Сучасні наукові проблеми кібербезпеки
У статті наведено огляд сучасних проблем кібербезпеки та проаналізовано роль наукових досліджень у їх вирішенні. Зокрема, виокремлено два види
 досліджень — із застосуванням алгебраїчного підходу та з використанням
 нейронних мереж, що належать до методів штучного інтелекту. Алгебраї...
Збережено в:
| Опубліковано в: : | Вісник НАН України |
|---|---|
| Дата: | 2023 |
| Автор: | |
| Формат: | Стаття |
| Мова: | Українська |
| Опубліковано: |
Видавничий дім "Академперіодика" НАН України
2023
|
| Теми: | |
| Онлайн доступ: | https://nasplib.isofts.kiev.ua/handle/123456789/192906 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Сучасні наукові проблеми кібербезпеки / О.О. Летичевський // Вісник Національної академії наук України. — 2023. — № 2. — С. 12-20. — Бібліогр.: 19 назв. — укр. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1860193578434691072 |
|---|---|
| author | Летичевський, О.О. |
| author_facet | Летичевський, О.О. |
| citation_txt | Сучасні наукові проблеми кібербезпеки / О.О. Летичевський // Вісник Національної академії наук України. — 2023. — № 2. — С. 12-20. — Бібліогр.: 19 назв. — укр. |
| collection | DSpace DC |
| container_title | Вісник НАН України |
| description | У статті наведено огляд сучасних проблем кібербезпеки та проаналізовано роль наукових досліджень у їх вирішенні. Зокрема, виокремлено два види
досліджень — із застосуванням алгебраїчного підходу та з використанням
нейронних мереж, що належать до методів штучного інтелекту. Алгебраїчні методи ґрунтуються на використанні автоматичного доведення
теорем та програм-розв’язувачів і спрямовані на вирішення двох основних
проблем кібербезпеки: перша — виявлення вразливостей у програмних і
апаратних системах та оцінка їх стійкості до вторгнень; друга — виявлення вторгнень зловмисників у реальному часі. Наведено результати досліджень, які сприяють створенню надійного захисту систем від кібератак, зокрема систем об’єктів критичної інфраструктури, що на сьогодні є особливо актуальним завданням.
The article contains an overview of modern problems in cyber security and analyzes the role of scientific research in solving
them. In particular, two types of research are distinguished - with the use of an algebraic approach and with the use
of neural networks, which belongs to the methods of Artificial Intelligence. Algebraic methods are based on usage of automatic
theorem proving and solver programs. These studies are conducted to solve two main problems of cyber security.
The first problem concerns the detection of vulnerabilities in software and hardware systems and the assessment of their
resistance to intrusions. The second problem is the detection of malicious intrusions in real time. The results of research
that help create reliable protection against cyberattacks, which is important in modern circumstances for the protection
of systems of critical infrastructure objects, are highlighted.
|
| first_indexed | 2025-12-07T18:07:20Z |
| format | Article |
| fulltext |
12 ISSN 1027-3239. Visn. Nac. Acad. Nauk Ukr. 2023. (2)
СУЧАСНІ НАУКОВІ
ПРОБЛЕМИ КІБЕРБЕЗПЕКИ
У статті наведено огляд сучасних проблем кібербезпеки та проаналізова-
но роль наукових досліджень у їх вирішенні. Зокрема, виокремлено два види
досліджень — із застосуванням алгебраїчного підходу та з використанням
нейронних мереж, що належать до методів штучного інтелекту. Алге-
браїчні методи ґрунтуються на використанні автоматичного доведення
теорем та програм-розв’язувачів і спрямовані на вирішення двох основних
проблем кібербезпеки: перша — виявлення вразливостей у програмних і
апаратних системах та оцінка їх стійкості до вторгнень; друга — вияв-
лення вторгнень зловмисників у реальному часі. Наведено результати до-
сліджень, які сприяють створенню надійного захисту систем від кібера-
так, зокрема систем об’єктів критичної інфраструктури, що на сьогодні є
особливо актуальним завданням.
Ключові слова: кібербезпека, кібератака, алгебраїчне моделювання, враз-
ливості коду, інсерційне моделювання, формальна верифікація, нечітке
тестування, нейронні мережі, машинне навчання, алгебра поведінок.
Результати війни в кіберпросторі є визначальними для загаль-
ного розвитку бойових дій у сучасних протистояннях. Кібер-
напад та кібервторгнення можуть завдати величезних збитків
або спричинити значні руйнування критичної інформаційної
інфраструктури на будь-якому рівні. Це стосується насамперед
кібератак на об’єкти енергетичної, транспортної та військової
інфраструктури, під час яких виводяться з ладу об’єкти управ-
ління постачанням, керування логістикою тощо.
Такі атаки ми спостерігаємо протягом усього періоду проти-
стояння з РФ, починаючи з 2014 р. Всі пам’ятають, як напри-
кінці 2015 р. сталися кібератаки на інфраструктурні об’єкти
енергетичної галузі на Прикарпатті та у Львівській області,
внаслідок яких цілі регіони залишилися без електропостачання
і знадобився певний час для відновлення мережі. В ніч широ-
комасштабного воєнного вторгнення РФ на територію України
24 лютого 2022 р. було здійснено масовану атаку на українські
мережі, але завдяки завчасно вжитим заходам з кіберзахисту
її наслідки вдалося мінімізувати. Останнім часом відбувалися
тривалі атаки на банківські установи, які все ж завдали шкоди,
однак унаслідок швидкого реагування систем кіберзахисту ці
ЛЕТИЧЕВСЬКИЙ
Олександр Олександрович —
доктор фізико-математичних
наук, завідувач відділу теорії
цифрових автоматів Інституту
кібернетики імені В.М. Глушкова
НАН України
doi: https://doi.org/10.15407/visn2023.02.012СТАТТІ СТАТТІ
ТА ОГЛЯДИТА ОГЛЯДИ
ISSN 1027-3239. Вісн. НАН України, 2023, № 2 13
СТАТТІ ТА ОГЛЯДИ
збитки виявилися не такими відчутними, як
могло б бути. Спостерігалися також атаки на
сайти державних установ та органів централь-
ної влади, в результаті чого зловмисники роз-
міщували на них провокаційні оголошення або
виводили їх з ладу за допомогою так званих
DDoS-атак.
Основні засоби кібернападу пов’язані з ви-
користанням шкідливого коду та спробами
вторгнення за допомогою вразливостей сис-
тем. Шкідливий код найчастіше потрапляє в
систему внаслідок порушення користувача-
ми кібергігієни — перехід на небезпечні сай-
ти, відкриття вкладень у підозрілих листах з
електронної пошти, а тому ступінь успішності
вторгнення визначається якістю системи за-
хисту.
У кібербезпеці можна виділити п’ять ключо-
вих активностей для протистояння вторгненню:
1) виявлення атаки, тобто фіксація факту
аномальної роботи мережі;
2) ідентифікація атаки, що полягає в точній
класифікації її різновиду;
3) захист від атаки, що охоплює послідов-
ність кроків, спрямованих на протидію втор-
гненню;
4) відповідь у разі ідентифікації нападника;
5) ліквідація наслідків атаки та відновлення
інформації з використанням алгоритмів від-
новлення та збереження даних.
Кожна з цих активностей є окремим напря-
мом в інженерних та прикладних науках. Крім
того, у процесі підготовки до можливих атак
слід забезпечити відповіді на два ключових за-
питання:
1) наскільки система стійка до вторгнень і
здатна до протидії кібератакам?
2) яка якість системи відносно наявності
вразливостей у програмному чи апаратному
забезпеченні?
Якщо перше питання стосується ефектив-
ності системи виявлення вторгнень у процесі
взаємодії з атаками, то друге — якості тесту-
вання та верифікації системи на етапі її ство-
рення.
У сучасних технологіях кібербезпеки ак-
тивно використовують як інженерні методи,
так і останні досягнення науки, такі як методи
штучного інтелекту та формальні алгебраїч-
ні методи. Понад 5 років тому в Інституті кі-
бернетики імені В.М. Глушкова НАН України
було започатковано дослідження, спрямовані
на підвищення ефективності засобів кібер-
захисту з використанням новітніх наукових
здобутків у цих напрямах. Зокрема, активно
впроваджується алгебраїчний підхід, що від-
криває можливості для найбільш точного ана-
лізу моделей програмних та апаратних систем
з метою визначення стійкості до вторгнень та
відсутності вразливої поведінки. Іншим під-
ходом є використання нейронних мереж гли-
бокого навчання, що вбудовуються в систему
виявлення вторгнень (Intrusion Detection Sys-
tem — IDS) [1].
Сучасні системи виявлення вторгнень.
Вторгнення можна визначити як будь-який
вид несанкціонованої діяльності, яка завдає
шкоди інформаційній системі. Сучасні систе-
ми виявлення вторгнень забезпечують істотне
поліпшення функцій захисту порівняно з по-
передніми засобами кібербезпеки, такими як
мережевий екран, віртуальна приватна мережа
та шифрування сповіщень. Такі системи вико-
нують дві головних функції. По-перше, систе-
ма виявляє небажану поведінку у вигляді ано-
малії, навіть якщо це може не бути справжнім
вторгненням (хибне виявлення). По-друге,
система збирає дані, аналізує дії в мережевих
протоколах та порівнює їх з так званими сиг-
натурами, що містять дані про можливі атаки.
Відповідно до цих двох функцій розрізняють
два основні типи систем виявлення, хоча на-
справді є багато їх різновидів, які поєднують у
собі ці дві функції.
Сигнатури відомих атак існують у базі да-
них системи виявлення в різних специфіка-
ціях, наприклад у формі правил над параме-
трами протоколу у вигляді if-then-else. Якщо
правило, яке міститься в базі даних сигнатур і
кваліфікується як певний вид вторгнення, ви-
конується для параметрів протоколу, то спра-
цьовує сигнал тривоги.
Є певні труднощі з виявленням вторгнень,
що проявляються впродовж деякого проміжку
14 ISSN 1027-3239. Visn. Nac. Acad. Nauk Ukr. 2023. (2)
СТАТТІ ТА ОГЛЯДИ
часу і містять ознаки вторгнення в різних па-
кетах трафіку протоколу. Для подолання цих
ускладнень деякі системи використовують
представлення сигнатур скінченних автоматів,
зокрема як це реалізовано в розробках Мічи-
ганського університету [2]. У Національному
університеті Тайваню в системах застосовують
шаблони мовних рядків чи семантичні умови
[3]. Однак вторгнення, розтягнуті в часі, вияв-
ляються не завжди.
Вважається, що порівняння з сигнатурами
для таких систем виявлення вторгнень є до-
сить дієвим методом, який дає непогані ре-
зультати у виявленні вже відомих атак, але в
разі атак нульового дня, тобто невідомих рані-
ше, вони безсилі.
Системи на основі виявлення аномалій мо-
жуть зафіксувати такі невідомі раніше втор-
гнення, як відхилення від нормальної пове-
дінки мережевої активності. Серед цих систем
виділяють кілька різновидів.
Системи виявлення на основі статистики
створюють модель розподілу подій для нор-
мальної поведінки, потім виявляють події з
низькою ймовірністю та позначають їх як по-
тенційні вторгнення.
Системи, засновані на знаннях, використову-
ють факти про нормальну діяльність мережево-
го протоколу і будь-яке відхилення класифіку-
ють як вторгнення. Недоліком цього методу є
те, що зібрати всі факти про нормальну роботу
системи дуже складно, навіть з використанням
формалізації роботи протоколу за допомогою
формальних конструкцій. Такими конструкці-
ями можуть бути скінченні автомати, що роз-
глянуто в роботах британського Університету
Лестера [4] та Університету Тулузи [5].
Більш сучасні системи на основі виявлен-
ня аномалій найчастіше використовують ма-
шинне навчання. Вони демонструють кращу
точність як на відомих атаках, так і на втор-
гненнях нульового дня. Крім того, такі систе-
ми в разі тренування їх на правильних даних
можуть класифікувати відомі атаки, хоча при
цьому виникають інші проблеми.
Машинне навчання — це процес отриман-
ня знань з великої кількості даних з метою
розпізнавання чи прогнозування поведінки.
Знан ня формуються у вигляді моделі класифі-
кації, що забезпечується певним алгоритмом
генерації. Для побудови моделей класифікації
поведінки мережі використовують алгорит-
ми кластеризації, генерації нейронних мереж,
генетичні алгоритми, дерева рішень та метод
k-найближчих сусідів.
На сьогодні нейронні мережі є основною
моделлю в системах виявлення вторгнень. Ви-
користання нейронних мереж детальніше роз-
глянемо в наступних розділах.
Виявлення вразливостей у програмних та
апаратних системах. Вразливості програмно-
го забезпечення є основною ціллю атак, які мо-
жуть завдати шкоди роботі та репутації міль-
йонів систем у всьому світі, а також призвести
до величезних фінансових втрат. Тому вияв-
лення вразливостей як у програмному, так і в
апаратному забезпеченні є одним з головних
завдань кібербезпеки.
Засоби виявлення вразливостей уже давно
застосовують у системах розроблення про-
грам, а також як окремі системи виявлення.
Виявлення вразливостей розглядають як на
рівні початкового коду в мові програмування
високого рівня, так і на рівні бінарного коду.
Методам виявлення вразливостей присвячено
досить велику кількість публікацій, зокрема
можна згадати огляди дослідників Універси-
тету Аделаїди (Австралія) [6] або Уханського
університету (Китай) [7].
Системи розроблення програм пропонують
виявлення вразливостей на основі помилко-
вих фрагментів коду, що дає можливість по-
будувати так званий експлойт (exploit). Екс-
плойт —це сценарій поведінки та відповідні
дані, використовуючи які зловмисник може
здійснити вторгнення з метою знищення сис-
теми, порушення ідентифікації або перехо-
плення керування системою.
Основні недоліки використання фрагментів
програмного коду полягають у тому, що цей
метод не гарантує відсутності інших вразли-
востей, тобто вразливість може існувати, на-
приклад, у бібліотеках, які використовує про-
грама, і аналіз на рівні початкового коду її не
ISSN 1027-3239. Вісн. НАН України, 2023, № 2 15
СТАТТІ ТА ОГЛЯДИ
виявить. Зокрема, це стосується некоректного
використання бібліотек. Крім того, виявлення
вразливих фрагментів коду може бути хибним,
тобто знайдена вразливість ніколи не спрацює
при виконанні програм.
Іншим, більш розвиненим засобом пред-
ставлення вразливостей є їх формальні шабло-
ни. При цьому застосовують методи моделю-
вання коду, хоча й вважається, що ці методи
дають досить низьке покриття.
Обидва підходи використовують системи
виявлення вразливостей у бінарному коді. У
цьому разі постає вже проблема адекватного
представлення вразливостей на рівні бінарно-
го коду, що виходить з мови програмування,
якою написано програму.
У разі виявлення вразливостей важливими
є подальші дії. Якщо на рівні програмування
мовами високого рівня пропонується заміню-
вати помилкові фрагменти більш безпечними,
то на рівні бінарного коду розглядається за-
стосування технології автоматичного виправ-
лення (patching). З одного боку, автоматичне
виправлення може призвести до непередбачу-
ваної поведінки програми, але з іншого — воно
може бути коректним, якщо виправлення ек-
вівалентне, тобто не змінює поведінку про-
грами, що має бути перевірено формальними
методами. Так, на змаганнях з кібербезпеки,
організованих Агентством передових оборон-
них дослідницьких проєктів США (DARPA)
[8], такі виправлення проводилися в контексті
символьних обчислень.
Зі зростанням популярності програмованих
плат пошук вразливостей в апаратних специ-
фікаціях набув нового сенсу. Такі компанії, як
Cadence, Xilinx, Synopsis, значну увагу при-
діляли моделюванню специфікацій для мов
електронного дизайну, зокрема VHDL та Sys-
tem Verilog. При цьому перевірялися такі влас-
тивості, як відсутність перегонів сигналів, пе-
реповнення буферу тощо.
При верифікації мов електронного дизайну
виникали проблеми, пов’язані з відсутністю
вразливостей після перенесення коду на ниж-
чий рівень, яке виконує відповідний компіля-
тор. Однак при трансляції коду в набір команд
інтегральних плат та оптимізації деякі враз-
ливості могли з’явитися знову. Тому проблема
еквівалентності бінарного та початкового коду
є важливою для виробників апаратного забез-
печення.
Усі розглянуті методи добре працюють для
виявлення вразливостей, які відомі і занесені
у відповідні світові бази даних вразливостей
CVE/CWE. Для пошуку невідомих вразли-
востей використовують техніку, яку назива-
ють нечітке тестування. Вперше її було засто-
совано в проєкті SAGE [9], започаткованому
компанією Microsoft для виявлення помилок в
операційній системі Windows. У цьому проєк-
ті генератор створював вхідні дані, які вважа-
лися неочікуваними, наприклад максимально
великі числа чи рядки символів дуже великої
довжини. Дані подавали на вхід програми, що
тестувалася, та очікували результат, що мав пе-
ревірити реакцію системи на аномальні вхідні
дані. Це тестування проводили цілодобово, і
зрештою вдалося виявити кілька десятків не-
відомих вразливостей, які було занесено в базу
даних вразливостей CVE. Інша система нечіт-
кого тестування AFL [10], розроблена компа-
нією Google, крім того, що генерувала неочі-
кувані дані, ще й стежила за покриттям рядків
коду і, відповідно, створювала тести.
Алгебраїчний підхід у завданнях кіберза-
хисту. Більш надійний спосіб виявлення враз-
ливостей стало можливим реалізувати завдяки
використанню формальних методів. Уперше
підтвердження цьому було отримано під час
змагання з виявлення вразливостей та проти-
дії кібератакам, організованого у 2016 р. агент-
ством DARPA [8], де перші три медалісти ви-
користовували виключно алгебраїчний підхід.
Потужна алгебраїчна школа В.М. Глуш-
кова, яка продовжує розвиватися в Інституті
кібернетики, та здобутки в розвитку методів
автоматичного доведення теорем створили пе-
редумови для появи алгебраїчного підходу у
вирішенні практичних завдань. Так, було ство-
рено систему алгебраїчного програмування [11]
та теорію взаємодії агентів і середовищ [12]
(спільно з британським науковцем Д. Гільбер-
том). Результатом подальшого розвитку цих
16 ISSN 1027-3239. Visn. Nac. Acad. Nauk Ukr. 2023. (2)
СТАТТІ ТА ОГЛЯДИ
досліджень було створення теорії інсерційного
моделювання [13] та алгебри поведінок [14],
які стали узагальненням теорії автоматів і тео-
рії транзиційних систем. Алгебра поведінок ви-
явилася досить розвиненим математичним апа-
ратом для формалізації як математичних, так і
природних об’єктів, на моделях яких було роз-
роблено велику кількість формальних методів.
З точки зору кібербезпеки алгебра пове-
дінок дала можливість описувати поведінку
агентів у мережевому середовищі та вивчати
їхні властивості. Для цього було розроблено
технологію алгебраїчних сигнатур на рівні бі-
нарного коду програмної системи.
Алгебраїчна сигнатура — це поведінка ата-
кера чи вразлива поведінка програми, що
представлена за допомогою формули алгебри
поведінок. Відмінність такого представлення
від традиційних сигнатур вірусів полягає у
формалізації поведінки на більш високому рів-
ні абстракції. В сигнатурах вірусів містилися
конкретні значення байтів зловмисного коду,
за якими віруси розпізнавалися антивірусни-
ми програмами.
Нижче наведено приклад фрагменту такої
сигнатури:
B = X; Y; a3,Y = a1.Z;a1;(Y + a3.Y),
Z = G;a2;F,
a1 = (id == rdtscp) ->1,
a2 = (id == mov && dest ==
== Mem(CASH)) ->1,
a3 = (id == mov && dest ==
==ADDR(EAX)) -> 1.
Зазначені формули представляють рівнян-
ня алгебри поведінок. Цю поведінку можна
визначити так: «Один із процесів вимірює в
циклі час доступу до даних у кеш-пам’яті та
використовує непрямий доступ до комірок
основної пам’яті». Така поведінка характерна
для атаки Meltdown.
Один із різновидів вразливості «пошко-
дження стеку» можна представити у вигляді
поведінкових рівнянь:
StackVulnerability = AllocateStack; Write-
Stack,
WriteStack = (mov(l, Memory(s),
GeneralRegister).Delta + !mov(l,
Memory(s),GeneralRegister)).WriteStack,
AllocateStack = push(1, ebp).mov(2, ebp,
esp).sub(3, esp, Numeric),
mov(l, Memory(s), GeneralRegister) =
=Dirty(GeneralRegister) & (s <= BP) -> 1,
mov(m, Memory(s), GeneralRegister) =
=!(m = l) & Dirty(GeneralRegister) ->
Dirty(s),
mov(n, Memory(s), GeneralRegister) =
=!(n = l) & (Dirty(s) &
!Dirty(GeneralRegister)) -> !Dirty(s)
mov(m, GeneralRegister, Memory(s)) =
=!(m = l) & Dirty(s) ->
Dirty(GeneralRegister),
mov(n, GeneralRegister, Memory(s))=
=!(n = l) & (!Dirty(s) &
Dirty(GeneralRegister)) ->
!Dirty(GeneralRegister).
Формулою поведінкових рівнянь можна
описувати й інші вразливості, які зафіксовані у
світових базах даних вразливостей CVE/CWE.
База даних CVE (Common Vulnerabilities
and Exposures) містить усі відомі на сьогод-
ні вразливості і точну інформацію про кожну
з них: продукт, у якому її виявлено, ступінь
впливу на функціонування програми, тип
вразливості та інші дані.
База даних CWE (Common Weakness Enu-
meration) містить категорії вразливостей.
Якщо CVE — це список відомих на сьогодні
проблем, то CWE класифікує ці проблеми і дає
більш узагальнений їх опис.
Ці алгебраїчні сигнатури вразливостей є
описом верхнього рівня і покривають множи-
ни сценаріїв за різних вхідних даних програм.
Вразливості можна розпізнати відповідними
методами виявлення, створеними в рамках
алгебри поведінок. Аналогічно можуть бути
задані формули атак, що покривають множи-
ну поведінок зловмисної програми, які також
можна розпізнати в підозрілому коді.
Для виявлення поведінок в Інституті кі-
бернетики імені В.М. Глушкова НАН України
ISSN 1027-3239. Вісн. НАН України, 2023, № 2 17
СТАТТІ ТА ОГЛЯДИ
спільно з Херсонським державним універси-
тетом було створено програму алгебраїчного
зіставлення [15]. Щоб здійснити таке розпіз-
нання у програмному або апаратному забез-
печенні, необхідно було провести сканування
його бінарного коду чи схеми. Далі сканований
бінарний код транслюється в модель алгебри
поведінок, яка зіставляється з наявними алге-
браїчними сигнатурами вразливих та зловмис-
них поведінок.
Програма алгебраїчного зіставлення вико-
ристовує технологію автоматичного доведен-
ня теорем, символьне моделювання та методи
генерації інваріантів. При цьому використову-
ють сучасні машини доведення, такі як Micro-
soft Z3 [16] та системи-розв’язувачі.
Головною властивістю алгебраїчного під-
ходу, на відміну від тестування та інших тех-
нологій виявлення вразливостей, є те, що ме-
тод надає доказове підтвердження відсутності
вразливостей, а в разі їх наявності представляє
сценарій, який приводить до спрацювання
вразливості. Такий сценарій називають екс-
плойтом (exploit).
З іншого боку, метод алгебраїчного зі-
ставлення використовує обчислення високої
складності та алгоритми, що є нерозв’язними
в рамках деяких теорій. Як наслідок, може ви-
никнути комбінаторний вибух, що призведе до
неможливості довести відсутність вразливості.
Сучасна наука має досить велику кількість
методів, спрямованих на боротьбу з комбіна-
торним вибухом, наприклад апроксимаційний
підхід. Оскільки критичним для застосування
алгебраїчного зіставлення є час, використан-
ня цього методу найбільш ефективне в період
розроблення системи, на етапі підготовки її до
запуску, а також під час аналізу підозрілих про-
цесів у мережі чи на настільному комп’ютері.
В іншому разі метод може працювати як
своєрідний алгебраїчний антивірус. У цьому
випадку код підозрілої програми сканується,
транслюється в рівняння алгебри поведінок та
аналізується алгебраїчним зіставленням з ба-
зою даних алгебраїчних сигнатур. При цьому,
що важливо, немає потреби запускати підозрі-
лу програму, на відміну від так званих «пісоч-
ниць» [17], де підозрілі програми запускають в
ізольованому середовищі.
Ще однією перевагою алгебраїчних сигна-
тур є те, що вони спроможні частково проти-
стояти такому явищу, як змінюваність атак.
Оскільки атака описана на верхньому рівні,
вона покриває множину дій хакера. Тому, щоб
обійти захист алгебраїчного антивірусу, по-
трібно створити принципово нову атаку, яка не
збігається з уже відомими алгебраїчними сиг-
натурами.
З метою підвищення ефективності аналізу
вразливостей у великих системах в Інститу-
ті кібернетики ведуться роботи з розгортання
паралельної версії системи алгебраїчного зі-
ставлення на суперкомп’ютері СКІТ-4. Це дає
змогу в сотні разів прискорити виконання ана-
лізу вразливостей для великих систем, а також
для великої кількості аналізованих вразливос-
тей. Для доступу в таку систему достатньо на
місці просканувати програмний код спеціаль-
ною програмою, яка транслює його в модель
алгебри поведінок, і надіслати для аналізу на
СКІТ-4. Результатом аналізу буде список враз-
ливостей, що знайдені в системі, та сценарії
вторгнень, можливих у рамках цієї системи.
Цей сервіс планується використовувати для
кіберзахисту об’єктів критичної інфраструк-
тури.
Слід згадати й інші роботи, що проводяться
в Інституті кібернетики з використанням алге-
браїчної технології. Серед них — дослідження
протоколів Інтернету речей, зокрема «розум-
ного будинку», на вразливості [18]. Одна з
поширених вразливостей — це перехоплення
контролю за сповіщенням. Завдяки вразли-
вості у запитах HTTP-протоколу зловмисник
може переспрямовувати листи від визначених
відправників через свою адресу. Для встанов-
лення таких вразливостей необхідно форма-
лізувати протокол та визначити властивості
безпеки, у цьому випадку — конфіденційності
листування. Формальними методами в алгебрі
поведінок, зокрема символьним моделюван-
ням, можна визначити порушення властивос-
ті безпеки та згенерувати приклад, що веде до
цього порушення.
18 ISSN 1027-3239. Visn. Nac. Acad. Nauk Ukr. 2023. (2)
СТАТТІ ТА ОГЛЯДИ
З використанням рівнянь алгебри поведі-
нок проводяться роботи зі створення системи
нечіткого тестування [19]. У цій системі, крім
керування покриттям бінарного коду, аналізу-
ються потенційні місця, де можуть бути враз-
ливості, та генеруються відповідні тести, за-
вдяки чому цей метод є більш керованим, ніж
відома система AFL.
Нейронні мережі та виявлення вторгнень.
Алгебраїчні методи застосовують для перевір-
ки властивостей пошуку вразливостей систе-
ми, яка може зазнати вторгнення. При цьому
складність обчислень може бути досить висо-
кою і перевірка потребуватиме багато часу. Од-
нак при виявленні атак у процесі функціону-
вання системи час є критичним, і алгебраїчний
підхід може виявитися неефективним.
Для швидкого виявлення атаки в мереже-
вому середовищі використовують нейронні
мережі глибокого навчання (deep neuron net-
works), які здатні класифікувати поведінку
мережевого протоколу при вторгненні як ано-
мальну. Більш розвинені нейронні системи ви-
значають тип атаки згідно з її моделлю класи-
фікації. Як уже було заначено вище, нейронні
мережі використовують у системах виявлення
вторгнень (IDS).
Нейроні системи будують за допомогою
машинного навчання або тренування на пев-
них наборах даних, які збирають у процесі
спостереження поведінки мережевих прото-
колів. Найпростіший і найшвидший спосіб
виявлення атак у реальному часі — це визна-
чення аномальної поведінки, яка не відповідає
нормальним діям протоколу. Однак при цьому
можливі хибні виявлення, оскільки відхилен-
ня від нормальної поведінки можуть виникати
не лише через вторгнення в систему, а й уна-
слідок неправильного користування ресур-
сами, помилок користувачів або програм, що
функціонують у середовищі. Тому перевагу
віддають системам, які спроможні класифі-
кувати причини аномалії. Проте такі системи
не зможуть визначити атаку, для якої не було
створено тренувального набору.
Тому значну увагу приділяють наборам да-
них, призначених для тренування. На сьогодні
є кілька відкритих наборів даних, що містять
поведінку мережевих протоколів, однак з їх
використанням виникають певні труднощі.
Однією з основних проблем є те, що кількість
даних недостатня для точної класифікації пев-
них атак. Дані можуть бути надлишковими
або зашумленими. При цьому може виникати
дисбаланс у розподілі класів моделі. Оскільки
критичним є час класифікації поведінки, роз-
глядалися нейронні мережі глибокого навчан-
ня з мінімальною кількістю шарів для скоро-
чення обчислень. Також для підвищення ефек-
тивності використовували інші типи мереж:
згорткові та рекурентні нейронні мережі.
Задача генерації моделі класифікації є до-
сить нетривіальною для практичного застосу-
вання, оскільки відсутність наборів тренуваль-
них даних в умовах постійних швидких змін
використовуваних хакерами технологій є ва-
гомою проблемою. Сучасні хакери розуміють
природу моделі класифікації відхилень і на-
магаються замаскувати свої дії під нормальну
поведінку в протоколі. У зв’язку з цим постає
проблема подолання такого ухиляння хакерів.
Як в ухилянні від виявлення антивірусними
програмами просто за допомогою перестанов-
ки кількох байтів і уникання в такий спосіб зі-
ставлення з конкретними сигнатурами вірусів,
так і у протидії системам виявлення вторгнень,
хакер використовує у своїх діях еквівалентні
перетворення, щоб вони сприймалися як нор-
мальна поведінка. Такими перетвореннями
можуть бути перестановка компонент прове-
дення атаки, вставлення додаткових символів
розділення, використання альтернативних ко-
дувань, нестандартних портів та безліч інших
хитрощів, які унеможливлюють класифікацію
поведінки мережевого протоколу як аномаль-
ної. На сьогодні ця проблема є досить мало до-
слідженою.
Одним зі шляхів вирішення зазначеної про-
блеми є створення набору з розширених даних,
який охоплює можливі відомі перетворення, що
використовують хакери. Доповнення таким на-
бором приводить до більшої надійності системи
та забезпечує можливість виявляти вторгнення
з використанням хакерського ухиляння.
ISSN 1027-3239. Вісн. НАН України, 2023, № 2 19
СТАТТІ ТА ОГЛЯДИ
Інститут кібернетики співпрацює з един-
бурзьким Університетом Геріот-Ватт у запо-
чаткованому проєкті верифікації нейронних
мереж з метою визначення їх ефективності та
стійкості до ухиляння.
Натреновану нейронну мережу перевіряють
на можливість неправильної класифікації, що
виражається формулою алгебри поведінок.
При цьому застосовують алгебраїчне моделю-
вання нейронної мережі для виявлення обме-
жень тренувальних наборів, за яких можлива
неправильна класифікація. Планується тес-
тове застосування більш надійних нейронних
мереж такого типу насамперед на протоколах
Інтернету речей та блокчейнового мережевого
середовища.
Ще одним завданням з використанням ней-
ронних мереж є виявлення так званих ботне-
тів, які створюють загрозу DDoS-атак.
Атака DDoS є одним з найпоширеніших
методів виведення з ладу вебсайтів та сер-
верів. Атаці передує період встановлення на
комп’ютерних системах зловмисного коду,
який активізується з метою одночасного запи-
ту до інтерфейсу системи великої кількості ко-
ристувачів, що створює надмірне навантажен-
ня на систему, після чого вона виходить з ладу.
За допомогою аналізу мережевого прото-
колу нейронна мережа класифікує особливу
поведінку, притаманну ботнетам, які активі-
зуються або встановлюються. Своєчасне ви-
явлення відхилень у поведінці протоколу від
заражених комп’ютерних ресурсів дасть змогу
нейтралізувати DDoS-атаку. В Інституті кібер-
нетики з цього напряму проводять відповідні
дослідження.
Висновки. Отже, використання методів
штучного інтелекту, таких як машинне навчан-
ня та алгебраїчні дедуктивні методи, є більш
ефективним у вирішенні проблем кібербезпе-
ки, ніж інженерні рішення, які ґрунтуються на
вірусних і конкретних поведінкових сигнату-
рах та карантинних «пісочницях».
Стрімке зростання якості і кількості ма-
шин автоматичного доведення та систем-
розв’язувачів разом зі збільшенням числа
різновидів нейронних мереж дає можливість
створити ефективні системи виявлення втор-
гнень та системи аналізу стійкості програмного
й апаратного забезпечення. Підвищення швид-
кодії комп’ютерних систем та використання
паралельних обчислень може пришвидшити
наступний етап створення систем виявлення
вторгнень у реальному часі саме на основі алге-
браїчних методів, які відкривають більші мож-
ливості як для ширшої класифікації, так і для
вищої точності виявлень. Одним з проміжних
етапів може бути комбіноване використання
нейронних мереж та алгебраїчного зіставлення.
Поповнення баз даних алгебраїчних сиг-
натур є одним із завдань у комунікації різних
груп кібербезпеки. Обмін тренувальними на-
борами даних разом із доповненням новими
випадками вторгнень створить постійну скла-
дову, яка підвищуватиме спроможність та на-
дійність нейронних мереж у кібербезпеці.
REFERENCES
1. Khraisat A., Gonda I., Vamplew P., Kamruzzaman J. Survey of intrusion detection systems: techniques, datasets and
challenges. Cybersecur. 2019. 2: 20. https://doi.org/10.1186/s42400-019-0038-7
2. Meiners C.R., Patel J., Norige E., Torng E., Liu A.X. Fast regular expression matching using small TCAMs for network
intrusion detection and prevention systems. In: USENIX Security’10: Proc. 19th USENIX Conf. on Security. Washing-
ton, DC, 2010.
3. Lin C., Lin Y.-D., Lai Y.-C. A hybrid algorithm of backward hashing and automaton tracking for virus scanning. IEEE
Trans. Comput. 2011. 60(4): 594—601. https://doi.org/10.1109/TC.2010.95
4. Walkinshaw N., Taylor R., Derrick J. Inferring extended finite state machine models from software executions. Empiri-
cal Software Engineering. 2016. 21(3): 811—853. https://doi.org/10.1007/s10664-015-9367-7
5. Studnia I., Alata E., Nicomette V., Kaâniche M., Laarouchi Y. A language-based intrusion detection approach for au-
tomotive embedded networks. Int. J. Embed Syst. 2018. 10(1): 1—12. https://doi.org/10.1504/IJES.2018.089430
20 ISSN 1027-3239. Visn. Nac. Acad. Nauk Ukr. 2023. (2)
СТАТТІ ТА ОГЛЯДИ
6. Le T.H.M., Chen H., Ali Babar M. A Survey on Data-driven Software Vulnerability Assessment and Prioritization.
ACM Computing Surveys. 2023. 55(5): 1—39. https://doi.org/10.1145/3529757
7. Shen Z., Chen S. A Survey of Automatic Software Vulnerability Detection, Program Repair, and Defect Prediction
Techniques. Security and Communication Networks. 2020. 2020: 8858010. https://doi.org/10.1155/2020/8858010
8. Cyber Grand Challenge. DARPA. https://www.darpa.mil/program/cyber-grand-challenge
9. Godefroid P., Levin M.Y., Molnar D. SAGE: Whitebox Fuzzing for Security Testing. Queue. 2012. 10(1): 20—27.
https://doi.org/10.1145/2090147.2094081
10. American Fuzzy Lop. https://lcamtuf.coredump.cx/afl/
11. Kapitonova J., Letichevsky A. Algebraic programming in the APS system. In: ISSAC 90: Proc. Int. Symp. on Symbolic
and Algebraic Computation. ACM, New York, 1990. P. 68—75. https://doi.org/10.1145/96877.96896
12. Gilbert D., Letichevsky A. A model for interaction of agents and environments. In: Bert D., Choppy C. (eds). Recent
Trends in Algebraic Development Techniques. LNCS 1827. Cham, Switzerland: Springer-Verlag, 1999. P. 311—328.
https://doi.org/10.1007/978-3-540-44616-3_18
13. Letichevsky A., Letychevskyi O., Peschanenko V., Weigert T. Insertion modeling and symbolic verification of large
systems. In: Fischer J., Scheidgen M., Schieferdecker I., Reed R. (eds). SDL 2015: Model-Driven Engineering for Smart
Cities. Cham, Switzerland: Springer International Publishing, 2015. P. 3—18. https://doi.org/10.1007/978-3-319-
24912-4_1
14. Letichevsky A. Algebra of behavior transformations and its applications. In: Kudryavtsev V.B., Rosenberg I.G. (eds).
Structural Theory of Automata, Semigroups, and Universal Algebra. NATO Science Series II. Mathematics, Physics
and Chemistry. Vol. 207. Springer, 2005. P. 241—272. https://doi.org/10.1007/1-4020-3817-8_10
15. Letychevskyi O. Two-level algebraic method for detection of vulnerabilities in binary code. In: 10th IEEE Int. Conf. on
Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), 2019. https://
doi.org/10.1109/IDAACS.2019.8924255
16. Z3 decision procedure. https://github.com/Z3Prover/z3
17. Pulapaka H. Windows sandbox. Windows OS Platform Blog. https://techcommunity.microsoft.com/t5/windows-
kernel-internals-blog/windows-sandbox/ba-p/301849
18. Horbatyuk V.O., Horbatyuk S.O. Methods for Checking the Resistance to http Attacks on a Smart Home by Alge-
braic Comparison. Control Systems and Computers. 2022. (4):13—23. https://doi.org/10.15407/csc.2022.04.013
19. Letychevskyi O.O., Peschanenko V.S., Hryniuk Y.V. Fuzz Testing Technique and its Use in Cybersecurity Tasks.
Cybernetics and Systems Analysis. 2022. 58(1): 157—163. https://doi.org/10.1007/s10559-022-00445-2
Oleksandr О. Letychevskyi
V.M. Glushkov Institute of Cybernetics of the National Academy of Sciences of Ukraine, Kyiv, Ukraine
ORCID: https://orcid.org/0000-0003-0856-9771
MODERN SCIENTIFIC PROBLEMS OF CYBER SECURITY
The article contains an overview of modern problems in cyber security and analyzes the role of scientific research in solv-
ing them. In particular, two types of research are distinguished - with the use of an algebraic approach and with the use
of neural networks, which belongs to the methods of Artificial Intelligence. Algebraic methods are based on usage of au-
tomatic theorem proving and solver programs. These studies are conducted to solve two main problems of cyber security.
The first problem concerns the detection of vulnerabilities in software and hardware systems and the assessment of their
resistance to intrusions. The second problem is the detection of malicious intrusions in real time. The results of research
that help create reliable protection against cyberattacks, which is important in modern circumstances for the protection
of systems of critical infrastructure objects, are highlighted.
Keywords: cyber security, cyber attack, algebraic modeling, code vulnerabilities, insertion modeling, formal verification,
fuzzy testing, neural networks, machine learning, algebra of behaviors.
Cite this article: Letychevskyi O.О. Modern scientific problems of cyber security. Visn. Nac. Akad. Nauk Ukr. 2023. (2):
12—20. https://doi.org/10.15407/visn2023.02.012
|
| id | nasplib_isofts_kiev_ua-123456789-192906 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 0372-6436 |
| language | Ukrainian |
| last_indexed | 2025-12-07T18:07:20Z |
| publishDate | 2023 |
| publisher | Видавничий дім "Академперіодика" НАН України |
| record_format | dspace |
| spelling | Летичевський, О.О. 2023-07-20T17:52:18Z 2023-07-20T17:52:18Z 2023 Сучасні наукові проблеми кібербезпеки / О.О. Летичевський // Вісник Національної академії наук України. — 2023. — № 2. — С. 12-20. — Бібліогр.: 19 назв. — укр. 0372-6436 DOI: doi.org/10.15407/visn2023.02.012 https://nasplib.isofts.kiev.ua/handle/123456789/192906 У статті наведено огляд сучасних проблем кібербезпеки та проаналізовано роль наукових досліджень у їх вирішенні. Зокрема, виокремлено два види
 досліджень — із застосуванням алгебраїчного підходу та з використанням
 нейронних мереж, що належать до методів штучного інтелекту. Алгебраїчні методи ґрунтуються на використанні автоматичного доведення
 теорем та програм-розв’язувачів і спрямовані на вирішення двох основних
 проблем кібербезпеки: перша — виявлення вразливостей у програмних і
 апаратних системах та оцінка їх стійкості до вторгнень; друга — виявлення вторгнень зловмисників у реальному часі. Наведено результати досліджень, які сприяють створенню надійного захисту систем від кібератак, зокрема систем об’єктів критичної інфраструктури, що на сьогодні є особливо актуальним завданням. The article contains an overview of modern problems in cyber security and analyzes the role of scientific research in solving
 them. In particular, two types of research are distinguished - with the use of an algebraic approach and with the use
 of neural networks, which belongs to the methods of Artificial Intelligence. Algebraic methods are based on usage of automatic
 theorem proving and solver programs. These studies are conducted to solve two main problems of cyber security.
 The first problem concerns the detection of vulnerabilities in software and hardware systems and the assessment of their
 resistance to intrusions. The second problem is the detection of malicious intrusions in real time. The results of research
 that help create reliable protection against cyberattacks, which is important in modern circumstances for the protection
 of systems of critical infrastructure objects, are highlighted. uk Видавничий дім "Академперіодика" НАН України Вісник НАН України Статті та огляди Сучасні наукові проблеми кібербезпеки Modern scientific problems of cyber security Article published earlier |
| spellingShingle | Сучасні наукові проблеми кібербезпеки Летичевський, О.О. Статті та огляди |
| title | Сучасні наукові проблеми кібербезпеки |
| title_alt | Modern scientific problems of cyber security |
| title_full | Сучасні наукові проблеми кібербезпеки |
| title_fullStr | Сучасні наукові проблеми кібербезпеки |
| title_full_unstemmed | Сучасні наукові проблеми кібербезпеки |
| title_short | Сучасні наукові проблеми кібербезпеки |
| title_sort | сучасні наукові проблеми кібербезпеки |
| topic | Статті та огляди |
| topic_facet | Статті та огляди |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/192906 |
| work_keys_str_mv | AT letičevsʹkiioo sučasnínaukovíproblemikíberbezpeki AT letičevsʹkiioo modernscientificproblemsofcybersecurity |