Определение кибератаки

Проще говоря, кибератака — это атака, запущенная с одного или нескольких компьютеров против другого компьютера, нескольких компьютеров или сетей. Кибератаки можно разделить на два основных типа: атаки, целью которых является отключение целевого компьютера или отключение его от сети, или атаки, целью которых является получение доступа к данным целевого компьютера и, возможно, получение прав администратора на нем.

8 видов кибератак

Для достижения таких целей, как получение доступа или отключение операций, киберпреступники применяют ряд различных технических методов. Всегда появляются новые методы, и некоторые из этих категорий пересекаются, но это термины, которые вы, скорее всего, услышите в обсуждении.

  1. Вредоносное ПО
  2. Фишинг
  3. Программы-вымогатели
  4. Отказ в обслуживании
  5. Человек посередине
  6. Криптоджекинг
  7. SQL-инъекция
  8. Эксплойты нулевого дня

Кибератака на GitHub

28 февраля 2018 года хостинг-сервис контроля версий GitHub подвергся массовой атаке типа «отказ в обслуживании, при этом на популярный сайт приходилось 1,35 ТБ трафика в секунду. Хотя GitHub периодически отключался от сети и ему удалось полностью отразить атаку менее чем за 20 минут, сам масштаб атаки вызывал беспокойство; он опередил масштабную атаку на Dyn в конце 2016 года, пик которой составил 1,2 ТБ в секунду.

Еще более тревожной была инфраструктура, которая спровоцировала атаку. В то время как атака Dyn была продуктом ботнета Mirai, которому требовалось вредоносное ПО для заражения тысяч IoT-устройств, атака GitHub использовала серверы с системой кэширования памяти Memcached, которая может возвращать очень большие фрагменты данных в ответ на простые запросы.

Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, имеет мало средств безопасности, чтобы предотвратить подделку IP-адресов злоумышленниками и отправку огромных объемов данных ничего не подозревающим жертвам. К сожалению, тысячи серверов Memcached сидят в открытом Интернете, и их использование в DDoS-атаках резко возросло. Говорить о том, что серверы захвачены, едва ли справедливо, поскольку они с радостью отправят пакеты, куда им скажут, не задавая вопросов.

Всего через несколько дней после атаки на GitHub еще одна DDoS-атака с использованием Memecached обрушилась на неназванного поставщика услуг в США с объемом данных 1,7 ТБ в секунду.

ПРЕДОТВРАЩЕНИЕ КИБЕРАТАКИ

Система обнаружения вторжений (IDS) потенциально может стать границей защиты от кибератак и играет важную роль в обеспечении безопасности сетевых ресурсов и инфраструктур. Производительность IDS сильно зависит от характеристик данных. Выбор наиболее информативных функций, исключающих избыточные и нерелевантные функции из данных о сетевом трафике для IDS, все еще остается открытым вопросом исследования. Основной целью этой статьи является определение и оценка потенциального набора функций, которые могут характеризовать сетевой трафик для обнаружения вторжений. В этой переписке предлагается ансамблевый подход. В качестве первого шага в подходе применяются четыре различных показателя оценки характеристик, таких как корреляция, согласованность, информация и расстояние, чтобы выбрать наиболее важные функции для обнаружения вторжений. Во-вторых, он применяет стратегию комбинирования подмножеств, чтобы объединить выходные данные четырех мер и получить потенциальный набор функций. Наряду с этим исследуется новая структура, которая использует методы жизненного цикла анализа данных, чтобы использовать предложенный ансамбль для создания эффективной IDS. Эффективность предложенного подхода продемонстрирована путем проведения нескольких экспериментов на четырех наборах данных оценки обнаружения вторжений, а именно KDDCup’99, NSL-KDD, UNSW-NB15 и CICIDS2017.

ПРИ ОЦЕНКЕ ИДЕНТИФИКАЦИОННЫХ МОДЕЛЕЙ ИСПОЛЬЗУЙТЕ МАТРИЦУ КОНФУЗИОННОЙ МАТРИЦЫ

Производительность IDS оценивается по ее способности правильно классифицировать данный пакет данных сетевого трафика как вредоносный или обычный. Хорошая IDS должна обеспечивать высокую точность и скорость обнаружения при низком FAR. В связи с этим в настоящей работе используется матрица путаницы, представленная на рис. для вычисления этих трех показателей следующим образом:

  • Скорость обнаружения (DR): также называемая истинной положительной скоростью, определяется как отношение количества пакетов данных сетевого трафика, правильно обнаруженных IDS, к общему количеству пакетов данных сетевого трафика в тестовом наборе данных.
  • Коэффициент ложных срабатываний: также называется коэффициентом ложных срабатываний (FAR). Это отношение количества обычных пакетов, обнаруженных как вредоносные пакеты (FP), к общему количеству нормальных пакетов в наборе тестовых данных. Если значение этой метрики постоянно увеличивается, администратор сети может намеренно игнорировать системные предупреждения. Следовательно, это может поставить всю сеть в опасное состояние. При этом значение этого показателя должно быть как можно ниже.
  • Точность (ACC): может быть определена как отношение общего количества правильных классификаций (обнаружений) вредоносных (TN) и обычных пакетов (TP) к фактическому размеру тестового набора данных.

ПРОСТОЙ СПОСОБ ПОНИМАНИЯ МАТРИЦЫ ЗАМЕЧАНИЯ

  1. Истинный положительный результат (TP): это события, которые были правильно предсказаны моделью как «произошло = да».
  2. Истинно отрицательный (TN): это события, которые были правильно предсказаны моделью как «не произошло = нет».
  3. Ложное срабатывание (FP): это события, которые были предсказаны как «произошло = да», но на самом деле это «не произошло = нет»
  4. Ложноотрицательный результат (FN): это противоположно FP, т. е. предсказано как «не произошло = нет», но на самом деле это было «произошло = да».

ПРИЯТНОГО ОБУЧЕНИЯ……