Тип публикации: статья из журнала
Год издания: 2022
Идентификатор DOI: 10.31772/2712-8970-2022-23-4-593-601
Ключевые слова: analysis, security, web, internet, attack, corporate network, анализ, безопасность, веб, интернет, атака, корпоративная сеть
Аннотация: В статье представлено исследование динамики атак на веб-сервисы с использованием классификации киберугроз по типам на примере корпоративной сети Красноярского научного центра СО РАН. Анализ проведен на основе журналов веб-сервисов и позволяет решить актуальные задачи обеспечения комплексной безопасности веб-сервисов, в том числе выПоказать полностьюявить как существующие, так и потенциальные угрозы кибербезопасности. Проведен обзор основных подходов к обработке и анализу журналов. Авторы описывают тип и состав источников данных и приводят список используемого программного обеспечения. Особенностью исследования является длительный период наблюдения. Предложена структура системы обработки и реализован программный комплекс для анализа и классификации атак. В работе показано, что использование классифицированных выборок позволяет обнаружить периодичность и выявить тренды по отдельным видам атак. Анализ показал, что наиболее эффективным способом обнаружения повышения риска киберугроз является анализ классифицированных угроз с агрегацией до месяца. Неклассифицированные атаки имеют схожие параметры распределения по разным годам, в случае же применения классификации параметры распределения существенно меняются, что позволяет отслеживать риски в автоматизированных системах предотвращения вторжений. Была построена матрица корреляций по типам атак. Анализ показал, что большинство типов атак имеет слабую корреляцию, за исключением атак «инъекция команд», «просмотр директории», «инъекция кода Ява», которые можно агрегировать. Авторами предложен эвристический метод сравнения рисков, основанный на классификации киберугроз. Метод использует статистические параметры распределений выборок и позволяет работать с различными временными интервалами. В работе выполнена геопривязка IP-адресов, с которых проводились атаки, построены профили атак для разных стран и приведен список стран, имеющих стабильный профиль атак. В заключение указаны особенности предложенного метода и обозначены перспективы использования в других областях. The article presents a study of the dynamics of attacks on web services using the classification of cyber threats by type on the example of the corporate network of the Krasnoyarsk Scientific Center of the Siberian Branch of the Russian Academy of Sciences. The analysis was carried out on the basis of web services logs and allows solving urgent problems of ensuring the integrated security of web services, including identifying both existing and potential cybersecurity threats. A review of the main approaches to the processing and analysis of logs is provided. The authors describe the type and composition of data sources and provide a list of the software used. A feature of the study is the long observation period. The structure of the processing system is proposed and software tools for attack analysis and classification are implemented. The work shows that the use of classified samples allows detecting periodicity and reveal trends of certain types of attacks. Unclassified attacks have similar distribution parameters for different years, while in the case of classification, the distribution parameters change significantly, which makes it possible to track risks in automated intrusion prevention systems. A correlation matrix by type of attack was constructed. The analysis showed that most attack types have weak correlation, with the exception of the attacks “command injection”, “directory browsing”, “Java code injection”, which can be aggregated. The authors proposed a heuristic method of risk comparison based on cyber threat classification. The method uses statistical parameters of sample distributions and allows working with different time intervals. The paper georeferenced the IP addresses from which the attacks were carried out, built attack profiles for different countries, and provided a list of countries with a stable attack profile. The conclusion indicates the features of the proposed method and outlines the prospects for its use in other areas.
Журнал: Сибирский аэрокосмический журнал
Выпуск журнала: Т. 23, № 4
Номера страниц: 593-601
ISSN журнала: 27128970
Место издания: Красноярск
Издатель: Сибирский государственный университет науки и технологий им. акад. М.Ф. Решетнева