RU2783224C1 - Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack - Google Patents
Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack Download PDFInfo
- Publication number
- RU2783224C1 RU2783224C1 RU2021127267A RU2021127267A RU2783224C1 RU 2783224 C1 RU2783224 C1 RU 2783224C1 RU 2021127267 A RU2021127267 A RU 2021127267A RU 2021127267 A RU2021127267 A RU 2021127267A RU 2783224 C1 RU2783224 C1 RU 2783224C1
- Authority
- RU
- Russia
- Prior art keywords
- vulnerabilities
- techniques
- information
- terms
- forming
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000011156 evaluation Methods 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 7
- 230000001066 destructive Effects 0.000 description 4
- 230000001537 neural Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000005755 formation reaction Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 1
- 230000000875 corresponding Effects 0.000 description 1
- 230000001105 regulatory Effects 0.000 description 1
- 230000001755 vocal Effects 0.000 description 1
Images
Abstract
Description
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕFIELD OF TECHNOLOGY TO WHICH THE INVENTION RELATES
Изобретение относится к области защиты информации, обрабатываемой в информационной системе, и может быть использовано для определения перечня уязвимостей программного обеспечения (далее - уязвимости) информационной системы (далее - ИС), необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.The invention relates to the field of protection of information processed in an information system, and can be used to determine the list of software vulnerabilities (hereinafter referred to as vulnerabilities) of an information system (hereinafter referred to as IS) necessary to implement a computer attack on IS, which can lead to a security breach information in this system.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION
В современном мире, согласно нормативным правовым актам и результатам анализа компьютерных инцидентов, угрозы безопасности информации представляют уже не единичное действие нарушителя по эксплуатации уязвимости для достижения своих деструктивных целей, а многоэтапное продвижение нарушителя по ИС путем применения различных технических приемов (техник).In the modern world, according to regulatory legal acts and the results of the analysis of computer incidents, threats to information security are no longer a single action of an intruder to exploit a vulnerability to achieve their destructive goals, but a multi-stage advancement of an intruder through IP by applying various technical methods (techniques).
Угрозы безопасности информации реализуются компьютерными атаками, которые представляют собой упорядоченную последовательность действий нарушителя для достижения деструктивных целей, связанных с нарушением безопасности информации, в информационной или автоматизированной системе управления. Каждая компьютерная атака реализуется по определенному сценарию, который представляет собой описание порядка выполнения действий нарушителя. При этом часть действий нарушителя реализуется техниками, связанными с эксплуатацией уязвимостей. В настоящее время сведения об известных уязвимостях и техниках могут быть получены из различных баз данных уязвимостей, угроз и эксплойтов, баз знаний о тактиках и техниках, сайтов производителей программного обеспечения и прочих источников. Однако эти источники не предоставляют какой-либо информации о связях между записями об уязвимостях и техниках. Кроме того, в открытом доступе отсутствуют автоматизированные программные средства, позволяющие определять сведения о возможных техниках нарушителя, связанных с эксплуатацией определенных уязвимостей, и реализуемых при этом компьютерных атаках. Таким образом, определение техник на основе сведений об известных уязвимостях для конкретной ИС и формирование сценариев компьютерных атак производится вручную путем последовательного анализа информации о каждой выявленной уязвимости, что является весьма трудоемкой задачей. Наиболее близким к заявляемому способу является метод, основанный на применении аппарата нейросетевых технологий для определения актуальных угроз безопасности информации ИС [1]. Данный метод предназначен для автоматизации процедуры получения сведений об актуальных для ИС угрозах на основе данных об уязвимостях ИС. В качестве исходных данных для обучения нейронных сетей используются сведения об уязвимостях, содержащиеся в банке данных угроз безопасности информации ФСТЭК России (далее - банк данных).Information security threats are implemented by computer attacks, which are an ordered sequence of actions of an intruder to achieve destructive goals related to information security violation in an information or automated control system. Each computer attack is implemented according to a specific scenario, which is a description of the order in which the attacker's actions are performed. At the same time, part of the actions of the offender is implemented by techniques related to the exploitation of vulnerabilities. Currently, information about known vulnerabilities and techniques can be obtained from various databases of vulnerabilities, threats and exploits, knowledge bases about tactics and techniques, websites of software manufacturers and other sources. However, these sources do not provide any information about the links between vulnerability records and techniques. In addition, there are no automated software tools in the public domain that make it possible to determine information about the possible techniques of an intruder related to the exploitation of certain vulnerabilities and the computer attacks implemented in this case. Thus, the identification of techniques based on information about known vulnerabilities for a particular IS and the formation of computer attack scenarios is done manually by sequentially analyzing information about each identified vulnerability, which is a very time-consuming task. Closest to the claimed method is a method based on the use of the apparatus of neural network technologies to determine the current threats to the security of IS information [1]. This method is designed to automate the procedure for obtaining information about threats relevant to IP based on data on IP vulnerabilities. The information about vulnerabilities contained in the database of information security threats of the FSTEC of Russia (hereinafter referred to as the data bank) is used as the initial data for training neural networks.
Недостатками данного метода является необходимость создания обучающих выборок на основе экспертных методов, причем специалисты, составляющие исходные данные, должны обладать глубокими знаниями в области информационной безопасности, построения информационных систем и систем защиты информации. Кроме того, в разработанном способе [1] предполагается создание искусственных нейронных сетей для каждой угрозы, что является, во-первых, трудоемкой задачей, решение которой требует специальных знаний в области нейросетевых технологий, во-вторых, решается эта задача путем разработки специальных программных средств.The disadvantages of this method is the need to create training samples based on expert methods, and the specialists who make up the initial data must have deep knowledge in the field of information security, building information systems and information protection systems. In addition, the developed method [1] assumes the creation of artificial neural networks for each threat, which is, firstly, a time-consuming task, the solution of which requires special knowledge in the field of neural network technologies, and secondly, this task is solved by developing special software tools .
РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION
Задачей изобретения является разработка способа, позволяющего автоматизировать процедуру определения перечня уязвимостей ИС, необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.The objective of the invention is to develop a method that allows to automate the procedure for determining the list of IS vulnerabilities necessary to implement a computer attack on IS, which can lead to a breach of information security in this system.
Технический результат, на достижение которого направлено предлагаемое изобретение, заключается в снижении сложности и трудоемкости процесса формирования перечня уязвимостей ИС, эксплуатация которых может привести к нарушению безопасности информации в ИС.The technical result to be achieved by the invention is to reduce the complexity and laboriousness of the process of forming a list of IS vulnerabilities, the operation of which can lead to a breach of information security in the IS.
Указанный результат достигается путем реализации способа определения перечня уязвимостей на основе применения векторной модели их описаний и включает в себя этапы, на которых:The specified result is achieved by implementing a method for determining the list of vulnerabilities based on the use of a vector model of their descriptions and includes the steps at which:
формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний;form a set of types of terms of techniques and vulnerabilities determined by analyzing their descriptions;
определяют веса каждого типа термов экспертным методом;determine the weights of each type of terms by an expert method;
формируют упорядоченный вектор типов термов с учетом их веса;form an ordered vector of types of terms, taking into account their weight;
формируют векторное представление техники и уязвимости, представленных в виде значений типов термов;form a vector representation of technology and vulnerability, represented as values of types of terms;
вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Мера сходимости необходима для сравнения текстов описаний уязвимостей и техник, определения их тождественности и зависит от результата логического сравнения значений типов термов уязвимости и значений весов соответствующих типов термов;calculate the measure of convergence of descriptions of technology and vulnerability in order to determine their identity. The measure of convergence is necessary for comparing the texts of descriptions of vulnerabilities and techniques, determining their identity, and depends on the result of a logical comparison of the values of the types of vulnerability terms and the values of the weights of the corresponding types of terms;
формируют перечень уязвимостей, необходимых для реализации компьютерной атаки.form a list of vulnerabilities necessary to implement a computer attack.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION
На фиг. 1 представлена блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей, формирующих условия для нарушения безопасности информации в ИС вследствие компьютерной атаки, на основе векторной модели.In FIG. 1 shows a flowchart of the sequence of operations illustrating a method for determining vulnerabilities that form the conditions for violating the security of information in an IS due to a computer attack, based on a vector model.
На этапе 1 формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний, по которым можно установить их соответствие. К набору типов термов для уязвимостей и техник отнесены: вектор доступа; деструктивное действие; последствие; тип программного обеспечения; причина существования; объект воздействия; аутентификация; инструмент; условие существования уязвимости; информационная технология; действия источника УБИ; способ реализации; действия пользователей (жертв).At stage 1, a set of types of terms of techniques and vulnerabilities is formed, determined by analyzing their descriptions, by which their correspondence can be established. The set of types of terms for vulnerabilities and techniques includes: access vector; destructive action; consequence; type of software; reason for existence; object of influence; authentication; tool; the condition for the existence of a vulnerability; information technology; actions of the UBI source; implementation method; actions of users (victims).
Каждый из этих типов термов не является обязательным в описании каждой уязвимости или техники, но каждый имеет свою определенную значимость. Порядок, в котором представлены типы термов выше, составлен на основе важности слова для идентификации данного текста в описании по убыванию. Важность определена экспертным путем. Определено, что установить тождественность последствий, к которым может привести эксплуатация уязвимости и реализация техники (действия) и угрозы БИ, наиболее важно, чем прохождение процедуры аутентификации.Each of these types of terms is not mandatory in the description of each vulnerability or technique, but each has its own specific significance. The order in which the types of terms above are presented is based on the importance of the word for identifying a given text in the description in descending order. The importance is determined by experts. It has been determined that it is more important to establish the identity of the consequences that the exploitation of a vulnerability and the implementation of a technique (action) and a threat to BI can lead to than passing the authentication procedure.
Таким образом, все типы термов, которые встречаются в описаниях упорядочены. Формально вектора, которые являются представлениями описаний уязвимости и техники в векторном пространстве, состоящие из всех типов термов, выписанных по порядку убывания веса, включая те, которые не встречаются, можно представить в следующем виде:Thus, all types of terms that occur in descriptions are ordered. Formally, vectors, which are representations of vulnerability and technique descriptions in a vector space, consisting of all types of terms written in descending order of weight, including those that do not occur, can be represented as follows:
где d - векторное представление описания уязвимостей и техник,where d is a vector representation of the description of vulnerabilities and techniques,
Ttn - переменная, обозначающая тип терма,Tt n is a variable denoting the type of term,
n - общее количество типов термов.n is the total number of term types.
На этапе 2 определяют веса каждого типа термов экспертным методом. Наибольшую значимость имеют те типы термов, значения которых встречаются наиболее часто в описаниях уязвимостей и техник. Частота встречаемости определена в ходе анализа этих описаний на этапе 1. Самый большой вес имеют типы термов «вектор доступа», «деструктивное действие» и «последствие», значение которых принимается равным 1, а самый низкий вес имеют такие типы термов как «действия источника УБИ», «способ реализации», «действия пользователей (жертв)» - 0,1.At stage 2, the weights of each type of terms are determined by an expert method. The most significant are those types of terms, the values of which occur most often in descriptions of vulnerabilities and techniques. The frequency of occurrence is determined during the analysis of these descriptions at stage 1. The types of terms "access vector", "destructive action" and "consequence" have the highest weight, the value of which is taken equal to 1, and the types of terms such as "source actions" have the lowest weight. UBI", "method of implementation", "actions of users (victims)" - 0.1.
На этапе 3 формируют упорядоченный вектор типов термов с учетом их веса.At step 3, an ordered vector of term types is formed, taking into account their weight.
Для каждого типа терма определен весовой коэффициент, определяющий его значимость в процессе сопоставления уязвимости и техники, который определяется вектором:For each type of term, a weight coefficient is defined that determines its significance in the process of comparing vulnerability and technology, which is determined by the vector:
где dw - векторное представление весовых коэффициентов описаний уязвимости и техники,where d w is a vector representation of the weights of the vulnerability and technique descriptions,
wn - весовой коэффициент типа терма Thn, принимает значения от 0 до 1;w n - weight coefficient of term type Th n , takes values from 0 to 1;
n - общее количество типов термов.n is the total number of term types.
На этапе 4 формируют векторное представление техники и уязвимости, представленных в виде значений типов термов. Векторное представление техники может быть представлено в следующем виде:At step 4, a vector representation of the technique and vulnerability is formed, presented as values of the types of terms. The vector representation of technology can be represented in the following form:
Векторное представление уязвимости может быть представлено в следующем виде:The vector representation of the vulnerability can be represented as follows:
На этапе 5 вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Располагая векторным представлением для техник и уязвимостей, определяется их тождественность путем вычисления меры сходимости по следующей формуле:At step 5, a measure of convergence of descriptions of technology and vulnerability is calculated in order to determine their identity. Having a vector representation for techniques and vulnerabilities, their identity is determined by calculating the measure of convergence using the following formula:
Для анализируемой техники считается мера сходимости с каждой известной уязвимостью.For the analyzed technique, the measure of convergence is considered with every known vulnerability.
На этапе 6 формируют перечень уязвимостей, необходимых для реализации компьютерной атаки. Для той уязвимости, для которой мера сходимости окажется максимальной, определяется однозначное установление тождественности. Таким образом, определяется перечень уязвимостей, необходимых для реализации компьютерной атаки, состоящей из известной последовательности техник, выполняемых нарушителем.At stage 6, a list of vulnerabilities necessary to implement a computer attack is formed. For the vulnerability for which the measure of convergence turns out to be maximum, a unique identity establishment is defined. Thus, the list of vulnerabilities necessary for the implementation of a computer attack, consisting of a known sequence of techniques performed by the offender, is determined.
Заявляемый способ проверен экспериментально в лабораторных условиях.The inventive method has been tested experimentally in the laboratory.
Предлагаемое техническое решение является новым, поскольку из общедоступных сведений не известен способ определения потенциальных уязвимостей ИС, использующий:The proposed technical solution is new, since from publicly available information there is no known method for determining potential IS vulnerabilities using:
анализ описаний, представленных в вербальном виде, с последующим формированием отличительных признаков - типов термов;analysis of descriptions presented in verbal form, with the subsequent formation of distinctive features - types of terms;
формирование векторного представления описаний техник и уязвимостей;formation of a vector representation of descriptions of techniques and vulnerabilities;
вычисление меры сходимости для определения однозначного соответствия.calculation of a measure of convergence to determine a one-to-one correspondence.
Предлагаемое техническое решение промышленно применимо, поскольку для его реализации может быть использовано стандартное компьютерное оборудование и программное обеспечение, выпускаемое промышленностью и имеющееся на рынке.The proposed technical solution is industrially applicable, since standard computer equipment and software produced by the industry and available on the market can be used for its implementation.
Достоинства предлагаемого изобретения заключаются в следующем:The advantages of the present invention are as follows:
реализация способа позволяет в ручном или автоматизированном режиме решать трудоемкую задачу по получению сведений о потенциальных уязвимостях ИС, которые необходимы для реализации компьютерной атаки на ИС;the implementation of the method allows you to manually or automatically solve the laborious task of obtaining information about potential IS vulnerabilities that are necessary to implement a computer attack on IS;
предлагаемый способ позволяет однозначно определять тождественность уязвимостей и техник нарушителя, из которых состоит компьютерная атака, что позволяет выстраивать эффективную защиту ИС путем устранения уязвимостей, эксплуатация которых может привести к нарушению безопасности информации;the proposed method allows you to unambiguously determine the identity of the vulnerabilities and techniques of the intruder that make up a computer attack, which allows you to build effective IP protection by eliminating vulnerabilities, the exploitation of which can lead to a breach of information security;
реализация способа может быть осуществлена без финансовых затрат, поскольку для его реализации может быть использовано свободно распространяемое программное обеспечение.the implementation of the method can be carried out without financial costs, since free software can be used for its implementation.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
Предлагаемое изобретение поясняется чертежами и графическими изображениями, на которых показаны:The present invention is illustrated by drawings and graphics, which show:
на фиг. 1 - блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей.in fig. 1 is a flowchart illustrating a method for determining vulnerabilities.
Список литературы:Bibliography:
1. Мамута В.В., Соловьев С.В. Способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения // Патент России №2705460, 2019 (заявка №2019107861 от 19.03.2019).1. Mamuta V.V., Soloviev S.V. A method for determining potential threats to information security based on information about software vulnerabilities // Patent of Russia No. 2705460, 2019 (application No. 2019107861 of 03/19/2019).
Claims (7)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2783224C1 true RU2783224C1 (en) | 2022-11-10 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2705460C1 (en) * | 2019-03-19 | 2019-11-07 | федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" | Method of determining potential threats to information security based on information on vulnerabilities of software |
RU2715025C2 (en) * | 2018-04-19 | 2020-02-21 | Акционерное общество "Лаборатория Касперского" | Method for automated testing of software and hardware systems and complexes |
US20200134188A1 (en) * | 2018-10-24 | 2020-04-30 | International Business Machines Corporation | Recommending the Most Relevant and Urgent Vulnerabilities within a Security Management System |
WO2020208010A1 (en) * | 2019-04-12 | 2020-10-15 | Debricked Ab | A method for prioritizing among vulnerabilities in a software code and a server |
RU2745371C1 (en) * | 2020-09-24 | 2021-03-24 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and a system for prediction of cyber security risks during the development of software products |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2715025C2 (en) * | 2018-04-19 | 2020-02-21 | Акционерное общество "Лаборатория Касперского" | Method for automated testing of software and hardware systems and complexes |
US20200134188A1 (en) * | 2018-10-24 | 2020-04-30 | International Business Machines Corporation | Recommending the Most Relevant and Urgent Vulnerabilities within a Security Management System |
RU2705460C1 (en) * | 2019-03-19 | 2019-11-07 | федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" | Method of determining potential threats to information security based on information on vulnerabilities of software |
WO2020208010A1 (en) * | 2019-04-12 | 2020-10-15 | Debricked Ab | A method for prioritizing among vulnerabilities in a software code and a server |
RU2745371C1 (en) * | 2020-09-24 | 2021-03-24 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and a system for prediction of cyber security risks during the development of software products |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kim et al. | Long short term memory recurrent neural network classifier for intrusion detection | |
CN108718310A (en) | Multi-level attack signatures generation based on deep learning and malicious act recognition methods | |
Zizzo et al. | Adversarial machine learning beyond the image domain | |
Yu et al. | Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net | |
Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
CN105072214A (en) | C&C domain name identification method based on domain name feature | |
Karanam et al. | Intrusion detection mechanism for large scale networks using CNN-LSTM | |
CN106411576A (en) | Method for generating attack graphs based on status transition network attack model | |
Oreški et al. | Genetic algorithm and artificial neural network for network forensic analytics | |
Alhassan et al. | A fuzzy classifier-based penetration testing for web applications | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Di Tizio et al. | Software updates strategies: A quantitative evaluation against advanced persistent threats | |
CN117829677A (en) | Automatic evaluation method, equipment and medium for industrial network target range task | |
CN111784404B (en) | Abnormal asset identification method based on behavior variable prediction | |
RU2783224C1 (en) | Method for identifying software vulnerabilities forming the conditions for information security violation in an information system due to a computer attack | |
Goswami et al. | Phishing detection using significant feature selection | |
CN111970272A (en) | APT attack operation identification method | |
CN107241342A (en) | A kind of network attack crosstalk detecting method and device | |
Bar et al. | Scalable attack propagation model and algorithms for honeypot systems | |
CN114039837B (en) | Alarm data processing method, device, system, equipment and storage medium | |
do Vale Dalarmelina et al. | Using ML and DL algorithms for intrusion detection in the industrial internet of things | |
CN115952492A (en) | Intrusion detection method and device for power engineering control system and storage medium | |
CN110197066B (en) | Virtual machine monitoring method and system in cloud computing environment | |
CN113839963A (en) | Network security vulnerability intelligent detection method based on artificial intelligence and big data | |
Park et al. | A similarity based technique for detecting malicious executable files for computer forensics |