ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ТРАФИКА: БУДЬТЕ НА ШАГ ВПЕРЕДИ КИБЕРПРЕСТУПНОСТИ

АННОТАЦИЯ

Научная статья посвящается обнаружение вредоносного трафика. Вредоносная сетевая активность — это любая попытка скомпрометировать, нарушить или использовать конфиденциальность, целостность или доступность сети или ее ресурсов. Обнаружение вредоносной сетевой активности — важнейший навык для специалистов по сетевой безопасности, поскольку может помочь предотвратить утечку данных, перебои в обслуживании или финансовые потери. В этой статье обсудим некоторые распространенные методы и инструменты для обнаружения вредоносной сетевой активности, а также способы их применения в различных сценариях. В этой статье представлен обзор различных методов сетевого анализа и прогнозирования трафика. Одной из основных целей этого процесса является помощь в обнаружении и предотвращении угроз, а также в отслеживании потенциальных проблем. Особое внимание было обращено автором для сбора и хранения сетевых данных можно использовать такие инструменты, как сетевые анализаторы, анализаторы пакетов или сборщики потоков, используемую межсетевыми экранами, и анализ вредоносного трафика, используемый системами обнаружения вторжений. В публикации затрагивается темы что такое обнаружение вредоносного трафика, как обнаружить вредоносный трафик, что сделать, чтобы улучшить обнаружение вредоносного трафика.

ABSTRACT

The scientific article is devoted to the detection of malicious traffic. Malicious network activity is any attempt to compromise, disrupt, or exploit the confidentiality, integrity, or availability of a network or its resources. Detecting malicious network activity is a critical skill for network security professionals because it can help prevent data leaks, service outages, or financial losses. In this article, we will discuss some common methods and tools for detecting malicious network activity, and how to use them in various scenarios. This article provides an overview of various network analysis and traffic forecasting techniques. One of the main goals of this process is to help detect and prevent threats, as well as track potential problems. Particular attention was paid by the author to the collection and storage of network data using tools such as network analyzers, packet sniffers or flow collectors used by firewalls, and analysis of malicious traffic used by intrusion detection systems. The publication covers the topics of what is malicious traffic detection, how to detect malicious traffic, what to do to improve the detection of malicious traffic.

Ключевые слова: обнаружение вредоносного трафика, киберпреступность, сеть, трафик, вредоносный программы, угроза, системы обнаружения вторжений.

Keywords: detection of malicious traffic, cybercrime, network, traffic, malware, threat, intrusion detection systems.

Интернет — это поток трафика, то есть данных. Всякий раз, когда подключаетесь к Интернету, происходит немедленный поток данных, то есть данные отправляются и принимаются через Всемирную паутину. Не все эти данные являются «хорошими данными». Существует огромное количество плохих данных, которые необходимо остановить, чтобы вредоносные  трафики не достигли домашнего компьютера.

Функция обнаружения вредоносного трафика  антивирусного решения  призвана защитить компьютер от вреда. Если пришлось ранжировать различные функции безопасности конечных точек в порядке важности, нет сомнений, что обнаружение вредоносного трафика будет стоять на первом месте.

Что такое обнаружение вредоносного трафика?

Обнаружению вредоносной сетевой активности является установление базового уровня нормального поведения и производительности сети. Базовый уровень — это контрольная точка, которая помогает выявить отклонения, аномалии или тенденции, которые могут указывать на потенциальную угрозу. Чтобы создать базовый уровень, необходимо собрать и проанализировать различные сетевые данные, такие как объем трафика, протоколы, порты, устройства, пользователи, приложения и показатели производительности. Для сбора и хранения сетевых данных можете использовать такие инструменты, как сетевые анализаторы, анализаторы пакетов или сборщики потоков. Также следует регулярно обновлять базовые показатели, чтобы учитывать изменения в сетевой среде.[1]

Вредоносный трафик или вредоносный сетевой трафик — это любая подозрительная ссылка, файл или соединение, которые создаются или принимаются по сети.

Самый опасный и распространенный тип вредоносного трафика — это форма HTTP-трафика от небраузерных приложений, которые хотят подключиться к известным плохим URL-адресам, таким как серверы управления и контроля. Этот трафик является ранним индикатором вредоносного ПО на вашем ПК, которое хочет подключиться к удаленным серверам и посеять хаос. Это может включать доставку дополнительного вредоносного ПО, дополнительных инструкций, обновлений для вторжения, связь с ботнетом, инструкции по загрузке, скачиванию дополнительных файлов или извлечению конфиденциальных данных.[8]

Обнаружение вредоносного трафика — это процесс идентификации и анализа активности в компьютерной сети, которая намеревается поставить под угрозу ее безопасность. Столкновение со вредоносной активностью — это определенность для каждой организации. Если ее не остановить, это может привести к краже данных, распространению вредоносного ПО и созданию ботнетов, которые наносят серьезный ущерб операциям вашего бизнеса и доверию заинтересованных сторон. Но поскольку потоки данных увеличиваются, а субъекты угроз постоянно адаптируют свою тактику, методы и процедуры для запуска новых атак против своих жертв, организации должны иметь средства для быстрого обнаружения как известных, так и новых индикаторов вредоносной активности, если хотят иметь эффективную позицию кибербезопасности.[2]

Как обнаружить вредоносный трафик?

Технология обнаружения вредоносного трафика постоянно отслеживает трафик на предмет возможных признаков создания или получения подозрительных ссылок, файлов или соединений. Чтобы идентифицировать вредоносный трафик, расширенные возможности обнаружения вредоносного трафика могут проверить, является ли подозрительная ссылка формой вредоносного трафика, исходящего с неверных URL-адресов или сайтов. Обычно проверяет канал на соответствие огромному объему данных безопасности, собранных с сотен миллионов устройств по всему миру. Это обеспечивает защиту, как от известных, так и от неизвестных угроз.[7]

К обнаружению вредоносной сетевой активности является постоянный и упреждающий мониторинг сети на предмет любых признаков компрометации, вторжения или атаки. Мониторинг сети включает в себя сравнение текущих сетевых данных с базовыми показателями и поиск любых подозрительных или необычных закономерностей, событий или предупреждений. Можете использовать такие инструменты, как системы обнаружения вторжений (IDS), управление информацией о безопасности и событиями (SIEM) или мониторинг сетевой безопасности (NSM), чтобы автоматизировать и упростить процесс мониторинга. Также следует настроить инструменты для генерации и определения приоритетности оповещений в зависимости от серьезности и воздействия обнаруженной активности.[4]

Вредоносный трафик имеет характерные шаблоны или необычное поведение. Выявление этих индикаторов компрометации (IOC) в сети может предупредить об угрозах. Организации используют различные методы в тандеме для точного определения известных и новых индикаторов, чтобы защитить себя как от существующих, так и от новых угроз. Примеры часто используемых методов включают:

• Сетевое обнаружение и реагирование  непрерывно отслеживает сетевой трафик на предмет IOC и подозрительного поведения. Использует машинное обучение и искусственный интеллект для моделирования субъектов угроз, чтобы можно было быстро идентифицировать новые атаки и эффективно смягчать их. Также могут синхронизироваться с другими инструментами кибербезопасности для ускорения расследования безопасности.[3]
• Обнаружение и реагирование, на конечные точки интегрированное решение для обеспечения безопасности конечных точек, объединяющее непрерывный мониторинг и сбор данных конечных точек в режиме реального времени с возможностями автоматизированного реагирования и анализа на основе правил. Нацелено на обнаружение и расследование подозрительной активности на хостах и ​​конечных точках и использует высокую степень автоматизации, чтобы позволить группам безопасности быстро выявлять и реагировать на угрозы.
• Управление информацией о безопасности и событиями собирает журналы из нескольких источников в сети, включая конечные точки, серверы и службы, и анализирует этот огромный объем данных в режиме реального времени, чтобы выявить отклонения и принять соответствующие меры в ответ на ограничение потенциального риска для организации.[6]

Что сделать, чтобы улучшить обнаружение вредоносного трафика?

• Использование  данные о киберугрозах (CTI) - организации должны постоянно обновлять  индикаторы, чтобы защитить организации от известных и новых угроз. CTI может предоставить информацию об известных и предполагаемых субъектах угроз, чтобы могли быть в курсе тактик, которые используют для выявления и блокировки трафика, связанного с этими вредоносными объектами.
• Реализовать оркестровку - обеспечьте оркестровку для координации нескольких инструментов, используемых для идентификации вредоносного трафика и автоматизации предопределенных действий в ответ, таких как изоляция потенциально зараженного устройства. Оркестровка сократит время реагирования на угрозы и обеспечит минимизацию их воздействия.[5]
• Использование искусственный интеллект (ИИ) - использование ИИ может помочь анализировать большие объемы данных для поведения и моделей, указывающих на угрозы. Чем быстрее сможете идентифицировать эти угрозы, тем легче будет смягчить их последствия.
• Sophos Home с обнаружением вредоносных угроз - лучшая защита от вредоносного трафика — это решение, которое предлагает защиту от него в режиме реального времени. Функция обнаружения вредоносного трафика Sophos Home отслеживает сетевой трафик на наличие признаков подключения к известным вредоносным серверам и URL-адресам, таким как серверы управления и контроля. Если такой трафик обнаружен, немедленно блокируется, а процесс останавливается.[8]

Список литературы:

1. Аверченков, В. И. Аудит информационной безопасности. Учебное пособие / В.И. Аверченков. - М.: Флинта, 2021. - 679 c.
2. Артемов, А. Информационная безопасность. Курс лекций / А. Артемов. - Москва: РГГУ, 2018. - 788 c.
3. Бабаш, А. В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2021. - 136 c.
4. Клименко Т. М., Акжигитов Р. Р. Обзор методов обнаружения распределённых атак типа» отказ в обслуживании» на основе машинного обучения и глубокого обучения //International Journal of Open Information Technologies. – 2023. – Т. 11. – №. 6. – С. 46–66.
5. Полянская М. С. Анализ подходов к обнаружению атак в зашифрованном трафике // Современные информационные технологии и ИТ-образование. 2021. Т. 17, No 4. С. 922–931. DOI: https://doi.org/10.25559/SITITO.17.202104.922-931
6.  Deri L., Fusco F. Using Deep Packet Inspection in CyberTraffic Analysis //2021 IEEE International Conference on Cyber Security and Resilience (CSR). – IEEE, 2021. – С. 89–94.
7.  J. Z. Kolter and M. A. Maloof, “Learning to detect and classify malicious executables in the wild,” Journal of Machine Learning Research, vol. 7, p. 2006, 2006.
8. E. Gandotra, D. Bansal, and S. Sofat, “Malware analysis and classification: A survey,” Journal of Information Security, vol. 5, pp. 56–64, 2014.