Wyniki 1-2 spośród 2 dla zapytania: authorDesc:"Paweł SZYNKIEWICZ"

SYSTEM WYTWARZANIA OFF-LINE SYGNATUR ZAGROŻEŃ AKTYWNYCH DOI:


  W artykule1 prezentowany jest system do generowania off-line różnego typu sygnatur zagrożeń aktywnych. Wytwarzane sygnatury obejmują ciągi oraz multizbiory podciągów przepływów (tokenów). Pozycje tokenów mogą być dowolne lub ich zakresy są ustalane dla każdego tokena. W pracy przedstawione są główne komponenty wykonanego systemu. Szczególna uwaga jest zwrócona na opracowany mechanizm wytwarzania sygnatur, który zakłada rozwiązanie odpowiednio sformułowanego zadania optymalizacji globalnej. Do rozwiązania tego zadania zaproponowano specjalizowaną wersję algorytmu genetycznego z kodowaniem całkowitoliczbowym. Działanie systemu oraz jego efektywność zostały zweryfikowane symulacyjnie na rzeczywistych przepływach pobranych z sieci Internet oraz danych uzyskanych z specjalnie przygotowanych generatorów przepływów. Wyniki testów porównano z rezultatami uzyskanymi za pomocą ogólnie dostępnego w Internecie systemu Nebula . 1. WPROWADZENIE Ataki robaków sieciowych, w szczególności dotychczas nieznanych i nowych (zero-day), stanowią poważne zagrożenie dla użytkowników sieci komputerowych. Robaki łatwo rozprzestrzeniają się w dużych, połączonych wzajemnie i podatnych na zagrożenia systemach [1, 2, 3]. Standardowo wykorzystywane mechanizmy bezpieczeństwa sieci, takie jak uwierzytelnianie i autoryzacja, stają się niewystarczające w szybko rozwijających się sieciach globalnych, przy rosnącej liczbie i pojawianiu się stale nowych zagrożeń. Jedną z podstawowych metod obrony przed zagrożeniami sieciowymi propagującymi się w sposób aktywny jest ich wykrywanie i neutralizacja przez systemy IDS/IPS (ang. Intrusion Detection System / Intrusion Prevention System). W systemach do obrony przed atakami sieciowymi stosuje się najczęściej dwa podejścia [1, 4], polegające na: - wykorzystaniu wcześniej zidentyfikowanych wzorców dla złośliwych komunikatów, czyli sygnatur zagrożenia, - analizie anomalii polegającej na identyfikacji ata[...]

Filtracja i korelacja zdarzeń bezpieczeństwa - modele i metody DOI:10.15199/48.2019.03.32

Czytaj za darmo! »

Rozważania koncentrują się na zagadnieniach przetwarzania danych o zdarzeniach bezpieczeństwa w sieci w celu budowania świadomości sytuacyjnej oraz oceny możliwości wystąpienia potencjalnych zagrożeń. Przyjmuje się, że dane o sytuacji w sieci mogą być pozyskiwane z różnych źródeł, tj. instytucji, organizacji z kraju i świata, a więc są to zazwyczaj dane różnego typu. W ogólności można wyróżnić trzy podstawowe rodzaje rozważanych danych:  Dane typu podstawowego, których format jest ściśle określony, posiadające jednoznaczną interpretację, czyli dane atomowe, nie składające się z danych innych typów, (np.: adres IP, URL, skróty), surowe dane binarne, tj. próbki malware, ruchu sieciowego itd.  Dane ustrukturyzowane (zagregowane), grupujące logicznie powiązane ze sobą dane różnych typów, np. IoC (Indicators of Compromise), dane o incydentach, podatnościach, uczestnikach. Ich format jest określony przez zbiory składowych wymaganych i składowych opcjonalnych.  Dane nieustrukturyzowane, bez ściśle określonej struktury, które mogą zawierać dane innych typów, np.: komentarze, analizy, dyskusje.  Dane asocjacyjne, określające relacje między obiektami w systemie. Do reprezentacji danych o cyberzagrożeniach stosuje się coraz częściej standard STIX (Structured Threat Information Expression, https://stixproject.github.io/about/) - obecnie najpełniejszy język i format serializacji danych do wymiany informacji o zdarzeniach bezpieczeństwa w sieci. STIX pozwala na definiowanie i rozszerzanie typów, wersjonowanie, opisywanie relacji między obiektami i określanie profili użycia języka. Podstawowe encje standardu STIX to: obserwacje, indykatory, incydenty, taktyki techniki i procedury, kampanie, aktorzy, cele, działania. Do wymiany informacji reprezentowanych w języku STIX służy protokół TAXII (Trusted Automated eXchange of Indicator Information, https://taxiiproject.github.io/) - mechanizm wymiany danych [...]

 Strona 1