Ноябрь_2019_НБ

В методе обнаружения аномалий решения принимаются на основе нормального поведения сети или ее характеристик. Поэтому генерируется модель нормального поведения сети, и каждое событие или поток трафика, который значительно нарушает эту модель, считается вторжением. Этот тип классификации IDS способен обнаруживать новые и неизвестные атаки, но, поскольку трудно различить границу между нормальным и ненормальным поведением, он имеет высокую частоту ложных срабатываний. Следовательно, первый вопрос исследования фокусируется на одном из важных аспектов классификации IDS, который называется методом обнаружения аномалий. Кроме того, второй вопрос исследования служит для изучения различных алгоритмов для предложения наилучшего варианта. Основным вкладом этой статьи является улучшение количества ложных срабатываний и двух основных критериев в оценке IDS.

Предлагаемый подход состоит из трех основных этапов: предварительная обработка, выбор признаков и классификация. В целом, классификация является одним из основных видов использования в области интеллектуального анализа данных. Основная цель этого состоит в том, чтобы предсказать метку класса для каждого образца в соответствии с информацией в функциях. К сожалению, несбалансированный набор данных является важной проблемой для алгоритмов классификации. Когда набор данных не сбалансирован, это приводит к низкой производительности алгоритмов интеллектуального анализа данных. Таким образом, для преодоления этой проблемы требуется серьезная модель. Кроме того, существует множество функций с высокой степенью сложности и несоответствующими или избыточными состояниями. Эти состояния могут снизить производительность классификации из-за большого пространства поиска. В этом случае можно использовать методы выбора функций, чтобы предотвратить ненужные избыточности без снижения производительности IDS. Обнаружение особенностей упрощает классификацию, сокращает время работы и повышает эффективность классификации и уровень точности. Кроме того, размер набора данных IDS огромен и требует времени для классификации. Если набор данных содержит много элементов и функций, он потребляет ресурсы и требует много памяти для запуска. Поэтому выбор функций для набора данных IDS крайне важен, поскольку он обычно включает в себя большое количество функций и примеров.

Выбор признаков является одним из этапов процесса классификации данных. Выбор объектов, известный как уменьшение размеров, – это способ выбора нового оптимального подмножества объектов, представляющего набор основных функций, имеющих наименьшую ошибку при изучении модели классификации. Алгоритмы выбора характеристик оцениваются в соответствии с двумя основными процедурами, которые являются процедурой генерации и функцией оценки. Первый шаг производит подмножество функций, а второй шаг оценивает это подмножество созданных функций.

Оценка подмножества объектов может быть выполнена с помощью одного из следующих методов: метод фильтра или метод обертки. Для зависимости функции оценки от алгоритма машинного обучения. Для оценки подмножества сгенерированного признака, используется классификатор, этот

21

метод называется выбором свойства оболочки. Когда подмножество функции оценивается в соответствии с их информационным содержанием или статистическими методами без использования алгоритмов машинного обучения, выбор функции называется методом фильтрации. Поскольку метод фильтра имеет меньшие вычислительные затраты, он обычно быстрее, чем метод обертки. Тем не менее, метод обертки часто работает лучше и точнее, чем метод фильтра изза большего выбора функций, чем основной набор функций. Кроме того, IDS должны эффективно и точно обнаруживать сетевые атаки. Модели обнаружения вторжений на основе интеллектуального анализа данных пытаются увеличить частоту обнаружения. Проблема несбалансиро-ванного набора данных часто возникает в данных сетевых атак, что может снизить точность IDS. Boosting – это мета-алгоритм в области интеллек-туального анализа данных, который используется для уменьшения дисбаланса и дисперсии. Хотя повышение не входит в рамки алгоритма, большинство алгоритмов разрабатываются на основе повышения, многократно обучайте слабых детекторов и добавляйте их в предыдущий набор, чтобы получить сильный классификатор. AdaBoost, который является аббревиатурой от Adaptive Boosting, является алгоритмом бустинга и одним из наиболее важных методов множественной классификации из-за преимуществ, сильных теоретических оснований, высокой точности вычислений и простоты.

Как говорилось ранее, алгоритм ABC используется для выбора функций, а AdaBoost – для оценки и классификации объектов. На рис. 1 представлена блок-схема предложенного подхода в деталях.

Рисунок 1 – Блок схема алгоритма

Как показано на рис. 1, поскольку набор данных содержит числовые и нечисловые элементы или строки, они должны быть систематизированы. Следовательно, набор данных должен быть предварительно обработан. Здесь предварительная обработка состоит из двух этапов: во-первых, преобразование нечисловых признаков набора данных в числовое количество; затем нормализация данных. Поскольку объекты набора данных NSL-KDD состоят из дискретных или непрерывных количеств, количество объектов находится в разных интервалах, следовательно, эти функции несопоставимы. Поэтому нормализация используется для нормализации признаков, и все числа ограничены интервалом [0,1].

22

Предложенный подход повышает точность и ускоряет время обнаружения с помощью метода выбора функции ABC. Цель этого подхода – найти лучшие характеристики для классификации IDS.

В колонии у каждого типа есть свои задачи. Согласно этому алгоритму источник указывает решение (например, местоположение ресурса), связанное с проблемой, а количество источника показывает качество решения (например, пригодность). На рис. 1 показан алгоритм ABC. Процесс ABC включает в себя четыре фазы: фазу инициализации, фазу пчелы-сотрудника, фазу пчелынаблюдателя и фазу пчелы-разведчика. В алгоритме ABC создается группа популяций пчел, половина из которых использует пчел, а другая половина – пчелы-наблюдатели. В этом алгоритме сначала генерируется совокупность решений NF (число решений), где каждое решение представляет собой D- мерный вектор. Здесь указывается источник в колонии. На каждого источника решения приходится только одна пчела-работник. Другими словами, количество пчел сотрудников или наблюдателей равно числу решений. Каждое решение генерируется случайным образом в соответствии с формулой. (1). Затем рассчитывается его пригодность и сохраняется лучшее решение. В этой статье, поскольку мы использовали метод обертки для выбора функции, следовательно, AdaBoost был использован для оценки пригодности.

(1)

где D – измерение или количество параметров выпуска, и соответственно

–нижний предел и верхний предел j-го измерения.

Вэтой статье предложен надежный подход для IDS на основе аномальной сети. Наборы данных сетевого трафика большие и несбалансированные, что влияет на производительность IDS. Дисбаланс приводит к тому, что класс меньшинства не может быть должным образом обнаружен обычными алгоритмами интеллектуального анализа данных. Игнорируя экземпляр этого класса, они пытаются повысить общую точность, в то время как правильный экземпляр протоколов класса меньшинства также важен. Таким образом, в предлагаемом подходе мета-алгоритм AdaBoost был использован для несбалансированных данных.

Список литературы:

1.W.A.H.M. Ghanem, A. JantanNovel multi-objective artificial bee colony optimization for wrapper based feature selection in intrusion detection Int. J. Adv. Soft Comput. Appl., 8 (2016), pp. 70-81

2.A. Abdulkader AlfantookhDoS attacks intelligent detection using neural networks J. King Saud Univ. Comput. Inf. Sci., 18 (2006), pp. 31-51

23

ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ

УДК 004.056.53

Киреев Александр Павлович, Иниватов Даниил Павлович, Ушабаев Руслан Тулегенович,

Омский государственный технический университет, г. Омск

Kireev Alexander Pavlovich, Inivatov Daniil Pavlovich, Ushabaev Ruslan Tulegenovich,

Omsk State Technical University, Omsk

МОДЕЛИРОВАНИЕ И АНАЛИЗ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ CARBANAK

MODELING AND ANALYSIS OF INCIDENT

INFORMATION SECURITY. CARBANAK MALICIOUS SOFTWARE

Аннотация: в статье рассматриваются целенаправленная информационная атака на кредитный отдел банковской системы при помощи внедрения вредоносного программного обеспечения Carbanak, методы реагирования, а также способы устранения негативных последствий.

Abstract: at article discusses a targeted information attack on the credit department of the banking system by introducing Carbanak malware, response methods, and ways to eliminate the negative consequences.

Ключевые слова: вредоносное программное обеспечение, Carbanak, банк, атака, фишинг, информационная безопасность.

Keywords: malware, Carbanak, bank, attack, phishing, information security.

Обеспечение экономической безопасности страны тесно связано с системой экономической безопасности предприятий, в частности, системой кибербезопасности. По данным обзора компании EY проблема кибербезопасности вышла по значимости на первое место для многих компаний. По одной из оценок в 2019 году преступность в киберпространстве может стоить бизнесу порядка 2 трлн $ (по России).

При этом, по данным компании «Лаборатория Касперского» целевым атакам подверглись по меньшей мере 22% компаний, работающих в критически важных для России отраслях: энергетике, строительстве, промышленности, транспортной сфере, оборонном комплексе.

В данной работе будет рассмотрена одна из многочисленных целевых атак киберпреступников, а именно нападение на филиал банка с помощью эксплуатации бэкдора Carbanak. Приведем более подробное описание организации.

Сферой деятельности рассматриваемого объекта является денежное обращение предприятия. Функционирование осуществляется, в основном, в сфере производства и обмена. В новом филиале кредитного отдела банка работает 14 сотрудников.

Организационная структура исследуемого отдела кредитования, а также его топология сети приведены на рисунке 1.

24

Завершающий шаг – хищение денежных средств путем перевода на подставные счета. Данное мероприятие оказалось реализуемым, так как был получен доступ к рабочим местам и сотрудника (посылается заявка), и начальника отдела кредитования (подтверждение транзакции).

После многочисленных переводов денежных средств на счета преступников главный офис банка заблокировал доступ кредитного филиала к базе данных. На место преступления был направлен специалист информационной безопасности, целью которого было расследование инцидента, а также возможная ликвидация его последствий.

Так как главный офис банка ограничил возможности кредитного филиала, то полноценное функционирование оказалось невозможным. Следовательно, было принято решение об отключении филиала от глобальной сети. Таким образом, преступники не смогут удаленно выполнять произвольные команды на зараженных устройствах.

В ходе расследования на всех рабочих хостах сети под управлением операционной системы семейства Windows было выявлено наличие файла svchost.exe по пути Windows\System32\com. При детальном изучении запущенных процессов было обнаружено ряд служб, дублирующих службы, которые оканчиваются на «sys», в частности, «aspnetsys» при легитимной службе «aspnet». По словам компании «Лаборатория Касперского», обнаруженные следы свидетельствуют о заражении вредоносным программным обеспечением Carbanak.

С целью предотвращения заражения вредоносным программным обеспечением Carbanak, специалистами информационной безопасности были предложены следующие рекомендации:

1.Проведение обучающих занятий в сфере ИБ с сотрудниками компаний.

2.Воздержание от открытия подозрительных электронных писем.

3.Установка антивирусного программного обеспечения на узлы сети.

4.Внедрение систем обнаружения вторжений (IDS/IPS).

5.Ограничение учетных записей.

6.Сегментирование сети по отделам.

7.Использование SIEM-систем для централизованного мониторинга.

8.Регулярное обновление программного обеспечения.

Список литературы:

1.Большое банковское ограбление: APT-кампания Carbanak. Режим доступа

URL: https://securelist.ru/bolshoe-bankovskoe-ograblenie-apt-kampaniya-carbanak/ 25106/ (дата обращения – 25.11.2019).

2.Carbanak и Equation – малварь на миллиард долларов. Режим доступа

URL: https://xakep.ru/2015/06/29/carbanak-and-equation/ (дата обращения – 22.03.2019).

3.Как тебе такое, Carbanak? Режим доступа URL: https://www.groupib.ru/blog/carbanak (дата обращения – 25.11.2019).

4.Дело Carbanak’а живет: российские банки столкнулись с новыми ограблениями. Режим доступа URL:https://www.kaspersky.ru/about/press-releases/ 2016_carbanak-russian-banks-facing-new-attacks (дата обращения – 20.11.2019).

5.Carberp: это еще не конец. Режим доступа URL: https://securelist.ru/carberp- e-to-eshhe-ne-konets/2679/ (дата обращения – 22.11.2019).

26

ВОПРОСЫ ПРОМЫШЛЕННОЙ БЕЗОПАСНОСТИ

УДК 614.8.027.2

Демидова Мария Алексеевна, Кольцова Валерия Эдуардовна,

Ульяновский институт гражданской авиации имени Главного маршала авиации Б.П. Бугаева, г. Ульяновск

Demidova Mariia Alekseevna,

Koltsova Valeriya Eduardovna, Ulyanovsk Civil Aviation Institute, Ulyanovsk

Сафонов Станислав Константинович,

к.в.н., Ульяновский институт гражданской авиации имени Главного маршала авиации Б.П. Бугаева, г. Ульяновск

Safonov Stanislav Konstantinovich, Ulyanovsk Civil Aviation Institute, Ulyanovsk

ОБЕСПЕЧЕНИЕ ПОЖАРНОЙ БЕЗОПАСНОСТИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

FIRE SAFETY AT THE INDUSTRIAL ENTERPRISE

Аннотация: в данной статье рассматривается актуальная проблема – проблема пожаров на предприятиях. Это происшествие ведет за собой глобальные последствия. Проводится статистика причин возникновения пожаров. Проводится анализ развития противопожарной защиты в Ульяновской области, на основе анализа выявляется, что систем противопожарной защиты развиваются.

Abstract: this article discusses the actual problem-the problem of fires in enterprises. This incident has global consequences. The statistics of the causes of fires. The analysis of development of fire protection in the Ulyanovsk region is carried out, on the basis of the analysis it is revealed that fire protection systems are developing.

Ключевые слова: пожар, причины возникновения пожаров, пожар на предприятии, пожарная безопасность, несчастный случай на производстве, ликвидация пожара.

Keywords: fire, causes of fires, fire at the enterprise, fire safety, industrial accident, fire elimination.

В настоящее время одним из самых распространённых происшествий на промышленных предприятиях с высокотехнологичным оборудованием являются пожары. Пожары возникают как самостоятельно, так и при нарушениях правил пожарной безопасности и эксплуатации оборудования.

Производственные объекты находятся в риске возникновения пожара, либо взрыва. На складских и производственных объектах производятся, хранятся, перерабатываются и используются пожароопасные вещества и материалы. Многие технологические процессы совершенствуются, но любая деятельность является потенциально опасной.

27

Пожары на промышленных объектах возникают как вследствие антропогенного, так и технического аспекта. Примером антропогенного воздействия являются несоблюдение техники безопасности при таких технологических процессах как сварка, паяние или резка металла, курение вне специально отведенных мест и др.

На диаграмме рисунке 1 представлены основные причины, способствующие возникновению пожаров в Российской Федерации технического характера на промышленных предприятиях:

•Нарушение технологических процессов – 33%;

•Неисправности электрооборудования – 16%;

•Ненадлежащая подготовка оборудования – 13%;

•Самовозгорание пожароопасных материалов – 10%;

•Нарушение графика планового ремонта, износ и коррозия оборудования – 8%;

•Другие неисправности оборудования и несоблюдения технического регламента – 20% [4].

Рисунок 1 – диаграмма основных причин, сопутствующие возникновению пожаров на промышленных предприятиях территории РФ

Для минимизации рисков возникновения пожаров и взрывов необходимо организовывать на предприятиях отделы пожарной безопасности, либо создавать подразделения добровольной пожарной охраны [1]. Деятельность отделов по организации пожарной безопасности направлена на максимальное ограничение рисков, а так же обеспечение безопасной эксплуатации оборудования, вследствие чего и снижения количества пожаров и несчастных случаях на промышленных производственных объектах. Данные отделы должны способствовать высокой подготовке персонала и руководящих лиц к действиям при возникновении пожара.

28

На предприятии также создаются системы обеспечения пожарной безопасности. Система обеспечения пожарной безопасности объекта защиты в обязательном порядке должна содержать комплекс мероприятий, исключающих возможность превышения значений допустимого пожарного риска. Помещения оснащаются автоматическими системами сигнализации и пожаротушения, а также первичными средствами пожаротушения [2].

На диаграмме рисунке 2 представлены основные причины пожаров в Ульяновске и Ульяновской области:

•неосторожное обращение с огнем – 34%;

•нарушение правил устройства и эксплуатации электрооборудования –

26%;

•нарушение технологических процессов – 21%;

•поджоги – 2%;

•нарушение правил пожарной безопасности при электрогазосварочных и огневых работах – 1 %;

•прочие причины – 15% [5].

Рисунок 2 – Диаграмма основных причины, сопутствующие возникновению пожаров техногенного характера, встречающиеся

вУльяновске и Ульяновской области

ВУльяновской области наблюдается заметное улучшение ситуации в области пожарной безопасности. Так на 2017 год пришлось 1181 пожар. В отношении 2015 года процент пожаров снизился на 1,7%. Если же рассматривать соотношение 2017 года и 2018, в котором произошло 1061 пожар, можно отметить снижение количества пожаров на 11%. Данные показа-тели доказывают, что противопожарная защита в Ульяновской области не стоит на месте, стремится к развитию и улучшению. Технологии пожаротушения неумолимо развиваются, а вместе с ними улучшается ситуация по области [5].

29

Своевременное обучение работников производства мерам пожарной безопасности путем проведения противопожарного инструктажа ликвидирует причины возгорания и, как следствие, уменьшает возможность возникновения пожара. Инструкция о мерах пожарной безопасности разрабатывается на основе нормативных документов по пожарной безопасности, исходя из специфики пожарной опасности зданий, сооружений, помещений, технологических процессов, технологического и производственного оборудования [3]. Противопожарный инструктаж необходимо осуществлять с применением двумерной и трехмерной визуализацией (2D, 3D) в целях информирования работников об опасности распространения пожара, об основных требованиях пожарной безопасности, изучения технологических процессов, оборудования, средств противопожарной защиты и действий в случае возникновения пожара, а также предупреждения о возможных негативных воздействия пожара на здоровье работников.

Система пожарной безопасности предприятия – это комплекс организационных мер и технических средств, направленных на предотвращение пожароопасных ситуаций и ликвидацию ущерба от пожаров. Противопожарная профилактика занимает важное место в структуре управления риска на предприятии. Соблюдение пожарной безопасности и поддержание её в надлежащем виде обеспечивает безопасность трудового процесса работникам предприятия.

Список литературы:

1.О пожарной безопасности: Федеральный закон от 21.12.1994 N 69-ФЗ (ред. от 26.07.2019);

2.Технический регламент о требованиях пожарной безопасности: Федеральный закон от 22.07.2008 N 123-ФЗ (ред. от 27.12.2018);

3.Правила противопожарного режима: утв. Постановлением Правительства РФ от 25.04.2012 № 390;

4.Причины пожаров на авиапредприятиях [Электронный ресурс] /. – Электрон. текстовые дан. – Режим доступа: https://studopedia.ru/14_90200_ prichini-pozharov-na-aviapredpriyatiyah.html

5.Ежегодный доклад МЧС России по Ульяновской области «Анализ пожаров и гибель людей» [Электронный ресурс]. – Режим доступа: http://www.ugpn.ru.

30