Ідентифікація загроз «нульового дня» в кібербезпеці за допомогою таксонометричного методу
Рівень розвитку інформаційної безпеки зазвичай відстає від рівня розвитку інформаційних атак. Захист від атаки нового виду стає можливим тільки через певний проміжок часу, тому що, потрібен час на вивчення нового виду атаки, винайдення та реалізацію способу захисту. Протиріччя полягає в тому, що для...
| Main Authors: | , , |
|---|---|
| Format: | Article |
| Language: | English |
| Published: |
Ivan Kozhedub Kharkiv National Air Force University
2018-03-01
|
| Series: | Системи обробки інформації |
| Subjects: | |
| Online Access: | http://www.hups.mil.gov.ua/periodic-app/article/18506/soi_2018_1_21.pdf |
| Summary: | Рівень розвитку інформаційної безпеки зазвичай відстає від рівня розвитку інформаційних атак. Захист від атаки нового виду стає можливим тільки через певний проміжок часу, тому що, потрібен час на вивчення нового виду атаки, винайдення та реалізацію способу захисту. Протиріччя полягає в тому, що для того, щоб побудувати ефективний захист від нової атаки, необхідно її вивчити, а для цього необхідно її отримати. З іншого боку, розвиток систем захисту може стати неможливим внаслідок руйнування інформаційної системи під час атаки. Отже, найбільш складними є інформаційні загрози "нульового дня". В роботі вивчений досвід медицини та біології, щодо упереджувальних дій проти вірусів та інфекцій. Встановлена аналогія підходів до боротьби проти атак «нульового дня» в кіберсистемах та підходів до боротьби з «хворобами брудних рук» в медицині. Досвід епідеміології розповсюджений на боротьбу проти кібернетичних загроз «нульового дня». За аналогією з медициною, зроблені висновки, що ефективний захист можливий, навіть якщо невідомий точний тип загрози. Можливо забезпечити стійкість інформаційної системи до будь-яких небажаних подій шляхом забезпечення високого тонусу організму. Але більш ефективний захист забезпечує ідентифікація небезпечної ситуації. У випадку відсутності відомих сигнатур атак використовують загальні ознаки небезпечної або нетипової поведінки об’єктів, що взаємодіють з інформаційною системою. Далі об’єкти розподіляються по кластерах за рівнями їх нетиповості (небезпечності). В роботі проаналізоване використання кластерного аналізу в різних галузях діяльності людства. Для ідентифікації кібернетичних загроз обраний таксонометричний метод, який дозволяє створювати еталони в умовах відсутності попередньої інформації щодо нових видів загроз. З урахуванням особливостей задач кібернетичної безпеки, були вдосконалені таксонометричний метод та критерії визначення еталонних об’єктів. Експериментально була перевірена та доведена можливість реалізації запропонованого підходу на звичайних бюджетних персональних комп’ютерах. Побудовані графічні ілюстрації щодо обрання еталону та побудований приклад дендрограми об’єктів взаємодії з інформаційною системою. |
|---|---|
| ISSN: | 1681-7710 2518-1696 |