Sfetcu, Nicolae (2024), Utilizarea științei datelor în detectarea amenințărilor persistente avansate, IT & C, 3:2, 3-21, DOI: 10.58679/IT60001, https://www.internetmobile.ro/utilizarea-stiintei-datelor-in-detectarea-amenintarilor-persistente-avansate/
Levering Data Science in the Detection of Advanced Persistent Threats
Abstract
In today’s interconnected digital landscape, the threat of cyber attacks is greater than ever. Among the most insidious of these threats are advanced persistent attacks (APTs), sophisticated attacks orchestrated by savvy adversaries with specific goals in mind, such as espionage, data theft, or sabotage. Advanced persistent threats are a significant cybersecurity issue of concern today, posing serious risks to organizations, governments, and individuals.
Traditional security measures attempt to detect and mitigate APTs due to their complex and ever-evolving nature. The advent of data science has provided new ways to identify and effectively combat these threats, playing a crucial role in detecting advanced persistent threats today. The complexity and stealth of APT requires advanced detection techniques, where data science methodologies are essential.
Keywords: data science, advanced persistent threats, anomaly detection, behavioral analysis, machine learning, analytics
Rezumat
În peisajul digital interconectat de astăzi, amenințarea atacurilor cibernetice este mai mare ca niciodată. Printre cele mai insidioase dintre aceste amenințări se numără atacurile persistente avansate (APA), atacuri sofisticate orchestrate de adversari pricepuți cu obiective specifice în minte, cum ar fi spionajul, furtul de date sau sabotajul. Amenințările persistente avansate sunt astăzi o problemă de securitate cibernetică semnificativă îngrijorătoare, care prezintă riscuri grave pentru organizații, guverne și indivizi.
Măsurile de securitate tradiționale încearcă să detecteze și să atenueze APA datorită naturii lor complexe și în continuă evoluție. Apariția științei datelor a oferit noi căi pentru identificarea și combaterea eficientă a acestor amenințări, jucând astăzi un rol crucial în detectarea amenințărilor persistente avansate. Complexitatea și caracterul ascuns al APA necesită tehnici avansate de detectare, unde metodologiile științei datelor sunt esențiale.
Cuvinte cheie: știința datelor, amenințările persistente avansate, detectarea anomaliilor, analiza comportamentală, învățarea automată, analitica
IT & C, Volumul 3, Numărul 2, Iunie 2024, pp. 3-21
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT60001
URL: https://www.internetmobile.ro/utilizarea-stiintei-datelor-in-detectarea-amenintarilor-persistente-avansate/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.
Utilizarea științei datelor în detectarea amenințărilor persistente avansate
Ing. fiz. Nicolae SFETCU[1], MPhil
nicolae@sfetcu.com
[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973
Introducere
În peisajul digital interconectat de astăzi, amenințarea atacurilor cibernetice este mai mare ca niciodată. Printre cele mai insidioase dintre aceste amenințări se numără atacurile persistente avansate (APA), atacuri sofisticate orchestrate de adversari pricepuți cu obiective specifice în minte, cum ar fi spionajul, furtul de date sau sabotajul. Amenințările persistente avansate sunt astăzi o problemă de securitate cibernetică semnificativă îngrijorătoare, care prezintă riscuri grave pentru organizații, guverne și indivizi.
Măsurile de securitate tradiționale încearcă să detecteze și să atenueze APA datorită naturii lor complexe și în continuă evoluție. Apariția științei datelor a oferit noi căi pentru identificarea și combaterea eficientă a acestor amenințări, jucând astăzi un rol crucial în detectarea amenințărilor persistente avansate. Complexitatea și caracterul ascuns al APA necesită tehnici avansate de detectare, unde metodologiile științei datelor sunt esențiale.
Înțelegerea amenințărilor persistente avansate
Amenințările persistente avansate reprezintă o clasă de atacuri cibernetice caracterizate prin persistența și sofisticarea lor. Spre deosebire de atacurile convenționale, care pot avea ca scop o întrerupere imediată sau un câștig financiar, APA sunt orchestrate de adversari bine dotați cu resurse și obiective pe termen lung. Ei folosesc diverse tactici, cum ar fi ingineria socială, exploatările zero-day și programele malware, pentru a obține acces neautorizat la rețele și pentru a rămâne nedetectați pentru perioade îndelungate. Odată intrați în rețea, actorii APA navighează meticulos prin sisteme, escaladează privilegiile și exfiltrează date sensibile, rămânând adesea nedetectați luni sau chiar ani.
Incidentele recente de securitate, precum Operațiunea Aurora[1] Operațiunea Shady RAT[2], Operațiunea Octombrie Roșu[3] sau MiniDuke[4], au demonstrat că mecanismele de securitate actuale sunt insuficiente pentru a setecta și opri atacurile țintite și personalizate. Aceste atacuri avansate ridică întrebarea dacă este chiar posibil să se prevină intruziunile cu o certitudine rezonabilă.
Un concept interesant de detectare a APT este exploatarea relațiilor, de obicei neobservate, între diferite aplicații și componente ale unei rețele, mulți experți susținând că aceste relații sunt principalul punct slab exploatat de atacatori pentru a compromite sisteme (de exemplu, aceleași parole pentru mai multe servicii sau arhitectura standard). Evaluarea acestor relații prin corelarea evenimentelor din întreaga rețea permite generarea automată a unui model de comportament al sistemului care descrie evenimentele comune și relațiile lor[5].
Provocări în detectarea APA
Detectarea APA prezintă numeroase provocări pentru abordările tradiționale de securitate. Metodele de detectare bazate pe semnături, care se bazează pe recunoașterea tiparelor cunoscute de activitate rău intenționată, sunt ineficiente împotriva APA, care folosesc frecvent tehnici noi pentru a evita detectarea. În plus, APA funcționează adesea pe furiș, imitând comportamentul legitim al utilizatorului și utilizând criptarea pentru a-și ascunde activitățile de instrumentele tradiționale de securitate. Mai mult, volumul și complexitatea datelor generate în cadrul rețelelor moderne fac ca analiștilor umani să le fie dificil să identifice modele anormale care indică activitatea APA în mijlocul zgomotului operațiunilor de zi cu zi.
Detectarea unei APA în desfășurare implică în principal modalitățile de detectare de malware deja introduse. Cea mai mare problemă cu malware cu exploit zer-day în cazul APA este faptul că nu există semnătura în bazele de date. Codul rău intenționat este polimorf și personalizat pentru o țintă dată sau modificat dinamic în timpul atacului. Detectarea APA implică o analiză online, raportarea în timp real și analiza jurnalului corelat, pentru a recunoaște și neutraliza o posibilă amenințare.
Principalele aspecte cu care se confruntă securitatea cibernetică în cazul APA:
- Volumul și complexitatea datelor: Volumul mare și varietatea datelor pot fi provocatoare. Soluțiile eficiente de procesare și stocare a datelor sunt esențiale.
- Pozitive false: Echilibrarea sensibilității și specificității este crucială pentru a minimiza falsele pozitive, care pot supraîncărca echipele de securitate.
- Amenințări în evoluție: Tacticile APA evoluează continuu, necesitând modele adaptive care pot învăța din date și tendințe noi.
Rolul științei datelor în detectarea APA
Știința datelor oferă o abordare promițătoare pentru rezolvarea provocărilor asociate cu detectarea APA prin valorificarea analiticii avansate și a algoritmilor de învățare automată pentru a analiza cantități mari de date și pentru a identifica indicatori subtili ai activității rău intenționate. Prin aplicarea unor tehnici precum detectarea anomaliilor, analitica comportamentală și modelarea predictivă la diverse surse de date – inclusiv traficul de rețea, jurnalele de sistem, comportamentul utilizatorilor și informațiile despre amenințări – știința datelor permite organizațiilor să detecteze APA în stadiile incipiente și să răspundă proactiv înainte de deteriorarea semnificativă.
Algoritmii de detectare a anomaliilor joacă un rol crucial în identificarea abaterilor de la tiparele normale de comportament în cadrul unei rețele. Prin stabilirea unei linii de bază a activității tipice și semnalarea abaterilor care pot indica potențiale amenințări, sistemele de detectare a anomaliilor pot ajuta la identificarea comportamentului suspect care indică activitatea APA. Aceste anomalii pot include modele neobișnuite de trafic de rețea, încercări de acces neautorizat sau comportament anormal de acces la fișiere – toate acestea ar putea semnala prezența unei APA.
Procesarea limbajului natural (NLP):
- Inteligența amenințărilor cibernetice: NLP poate procesa cantități mari de date nestructurate de pe web, inclusiv rețelele sociale, forumuri și site-uri web întunecate, pentru a colecta informații despre APA emergente. Aceasta include identificarea de noi programe malware, tactici, tehnici și proceduri (TTP) care sunt discutate sau tranzacționate online.
- Detectarea phishing-ului: NLP este, de asemenea, folosit pentru a detecta încercările de phishing, care sunt adesea precursori ale atacurilor APA. Analizând limbajul și modelele din e-mailuri, modelele de știință a datelor pot identifica potențialele mesaje de phishing care pot fi trecute cu vederea de filtrele tradiționale.
Megadatele și analitica:
- Analiza jurnalelor: APA lasă adesea urme subtile în diferite sisteme și jurnale. Tehnologiile de date mari pot procesa și analiza cantități mari de date de jurnal în timp real pentru a identifica aceste urme, ceea ce nu ar fi posibil manual.
- Corelare și agregare: Tehnicile de știință a datelor pot corela și agrega date din diverse surse, cum ar fi traficul de rețea, activitățile utilizatorilor și fluxurile externe de amenințări, pentru a oferi o imagine cuprinzătoare a potențialelor amenințări.
Analize de trafic
Brewer[6] și Virvilis și Gritzalis[7] descriu și analizează cazuri de APA cunoscute: Stuxnet, Duqu și Flame. În Giura și Wang[8], autorii propun o piramidă de atac care are ca scop identificarea mișcărilor unui atacator. De Vries et al.[9] propun posibile blocuri pentru un cadru de detectare a APT. Johnson și Hogan[10], pe baza analizei graficelor, propun o nouă metrică de măsurarea a vulnerabilității unui mediu de rețea. În Friedberg et al.[11] se propune un sistem de detectare a anomaliilor pentru identificarea APA din mai multe jurnale. Sasaki[12] se focalizează pe detectarea exfiltrărilor de date. Bertino şi colab.[13] se concentrează pe analiza jurnalelor de acces la Sistemul de management al bazelor de date (DBMS) pentru a detecta modele suspecte pentru posibile exfiltrări. Liu și colab.[14] propun un cadru pentru detectarea exfiltrărilor de date prin analiza comunicațiilor de rețea prin generarea automată a semnăturilor. O rețea botnet este un set mare de gazde compromise distribuite, controlate de unul sau mai multe servere de comandă și control. Gu et al.[15] au propus detectarea gazdelor infectate și a serverelor de comandă și control legate de activitățile rețelelor botnet. Azaria et al. [16] cercetează amenințările interne; Greitzer și Frincke[17] se focalizează în acest scop pe jurnalele bazate pe gazdă, iar Bowen et al.[18] pe strategiile borcanului cu miere. Există mai multe abordări statistice pentru detectarea anomaliilor[19], precum cele bazate pe prag[20], de grupare[21], sau bazate pe regula boxplot[22].
Marchetti et al.[23] propune o abordare a detectării APA prin care să se analizeze volumele mari de trafic de rețea pentru a dezvălui semnale slabe legate de exfiltrarea datelor și alte activități suspecte. În final se obține un clasament al celor mai suspecte gazde interne, pentru detectarea timpurie a APA, un model care vizează detectarea activităților legate de APA, și un set de algoritmi pentru evaluarea suspiciunii. Ciclul de viață adoptat de Marchetti este cel din Brewer[24], care identifică cinci faze principale: recunoaștere; compromis; menținerea accesului; mișcarea laterală; și exfiltrarea datelor. Fiecare fază are caracteristici particulare cu evidențe în jurnalele de trafic. Cadrul său este capabil să identifice și să clasifice gazdele suspecte posibil implicate în exfiltările de date legate de APA, doar pe baza datelor de trafic din rețea, obținând în final o listă clasificată a gazdelor suspecte posibil implicate în exfiltrarea datelor și alte activități legate de APA.
Abordări tehnologice
Progresele în tehnologie au deschis calea pentru abordări inovatoare ale detectării APA.
Friedberg et al.[25] studiază detectarea anomaliilor prin corelarea evenimentelor, extinzând mecanismele de securitate comune – în special sistemele IDS „la nivel de pachete” – pentru a le îmbunătăți rezultatele. Abordarea exploatează fișierele jurnal construind un model în timp ce procesează intrarea, folosind modele de căutare (subșiruri aleatorii ale liniilor procesate, pentru a clasifica informațiile), clase de evenimente (clasifică liniile de jurnal folosind setul de modele cunoscute), ipoteze (posibilele implicații pe baza clasificării), și reguli (ipoteze dovedite).
Integrarea științei datelor și a inteligenței artificiale
Integrarea aplicațiilor de știința datelor și inteligența artificială în apărarea împotriva amenințărilor APA este esențială în lupta împotriva APA. Acest eseu explorează modul în care organizațiile pot folosi fluxurile de informații despre amenințări, platforme de schimb de informații și colaborare cu comunitățile de securitate cibernetică pentru a le spori conștientizarea situației și capacitățile de detectare.
Aplicarea inteligenței artificiale (AI) inspirată de sistemul imun artificial (AIS)[26], învățarea profundă (DL)[27] și algoritmul învățării automate (ML)[28] în detectarea intruziunilor APA a atras mai multă atenție cercetării.
Chen et al.[29] Enumeră mai multe studii bazate pe știința datelor și inteligența artificială, astfel:
Învățarea automată supravegheată: Rachmadi, Mandala, și Oktaria[30] introduc un IDS bazat pe modelul Adaboost pentru detectarea atacurilor DoS. Wahla et al.[31] prezintă un cadru cu Adaboost pentru detectarea atacurilor DoS cu o clasă redusă (LRDoS). Un algoritm K-Nearest Neighbor (KNN) este propus pentru implementare de Manhas și Kotwal[32] pentru a detecta mai multe atacuri de rețea, prin utilizarea mai multor algoritmi ML, inclusiv modelul KNN MLP, DT, NB și SVM, pentru a detecta IDS. Algoritmul de regresie liniară (LR)este studiat în Montgomery, Peck, și Vining[33], iar algoritmul RF din ML de ansamblu care constă dintr-un număr de arbori de decizie este propus de [120]. Studiul din [62] utilizează mai mulți algoritmi ML, inclusiv SVM pentru a detecta atacurile.
Învățarea profundă: Deep AutoEncoder (DAE) este format din două rețele simetrice de tip feedforward multistrat, fiind propus de [183]. Deep Belief Networks (DBN) sunt o clasă de rețele neuronale profunde, care utilizează probabilitatea și învățarea nesupravegheată pentru a produce rezultate, sugerate de [64]. O rețea complet conectată (FCN) care conține straturi complet conectate în care toate intrările dintr-un strat sunt conectate la fiecare unitate de activare din stratul anterior este propusă de Lin, Chen, și Yan[34]. O rețea neuronală recurentă (RNN), care preia datele secvenței ca intrare și efectuează recursiunea în direcția evoluției secvenței, este studiat de Probst, Wright, și Boulesteix[35]. Long Short-Term Memory (LSTM) este un tip special de RNN propus de Hochreiter și Schmidhuber[36].
Învățarea automată nesupravegheată: Clustering spațial bazat pe densitatea aplicațiilor cu zgomot (DBSCAN), o metodă binecunoscută pentru gruparea eșantioanelor pe baza densității lor și identificarea valorii aberante situate în zone cu densitate scăzută, este studiat de Schubert et al.[37]. Algoritmul de grupare K-means dintr-o metodă de cuantizare vectorială în procesarea semnalului este abordat de Al-Yaseen, Othman, și Nazri[38].
Setul de date IoT: Seturile de date private IoT sunt generate și aplicate pentru cercetarea securității în mai multe lucrări. Roldán et al.[39] extrage eșantioanele dintr-o schemă de rețea normală pentru a genera un set de date pentru algoritmii ML. Studiul lui Amouri, Alaparthy, și Morgera][40] implementează sniffer dedicat pentru a asambla traficul de rețea într-o rețea proiectată bazată pe interconexiune a sistemelor deschise. Wang și Lu[41] au creat mai întâi un set de date anormale privind apelurile cadru colectat. Studiul din Park, Li, și Hong][42] utilizează un set de date compus cu caracteristici gazdă și caracteristici de flux care colectează date de la senzori, traficul de rețea și jurnalele de resurse de sistem dintr-o fabrică inteligentă. În Haddadpajouh et al.[43], autorii introduc separat crearea unui set de date privat pentru atacurile benigne și malware.
Al-Saraireh și Masarweh[44] descriu o metodologie de arhitectură a unui model de detecție APT, în mai multe etape: colectarea și preprocesarea datelor, clasificarea setului de date, și utilizarea unui model de detectare ML pentru a testa setul de date. Mecanismul de detectare implică:
- colectarea datelor
- implementarea preprocesării datelor
- extragerea caracteristici și implementarea selecției caracteristicilor
- divizarea datelor în porțiuni de instruire și testare
- construirea unui model și evaluarea.
Fiecare organizație trebuie să includă în planul său de securitate cibernetică politicile de securitate adaptate la infrastructura sa. Identificarea posibilelor atacuri pe etape facilitează detectarea APA, ajutând la anticiparea acestor comportamente anormale în rețea.
Modelare predictivă
Tehnicile de modelare predictivă folosesc datele istorice și algoritmii de învățare automată pentru a prognoza evenimentele viitoare, inclusiv potențialele amenințări de securitate. Prin antrenarea modelelor privind incidentele APA anterioare și prin identificarea tiparelor și caracteristicilor comune asociate cu aceste atacuri, modelarea predictivă permite organizațiilor să identifice și să atenueze în mod proactiv amenințările APA emergente înainte ca acestea să poată provoca daune semnificative. Aceste modele pot include, de asemenea, date de informații despre amenințări în timp real pentru a le îmbunătăți acuratețea și eficacitatea în detectarea APA.
Modele de învățare automată pentru detectarea anomaliilor:
- Detectarea anomaliilor: APA implică adesea activități care se abat de la comportamentele normale ale rețelei sau ale sistemului. Știința datelor poate ajuta folosind modele de învățare automată pentru a identifica aceste anomalii. Tehnici precum învățarea nesupravegheată (de exemplu, gruparea, detectarea valorii aberante) pot identifica modele neobișnuite fără etichete predefinite.
- Analitica comportamentală: Modelele de învățare automată pot analiza comportamentele utilizatorilor și entităților pentru a identifica activități suspecte care ar putea indica o APA. De exemplu, dacă contul unui administrator de rețea începe brusc să acceseze date la ore ciudate, ar putea fi semnalat pentru investigații suplimentare.
Analitica comportamentală
Tehnicile de analiză comportamentală analizează comportamentul utilizatorului și al entității pentru a identifica abaterile de la tiparele stabilite care pot indica activitate rău intenționată. Prin monitorizarea acțiunilor utilizatorului, a modelelor de acces la resurse și a altor metrici comportamentale, aceste sisteme pot detecta un comportament anormal care indică activitatea APA, cum ar fi escaladarea neautorizată a privilegiilor, mișcarea laterală în rețea sau încercările de exfiltrare a datelor. Analitica comportamentală permite organizațiilor să detecteze APA pe baza unor indicatori subtili de compromis care pot trece neobservate de instrumentele tradiționale de securitate.
Modalități de utilizare a analiticii comportamentale:
- Predicția amenințărilor: Analitica predictivă poate prognoza potențialele amenințări de securitate pe baza datelor istorice. Analizând tendințele și modelele din atacurile cibernetice anterioare, oamenii de știință de date pot dezvolta modele care prezic probabilitatea unor atacuri viitoare, inclusiv ținte și metode potențiale.
- Evaluarea riscurilor: Tehnicile de știință a datelor pot evalua nivelurile de risc ale diferitelor noduri de rețea sau active de date. Acest lucru ajută la prioritizarea măsurilor de securitate și la concentrarea pe protejarea zonelor cu risc ridicat pe care APT-urile sunt mai probabil să le vizeze.
Strategii proactive de apărare
Detectarea APA necesită o postură de apărare proactivă. Această secțiune prezintă strategii precum monitorizarea continuă, testarea de penetrare și formarea în echipă pentru a identifica vulnerabilitățile înainte ca actorii amenințărilor să le poată exploata. Se subliniază, de asemenea, importanța programelor de formare și conștientizare a angajaților pentru atenuarea factorului uman în atacurile APA.
Unele abordări noi se concentrează în principal pe detectarea la timp pentru a limita efectele negative pe termen lung[45], o provocare majoră în securizarea sistemelor critice complexe.
Protecția proactivă permite identificarea și securizarea unui punct de atac înainte de a fi exploatate vulnerabilitățile, prin protejarea acestora, utilizarea de software antivirus și utilizarea unei liste negre, prin scanare și analiză comportamentală. Scanarea protocoalelor de comunicare permite detectarea avansată a potențialilor intruși. Protecția trebuie să fie pe termen lung și persistentă.
Conștientizarea organizațională și educația tehnologică și informațională sunt cele mai importante măsuri pentru a atenua în mod proactiv amenințările la adresa securității cibernetice organizaționale. Administratorii trebuie să învețe cum să utilizeze eficient tehnologia emergentă, astfel încât să ofere de fapt protecție suplimentară[46]. În cazul atacurilor ”infractorilor cibernetici, cum ar fi vulnerabilitățile zero-day și atacurile de denial of service (DoS), soluțiile convenționale nu pot face față complexității actuale a acestor tipuri de amenințări”[47]. În plus, Quintero și Martin afirmă că „securitatea cibernetică este responsabilă pentru stabilirea politici de securitate; aceste politici stabilesc pașii de urmat pentru ca datele să fie gestionate în cadrul infrastructurii tehnologice dintr-o organizație. Cu toate acestea, unele defecte de securitate și vulnerabilități (de exemplu, utilizarea de echipamente învechite, utilizarea politicilor care nu sunt revizuite continuu, eșecul de a instala actualizări la timp, deficiența de conștientizare) permit atacatorilor să realizeze o intruziune într-o organizație”[48]. Radzikowski[49] recomandă ca planificarea în avans a răspunsului la incident poate îmbunătăți semnificativ șansele organizaționale de detectare timpurie și de remediere mai eficientă. Cheia pentru protecția, detectarea și răspunsul eficient împotriva APA este implementarea riguroasă a celor mai bune practici de securitate și educația continuă cu utilizatorii cei mai bine vizați. Pe de altă parte, Hejase și Hejase subliniază faptul că guvernul, întreprinderile și instituțiile de învățământ ar trebui să își unească eforturile pentru a începe cel puțin o campanie de conștientizare pentru toată lumea, pentru a introduce termenii războiului cibernetic, atacurile cibernetice, securitatea cibernetică și armele cibernetice în dicționarul cuvintelor de zi cu zi, pur și simplu pentru că „amenințarea unui atac cibernetic este mereu prezentă și nu va dispărea” [50].
Chu, Lin, și Chang[51] propun un sistem de detectare timpurie a atacurilor APA, folosind baza de date NSL-KDD pentru detectarea și verificarea atacurilor. Metoda folosită este analiza componentelor principale (PCA) pentru eșantionarea caracteristicilor și pentru îmbunătățirea eficienței detectării. Clasificatoarele sunt apoi comparate pentru a detecta setul de date; clasificatorul acceptă mașina vectorială, clasificarea naivă Bayes, arborele de decizie și rețelele neuronale. Chu, Lin, și Chang concluzionează că mașina vectorială de suport (SVM) are cea mai mare rată de recunoaștere.
Multe experimente anterioare au fost efectuate folosind baza de date KDD 99[52], care se bazează pe o bază de date stabilită de DARPA în 1999 la Lincoln Labs de la Massachusetts Institute of Technology (MIT) . Aceasta conține 494.021 de înregistrări în setul de antrenament al bazei de date și 311.029 de înregistrări în setul de testare, cu un total de 41 de funcții și 5 tipuri de etichete mari (normal, dos, r2l, u2l, probe) [10,11]. Tavallaee și colab.[53] au modificat eșantionul de date introducând baza de date NSL-KDD, mai discriminativă și care permite o detectare mai bună a intruziunilor. Accentul în acest studiu a fost pe explorarea analizei liniare a componentelor principale (PCA)[54] ca axă principală. Setul de date NSL-KDD a fost folosit pentru detectarea intruziunilor în rețea. Tehnologia de detectare a atacurilor APA a fost, de asemenea, combinată cu tehnici de minerit de date[55]. Scopul a fost de a realiza integrarea și clasificarea datelor folosind seturi de modele întâlnite frecvent și reguli de asociere pentru a detecta și a obține avertizare timpurie cu privire la un atac APA.
Pentru stabilirea de contramăsuri de securitate și proceduri pentru o apărare robustă, Virvilis, Gritzalis, și Apostolopoulos[56] au creat un mediu specific pe baza căruia a stabilit un set de recomandări, astfel:
- Gestionarea corecțiilor: pentru toate aplicațiile de rețea, fiind prima linie de apărare.
- Segregarea rețelei: controalele și monitorizarea rețelelor.
- Lista albă: politici stricte de acces la internet și inspecție granulară a traficului, cu restricții pentru utilizatori.
- Execuția dinamică a conținutului: utilizarea de mecanisme de filtrare la punctele de intrare în rețea.
- Un sistem de calcul de încredere: limitarea și controlul software care poate fi instalat și executat.
Hofer-Schmitz, Kleb, și Stojanović[57] investighează influențele diferitelor seturi de caracteristici de trafic de rețea statistice asupra detectării amenințărilor persistente avansate, folosind un set de date semi-sintetic, combinând setul de date CICIDS2017 și setul de date malware Contagio. Rezultatele obținute au arătat un impact mare al alegerii setului de caracteristici asupra detectării semnelor de APA, și o influență a datelor de fundal asupra capacităților de detectare. Principala concluzie a fost că investigarea funcțiilor mai în detaliu și construirea de soluții de detectare optimizate și personalizate pot duce la economisirea resurselor de procesare și la creșterea performanței de detectare.
Wang et al.[58] s-au bazat pe analiza big data și tehnologia cloud computing pentru a studia implementarea conceptului de genă în rețelele atacate prin APA. Folosind analiza inversă a protocolului de rețea și a tehnologiei de procesare a fluxului de date din rețea, s-a stabilit un set de teorii de bază și arhitectură tehnică a construcției și calculului genelor de rețea, propunând un nou cadru de detectare pentru APA. Studiul ia în considerare modelul lui Oehmen și colab.[59] bazat pe asemănarea dintre entitățile cibernetice și comportamentul sistemelor organice pentru cartografierea secvenței de comportamente în rețea. Gena rețelei este definită ca reprezentând ”segmentele digitale, extrase prin analiza inversă a protocolului de rețea, și secvențele lor combinate care reprezintă modele de comportament ale rețelei bogate semantic ale aplicației de rețea. Subiectul genei rețelei este aplicația de rețea (software).” [60] Modelele de comportament ale unei aplicații de rețea constă din gene de trei nivele, ca gena comportamentului mesajului, gena comportamentului protocolului și gena comportamentului operațional de la mic la mare, incluse în Genomul de rețea. Monitorizarea APA bazată pe gene de rețea este împărțită în două faze: analiza automată și extragerea genei rețelei, și analiza aprofundată a comportamentelor anomaliilor rețelei bazată pe calculul în timp real al genei rețelei. Corelațiile strânse între gene facilitează detectarea atacurilor APA.
Principalele metode folosite de cercetători pentru a detecta atacurile APA sunt[61]:
- Modele de detectare bazate pe algoritmi de învățare automată, inclusiv mașină vectorială de suport liniară[62].
- Modele de detectare bazate pe modele matematice, cum ar fi modelul Markov ascuns[63].
- Metode și abordări pentru extragerea automată a caracteristicilor folosind graficul de atac[64].
- Tehnici de reducere a detectării false, cum ar fi instrumentul Duqu[65].
- Detecția tuturor pașilor de atac folosind instrumente, cum ar fi SpuNge[66].
Hassannataj Joloudari et al.[67] afirmă că aceste metode nu pot efectua detectarea în timp util atunci când atacurile au loc în timp real, propunând metode de învățare automată (precum arborele de decizie C5.0), rețeaua Bayesiană și învățarea profundă pe setul de date NSL-KDD ca fiind cele mai eficiente abordări pentru îmbunătățirea acurateței detectării și propunând un model de învățare profundă cu 6 straturi prin extragerea și selectarea automată a caracteristicilor din straturile ascunse ale rețelei neuronale.
Concluzie
Amenințările persistente avansate reprezintă o amenințare semnificativă și persistentă pentru organizațiile din întreaga lume, necesitând strategii sofisticate de detectare și atenuare pentru a se apăra eficient împotriva lor. Într-o eră în care amenințările cibernetice evoluează continuu, înțelegerea și apărarea împotriva APA este crucială pentru organizații și națiuni. APA reprezintă o provocare persistentă și formidabilă, dar cu măsuri de securitate proactive, cooperare internațională și utilizarea tehnologiilor de ultimă oră, este posibilă îmbunătățirea securității cibernetice și reducerea riscului de incidente legate de APA. Pe măsură ce APA continuă să se adapteze și să crească în sofisticare, lupta împotriva lor va fi continuă, cerând vigilență și inovație din partea comunității de securitate cibernetică.
Detectarea amenințărilor persistente avansate necesită a abordare cuprinzătoare și dinamică. Organizațiile trebuie să își adapteze continuu strategii, să își valorifica progresele tehnologice, informațiile despre amenințări și măsurile proactive de apărare, pentru a identifica și a atenua eficient riscurile prezentate de către APA. Prin înțelegerea naturii în evoluție a APA și prin implementarea unei strategii de apărare pe mai multe straturi, comunitatea de securitate cibernetică se poate proteja mai bine împotriva acestor amenințări persistente.
Știința datelor oferă un arsenal puternic de instrumente și tehnici pentru detectarea APA prin valorificarea analiticii avansate, NLP, învățarea automată, modelarea predictivă pentru a analiza diverse surse de date și a identifica indicatori subtili ai activității rău intenționate, și tehnologiile de date mari. Valorificând puterea științei datelor, organizațiile își pot îmbunătăți capacitatea de a detecta și de a răspunde la APA în timp real, atenuând riscul de furt al datelor, pierderi financiare și daune de reputație. Pe măsură ce APA continuă să evolueze și să crească în sofisticare, știința datelor va rămâne o armă critică în lupta continuă pentru a proteja activele digitale și a proteja împotriva amenințărilor cibernetice.
Bibliografie
- Alperovitch, Dmitri. „Revealed: Operation Shady RAT – McAfee”, 2011. https://icscsi.org/library/Documents/Cyber_Events/McAfee%20-%20Operation%20Shady%20RAT.pdf.
- Al-Saraireh, Jaafer, și Ala’ Masarweh. „A novel approach for detecting advanced persistent threats”. Egyptian Informatics Journal 23, nr. 4 (1 decembrie 2022): 45–55. https://doi.org/10.1016/j.eij.2022.06.005.
- Al-Yaseen, Wathiq Laftah, Zulaiha Ali Othman, și Mohd Zakree Ahmad Nazri. „Multi-level hybrid support vector machine and extreme learning machine based on modified K-means for intrusion detection system”. Expert Systems with Applications 67 (1 ianuarie 2017): 296–303. https://doi.org/10.1016/j.eswa.2016.09.041.
- Amouri, Amar, Vishwa T. Alaparthy, și Salvatore D. Morgera. „A Machine Learning Based Intrusion Detection System for Mobile Internet of Things”. Sensors 20, nr. 2 (ianuarie 2020): 461. https://doi.org/10.3390/s20020461.
- Azaria, Amos, Ariella Richardson, Sarit Kraus, și V. Subrahmanian. „Behavioral Analysis of Insider Threat: A Survey and Bootstrapped Prediction in Imbalanced Data”. IEEE Transactions on Computational Social Systems 1 (1 iunie 2014): 135–55. https://doi.org/10.1109/TCSS.2014.2377811.
- Balduzzi, Marco, Vincenzo Ciangaglini, și Robert McArdle. Targeted attacks detection with SPuNge, 2013. https://doi.org/10.1109/PST.2013.6596053.
- Bencsáth, B., Gábor Pék, L. Buttyán, și M. Félegyházi. „Duqu: Analysis, Detection, and Lessons Learned”, 2012. https://www.semanticscholar.org/paper/Duqu%3A-Analysis%2C-Detection%2C-and-Lessons-Learned-Bencs%C3%A1th-P%C3%A9k/9974cdf65ffbdee47837574432b0f8b59ffbddd1.
- Bertino, Elisa, și Gabriel Ghinita. „Towards Mechanisms for Detection and Prevention of Data Exfiltration by Insiders: Keynote Talk Paper”. În Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, 10–19. Hong Kong China: ACM, 2011. https://doi.org/10.1145/1966913.1966916.
- Bowen, Brian M., Shlomo Hershkop, Angelos D. Keromytis, și Salvatore J. Stolfo. „Baiting Inside Attackers Using Decoy Documents”. În Security and Privacy in Communication Networks, ediție de Yan Chen, Tassos D. Dimitriou, și Jianying Zhou, 51–70. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Berlin, Heidelberg: Springer, 2009. https://doi.org/10.1007/978-3-642-05284-2_4.
- Brewer, Ross. „Advanced persistent threats: Minimising the damage”. Network Security 2014 (1 aprilie 2014): 5–9. https://doi.org/10.1016/S1353-4858(14)70040-6.
- Bro, Rasmus, și Age K. Smilde. „Principal Component Analysis”. Analytical Methods 6, nr. 9 (10 aprilie 2014): 2812–31. https://doi.org/10.1039/C3AY41907J.
- Chandola, Varun, Arindam Banerjee, și Vipin Kumar. „Anomaly Detection: A Survey”. ACM Comput. Surv. 41 (1 iulie 2009). https://doi.org/10.1145/1541880.1541882.
- Chen, Zhiyan, Jinxin Liu, Yu Shen, Murat Simsek, Burak Kantarci, H.T. Mouftah, și Petar Djukic. „Machine Learning-Enabled IoT Security: Open Issues and Challenges Under Advanced Persistent Threats”. ACM Computing Surveys 55 (19 aprilie 2022). https://doi.org/10.1145/3530812.
- Chu, Wen-Lin, Chih-Jer Lin, și Ke-Neng Chang. „Detection and Classification of Advanced Persistent Threats and Attacks Using the Support Vector Machine”. Applied Sciences 9, nr. 21 (ianuarie 2019): 4579. https://doi.org/10.3390/app9214579.
- Cobb, Michael. „The Evolution of Threat Detection and Management”, 2013. https://docs.media.bitpipe.com/io_10x/io_109837/item_691345/EMC_sSecurity_IO%23109837_E-Guide_060513.pdf.
- De Vries, Johannes, Hans Hoogstraaten, Jan Van Den Berg, și Semir Daskapan. „Systems for Detecting Advanced Persistent Threats: A Development Roadmap Using Intelligent Data Analysis”. 2012 International Conference on Cyber Security, decembrie 2012, 54–61. https://doi.org/10.1109/CyberSecurity.2012.14.
- Friedberg, Ivo, Florian Skopik, Giuseppe Settanni, și Roman Fiedler. „Combating advanced persistent threats: From network event correlation to incident detection”. Computers & Security 48 (1 februarie 2015): 35–57. https://doi.org/10.1016/j.cose.2014.09.006.
- Ghafir, Ibrahim, Mohammad Hammoudeh, Vaclav Prenosil, Liangxiu Han, Robert Hegarty, Khaled Rabie, și Francisco J. Aparicio-Navarro. „Detection of advanced persistent threat using machine-learning correlation analysis”. Future Generation Computer Systems 89 (1 decembrie 2018): 349–59. https://doi.org/10.1016/j.future.2018.06.055.
- Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, și Diab M. Diab. „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”. IEEE Access 7 (2019): 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
- Giura, Paul, și Wei Wang. „A Context-Based Detection Framework for Advanced Persistent Threats”. În 2012 International Conference on Cyber Security, 69–74, 2012. https://doi.org/10.1109/CyberSecurity.2012.16.
- Greitzer, Frank L., și Deborah A. Frincke. „Combining Traditional Cyber Security Audit Data with Psychosocial Data: Towards Predictive Modeling for Insider Threat Mitigation”. În Insider Threats in Cyber Security, ediție de Christian W. Probst, Jeffrey Hunker, Dieter Gollmann, și Matt Bishop, 85–113. Advances in Information Security. Boston, MA: Springer US, 2010. https://doi.org/10.1007/978-1-4419-7133-3_5.
- Gu, Guofei, Roberto Perdisci, Junjie Zhang, și Wenke Lee. BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection. CCS’08, 2008.
- Haddadpajouh, Hamed, Ali Dehghantanha, Raouf Khayami, și Kim-Kwang Raymond Choo. „A Deep Recurrent Neural Network Based Approach for Internet of Things Malware Threat Hunting”. Future Generation Computer Systems 85 (4 martie 2018). https://doi.org/10.1016/j.future.2018.03.007.
- Hartigan, John A. Clustering Algorithms. Wiley, 1975.
- Hassannataj Joloudari, Javad, Mojtaba Haderbadi, Amir Mashmool, Mohammad Ghasemigol, Shahab Shamshirband, și Amir Mosavi. „Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning”. IEEE Access 8 (6 octombrie 2020). https://doi.org/10.1109/ACCESS.2020.3029202.
- Hejase, Ale, Hussin Hejase, și Jose Hejase. „Cyber Warfare Awareness in Lebanon: Exploratory Research”. International Journal of Cyber-Security and Digital Forensics Vol 4 (20 septembrie 2015): 482–97. https://doi.org/10.17781/P001892.
- Hochreiter, Sepp, și Jürgen Schmidhuber. „Long Short-term Memory”. Neural computation 9 (1 decembrie 1997): 1735–80. https://doi.org/10.1162/neco.1997.9.8.1735.
- Hofer-Schmitz, Katharina, Ulrike Kleb, și Branka Stojanović. „The Influences of Feature Sets on the Detection of Advanced Persistent Threats”. Electronics 10, nr. 6 (ianuarie 2021): 704. https://doi.org/10.3390/electronics10060704.
- Jia, Bin, Zhaowen Lin, și Yan Ma. Advanced Persistent Threat Detection Method Research Based on Relevant Algorithms to Artificial Immune System. Vol. 520, 2015. https://doi.org/10.1007/978-3-662-47401-3_29.
- Johnson, John, și Emilie Hogan. A graph analytic metric for mitigating advanced persistent threat. Vol. 129, 2013. https://doi.org/10.1109/ISI.2013.6578801.
- Lee, Martin. „Clustering Disparate Attacks: Mapping The Activities of The Advanced Persistent Threat.” 21st Virus Bulletin International Conference, 1 octombrie 2011. https://www.academia.edu/2352875/CLUSTERING_DISPARATE_ATTACKS_MAPPING_THE_ACTIVITIES_OF_THE_ADVANCED_PERSISTENT_THREAT.
- Lin, Min, Qiang Chen, și Shuicheng Yan. „Network In Network”. CoRR, 16 decembrie 2013. https://www.semanticscholar.org/paper/Network-In-Network-Lin-Chen/5e83ab70d0cbc003471e87ec306d27d9c80ecb16.
- Liu, Yali, Cherita Corbett, Ken Chiang, Rennie Archibald, Biswanath Mukherjee, și Dipak Ghosal. SIDD: A Framework for Detecting Sensitive Data Exfiltration by an Insider Attack. Hawaii International Conference on System Sciences, 2009. https://doi.org/10.1109/HICSS.2009.390.
- Manhas, Jatinder, și Shallu Kotwal. „Implementation of Intrusion Detection System for Internet of Things Using Machine Learning Techniques”. ediție de Kaiser J. Giri, Shabir Ahmad Parah, Rumaan Bashir, și Khan Muhammad, 217–37. Algorithms for Intelligent Systems. Singapore: Springer Singapore, 2021. https://doi.org/10.1007/978-981-15-8711-5_11.
- Marchetti, Mirco, Fabio Pierazzi, Michele Colajanni, și Alessandro Guido. „Analysis of high volumes of network traffic for Advanced Persistent Threat detection”. Computer Networks 109 (1 iunie 2016). https://doi.org/10.1016/j.comnet.2016.05.018.
- McAfee. „Protecting Your Critical Assets – Lessons Learned from “Operation Aurora””, 2010. https://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf.
- McDermott, Christopher D., Farzan Majdani, și Andrei V. Petrovski. „Botnet Detection in the Internet of Things using Deep Learning Approaches”. În 2018 International Joint Conference on Neural Networks (IJCNN), 1–8, 2018. https://doi.org/10.1109/IJCNN.2018.8489489.
- McHugh, John. „Testing Intrusion detection systems: a critique of the 1998 and 1999 DARPA intrusion detection system evaluations as performed by Lincoln Laboratory”. ACM Transactions on Information and System Security 3, nr. 4 (Noiembrie 2000): 262–94. https://doi.org/10.1145/382912.382923.
- MITRE. „MiniDuke, Software S0051 | MITRE ATT&CK®”, 2021. https://attack.mitre.org/software/S0051/.
- Montgomery, Douglas C., Elizabeth A. Peck, și G. Geoffrey Vining. Introduction to Linear Regression Analysis. John Wiley & Sons, 2012.
- Oehmen, Christopher, Elena Peterson, și Scott Dowson. „An organic model for detecting cyber-events”. În Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research, 1–4. CSIIRW ’10. New York, NY, USA: Association for Computing Machinery, 2010. https://doi.org/10.1145/1852666.1852740.
- Park, Seong-Taek, Guozhong Li, și Jae-Chang Hong. „A Study on Smart Factory-Based Ambient Intelligence Context-Aware Intrusion Detection System Using Machine Learning”. Journal of Ambient Intelligence and Humanized Computing 11, nr. 4 (aprilie 2020): 1405–12. https://doi.org/10.1007/s12652-018-0998-6.
- Probst, Philipp, Marvin N. Wright, și Anne-Laure Boulesteix. „Hyperparameters and Tuning Strategies for Random Forest”. WIREs Data Mining and Knowledge Discovery 9, nr. 3 (2019): e1301. https://doi.org/10.1002/widm.1301.
- Quintero-Bonilla, Santiago, și Angel Martín del Rey. „A New Proposal on the Advanced Persistent Threat: A Survey”. Applied Sciences 10, nr. 11 (ianuarie 2020): 3874. https://doi.org/10.3390/app10113874.
- Rachmadi, Salman, Satria Mandala, și Dita Oktaria. „Detection of DoS Attack using AdaBoost Algorithm on IoT System”. În 2021 International Conference on Data Science and Its Applications (ICoDSA), 28–33, 2021. https://doi.org/10.1109/ICoDSA53588.2021.9617545.
- Radzikowski, Shem. „CyberSecurity: Origins of the Advanced Persistent Threat (APT)”. Dr.Shem, 8 octombrie 2015. https://DrShem.com/2015/10/08/cybersecurity-origins-of-the-advanced-persistent-threat-apt/.
- Roldán, José, Juan Boubeta-Puig, José Luis Martínez, și Guadalupe Ortiz. „Integrating complex event processing and machine learning: An intelligent architecture for detecting IoT security attacks”. Expert Systems with Applications 149 (1 iulie 2020): 113251. https://doi.org/10.1016/j.eswa.2020.113251.
- Sasaki, Takayuki. „Towards Detecting Suspicious Insiders by Triggering Digital Data Sealing”. În 2011 Third International Conference on Intelligent Networking and Collaborative Systems, 637–42. Fukuoka, Japan: IEEE, 2011. https://doi.org/10.1109/INCoS.2011.157.
- Schubert, Erich, Jörg Sander, Martin Ester, Hans Kriegel, și Xiaowei Xu. „DBSCAN revisited, revisited: Why and how you should (still) use DBSCAN”. ACM Transactions on Database Systems 42 (31 iulie 2017): 1–21. https://doi.org/10.1145/3068335.
- SecureList. „“Red October” Diplomatic Cyber Attacks Investigation”, 14 ianuarie 2013. https://securelist.com/red-october-diplomatic-cyber-attacks-investigation/36740/.
- Soong, T. T. „Fundamentals of Probability and Statistics for Engineers | Wiley”. Wiley.com, 2004. https://www.wiley.com/en-us/Fundamentals+of+Probability+and+Statistics+for+Engineers-p-9780470868157.
- Tavallaee, Mahbod, Ebrahim Bagheri, Wei Lu, și Ali A. Ghorbani. „A detailed analysis of the KDD CUP 99 data set”. În 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications, 1–6, 2009. https://doi.org/10.1109/CISDA.2009.5356528.
- Virvilis, Nikos, și Dimitris Gritzalis. „The Big Four – What We Did Wrong in Advanced Persistent Threat Detection?” În 2013 International Conference on Availability, Reliability and Security, 248–54, 2013. https://doi.org/10.1109/ARES.2013.32.
- Virvilis, Nikos, Dimitris Gritzalis, și Theodoros Apostolopoulos. „Trusted Computing vs. Advanced Persistent Threats: Can a Defender Win This Game?” În 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing and 2013 IEEE 10th International Conference on Autonomic and Trusted Computing, 396–403, 2013. https://doi.org/10.1109/UIC-ATC.2013.80.
- Wahla, Arfan, Lan Chen, Yali Wang, Rong Chen, și Fan Wu. „Automatic Wireless Signal Classification in Multimedia Internet of Things: An Adaptive Boosting Enabled Approach”. IEEE Access PP (1 noiembrie 2019): 1–1. https://doi.org/10.1109/ACCESS.2019.2950989.
- Wang, Xiali, și Xiang Lu. „A Host-Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices”. Wireless Communications and Mobile Computing 2020 (5 octombrie 2020): 1–13. https://doi.org/10.1155/2020/8838571.
- Wang, Yuan, Yongjun Wang, Jing Liu, și Zhijian Huang. „A Network Gene-Based Framework for Detecting Advanced Persistent Threats”. În 2014 Ninth International Conference on P2P, Parallel, Grid, Cloud and Internet Computing, 97–102, 2014. https://doi.org/10.1109/3PGCIC.2014.41.
- Wu, Xindong, Vipin Kumar, J. Ross Quinlan, Joydeep Ghosh, Qiang Yang, Hiroshi Motoda, Geoffrey J. McLachlan, et al. „Top 10 Algorithms in Data Mining”. Knowledge and Information Systems 14, nr. 1 (1 ianuarie 2008): 1–37. https://doi.org/10.1007/s10115-007-0114-2.
Note
[1] McAfee, „Protecting Your Critical Assets – Lessons Learned from “Operation Aurora””.
[2] Alperovitch, „Revealed: Operation Shady RAT – McAfee”.
[3] SecureList, „“Red October” Diplomatic Cyber Attacks Investigation”.
[4] MITRE, „MiniDuke, Software S0051 | MITRE ATT&CK®”.
[5] Friedberg et al., „Combating advanced persistent threats”.
[6] Brewer, „Advanced persistent threats”.
[7] Virvilis și Gritzalis, „The Big Four – What We Did Wrong in Advanced Persistent Threat Detection?”
[8] Giura și Wang, „A Context-Based Detection Framework for Advanced Persistent Threats”.
[9] De Vries et al., „Systems for Detecting Advanced Persistent Threats”.
[10] Johnson și Hogan, A graph analytic metric for mitigating advanced persistent threat.
[11] Friedberg et al., „Combating advanced persistent threats”.
[12] Sasaki, „Towards Detecting Suspicious Insiders by Triggering Digital Data Sealing”.
[13] Bertino și Ghinita, „Towards Mechanisms for Detection and Prevention of Data Exfiltration by Insiders”.
[14] Liu et al., SIDD.
[15] Gu et al., BotMiner.
[16] Azaria et al., „Behavioral Analysis of Insider Threat”.
[17] Greitzer și Frincke, „Combining Traditional Cyber Security Audit Data with Psychosocial Data”.
[18] Bowen et al., „Baiting Inside Attackers Using Decoy Documents”.
[19] Chandola, Banerjee, și Kumar, „Anomaly Detection”.
[20] Soong, „Fundamentals of Probability and Statistics for Engineers | Wiley”.
[21] Hartigan, Clustering Algorithms.
[22] Soong, „Fundamentals of Probability and Statistics for Engineers | Wiley”.
[23] Marchetti et al., „Analysis of high volumes of network traffic for Advanced Persistent Threat detection”.
[24] Brewer, „Advanced persistent threats”.
[25] Friedberg et al., „Combating advanced persistent threats”.
[26] Jia, Lin, și Ma, Advanced Persistent Threat Detection Method Research Based on Relevant Algorithms to Artificial Immune System.
[27] McDermott, Majdani, și Petrovski, „Botnet Detection in the Internet of Things using Deep Learning Approaches”.
[28] Ghafir et al., „Detection of advanced persistent threat using machine-learning correlation analysis”.
[29] Chen et al., „Machine Learning-Enabled IoT Security”.
[30] Rachmadi, Mandala, și Oktaria, „Detection of DoS Attack using AdaBoost Algorithm on IoT System”.
[31] Wahla et al., „Automatic Wireless Signal Classification in Multimedia Internet of Things”.
[32] Manhas și Kotwal, „Implementation of Intrusion Detection System for Internet of Things Using Machine Learning Techniques”.
[33] Montgomery, Peck, și Vining, Introduction to Linear Regression Analysis.
[34] Lin, Chen, și Yan, „Network In Network”.
[35] Probst, Wright, și Boulesteix, „Hyperparameters and Tuning Strategies for Random Forest”.
[36] Hochreiter și Schmidhuber, „Long Short-term Memory”.
[37] Schubert et al., „DBSCAN revisited, revisited”.
[38] Al-Yaseen, Othman, și Nazri, „Multi-level hybrid support vector machine and extreme learning machine based on modified K-means for intrusion detection system”.
[39] Roldán et al., „Integrating complex event processing and machine learning”.
[40] Amouri, Alaparthy, și Morgera, „A Machine Learning Based Intrusion Detection System for Mobile Internet of Things”.
[41] Wang și Lu, „A Host-Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices”.
[42] Park, Li, și Hong, „A Study on Smart Factory-Based Ambient Intelligence Context-Aware Intrusion Detection System Using Machine Learning”.
[43] Haddadpajouh et al., „A Deep Recurrent Neural Network Based Approach for Internet of Things Malware Threat Hunting”.
[44] Al-Saraireh și Masarweh, „A novel approach for detecting advanced persistent threats”.
[45] Brewer, „Advanced persistent threats”.
[46] Cobb, „The Evolution of Threat Detection and Management”.
[47] Quintero-Bonilla și Martín del Rey, „A New Proposal on the Advanced Persistent Threat”.
[48] Quintero-Bonilla și Martín del Rey.
[49] Radzikowski, „CyberSecurity”.
[50] Hejase, Hejase, și Hejase, „Cyber Warfare Awareness in Lebanon”, 87.
[51] Chu, Lin, și Chang, „Detection and Classification of Advanced Persistent Threats and Attacks Using the Support Vector Machine”.
[52] McHugh, „Testing Intrusion detection systems”.
[53] Tavallaee et al., „A detailed analysis of the KDD CUP 99 data set”.
[54] Bro și Smilde, „Principal Component Analysis”.
[55] Wu et al., „Top 10 Algorithms in Data Mining”.
[56] Virvilis, Gritzalis, și Apostolopoulos, „Trusted Computing vs. Advanced Persistent Threats”.
[57] Hofer-Schmitz, Kleb, și Stojanović, „The Influences of Feature Sets on the Detection of Advanced Persistent Threats”.
[58] Wang et al., „A Network Gene-Based Framework for Detecting Advanced Persistent Threats”.
[59] Oehmen, Peterson, și Dowson, „An organic model for detecting cyber-events”.
[60] Hofer-Schmitz, Kleb, și Stojanović, „The Influences of Feature Sets on the Detection of Advanced Persistent Threats”.
[61] Hassannataj Joloudari et al., „Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning”.
[62] Chu, Lin, și Chang, „Detection and Classification of Advanced Persistent Threats and Attacks Using the Support Vector Machine”.
[63] Ghafir et al., „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”.
[64] Lee, „CLUSTERING DISPARATE ATTACKS”.
[65] Bencsáth et al., „Duqu”.
[66] Balduzzi, Ciangaglini, și McArdle, Targeted attacks detection with SPuNge.
[67] Hassannataj Joloudari et al., „Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning”.
Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).