Система моніторингу внутрішніх вразливостей локальної мережі на основі аналізу шаблонної активності зловмисників

Abstract

Актуальність роботи зумовлена зростанням складності локальних комп’ютерних мереж, збільшенням кількості внутрішніх сервісів та підвищенням ризику поширення кіберзагроз усередині інфраструктури після первинної компрометації окремого вузла. Традиційні засоби периметрового захисту не завжди забезпечують своєчасне виявлення горизонтального переміщення зловмисника, а використання шифрованого трафіку ускладнює застосування класичного глибокого аналізу пакетів. У зв’язку з цим актуальним є розроблення системи, здатної аналізувати поведінкові шаблони мережевої активності, корелювати події з різних джерел телеметрії та підтримувати автоматизоване реагування на інциденти. Об’єктом дослідження є процеси моніторингу та виявлення потенційно небезпечної активності у локальних комп’ютерних мережах (ЛКМ). Предметом дослідження є методи та засоби аналізу мережевої активності, механізми виявлення поведінкових шаблонів зловмисників, а також архітектурні підходи до побудови систем моніторингу внутрішніх вразливостей локальної мережі. Метою роботи є підвищення ефективності виявлення, локалізації та реагування на внутрішні мережеві інциденти шляхом застосування поведінкового аналізу шаблонної активності зловмисників і розроблення системи моніторингу внутрішніх вразливостей локальної мережі. Для досягнення поставленої мети було досліджено сучасні засоби діагностики, захисту та моніторингу локальних мереж, визначено їх переваги й обмеження, сформовано вимоги до майбутньої системи, розроблено підхід до класифікації джерел телеметрії та реалізовано основні механізми збору, кореляції й аналізу подій. Спроєктовано та розроблено систему агрегації, обробки та реагування на події... The relevance of the thesis is determined by the increasing complexity of local computer networks, the growing number of internal services, and the higher risk of cyber threats spreading within the infrastructure after the initial compromise of a single node. Traditional perimeter protection tools do not always provide timely detection of an attacker’s lateral movement, while the use of encrypted traffic complicates the application of classical deep packet inspection. Therefore, the development of a system capable of analyzing behavioural patterns of network activity, correlating events from different telemetry sources, and supporting automated incident response is relevant. The object of the research is the processes of monitoring and detecting potentially dangerous activity in local computer networks. The subject of the research is the methods and tools for analyzing network activity, mechanisms for detecting behavioural patterns of attackers, as well as architectural approaches to building monitoring systems for internal vulnerabilities of a local network. The purpose of the thesis is to improve the efficiency of detection, localization, and response to internal network incidents by applying behavioural analysis of attackers’ patterned activity and developing a monitoring system for internal vulnerabilities of a local network. To achieve this purpose, modern tools for diagnostics, protection, and monitoring of local networks were studied, their advantages and limitations were identified, requirements for the future system were formulated, an approach to classifying telemetry sources was developed, and the main mechanisms for collecting, correlating, and analyzing events were implemented. A system for aggregating, processing, and responding to events was designed and developed...