|
|
№ 1 (115) январь–февраль 2024 г.
Раздел: Безопасность компьютерных систем
|
Анализ методов машинного обучения для обнаружения техник бокового перемещения
Analysis of Machine Learning Methods for Detecting Lateral Movement Techniques
Алексей Владимирович Агарков
A. V. Agarkov
Юрий Арменакович Гатчин,
доктор технических наук, профессор
Y. A. Gatchin,
PhD (Eng., Grand Doctor), Full Professor
Виктор Григорьевич Швед,
доктор технических наук, профессор
V. G. Shved,
PhD (Eng., Grand Doctor), Full Professor
Университет ИТМО
ITMO University
Марина Ивановна Ожиганова,
кандидат технических наук, доцент
Севастопольский государственный университет
M. I. Ozhiganova,
PhD (Eng.), Associate Professor
Sevastopol State University
|
|
|
УДК 004.056
Боковое перемещение — это одна из важнейших техник для повышения привилегий и получения доступа к конфиденциальным данным во время проведения атак злоумышленниками, попавшими в корпоративную сеть. Техники бокового перемещения достаточно распространены при кибератаках и включают в себя набор методов, способствующих закреплению атакующих на скомпрометированном устройстве. Техники не поддаются быстрому анализу и обнаружению системами мониторинга событий и инцидентов, так как зачастую при боковом перемещении используются сложные механизмы атак, инструменты и разрешенные протоколы. В связи с этим для обнаружения бокового перемещения без явных индикаторов применяются методы машинного обучения, позволяющие построить модели поведения пользователей в течение определенного промежутка времени нормального функционирования корпоративной сети и выявить аномальное поведение при анализе трафика, которое с высокой вероятностью указывает на цепочку событий бокового перемещения. Данная работа сосредоточена на подробном анализе способов обнаружения бокового перемещения с помощью методов контролируемого и неконтролируемого машинного обучения.
< ... >
Ключевые слова:
информационная безопасность, кибератаки, кибербезопасность, боковое перемещение, APT, машинное обучение, журналы событий, SIEM
Lateral movement is one of the most important techniques for increasing privileges and gaining access to confidential data during attacks by intruders who have entered the corporate network. Lateral movement techniques are not amenable to rapid analysis and detection by event and incident monitoring systems, as complex attack mechanisms, tools and authorized protocols are often used during lateral movement. In this regard, machine learning methods are used to detect lateral movement without explicit indicators, which allow to build models of user behavior during a certain period of time for the normal functioning of the corporate network and identify abnormal behavior in traffic analysis, which with high probability indicates a chain of lateral movement events.
Keywords:
information security, cyber attacks, cyber security, lateral movement, APT, machine learning, event logs, SIEM
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|