бінарної класифікації та метрики точності
accuracy, яка дозволяє оцінювати ефективність моделі.
Навчання моделі здійснюється через метод fit, який тренує модель на
тренувальних даних і одночасно перевіряє її на валідаційному наборі
(тестовому наборі). Параметри тренування включають кількість епох (50) та
розмір пакета (32). В процесі тренування також збирається історія (об'єкт
history), яка містить інформацію про втрати та точність на кожній епосі.
Оцінка ефективності моделі здійснюється через метод evaluate, який
вимірює втрати та точність на тестових даних.
ЧДТУ.24.23310.001 ПЗ
№ П
Для прогнозування результатів на тестових даних використовується
метод predict, який повертає ймовірності належності до класу. Для
перетворення ймовірностей у категорії (0 або 1) застосовується поріг 0.5, де
значення більше 0.5 класифікуються як 1, а менші — як 0.
Цей код є основою для тренування глибокої нейронної мережі для
класифікації атак на основі набору даних, що включає різні мережеві
характеристики.
Рисунок 3.10 – Виведення метрик
Для оцінки результатів класифікації використовуються функції
classification_report та confusion_matrix з бібліотеки sklearn.metrics.
Спочатку викликається classification_report, який надає детальну
інформацію про ефективність моделі для кожного класу. У звіті виводяться
такі метрики, як точність (precision), повнота (recall), F1-міра та підтримка
(support).
Точність (precision) — це частка правильно класифікованих
позитивних зразків серед усіх зразків, які модель класифікувала як позитивні.
Повнота (recall) — це частка правильно класифікованих
позитивних зразків серед усіх реальних позитивних зразків.
F1-міра є гармонійним середнім між точністю та повнотою. Вона
дає змогу отримати загальну метрику, яка поєднує обидва аспекти.
Підтримка (support) — це кількість справжніх зразків кожного
класу в тестових даних.
Після цього виводиться матриця невідповідностей за допомогою
функції confusion_matrix. Ця матриця дає змогу наочно побачити, скільки
ЧДТУ.24.23310.001 ПЗ
№ П
зразків кожного класу було правильно або неправильно класифіковано. Вона
містить чотири значення:
True Positive (TP): кількість позитивних прикладів, які були
правильно класифіковані як позитивні.
True Negative (TN): кількість негативних прикладів, які були
правильно класифіковані як негативні.
False Positive (FP): кількість негативних прикладів, які були
неправильно класифіковані як позитивні.
False Negative (FN): кількість позитивних прикладів, які були
неправильно класифіковані як негативні.
Ці дві метрики допомагають глибше зрозуміти, як добре працює модель
в плані класифікації позитивних та негативних випадків.
Рисунок 3.11 – Візуалізація графіків
Для візуалізації процесу навчання моделі та її ефективності на кожній
етапі використовуються графіки для втрат (loss) та точності (accuracy).
Спочатку створюється фігура розміром 12 на 6 дюймів, щоб графіки були
чіткими та читабельними.
Перша частина графіка відображає зміни у значеннях втрат під час
навчання та валідації. Це важливий аспект для оцінки того, як модель
навчається і чи зменшується її похибка на тренувальних та валідаційних
наборах даних. Використовуються два лінійні графіки:
ЧДТУ.24.23310.001 ПЗ
№ П
Перший показує втрати на тренувальних даних, які зберігаються у
списку history.history['loss'].
Другий — втрати на валідаційних даних, доступні через
history.history['val_loss'].
Обидва графіки позначені різними кольорами та мають підписи, що
вказують на їхнє значення. Заголовок графіка вказує на те, що це графік втрат,
а вісь X відображає кількість епох, що показує, як змінюються втрати з часом.
Вісь Y представляє значення втрат.
Цей графік дозволяє побачити, чи стабілізуються втрати та чи
зменшуються вони з часом, що є індикатором того, що модель навчається
правильно.
Рисунок 3.12 – Точність
Другий графік виводить зміни в точності моделі протягом етапів
навчання та валідації. Для цього використовуються два лінійні графіки:
Перший графік показує точність на тренувальних даних, що
зберігається в history.history['accuracy'].
Другий графік відображає точність на валідаційних даних,
доступну через history.history['val_accuracy'].
Як і в попередньому графіку, ось X вказує на кількість епох, а вісь Y —
на значення точності. Заголовок графіка вказує, що це графік точності моделі.
Цей графік дозволяє зрозуміти, як змінюється здатність моделі
правильно класифікувати дані під час навчання. Висока точність на
ЧДТУ.24.23310.001 ПЗ
№ П
тренувальних та валідаційних даних може свідчити про добре навчання, тоді
як значне відставання між ними може вказувати на перенавчання моделі
(overfitting). Точність на валідаційних даних дає змогу оцінити, як добре
модель буде працювати на нових, невідомих даних.
На завершення, plt.show() виводить обидва графіки, дозволяючи
користувачеві оцінити результати навчання моделі.
Рисунок 3.13 – Функція для побудови графіків
Функція plot_history призначена для побудови графіків, які
відображають зміни двох важливих метрик — втрат і точності — під час
тренування різних моделей машинного навчання. Вона дозволяє візуалізувати
процес навчання моделей, щоб оцінити їх ефективність на тренувальних і
валідаційних даних.
У функції спочатку створюється фігура за допомогою plt.figure, де
задаються розміри для двох графіків. Перший графік відображає втрати (loss),
ЧДТУ.24.23310.001 ПЗ
№ П
а другий — точність (accuracy). Графіки розміщуються на одній фігурі, в
результаті чого вони зручні для порівняння.
Ключовим елементом цієї функції є використання словника histories,
який містить історії навчання для різних моделей. Ключі цього словника є
іменами моделей, а значення — це об'єкти, які зберігають дані про тренувальні
процеси, включаючи втрати та точність для кожної епохи. Функція обробляє
кожен запис у цьому словнику окремо.
У першій частині графіка, яка відображає втрати, для кожної моделі
будується дві лінії: одна для тренувальних даних, інша — для валідаційних.
Це дозволяє порівняти, як змінюються втрати на тренувальних даних і на
валідаційних даних по мірі прогресу навчання. Такий підхід дозволяє виявити
потенційні проблеми, наприклад, перенавчання моделі, коли точність на
тренувальних даних зростає, а на валідаційних — падає.[12]
На другому графіку показується точність моделі. Як і у випадку з
втратами, для кожної моделі будується дві лінії: одна для точності на
тренувальних даних, інша — для точності на валідаційних даних. Це дозволяє
наочно побачити, наскільки добре модель працює на обох наборах даних і чи
є ознаки переобучення або недообучення.
Графіки підписуються на осі X (епохи) та Y (значення втрат або
точності). У верхній частині кожного графіка розташована легенда, яка
пояснює, яка лінія відноситься до якого набору даних або до якої моделі.
Виведення графіків здійснюється за допомогою функції plt.show(), яка
відображає всі побудовані графіки на екран.
Цей підхід дозволяє зручно порівнювати навчальні процеси для кількох
моделей, що дозволяє зробити висновки щодо того, яка модель показує кращі
результати або на якій стадії навчання модель починає гірше працювати на
нових, невідомих даних.
ЧДТУ.24.23310.001 ПЗ
№ П
Рисунок 3.14 – Створення Flask API для прогнозування з використанням
навченої моделі
У даному коді створено простий API за допомогою Flask для
прогнозування за допомогою нейронної мережі, яку було навчено раніше.
Спочатку ініціалізується Flask-додаток за допомогою Flask(__name__).
Далі, вбудовувана модель машинного навчання, збережена у файлі
BiLTSM.h5, завантажується за допомогою функції tf.keras.models.load_model.
Це дозволяє використовувати раніше навчену модель для здійснення прогнозів
на нових даних.
Далі визначається ендпоінт API /predict, який обробляє HTTP-запити
типу POST. Коли на цей ендпоінт надходить запит, функція predict() отримує
вхідні дані у форматі JSON через request.json. Потім ці дані обробляються за
допомогою функції preprocess(), яка здійснює необхідну попередню обробку,
таку як масштабування та перетворення форми даних (reshape) відповідно до
вимог моделі.
У функції preprocess() спочатку дані перетворюються у масив NumPy, а
потім масштабуються за допомогою стандартного скейлера scaler, який був
ЧДТУ.24.23310.001 ПЗ
№ П
використаний при тренуванні моделі. Потім масив формується в тривимірний
формат, що необхідно для подальшої роботи з моделями типу Conv1D у
TensorFlow.
Після того, як дані оброблені, модель здійснює прогнозування за
допомогою методу model.predict(input_data), і результат повертається у
форматі JSON. Для цього використовуємо функцію jsonify(), щоб перетворити
результат у формат JSON та надіслати його клієнту.
Останнім кроком є запуск Flask-додатку за допомогою методу
app.run(debug=True). Це дозволяє запустити веб-сервер на локальній машині в
режимі відладки для тестування та подальшого розвитку API.
Такий API можна використовувати для відправлення нових даних через
POST-запит, отримання прогнозу та використання його у реальних додатках
або системах.
Рисунок 3.15 – Автоматизоване блокування IP-адрес на основі прогнозування
атак
І на кінець реалізуємо механізм автоматичного виявлення і блокування
потенційних атак за допомогою прогнозування на основі машинного
ЧДТУ.24.23310.001 ПЗ
№ П
навчання. Програма здійснює перевірку мережевого трафіку за допомогою
моделі машинного навчання, зберігаючи в собі три основні функції:
блокування IP-адреси, перевірка та блокування при виявленні атак, а також
збір мережевих даних.
Перша функція, block_ip(ip_address), відповідає за блокування IP-адреси
з використанням команди для фаєрволу. У даному випадку застосовується
інструмент iptables, який є популярним для налаштування правил доступу на
рівні ядра Linux. Команда формує правило, яке блокує вхідні з'єднання з
вказаною IP-адресою.[9]
Далі функція check_and_block() перевіряє мережевий трафік, отримуючи
дані через функцію get_network_data() (яка, ймовірно, повинна збирати
актуальний трафік, але в даному коді замінена на зразок даних). Ці дані
передаються через API-запит до локального Flask-сервісу, який відповідає
прогнозом на основі моделі машинного навчання. Якщо прогноз перевищує
поріг (у даному випадку 0.5, що вказує на ймовірність атаки), функція
викликає block_ip() для блокування джерела атаки.
get_network_data() — це функція, що повинна збирати дані про
мережевий трафік, однак у даному прикладі вона повертає лише зразок з
фіксованим значенням. Реальна імплементація може включати зчитування
даних через мережеві інтерфейси або з використанням спеціальних бібліотек
для моніторингу трафіку.
Нарешті, цикл while True виконує перевірку кожні 5 секунд, що дозволяє
постійно аналізувати трафік і вчасно реагувати на потенційні загрози.
Таким чином, цей код забезпечує автоматизований процес виявлення та
блокування атак у реальному часі за допомогою штучного інтелекту та
фаєрволу.
Отже, розроблений код є реалізацією комплексної системи для
виявлення та блокування мережевих атак у реальному часі. Він поєднує
методи машинного навчання, обробки даних та мережевої безпеки. Спочатку
здійснюється підготовка та обробка мережевих даних, які потім
ЧДТУ.24.23310.001 ПЗ
№ П
масштабуються і використовуються для тренування нейронної мережі.
Модель прогнозує наявність атак, після чого дані надсилаються до Flask API
для реалізації прогнозування в реальному часі.
Якщо модель виявляє можливу атаку, відбувається автоматичне
блокування відповідної IP-адреси через фаєрвол, що дозволяє миттєво
реагувати на загрози. Таким чином, система забезпечує інтеграцію між
виявленням атак за допомогою машинного навчання та засобами мережевої
безпеки, що робить її ефективним інструментом для моніторингу та захисту
мереж від потенційних атак.
Рисунок 3.16 – Результати мережевих діагностичних команд (Ping та
Traceroute)
На представленому зображенні (Рисунок 3.16)відображено результат
виконання мережевих діагностичних команд ping та traceroute для перевірки
з'єднання з віддаленим хостом (8.8.8.8).
Команда ping використовується для вимірювання часу, необхідного для
відправлення пакету даних до хоста і отримання відповіді. Результати
показують час відгуку в мілісекундах для кожного пакету, а також значення
TTL (time-to-live), яке вказує на кількість хопів (пересадок через
маршрутизатори), які пройшов пакет.
ЧДТУ.24.23310.001 ПЗ
№ П
Команда traceroute дозволяє відстежити маршрут, яким проходять
пакети до заданого хоста, показуючи час досягнення кожного проміжного
маршрутизатора. Ці дані допомагають оцінити ефективність маршруту та
виявити можливі проблеми в мережі, такі як затримки чи неполадки на певних
ділянках шляху.
Ці діагностичні інструменти є важливими для аналізу мережевих
з'єднань і виявлення потенційних проблем з продуктивністю або доступністю
ресурсів в Інтернеті.
Рисунок 3.17 – Конфігурація мережевих інтерфейсів на маршрутизаторі
Рисунок 3.17 демонструє процес налаштування мережевих інтерфейсів
на маршрутизаторі за допомогою команд в режимі конфігурації. Спочатку
проводиться активізація інтерфейсів маршрутизатора, зокрема за допомогою
команди no shutdown, що дозволяє інтерфейсу почати працювати. Для кожного
інтерфейсу, як, наприклад, FastEthernet2/6, призначається відповідна IP-адреса
і маска підмережі через команду ip address. Це дозволяє інтерфейсу отримати
ЧДТУ.24.23310.001 ПЗ
№ П
належну адресацію та з'єднатися з іншими пристроями в мережі. Після
введення цих налаштувань система автоматично відображає повідомлення, які
підтверджують зміну стану інтерфейсу та лінійного протоколу, наприклад,
«SLINK-3-UPDOWN» і «KLINEPROTO-S-UPDOWN», що вказує на успішне
встановлення з'єднання.
Крім того, ці конфігурації забезпечують передачу даних між різними
сегментами мережі, що є важливим етапом у налаштуванні маршрутизатора
для забезпечення зв'язності в мережі. Весь цей процес гарантує, що
маршрутизатор готовий до обробки і перенаправлення трафіку на основі
заданих параметрів.
Рисунок 3.18 – Тестування мережевого з'єднання та відстеження маршруту
У фрагменті (Рисунок 3.18) зафіксовано виконання команд для
перевірки мережевого з'єднання, а саме ping та traceroute, що дають змогу
ЧДТУ.24.23310.001 ПЗ
№ П
перевірити доступність хостів та відстежити шлях передавання даних через
мережу.
Команда ping 8.8.8.8 була використана для перевірки доступності хоста
з IP-адресою 8.8.8.8. Результати показують, що з'єднання успішне, і час
затримки відповіді коливається від 34.371 мс до 49.606 мс. Це свідчить про
відсутність серйозних проблем з доступністю цього хоста.
Наступний запит з використанням команди ping 3.3.3.2 вказує на
проблему: відповідь містить повідомлення про адміністративну заборону
комунікації (ICMP type: 3, code: 13). Це означає, що доступ до цієї адреси
обмежений через мережеві налаштування, наприклад, фаєрвол або правила
маршрутизатора.[16]
Команда trace 8.8.8.8 була використана для відстеження шляху, яким
проходять пакети до хоста 8.8.8.8. Результати показують, що пакети проходять
через кілька маршрутизаторів, починаючи з 192.168.1.1, потім через 172.10.1.1
і 2.2.2.1. Час затримки на кожному етапі варіюється від 9.870 мс до 29.788 мс,
що вказує на нормальне функціонування маршруту.
Однак при виконанні команди trace 3.3.3.2 на третьому хопі виявляється
помилка ICMP типу 3 з кодом 13, що означає "Communication administratively
prohibited". Це вказує на те, що доступ до цієї IP-адреси обмежено на рівні
маршрутизатора або іншого мережевого пристрою, і пакети блокуються через
налаштування безпеки.
Результати тестів показують нормальне функціонування з'єднання до
більшості хостів, але з обмеженнями доступу до певних адрес через
адміністративні налаштування мережі.
ЧДТУ.24.23310.001 ПЗ
№ П
ВИСНОВКИ
Отже, у цій магістерській роботі було проведено комплексне
дослідження ролі систем виявлення вторгнення (IDS) у забезпеченні
кібербезпеки критичних інфраструктур. Вивчення актуальних загроз,
технологій і підходів до захисту дозволило обґрунтувати важливість інтеграції
сучасних систем IDS у загальну стратегію безпеки. Зважаючи на постійне
зростання рівня цифровізації та автоматизації ключових об’єктів
інфраструктури, зростає й необхідність у розробці ефективних інструментів,
які здатні своєчасно ідентифікувати, аналізувати та нейтралізувати
кіберзагрози.
У дослідженні визначено, що критичні інфраструктури мають значну
вразливість до кіберзагроз, зумовлену їхньою складністю, масштабністю та
взаємозалежністю. Взаємозв’язок між секторами, такими як енергетика,
транспорт, зв’язок і фінанси, створює додаткові виклики для забезпечення
безпеки, оскільки атака на один із секторів може спричинити ланцюгову
реакцію у вигляді збоїв у роботі інших. Це потребує комплексного підходу до
моніторингу та захисту, де системи IDS відіграють ключову роль. Системи IDS
забезпечують аналіз мережевого трафіку та поведінкових моделей у режимі
реального часу, дозволяючи виявляти як відомі, так і нові загрози.
Особливу увагу було приділено класифікації систем IDS за їх
функціональними можливостями, методами аналізу та рівнем інтеграції в
загальну архітектуру безпеки. Дослідження показало, що сигнатурний,
аномалійний та гібридний підходи є найбільш поширеними у сучасних IDS-
системах. Сигнатурні системи є ефективними у виявленні відомих загроз
завдяки використанню шаблонів атак, однак їхня обмеженість у виявленні
нових загроз вимагає доповнення іншими методами. Аномалійні системи,
базуючись на аналізі відхилень від нормальної поведінки, здатні виявляти нові
загрози, але водночас мають високий рівень хибних спрацювань. Гібридні
ЧДТУ.24.23310.001 ПЗ
№ П
системи, які поєднують переваги сигнатурного та аномалійного підходів,
забезпечують більш комплексний підхід до виявлення та нейтралізації загроз.
Робота також зосереджувалася на особливостях сучасних технологій,
таких як інтеграція штучного інтелекту та машинного навчання у системи IDS.
Використання таких інструментів дозволяє підвищити точність виявлення
загроз і знизити кількість хибних спрацювань. Глибокі нейронні мережі та
алгоритми кластеризації відкривають нові можливості для аналізу великих
обсягів даних, що є особливо важливим у контексті складних і динамічних
мереж критичних інфраструктур. Однак застосування цих технологій також
вимагає значних обчислювальних ресурсів та ефективної організації процесів
навчання моделей.
У ході дослідження було проаналізовано ключові виклики, які стоять
перед критичними інфраструктурами у контексті кібербезпеки. До них
віднесено недостатній захист застарілих систем, людський фактор, обмежену
координацію між секторами та швидкість адаптації зловмисників до нових
технологій захисту. Застаріле обладнання та програмне забезпечення, яке
часто використовується в інфраструктурних об’єктах, не відповідає сучасним
вимогам кібербезпеки, створюючи вразливі точки для зловмисників.
Людський фактор, зокрема недостатня обізнаність персоналу про кіберзагрози
та правила кібергігієни, залишається одним із найбільш серйозних ризиків.
Відсутність систематичних тренінгів і програм підвищення кваліфікації для
працівників критичних об’єктів значно послаблює загальну стійкість
інфраструктури.
Практична частина дослідження охоплювала аналіз ефективності
існуючих IDS у різних секторах критичних інфраструктур. Було встановлено,
що продуктивність і точність роботи IDS значною мірою залежать від
особливостей сектора та типу загроз. Наприклад, у секторі енергетики системи
IDS демонструють високу ефективність завдяки можливості моніторингу
SCADA-систем, тоді як у секторі фінансів особливу увагу приділяють
виявленню шахрайства та запобіганню витоку даних. Виявлено, що інтеграція
ЧДТУ.24.23310.001 ПЗ
№ П
IDS з іншими системами кіберзахисту, такими як SIEM та SOAR, підвищує
загальний рівень безпеки та забезпечує комплексний підхід до реагування на
інциденти.
Розроблені рекомендації спрямовані на вдосконалення захисту
критичних інфраструктур шляхом впровадження сучасних технологій та
підходів до моніторингу і виявлення загроз. Важливим аспектом є регулярне
оновлення застарілих систем, розвиток міжсекторальної співпраці та
забезпечення навчання персоналу. Зокрема, інтеграція штучного інтелекту,
впровадження автоматизованих систем управління та використання
багаторівневих методів аналізу сприятимуть підвищенню стійкості критичних
об’єктів до сучасних кіберзагроз.
Проведене дослідження підтвердило ключову роль систем виявлення
вторгнення у забезпеченні кібербезпеки критичних інфраструктур. Їх
ефективне використання, доповнене сучасними технологіями та
інструментами, може суттєво знизити ризики, пов’язані з кіберзагрозами, та
забезпечити стабільне функціонування важливих об’єктів інфраструктури.
Отримані результати та запропоновані рекомендації можуть бути використані
для подальшого вдосконалення стратегій захисту критичних інфраструктур,
адаптуючи їх до нових викликів і загроз у сфері кібербезпеки.
ЧДТУ.24.23310.001 ПЗ
№ П
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Ilyenko A., Ilyenko S., Diana K., Mazur Y. Практичні підходи щодо
виявлення вразливостей в інформаційно-телекомунікаційних мережах //
Кібербезпека: освіта, наука, техніка. – 2023. – № 3 (19). – С. 96–108.
2. Skitsko O., Shyrshov R. Система управління інформаційної безпеки як
інструмент підвищення захищеності та ефективності об’єктів критичної
інфраструктури // International Science Journal of Engineering & Agriculture. –
2023. – Т. 2, № 6. – С. 12–22.
3. Subach I., Vlasenko O. Інформаційні технології захисту баз даних від
кібератак в інформаційних системах військового призначення // Collection"
Information Technology and Security". – 2022. – Т. 10, № 2. – С. 177–193.
4. Андрощук Г. Зростання ролі інтелектуальної власності в національній
економічній безпеці Японії: законодавче забезпечення // Теорія і практика
інтелектуальної власності. – 2022. – № 5. – С. 54–67.
5. Бачинський К. В. Забезпечення національної безпеки в умовах
військової агресії. – 2023.
6. Богдашкін В. В. Криптографічний застосунок обміну файловими
даними на об'єкті критичної інфраструктури. – 2023.
7. Вавренюк С. А. Проблемні питання організаційних аспектів
забезпечення національної безпеки України: дис. ... д-ра наук. – Дніпро: НА
НГУ, 2023.
8. Валюшко І. О. Інформаційна безпека України: трансформація
законодавства після російського вторгнення // Історико-політичні студії.
Збірник наукових праць. – 2017. – № 2. – С. 8.
9. Вовк М., Боскіна М. Особливості техніко-технологічного менеджменту
інформаційної безпеки підприємства в умовах бізнес-середовища // Економіка
та суспільство. – 2021. – № 23.
ЧДТУ.24.23310.001 ПЗ
№ П
10. Волобуєв Р., Чуб В. Теоретичні підходи щодо удосконалення захисту
об’єктів критичної інфраструктури в Україні // Наукові інновації та передові
технології. – 2023. – № 6 (20).
11. Галата Л. П. Інформаційна технологія захисту критичних ресурсів
виробництва мінеральних добрив: дис. ... д-ра техн. наук. – Київ:
Національний авіаційний університет, 2022.
12. Головченко С. Методи та засоби адміністрування компонентів захисту
інформації в розподілених комп’ютерних системах. – 2023.
13. Єрменчук О. П. Основні підходи до організації захисту критичної
інфраструктури в країнах Європи: досвід для України. – 2018.
14. Єрменчук О. П. Поняття критична інфраструктура // Інформаційна
безпека людини, суспільства, держави. – 2018. – № 1. – С. 20–28.
15. Іванова Н. Трансформація потенціалу регіональних економічних систем:
наслідки повномасштабного вторгнення та перспективи повоєнного
відновлення // Проблеми і перспективи економіки та управління. – 2023. – №
4 (36). – С. 183–206.
16. Івашин Д. Ю. Автоматизація аналізу log-файлів для виявлення
аномальної поведінки користувача: кваліфікаційна робота магістра. –
Тернопіль: ТНТУ, 2021.
17. Інжиєвський О. О. Підвищення ефективності методів протидії
кібератакам на об'єкти критичної інфраструктури. – 2023.
18. Карнаух В. О. Система забезпечення кібербезпеки на об'єктах критичної
інформаційної інфраструктури. – 2020.
19. Криволапов М. С. Метод забезпечення кібербезпеки в
телекомунікаційних мережах. – 2023.
20. Кручинський А. О. Система захисту об’єктів критичної інфраструктури.
– 2023.
21. Лєнков С., Кривцун В., Мірошніченко О., Голушко С., Кольцов Р. Аналіз
стану розвитку питання захисту об’єктів критичної інфраструктури з
ЧДТУ.24.23310.001 ПЗ
№ П
використанням інженерних боєприпасів // Pidvodni tehnologii. – 2023. – № 13.
– С. 81–91.
22. Макаренко А. О. Аналіз оцінки поточного стану інформаційної безпеки
на основі SIEM-систем. – 2020.
23. Мануілов Я. С. Забезпечення кібербезпеки об’єктів критичної
інфраструктури в умовах кібервійни // Інформація і право. – 2023. – № 1 (44).
– С. 154–167.
24. Омельяненко В. А., Омельяненко О. М., Лиштван В. Л. Ключові аспекти
інфраструктурної безпеки та сталості в контексті повоєнного відновлення
громад (цифровий та бізнес-екосистемний аспект) // Цифрова економіка та
економічна безпека. – 2023. – № 8 (08). – С. 54–61.
25. Пастушок О. О. Системний підхід до процесу керування доступами в
об’єктах критичної інфраструктури в умовах воєнного стану. – 2022.
26. Петрик О. М. Дослідження мережевих архітектур для критичних
інфраструктур: кваліфікаційна робота магістра. – 2023.
27. Поляков О. М. Сучасні тренди виявлення та протидії застосуванню
шпигунських та шкідливих програм // Інформація і право. – 2023. – № 2 (45).
– С. 125–138.
28. Романюк Д. О. Системи попередження, аналізу та запобігання
кібератакам на критичну інфраструктуру. – 2022.
29. Система національної безпеки України. Безпека людини – безпека
країни: Указ Президента України від 14.09.2020 № 392/2020.
30. Субач І. Ю., Власенко О. В. Інформаційні технології захисту баз даних
від кібератак в інформаційних системах військового призначення. – 2022.
31. Ткаченко В. С. Методи управління станом захисту інформаційних
ресурсів в умовах кібервпливу. – 2023.
32. Толюпа С. В., Штаненко С. С., Берестовенко Г. В. Класифікаційні ознаки
систем виявлення атак та напрямки їх побудови // Збірник наукових праць
[Військового інституту телекомунікацій та інформатизації]. – 2018. – № 3. – С.
112–122.
ЧДТУ.24.23310.001 ПЗ
№ П
33. Шульга М. Д. Оцінювання ризиків інформаційної безпеки віртуальної
інфраструктури. – 2023.
34. Янковський В. С. Аналіз кіберзагроз на об’єктах критичної
інфраструктури держави: кваліфікаційна робота магістра. – Запоріжжя:
Національний університет «Запорізька політехніка», 2023.
ЧДТУ.24.23310.001 ПЗ
№ П