Розроблення моделі системи виявлення та протидії кіберзагрозам із підтримкою та оновленням правил виявлення атак

Thumbnail Image

Files

Primary 2024v4n2_Holdii_A-Development_of_a_model_of_60-71.pdf (1.3 MB)

Date

2024-12-10

Authors

Journal Title

Journal ISSN

Volume Title

Publisher

Видавництво Львівської політехніки
Lviv Politechnic Publishing House

Abstract

Розглянуто проблему захисту даних в інформаційно-комунікаційних системах в умовах зростання обсягів трафіку та кількості кіберзагроз, що робить необхідним підвищення ефективності систем протидії вторгненням. Розглянуто різновиди систем виявлення вторгнень (IDS) та систем запобігання вторгненням (IPS), їхні переваги та недоліки. Проаналізовано методи виявлення загроз, серед яких сигнатурні методи, методи виявлення аномалій та методи на основі машинного навчання. Особливу увагу звернено на методи виявлення атак на основі вмісту трафіку. Здійснено порівняння ефективності різноманітних комерційних та відкритих рішень, таких як Snort і Suricata, з погляду їхньої архітектури, продуктивності та точності. Основна пропозиція – доповнити системи Suricata додатковим модулем Intelligent Threat Detector (ITD), що ґрунтується на методах машинного навчання. Модуль ITD інтегрований у основний модуль Suricata і виконує глибокий аналіз трафіку та виявлення аномалій. Такий підхід дає змогу знизити навантаження на систему виявлення, підвищуючи продуктивність опрацювання вхідного трафіку і забезпечуючи високий рівень безпеки. Запропоноване рішення забезпечує багаторівневий підхід до захисту мережі, де первинну фільтрацію здійснює Suricata, а глибокий аналіз – ITD. Система може перехоплювати мережеві пакети для аналізу інформації, будуючи функції обробки на основі вибраних даних для визначення можливості вторгнення. Додатково інтеграція модуля ITD дає змогу адаптувати систему до нових та невідомих загроз у реальному часі, модуль постійно навчається на основі нових даних, що забезпечує безперервне підвищення точності виявлення та реагування на загрози. Розміщення системи після фаєрволу допомагає знизити навантаження на систему виявлення, забезпечуючи ефективне вико- ристання ресурсів багатопроцесорних систем та зменшення кількості помилкових спрацьовувань.
The article addresses the issue of data protection in information and communication systems amid the growing volume of traffic and the increasing number of cyber threats, necessitating improvements in the effectiveness of intrusion detection and prevention systems. Various types of Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS), their advantages, and disadvantages are considered. The methods of threat detection are analyzed, including signaturebased methods, anomaly detection methods, and machine learning-based methods. Special attention is paid to methods of attack detection based on traffic content. The effectiveness of various commercial and open-source solutions, such as Snort and Suricata, is compared in terms of their architecture, performance, and accuracy. The main proposal is to enhance the Suricata system with an additional module called the Intelligent Threat Detector (ITD), which is based on machine learning methods. The ITD module is integrated into the main Suricata module and performs deep traffic analysis and anomaly detection. This approach helps reduce the load on the detection system, improving the processing performance of incoming traffic and ensuring a high level of security. The proposed solution provides a multi-level approach to network protection, where initial filtering is carried out by Suricata, and deep analysis is performed by ITD. The system can intercept network packets for information analysis, building processing functions based on selected data to determine the possibility of intrusion. Additionally, the integration of the ITD module allows the system to adapt to new and unknown threats in real time, as the module continuously learns from new data, ensuring continuous improvement in detection accuracy and response to threats. Placing the system behind the firewall helps reduce the load on the detection system, ensuring efficient use of multiprocessor system resources and reducing false positives.

Description

Keywords

IPS, IDS, виявлення атак, розподілені системи, балансування наван- таження, автоматичне масштабування, IPS, IDS, attack, distributed systems, load balancing, detection

Citation

Голдій А. Розроблення моделі системи виявлення та протидії кіберзагрозам із підтримкою та оновленням правил виявлення атак / А. Голдій, О. Шпур, А. Масюк // Інфокомунікаційні технології та електронна інженерія. — Львів : Видавництво Львівської політехніки, 2024. — Том 4. — № 2. — С. 60–71.

URI

https://ena.lpnu.ua/handle/ntb/116929

Collections

Infocommunication Technologies and Electronic Engineering. – 2024. – Vol. 4, No. 2

Endorsement

Review

Supplemented By

Referenced By