Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox

Eastern-European Journal of Enterprise Technologies

View Publication Info
 
 
Field Value
 
Title Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox
Разработка метода защиты от атак нулевого дня на основе аналитической модели изменения состояния сетевой песочницы
Розробка методу захисту від атак нульового дня на базі аналітичної моделі зміни станів мережевої пісочниці
 
Creator Buchyk, Serhii
Yudin, Oleksandr
Ziubina, Ruslana
Bondarenko, Ivan
Suprun, Oleh
 
Subject атака нульового дня
аналітична модель
ранжування станів
мережева пісочниця
захист інформації
zero-day attack
analytical model
state ranking
network SandBox
information protection
атака нулевого дня
аналитическая модель
ранжирование состояний
сетевая песочница
защита информации
 
Description This paper reports a method of protection against zero-day attacks using SandBox technology based on the developed analytical model with a probabilistic ranking of information system states. The model takes into consideration the conditions of a priori uncertainty regarding the parameters of the destructive flow on the system, accounting for the typical procedures of the network SandBox.
The proposed model of information system states makes it possible to analyze and track all possible states, as well as assess the level of security in these states, and the probability of transitions into them. Thus, it is possible to identify the most dangerous ones and track the activities that caused the corresponding changes. The fundamental difference between this model and standard approaches is the weight coefficients that characterize not the intensity of random events but the intensity of transitions between states.
Direct implementation and application of the proposed analytical model involved the technology of multilevel network "SandBoxes".
The difference from other popular anti-virus tools is the use of a priori mathematical threat assessment, which makes it possible to detect influences that are not considered threats by classical systems until the moment of harm to the system.
The combination with standard security tools makes it possible to separately analyze files that are too large in size, whether they enter the system not through a common gateway controlled by the network "SandBox" but from the external media of end-users.
The implementation of the developed analytical model has made it possible to improve the level of protection of the corporate network by 15 %, based on the number of detected threats. This difference is explained by the inability of classical software to detect new threats if they are not already listed in the database of the program, and their activity is not trivial
Представлен метод защиты от атак нулевого дня с использованием технологии песочниц на основе разработанной аналитической модели с вероятностным ранжированием состояний информационной системы. В модели учтены условия априорной неопределенности относительно параметров потока деструктивного влияния на систему с учетом типовых процедур сетевой песочницы.
Предложенная модель состояний информационной системы позволяет анализировать и отслеживать все возможные состояния и оценивать уровень безопасности в этих состояниях, и вероятности переходов между ними. Таким образом, можно обнаружить самые опасные состояния, и отследить активности, которые стали причиной соответствующих изменений. Принципиальное отличие данной модели от стандартных подходов заключается в весовых коэффициентах, которые характеризуют не интенсивность возникновения случайных событий, а интенсивность переходов между состояниями.
Для непосредственной реализации и имплементации предложенной аналитической модели использованы технологии многоуровневых сетевых "песочниц".
Отличие от других популярных антивирусных средств заключается в использовании априорной математической оценки угроз, позволяющей выявить воздействия, которые не рассматриваются как угрозы классическими системами до момента нанесения вреда системе.
Сочетание со стандартными средствами защиты позволяет отдельно анализировать файлы, которые слишком велики по размеру, или поступают в систему не через общий шлюз, контролируемый сетевой “песочницей”, а с внешних носителей конечных пользователей.
Внедрение разработанной аналитической модели позволило улучшить уровень защиты корпоративной сети на 15%, согласно количеству выявленных угроз. Такая разница объясняется неспособностью классических программ выявить новые угрозы, если они еще не занесены в базу программы, и их активность не является тривиальной
Представлено метод захисту від атак нульового дня з використанням технології пісочниць на основі розробленої аналітичної моделі з ймовірнісним ранжуванням станів інформаційної системи. В моделі враховано умови апріорної невизначеності щодо параметрів потоку деструктивного впливу на систему з врахуванням типових процедур мережевої пісочниці.
Запропонована модель станів інформаційної системи дозволяє аналізувати та відслідковувати всі можливі стани та оцінювати рівень безпеки в цих станах, та ймовірності переходів до них. Таким чином,  можливо виявити найбільш небезпечні, та відслідкувати активності, що стали причиною відповідних змін. Принципова відмінність даної моделі від стандартних підходів полягає в вагових коефіцієнтах, що характеризують не інтенсивність виникнення випадкових подій, а інтенсивність переходів між станами.
Для безпосередньої реалізації та застосування запропонованої аналітичної моделі використано технології багаторівневих мережевих “пісочниць”.
Відмінність від інших популярних антивірусних засобів полягає у використанні апріорної математичної оцінки загроз, що дозволяє виявити впливи, що не розглядаються як загрози класичними системами до моменту нанесення шкоди системі. 
Поєднання зі стандартними засобами захисту дозволяє окремо аналізувати файли, які є занадто великими за розміром, чи надходять до системи не через загальний шлюз, що контролюється мережевою “пісочницею”, а з зовнішніх носіїв кінцевих користувачів.   
Впровадження розробленої аналітичної моделі дозволило покращити рівень захисту корпоративної мережі на 15 %, відповідно до кількості виявлених загроз. Така різниця пояснюється нездатністю класичних програм виявити нові загрози, якщо вони ще не занесені до бази програми, та їх активність не є тривіальною
 
Publisher PC Technology Center
 
Date 2021-02-27
 
Type info:eu-repo/semantics/article
info:eu-repo/semantics/publishedVersion
 
Format application/pdf
 
Identifier http://journals.uran.ua/eejet/article/view/225646
10.15587/1729-4061.2021.225646
 
Source Eastern-European Journal of Enterprise Technologies; Vol. 1 No. 9 (109) (2021): Information and controlling system; 50-57
Eastern-European Journal of Enterprise Technologies; Том 1 № 9 (109) (2021): Информационно-управляющие системы; 50-57
Eastern-European Journal of Enterprise Technologies; Том 1 № 9 (109) (2021): Інформаційно-керуючі системи; 50-57
1729-4061
1729-3774
 
Language eng
 
Relation http://journals.uran.ua/eejet/article/view/225646/225522
 
Rights Copyright (c) 2021 Сергей Степанович Бучик , Александр Константинович Юдин , Руслана Витальевна Зюбина , Иван Дмитриевич Бондаренко , Олег Алексеевич Супрун
http://creativecommons.org/licenses/by/4.0
 

Contact Us

The PKP Index is an initiative of the Public Knowledge Project.

For PKP Publishing Services please use the PKP|PS contact form.

For support with PKP software we encourage users to consult our wiki for documentation and search our support forums.

For any other correspondence feel free to contact us using the PKP contact form.

Find Us

Twitter

Copyright © 2015-2018 Simon Fraser University Library