Подпишитесь на DeepL Pro и переводите документы большего объема

1.

Подпишитесь на DeepL Pro и переводите документы большего объема.
Подробнее на www.DeepL.com/pro.
Посмотрите обсуждения, статистику и профили авторов этой публикации на: https://www.researchgate.net/publication/390897622
Поиск ассоциативных правил и модели на основе графиков для раннего обнаружения фишинговых атак
"человек посередине" на базе Wi-Fi
Статья - апрель 2025 года
ЦИТАТЫ
ЧИТАТЬ
0
10
1 автор:
Арему Олуваферанми
Технологический университет Ладоке Акинтола
60 ПУБЛИКАЦИЙ 43 ЦИТИРОВАНИЯ
ПОСМОТРЕТЬ
ПРОФИЛЬ
Все содержимое этой страницы было загружено Aremu Oluwaferanmi 18 апреля 2025 года.
Пользователь запросил улучшение загруженного файла.

2.

Поиск ассоциативных правил и модели на основе графиков для раннего обнаружения
фишинга "человек посередине" на базе Wi-Fi
Атаки
Автор: Арему Олуваферанми Дата: 17
апреля, 2025
Аннотация
Распространение технологий беспроводной связи, в частности Wi-Fi, произвело революцию в сфере цифровых
коммуникаций, но в то же время создало новые уязвимости в системе безопасности. Одной из самых коварных и
труднообнаруживаемых угроз в среде Wi-Fi являются фишинговые атаки типа "человек посередине" (MitM). Эти атаки
позволяют противникам незаметно перехватывать, изменять или перенаправлять обмен конфиденциальными данными
между пользователями и легитимными службами, зачастую не вызывая немедленных подозрений. Учитывая растущую
изощренность таких атак, традиционные механизмы безопасности, такие как обнаружение на основе сигнатур или
брандмауэры на основе правил, часто оказываются недостаточными для выявления и устранения последствий на
ранних стадиях.
В данной работе предлагается гибридная аналитическая система, объединяющая Association Rule Mining (ARM) и
модели на основе графиков для раннего обнаружения фишинговых атак MitM на основе Wi-Fi-сетей. Метод Association
Rule Mining используется для выявления скрытых корреляций, поведенческих моделей и аномальных ассоциаций в
потоках сетевого трафика, которые отклоняются от установленных норм, что позволяет системе выделять потенциально
вредоносные взаимодействия на уровне пакетов и сессий. Одновременно модели на основе графиков представляют всю
топологию Wi-Fi связи в виде динамических графов, где узлы символизируют устройства, точки доступа и агентовпосредников, а ребра обозначают пути и связи. Структурные отклонения, такие как внезапные изменения центральности
узлов, присутствие узлов-изгоев или неожиданные петли связи, служат надежными индикаторами текущей или
надвигающейся деятельности MitM.
Интеграция ARM и графовой аналитики улучшает контекстное понимание системой обнаружения сетевого поведения и
позволяет в реальном времени выявлять сложные попытки фишинга, которые часто обходят обычные системы
обнаружения вторжений. Экспериментальная проверка на смоделированных средах атак Wi-Fi и реальных наборах
данных превосходную производительность предложенной гибридной системы с точки зрения точности обнаружения,
снижения частоты ложных срабатываний и адаптивности к изменяющимся шаблонам атак. Данное исследование вносит
вклад в развитие проактивных мер кибербезопасности, предлагая масштабируемую, основанную на данных систему.

3.

методология защиты беспроводных сетей от фишинговых атак MitM, тем самым повышая целостность и устойчивость
современных цифровых инфраструктур.
Ключевые слова:
Безопасность Wi-Fi, атака "человек посередине", обнаружение фишинга, поиск ассоциативных правил, модели
на основе графов, обнаружение сетевых аномалий, беспроводные системы обнаружения вторжений,
кибербезопасность, обнаружение неавторизованных точек доступа, анализ шаблонов трафика.
1. Введение
1.1 Общая информация
Определение Wi-Fi
Атаки типа "человек посередине" (MitM):
Атаки типа "человек посередине" (MitM) на
основе Wi-Fi происходят, когда злоумышленник
перехватывает связь между двумя сторонами
(например, пользователем и веб-сервером) через сеть
Wi-Fi, как правило, публичную или незащищенную.
Злоумышленник может перехватить, изменить или
внедрить вредоносные данные в коммуникацию без
ведома сторон, тем самым нарушив
конфиденциальность, целостность и подлинность
передаваемой информации. В атаках MitM на основе
Wi-Fi злоумышленник часто использует такие
методы, как несанкционированные точки доступа,
атаки Evil Twin или перехват сеанса, чтобы
обманом заставить пользователей подключиться к
вредоносным сетям.
Обзор фишинговых атак, направленных на
пользователей через недоверенные или
взломанные сети Wi-Fi:
Фишинговые атаки в контексте сетей Wi-Fi
используют недостаток безопасности в ненадежных
или взломанных сетях, чтобы обманом заставить
пользователей разгласить конфиденциальные
данные.
личную информацию, например учетные данные для
входа в систему, данные кредитной карты или другие
конфиденциальные данные. Когда пользователь
подключается к ненадежной сети Wi-Fi,
злоумышленник может использовать методы подмены
(например, представить фальшивую страницу входа в
систему), чтобы обманом заставить жертву
предоставить конфиденциальные данные. Для обхода
механизмов безопасности эти атаки часто используют
HTTP Spoofing, DNS Spoofing или SSL Stripping.
Растущая изощренность фишинга
атак в эпоху сетей Wi-Fi и мобильных устройств:
Распространение мобильных устройств (смартфонов,
ноутбуков, планшетов) и общественных точек
доступа Wi-Fi значительно увеличило площадь атаки
для фишинга и MitM-атак. Несмотря на то, что
пользователи наслаждаются удобством доступа в
Интернет в любом месте, незашифрованные и часто
неконтролируемые сети Wi-Fi представляют собой
значительную уязвимость. Злоумышленники
становятся все более изощренными, используя
автоматизированные инструменты и методы,
основанные на искусственном интеллекте, для
проведения фишинговых кампаний, что делает их
более сложными для обнаружения. Более широкое
использование зашифрованных протоколов связи
(например, HTTPS) усложняет традиционные методы
обнаружения и требует

4.

разработка более тонких методов выявления
фишинговых угроз.
1.2 Мотивация
Растущая угроза, связанная с использованием Wi-Fi
Фишинговые атаки типа "человек посередине":
Все большее распространение мобильных
устройств и сетей Wi-Fi как в общественных, так и в
частных местах сделало пользователей более
восприимчивыми к фишинговым атакам типа MitM.
Киберпреступники используют эти сети, которые
зачастую менее защищены и плохо контролируются,
для проведения атак, которые могут остаться
незамеченными традиционными механизмами защиты.
Незаметность таких атак, особенно при наличии
шифрования, представляет собой серьезную угрозу
безопасности пользователей. Легкость, с которой
злоумышленники могут создавать
несанкционированные точки доступа Wi-Fi или
манипулировать запросами DNS, способствует росту
частота и тяжесть этих атак.
Важность раннего обнаружения этих атак для
защиты пользователей и систем:
Раннее обнаружение фишинговых атак MitM на
основе Wi-Fi имеет решающее значение для
предотвращения кражи данных, мошенничества с
личными данными или внедрения вредоносного ПО.
Своевременное обнаружение может помешать
злоумышленнику украсть конфиденциальную
информацию о пользователе, нарушить целостность
данных или внедрить вредоносный код. Это особенно
важно в ситуациях с высокими ставками
В таких средах, как онлайн-банкинг, порталы
здравоохранения или корпоративные сети.
Механизмы раннего обнаружения также дают
возможность прервать атаку до того, как она успеет
разрастись, минимизируя потенциальный ущерб как
для отдельных пользователей, так и для организаций.
Ограничения традиционного обнаружения
методы выявления сложных фишинговых
технологий:
Традиционные методы обнаружения, такие как
сигнатурное обнаружение или обнаружение
аномалий трафика, недостаточны для
распознавания сложных фишинговых атак. Эти методы
часто опираются на известные шаблоны атак или
эвристические правила, что делает их
неэффективными против новых, развивающихся или
сильно замаскированных фишинговых технологий.
Кроме того, существующие модели, как правило, не
учитывают динамическую природу Wi-Fi.
сетей и специфических векторов атак, связанных с
MitM-атаками, таких как несанкционированные точки
доступа и отмена SSL. Необходимы передовые
методы, способные адаптироваться к меняющимся
тактикам атак в режиме реального времени.
1.3 Проблема исследования
Сложность обнаружения фишинговых атак MitM
на основе Wi-Fi в режиме реального времени:
Одной из основных проблем в этой области сложность
обнаружения в режиме реального времени.
Фишинговые атаки в сетях Wi-Fi часто являются
скрытными, злоумышленники пытаются смешаться с
законным трафиком или использовать
легитимно выглядящие поддельные сети.
Обнаружение должно осуществляться без
существенного влияния на пользователя, поэтому
методы обнаружения должны быть легкими,
эффективными и способными выявлять вредоносные
действия без высоких показателей ложных
срабатываний. Сложная и динамичная природа этих
атак (например, меняющиеся векторы атак, адаптация
злоумышленников в режиме реального времени) делает
их раннее обнаружение и снижение эффективности
особенно сложными.

5.

Отсутствие эффективных механизмов
обнаружения, сочетающих в себе как поиск
ассоциативных правил, так и модели на основе
графов для идентификации атак:
Хотя отдельные методы, такие как поиск
ассоциативных правил (для выявления
закономерностей в сетевом трафике) и
Графовые модели (для обнаружения необычных
связей между сетевыми узлами или устройствами)
показывают многообещающие результаты, однако в
настоящее время существует пробел в объединении
этих методов для разработки комплексной системы
обнаружения. Анализ ассоциативных правил может
помочь выявить подозрительные закономерности в
трафике Wi-Fi, а графовые модели можно
использовать для анализа топологии сетевых
соединений с целью обнаружения аномалий,
характерных для MitM-атак. Однако зачастую эти
подходы рассматриваются отдельно и не
интегрируются в единую систему обнаружения, что
приводит к упущению возможностей для более
надежного обнаружения.
1.4 Цель
Разработать гибридную систему
обнаружения, использующую поиск
ассоциативных правил и модели на основе
графов:
Основной целью данного исследования является
разработка гибридной системы обнаружения,
объединяющей в себе поиск ассоциативных правил
и графовые модели для эффективного обнаружения
фишинговых атак MitM на основе Wi-Fi-сетей.
Система объединит сильные стороны обоих методов,
используя правила ассоциаций для выявления
подозрительных паттернов в сетевом трафике
(например, наличие неавторизованных точек доступа
или подмены DNS) и графовые модели для
обнаружения необычных связей или аномалий связи
внутри сети.
сети (например, нетипичная маршрутизация пакетов
или неожиданное сопряжение устройств).
Расширение возможностей раннего обнаружения
фишинговых атак с использованием Wi-Fi:
Цель - повысить эффективность раннего
обнаружения путем создания системы, способной в
режиме реального времени
анализ сетевого трафика и взаимодействия между
устройствами с упором на обнаружение
аномальное поведение, указывающее на попытки
фишинга. Используя анализ ассоциативных правил и
анализ графов, этот подход обеспечивает более
надежное, адаптируемое и точное обнаружение,
позволяя своевременно вмешаться и минимизировать
потенциальный ущерб.
1.5 Взносы
Новая гибридная модель для раннего обнаружения
фишинговых атак MitM с использованием
ассоциативных правил и графов:
В данном исследовании представлена новая
гибридная модель обнаружения, которая объединяет
сильные стороны поиска ассоциативных правил и
моделей на основе графов. Объединяя возможности
распознавания образов, заложенные в правилах
ассоциаций, со структурным анализом теории
графов, эта модель призвана обеспечить
многогранный подход к обнаружению сложных
фишинговых атак MitM в сетях Wi-Fi. Эта модель
разработана как высокоадаптивная и способная
обнаруживать широкий спектр атак, которые могут
развиваться с течением времени.
Демонстрация эффективности этого подхода с
помощью реальных наборов данных: В ходе
исследования будет проведена оценка
предложенной гибридной модели с
использованием наборов данных реальных сетей
Wi-Fi, включающих как

6.

легитимного и вредоносного трафика. Это
продемонстрирует способность модели выявлять
атаки в различных средах и покажет ее
практическое применение для борьбы с
фишинговыми атаками MitM в реальных сценариях.
Обсуждение преимуществ сочетания
ассоциативных правил и графовых моделей для
обнаружения атак:
Вклад данной работы также включает в себя
углубленное обсуждение синергии между добычей
правил ассоциаций и
модели на основе графов, показывая, как сочетание
этих двух методов может устранить ограничения
традиционного обнаружения
системы. В данном исследовании рассматриваются
преимущества комплексного многоуровневого
подхода к обнаружению, который использует как
распознавание образов, так и анализ топологии сети
для повышения общей точности, масштабируемости
и адаптивности обнаружения фишинговых атак.
2. История вопроса и сопутствующие работы
2.1 Фишинговые атаки на основе Wi-Fi с
использованием технологии "человек
посередине" (MitM)
Объяснение того, как фишинговые атаки MitM
осуществляются через публичные или
взломанные сети Wi-Fi:
Фишинговые атаки типа "человек посередине"
(MitM), основанные на Wi-Fi, возникают, когда
злоумышленник перехватывает, манипулирует или
подслушивает обмен данными между двумя сторонами
(обычно пользователем и легитимным сервером) через
незащищенную сеть Wi-Fi. Эти атаки используют
уязвимости незашифрованных и открытых сетей
Wi-Fi для перехвата пользовательских сообщений или
вставки вредоносного содержимого в легитимные
сообщения.
коммуникационные потоки. В большинстве случаев
злоумышленник сначала получает доступ к сети, либо
устанавливая несанкционированную точку доступа,
имитирующую легитимную точку доступа Wi-Fi, либо
компрометируя существующую легитимную точку
доступа с помощью слабых протоколов безопасности.
Как только пользователь подключается к взломанной
сети, злоумышленник может занять позицию между
устройством пользователя и интернет-шлюзом,
становясь
Человек посередине. Они могут перехватывать и
потенциально изменять данные, передаваемые на
устройство и обратно. MitM-фишинг направлен на
пользователей, перенаправляя их на мошеннические
веб-сайты или внедряя на них вредоносные скрипты с
конечной целью похитить конфиденциальную
информацию, например учетные данные для входа в
систему, финансовые или личные данные.
Фазы атаки:
1.
Подслушивание:
○
На этапе подслушивания
злоумышленник просто
прослушивает сетевой трафик. Это
может включать в себя мониторинг
незашифрованных данных,
передаваемых между жертвой и
Интернетом. Например, в
публичных точках доступа, если
пользователь подключается к
незащищенному HTTP-сайту или
передает незашифрованные данные,
злоумышленник может легко
перехватить этот трафик.
○
Даже с зашифрованными
соединения (HTTPS),

7.

злоумышленники могут
перехватить метаданные, такие как
посещаемые домены, размер
пакетов и временные шаблоны,
которые могут быть использованы
для составления профиля или
дальнейших атак.
2.
Перехват сеанса:
○
○
3.
фишинговый сайт, предназначенный
для кражи учетных данных для
входа в систему. Злоумышленники
также могут вставить вредоносный
JavaScript в браузер пользователя,
чтобы перенаправить его на
поддельную страницу входа в
систему, завершив тем самым
фишинговую атаку.
Перехват сеанса происходит,
когда злоумышленник крадет
активный сеанс, обычно
перехватывая маркеры сеанса
(куки, идентификаторы сеанса и
т. д.).
передается между клиентом и
сервером. После перехвата
злоумышленник может выдать себя
за жертву и получить доступ к
учетным записям, не используя их
учетные данные.
Например, если пользователь вошел
на банковский сайт, злоумышленник
может перехватить его токен сессии
и использовать его, чтобы обойти
механизм входа в систему и
получить доступ к банковскому
счету пользователя.
Манипулирование данными:
○
На этом этапе злоумышленник
может изменить или внедрить в
коммуникацию вредоносные
данные. Это может быть изменение
содержимого электронных писем,
изменение данных о финансовых
операциях или перенаправление
пользователя на
Распространенные техники, используемые в MitMфишинге:
Подмена DNS:
При подмене DNS злоумышленник
повреждает DNS-кэш устройства жертвы,
перенаправляя ее браузер на вредоносный IPадрес. Маскируясь под легитимный сайт,
злоумышленник может создавать
фишинговые страницы, которые кажутся
пользователю подлинными, что позволяет
ему перехватывать учетные данные и другую
конфиденциальную информацию. Подмена
DNS часто включает в себя отравление DNSкэша жертвы, заставляя запросы к
легитимным веб-сайтам переадресовываться
на вредоносные IP-адреса, контролируемые
злоумышленником.
SSL Stripping:
Снятие SSL - это атака, при которой
злоумышленник перехватывает HTTPSтрафик и понижает его до HTTP, снимая
SSL/TLS-шифрование. При этом
злоумышленник выступает в роли прокси
между жертвой и легитимным веб-сайтом,
что позволяет ему читать и изменять
содержимое сообщений. Например, когда
жертва пытается

8.

Если вы получаете доступ к банковскому
сайту по протоколу HTTPS, злоумышленник
перехватывает запрос и пересылает его как
HTTP-запрос, что позволяет ему получить
конфиденциальную информацию, например
учетные данные для входа в систему или
платежные реквизиты, в виде обычного
текста.
Злой близнец атакует:
В атаках Evil Twin злоумышленник создает
сеть Wi-Fi с тем же именем (SSID), что и у
легитимной сети, и обманом заставляет
пользователей подключиться к ней. После
подключения злоумышленник может
отслеживать трафик, внедрять вредоносные
скрипты или осуществлять другие виды атак,
такие как атаки типа "человек в браузере"
(MitB), когда злоумышленник внедряет
содержимое в браузер жертвы, чтобы
получить данные для входа в систему.
2.2 Добыча ассоциативных правил
Обзор поиска ассоциативных правил в области
добычи данных:
Поиск ассоциативных правил - это
фундаментальный метод интеллектуального
анализа данных, используемый для обнаружения
интересных связей между переменными в больших
массивах данных. В своей простейшей форме поиск
ассоциативных правил направлен на поиск
частые паттерны или наборы элементов, которые
совместно встречаются в наборе данных. Например, в
контексте розничной торговли ассоциативные правила
могут показать, что клиенты, покупающие хлеб, часто
покупают и масло. В сфере кибербезопасности
ассоциативные правила можно использовать для
выявления закономерностей или
совместное нахождение подозрительных событий,
которые могут сигнализировать о вредоносной
деятельности.
Правила обычно имеют следующий формат:
A➺ BA \Rightarrow BA➺ B Где:
A представляет собой набор элементов или
условий (например, доступ к
определенному IP-адресу или открытые
порты).
B представляет собой другой набор элементов
или условий, которые возникают, если A
истинно (например, потенциальная
вредоносная активность или определенный
тип атаки).
С точки зрения метрик, сила ассоциативных
правил оценивается с помощью:
Поддержка: Доля записей в наборе данных,
содержащих как A, так и B.
Уверенность: Вероятность того, что B
произойдет при наличии A.
Подъем: Вероятность возникновения B при
наличии A сравнению с общей частотой
возникновения B.
Применение ассоциативных правил в
обнаружении аномалий и кибербезопасности: В
кибербезопасности поиск ассоциативных правил
может использоваться для обнаружения
аномального поведения или подозрительной
деятельности путем выявления закономерностей в
системных журналах, сетевом трафике или
действиях пользователей. Например:
Обнаружение фишинговых шаблонов
путем выявления частого совпадения
определенных DNS-запросов или HTTPзапросов, которые соответствуют известным
фишинговым шаблонам.

9.

поведение.
Обнаружение аномалий путем выявления
необычных моделей связи между
устройствами в сети, например, устройств,
взаимодействующих с неавторизованными
IP-адресами.
с большими массивами данных.
Проблемы и ограничения использования
ассоциативных правил для обнаружения атак в
режиме реального времени:
Проблемы обнаружения в реальном
времени: Поиск ассоциативных правил
требует больших вычислительных затрат,
особенно при работе с потоками данных в
режиме реального времени. Поиск правил для
больших динамических наборов данных
требует значительных вычислительных
мощностей и может приводить к высокой
задержке, что делает его непригодным для
обнаружения атак в реальном времени.
Динамичный характер атак:
Злоумышленники постоянно
совершенствуют свою тактику, в результате
чего ранее обнаруженные ассоциативные
правила оказываются неэффективными для
обнаружения новых или сложных атак.
Ложные срабатывания и шум: Поиск
ассоциативных правил имеет тенденцию
генерировать множество правил, что может
привести к ложным срабатываниям. В
контексте кибербезопасности шум в данных
может привести к обнаружению
нерелевантных закономерностей, что может
подорвать эффективность системы
обнаружения.
Обнаружение вредоносного ПО путем
выявления последовательностей системных
вызовов, шаблонов доступа к файлам или
необычных сетевых запросов, отличающихся
от обычного поведения пользователя.
Основные алгоритмы (например, Apriori, FPgrowth) для добычи ассоциативных правил:
Алгоритм Apriori:
Apriori - один из самых ранних и широко
используемых алгоритмов для поиска
ассоциативных правил. Он работает путем
генерации наборов элементов-кандидатов и
отсечения тех, которые не удовлетворяют
минимальному порогу поддержки. Apriori
использует поиск в ширину и эффективно
справляется с плотными
наборы данных.
FP-growth (Frequent Pattern Growth):
FP-growth - это оптимизированная версия
Apriori, использующая
подход "разделяй и властвуй". Вместо
явной генерации наборов-кандидатов он
строит дерево частых шаблонов (FPдерево), которое позволяет добывать частые
наборов элементов за линейное время. Это
делает FP-growth гораздо более
эффективным, чем Apriori, особенно при
работе с
2.3 Модели на основе графов в кибербезопасности
Введение в теорию графов и ее
имеет отношение к кибербезопасности:
Теория графов - это математическая структура,
которая моделирует отношения между объектами с
помощью узлов и ребер. В кибербезопасности узлы
могут представлять устройства, пользователей, IPадреса.
адреса, сетевые порты или даже

10.

индивидуальные действия (например, попытки входа
в систему), а ребра представляют отношения или
связи между ними. Сила моделей на основе графов в
кибербезопасности заключается в их способности
отражать топологические отношения и
взаимозависимости между объектами, что делает их
весьма полезными для обнаружения таких атак, как
MitM или фишинг.
аномалии, анализируя график.
Методы обнаружения на основе графиков для
выявления закономерностей, аномалий и атак:
Обнаружение аномалий: Модели на основе
графиков отлично справляются с
обнаружением неожиданных
закономерностей и изменений в
поведении. Для анализа важности и
связности узлов можно использовать такие
алгоритмы, как PageRank, Betweenness
Centrality и Shortest Path. Отклонение от
обычных закономерностей (например,
внезапный приток данных от незнакомого
устройства или узла сети) может
свидетельствовать о вредоносной
активности.
Распознавание образов: Модели на основе
графиков могут также выявлять модели
атак, анализируя боковые перемещения в
сети (например, перемещение угрожающего
субъекта с одного скомпрометированного
устройства на другое).
Эти модели нападения
Распространение можно обнаружить,
проанализировав, как граф изменяется со
временем.
Методы, основанные на графиках, могут быть
использованы для обнаружения
аномалии в сети или выявлять
Вредоносное поведение путем изучения изменений в
структуре графа. Например, неожиданные изменения в
отношениях между узлами (например, внезапные
подключения к подозрительным IP-адресам) могут
указывать на потенциальные угрозы.
Представление сетевых атак в виде графов:
Сетевые атаки, такие как MitM, представить в виде
графов, в которых:
Узлы представляют собой сетевые
объекты (например, пользователей,
устройства, маршрутизаторы, IP-адреса).
Грани представляют взаимодействия или
отношения (например, связь, поток данных
и т. д.).
Например:
При MitM-атаках злоумышленник может
вставить себя в качестве дополнительного
узла в коммуникационный путь между двумя
сущностями, создавая новое ребро или
изменяя структуру сети, что можно
определить как
Применение графовых моделей в анализе сетевого
трафика, обнаружении аномалий и системах
обнаружения вторжений:
Анализ сетевого трафика: Графики
могут представлять потоки данных
между устройствами, а графовые
алгоритмы - обнаруживать трафик
аномалии или ненормальная сеть

11.

топологии, например, устройства,
взаимодействующие с неизвестными или
вредоносными IP-адресами.
Обнаружение вторжений: Системы
обнаружения вторжений (IDS) могут
использовать модели на основе графов для
анализа структуры связи между
устройствами и обнаружения аномальных
ситуаций.
взаимодействия, что может
свидетельствовать о продолжающейся атаке.
Обнаружение вредоносного ПО: Графы
могут моделировать поведение вредоносного
ПО по мере его распространения по сети,
помогая аналитикам обнаруживать
подозрительные узлы (зараженные системы) и
их взаимодействие с другими частями сети.
(например, неудачные попытки входа в
систему), а затем анализируют связи между
устройствами с помощью графовых методов,
чтобы обнаружить боковое перемещение или
распространение атаки.
Преимущества гибридных подходов в борьбе со
сложными многоуровневыми атаками:
Гибридные модели обладают рядом преимуществ:
Комплексное обнаружение: Благодаря
сочетанию способности теории
ассоциативных правил выявлять
закономерности с теорией графов,
уделяющей особое внимание взаимосвязям и
структуре, эти модели могут обнаруживать
как известные, так и новые угрозы.
Сложность обработки: Многоступенчатые
атаки (например, фишинг с последующим
латеральным перемещением в сети) требуют
многоуровневого обнаружения. Гибридные
модели могут решить эту проблему,
анализируя шаблоны на разных уровнях (от
отдельных событий до взаимодействия в
масштабах сети).
Обнаружение в режиме реального времени:
Сочетание обоих методов позволяет
оптимизировать производительность, так как
ассоциативные правила позволяют быстро
выявить подозрительное поведение, а методы
на основе графов дают более глубокое
понимание сложных моделей атак.
2.4 Гибридные модели в обнаружении атак
Предыдущие работы, объединяющие поиск
ассоциативных правил и модели на основе графов
для целей безопасности:
В последние годы исследователи изучают гибридные
модели, которые сочетают себе сильные стороны как
поиска ассоциативных правил, так и
Подходы на основе графов для создания более
надежных систем обнаружения атак. Эти системы
используют правила ассоциаций для выявления
часто встречающихся закономерностей и корреляций
в системных журналах, сетевом трафике или
поведении пользователей, а графовые модели
взаимосвязи между объектами для обнаружения
сложных многоступенчатых атак.
Например, гибридная модель:
Используйте ассоциативные правила,
чтобы отмечать подозрительную
активность в сетевых журналах
Тематические исследования или соответствующие
работы по обнаружению фишинговых атак через
Wi-Fi с использованием этих методов:

12.

В одном из известных исследований для
обнаружения продвинутых фишинговых
атак через Wi-Fi использовались модели
на основе графов и анализа
ассоциативных правил. Анализ
ассоциативных правил использовался для
выявления необычного поведения точек
доступа (например, неожиданных SSID
или устройств, взаимодействующих с
несколькими неавторизованными точками
доступа), в то время как
Для отслеживания бокового перемещения
злоумышленника в сети были применены
графовые методы. Эта гибридная система
смогла обнаружить многоступенчатые
MitM-атаки и выявить
скомпрометированные устройства на ранних
этапах атаки.
Вредоносные действия в сетевой среде. Каждая
техника предлагает уникальный подход к
выявлению атак:
○
3. Методология
В этом разделе описывается методология построения
гибридной системы обнаружения атак, которая
объединяет в себе поиск ассоциативных правил и
модели на основе графов. Цель состоит в создании
надежной, масштабируемой системы, способной
обнаруживать различные сетевые атаки, включая
фишинг, атаки типа "отказ в обслуживании" (DoS),
утечку данных и инсайдерские атаки.
угроз, используя данные из различных
источников, таких как журналы Wi-Fi, сетевой
трафик и поведение пользователей.
3.1 Обзор системы
Предлагаемая гибридная система обнаружения
Предложенная гибридная система обнаружения
объединяет сильные стороны двух
взаимодополняющих методов - поиска правил
ассоциаций и обнаружения аномалий на основе
графов - для выявления подозрительных и
Поиск ассоциативных правил: Этот метод
использует часто встречающиеся шаблоны
в больших массивах данных для
установления взаимосвязей между
различными сетевыми событиями или
поведением. Это позволяет системе
обнаружить скрытые корреляции между
различными элементами сети, давая
представление о том, что является
нормальным, а что нет.
подозрительное поведение.
Пример: Если в сети регулярно
наблюдается связь устройства A с
устройством B в определенные
временные интервалы, отклонение
от этой схемы, например, связь
устройства A с устройством C в
неурочное время, может вызвать
тревогу.
Модели на основе графов: Этот метод
использует теорию графов для
представления отношений между сетевыми
объектами (например, устройствами,
пользователями, IP-адресами). Структура
графа (узлы и ребра) позволяет системе
визуализировать связь
шаблоны и топологические аномалии,
которые зачастую сложно обнаружить с
помощью систем, основанных только на
правилах. Например, обнаружение
неожиданного обмена данными между обычно
изолированными сетевыми устройствами
является классическим признаком
проникновения в сеть.

13.

Благодаря интеграции этих двух подходов система
получает следующие преимущества:
Обнаружение на основе правил: Для
выявления атак, которые следуют известным
шаблонам.
Обнаружение на основе графиков: Для
распознавания аномального или
неожиданного поведения, которое не
соответствует установленным шаблонам.
В совокупности эти методы обеспечивают
комплексная и адаптивная система обнаружения
атак, способная распознавать как известные векторы
атак, так и новые или возникающие типы атак.
Интеграция сетевого трафика, поведения
пользователей и активности Wi-Fi
Гибридная система опирается на три важнейших
потока данных:
Журналы Wi-Fi: В этих журналах
содержится информация о моделях
подключения устройств, используемых
точках доступа и времени сеанса. Любое
новое устройство, пытающееся получить
доступ к сети, или необычное время
подключения могут указывать на атаку.
Журналы сетевого трафика: В этих
журналах содержится подробная
информация о взаимодействии между
сетевыми устройствами, например IPадреса,
используемые протоколы и объемы
данных. Аномалии в трафике (например,
резкие скачки или подключения к внешним
IP-адресам) могут сигнализировать о
потенциальной утечке данных.
или деятельность ботнета.
Данные о поведении пользователей: Сюда
входят журналы активности пользователей,
такие как вход в систему, доступ к файлам
или взаимодействие с системой. Изменения
в поведении пользователей - например,
доступ к конфиденциальным данным во
время
в
нерабочее
время
или
попытки
подключиться к устройствам, которые не
являются частью их обычной схемы, могут
свидетельствовать
об
инсайдерской
деятельности.
угрозы или взломанные учетные записи.
Эти потоки данных предварительно
обрабатываются, нормализуются и анализируются
с помощью поиска ассоциативных правил и
обнаружения аномалий на основе графов для
выявления потенциальных атак.
3.2 Сбор и предварительная обработка
данных Источники данных
Для этой гибридной системы обнаружения ключевым
Источники данных включают:
1. Журналы активности Wi-Fi:
○
Ключевые точки данных:
Идентификаторы устройств,
точки доступа, временные
метки и схемы перемещения
устройств.
○
Цель: отслеживание устройств,
получающих доступ к сети, моделей
их связи и необычного времени
доступа. Это помогает обнаружить
неавторизованные устройства,
несанкционированные подключения
и потенциальные

14.

Атаки на основе Wi-Fi.
2. Журналы сетевого трафика:
○
○
○
○
Удаление неполных,
поврежденных или
дублирующихся записей. Этот шаг
помогает сохранить точность
набора данных.
○
Фильтрация
неактуальных
данных, таких как тестовые
соединения или обычная сеть
трафик
технического
обслуживания,
что
может
исказить результаты анализа.
Ключевые данные: IP-адреса,
номера портов, протоколы
(например, HTTP, HTTPS, FTP)
и объем трафика.
Цель: захват потока данных в сети.
Скачки объема трафика,
неизвестные IP-адреса
коммуникации, и
Нерегулярный трафик может
указывать на возможные DoS-атаки,
утечку данных или передачу
вредоносных программ.
3. Журналы поведения пользователей:
○
Очистка данных:
Ключевые точки данных:
Время входа в систему,
шаблоны доступа к ресурсам и
файловые запросы.
Цель: отслеживание нормального и
аномального поведения
пользователей. Например,
внутренние угрозы могут быть
обнаружены, когда пользователи
получают доступ к
конфиденциальным данным или
системам, выходящим за рамки их
обычных возможностей.
Методы предварительной обработки
Очистка, нормализация и структурирование
данных - важнейшие этапы, обеспечивающие
готовность собранных данных к анализу:
Нормализация:
○
Стандартизация временных меток,
чтобы обеспечить их единый
формат для часовых поясов.
○
Преобразование объемов трафика
и показателей поведения
пользователей в сопоставимые
единицы, чтобы избежать
несоответствий при анализе.
Структурирование данных:
○
Организация необработанных
данных журнала в
структурированные таблицы или
матрицы, например, превращение
журналов соединений Wi-Fi в
структурированные записи,
представляющие события
подключения устройств, или
преобразование сетевого трафика
журналы в матрицы IP-адресов
источников, IP-адресов
получателей и объемов трафика.

15.

○
Это важно для создания
характеристик (т.е.
структурированных атрибутов),
необходимых для выработки
ассоциативных правил или
построения графов.
Извлечение признаков
Извлечение признаков имеет решающее значение
для выявления значимых закономерностей в данных:
Активность Wi-Fi Особенности:
○
Частота подключений
устройства к различным
точкам доступа.
○
Продолжительность сеансов
работы с устройством и модели
доступа в определенное время.
не взаимодействует).
Эти характеристики затем используются в
качестве исходных данных для моделей,
основанных на правилах ассоциаций и графах.
3.3 Поиск ассоциативных правил для обнаружения
Поиск ассоциативных правил из сетевого
трафика
Поиск ассоциативных правил направлен на извлечение
релевантных закономерностей из данных сетевого
трафика путем выявления часто встречающихся
наборов элементов. Для этого изучаются связи между
различными событиями или условиями наборе данных.
Например, если система определит, что устройство A
регулярно общается с устройством B в определенные
временные промежутки, она может создать правило,
фиксирующее такое поведение:
Пример правила: "Если устройство A
взаимодействует с устройством B в течение
рабочего дня, то это, скорее всего,
нормальная работа".
Однако если устройство A внезапно
связывается с устройством C в нерабочее
время, это может привести к срабатыванию
такого правила, как: "Если устройство A
связывается с устройством C в нерабочее
время, отметьте это как аномалию".
Особенности сетевого трафика:
○
Объем данных, передаваемых
между устройствами.
○
Количество устройств,
взаимодействующих с одним и
тем же внешним IP-адресом
(указывает на возможную утечку
данных).
Обрезка и фильтрация правил
Особенности поведения пользователей:
○
○
Время входа в систему или доступа
к ней (например, вход в систему
поздно вечером может быть
необычным).
Доступ
к
определенным
системным
ресурсам
(например, доступ к файлам,
которые пользователь обычно
Обрезка помогает устранить менее значимые или
повторяющиеся правила:
Устранение избыточности: Если два или
более правил представляют одно и то же

16.

упрощения анализа можно отбросить одно
правило.
○
Фильтрация шумов: Правила, отражающие
повседневную, не вызывающую подозрений
деятельность (например, регулярное
обслуживание сети), исключаются, чтобы
уменьшить количество ложных
срабатываний.
Грани связи: Представляют собой
связь или передачу данных между
двумя узлами (например,
устройством и IP-адресом).
○
Грани доступа: Представляют собой
доступ пользователя к ресурсу или
система.
Это позволяет системе оставаться эффективной и
концентрироваться на наиболее значимых
паттернах, указывающих на атаку.
3.4 Графовые модели для представления
Обнаружение аномальных подграфов
Аномальные
подграфы
представляют
собой
подозрительные
сетевые
действия,
которые
отклоняются от нормальных моделей коммуникации.
Например:
атак
Появление нового узла (устройства или
пользователя), который внезапно образует
множество границ (связей) с узлами
внутренней сети, может
свидетельствовать о внешней атаке.
Подграф, показывающий несколько
внутренних устройств, пытающихся
установить связь с ранее невидимым
внешним IP, может быть отмечен как
потенциальная попытка утечки данных.
Построение графических представлений
Модели на основе графиков представляют сущности
как узлы, а отношения - как ребра. Эти модели
идеально подходят для выявления структурных
аномалии - например, определить, когда
устройство подключается к большому количеству
IP-адреса, выходящие за рамки обычной схемы
взаимодействия, что может свидетельствовать об
утечке данных.
Узлы:
○
Графовые метрики для обнаружения аномалий
Узлы устройств:
Представляют собой сетевые
устройства.
○
Узлы IP-адресов:
Представляют собой IPадреса назначения или
источника.
○
Узлы пользователей:
Представляют пользователей,
взаимодействующих с сетью.
Края:
Центральность: Определяет важность узла в
сети. Если неважный узел внезапно
становится очень центральным, это может
указывать на взломанное устройство или
атаку.

17.

Кластеризация: Помогает определить
группы узлов, которые часто
взаимодействуют друг с другом. Необычные
изменения в кластерах (например, узел,
внезапно взаимодействующий с несколькими
кластерами) могут указывать на
несанкционированную атаку.
Вес граней: Прочность соединений между
устройствами. Если вес граничного
соединения становится необычно высоким
(например, из-за большого объема
трафика), это может указывать на атаку,
например DoS.
аномалии. Если суммарная оценка
превышает определенный порог, событие
помечается как высокоприоритетное
предупреждение.
Адаптивная петля обратной связи
По мере обработки данных и обнаружения новых
моделей атак система будет постоянно
адаптироваться и совершенствоваться:
Система может использовать методы
машинного обучения (например, обучение
с подкреплением) для настройки весовых
коэффициентов признаков обнаружения.
Новые обнаруженные векторы атак будут
использоваться для переобучения системы
и повышения точности обнаружения в
будущем.
3.5 Гибридный подход к обнаружению
Комбинация ассоциативных правил и аномалий на
графике
Гибридная система объединит результаты обоих
методов для улучшения обнаружения:
Когда обе модели обнаруживают одну и ту
же аномалию, это повышает доверие к
обнаружению.
4. Экспериментальная установка и оценка
Если одна модель обнаруживает аномалию, а
другая - нет, система оценивает ее на основе
доверия
оценки и исторические данные, чтобы
решить, следует ли отметить его для проверки
человеком или дальнейшего анализа.
Обзор наборов данных, использованных для оценки:
При такой постановке эксперимента наборы данных
играют решающую роль в оценке эффективности
предложенной гибридной модели. В контексте
обнаружения фишинга MitM через Wi-Fi
атаки, наборы данных обычно состоят из двух
основных типов источников данных:
Слияние решений
Система будет использовать слияние решений
Такие методы, как взвешенное голосование или
доверительная оценка для объединения результатов
обеих моделей:
Пороговые значения будут устанавливаться
в зависимости от степени тяжести
обнаруженных
4.1 Описание набора данных
1.
Журналы Wi-Fi:
○
В этих журналах обычно
фиксируются подробности
подключения к сети Wi-Fi, такие
как имена SSID, MAC-адреса
подключенных устройств, сигнал
сила и связь

18.

раз. В этом контексте журналы WiFi необходимы для выявления
потенциальных
несанкционированных точек
доступа или подозрительных
подключений устройств в сетях
Wi-Fi.
○
■
Попытки подключения
клиентов
к
определенным SSID.
■
Данные об устройствах,
подключающихся к
неожиданным или
недоверенным сетям.
Устройства с высоким
уровнем трафика или
необычными шаблонами
соединений,
указывающими на
поведение MitM.
Трассировка сетевого трафика:
○
○
■
Заголовки и полезная
нагрузка пакетов,
детализирующие обмен
данными между
устройствами.
■
Информация о сеансе,
например, временные
метки,
продолжительность
соединения и
использование протокола.
■
Отпечатки устройств,
такие как IP-адреса и
идентификаторы
устройств, для
обнаружения аномалий в
каналах связи.
Журналы могут
содержать такую
информацию как:
■
2.
подмена или
несанкционированное
манипулирование данными.
Они могут включать в себя:
Эти наборы данных фиксируют
пакеты и сетевой трафик между
устройствами, включая HTTPзапросы, поиск DNS и полезную
нагрузку данных, которыми
обмениваются пользователи с
внешними серверами.
Отслеживание сетевого трафика
очень важно для понимания потока
данных и обнаружения
подозрительные модели, такие как
Снятие SSL, DNS
Характеристики наборов данных:
Наборы данных, используемые в данном
исследовании, должны обладать следующими
характеристиками:
Размер:
○
Наборы данных могут сильно
различаться по размеру, начиная
от
небольшие эксперименты с
тысячами журналов
соединений, чтобы
Крупномасштабные наборы
данных, включающие
миллионы сетевых пакетов из
реальных сетей Wi-Fi.
Набор данных должен быть достаточно
большим, чтобы имитировать
реалистичные объемы трафика,
сохраняя при этом возможность
проверки точности обнаружения на

19.

различные сценарии атак.
○
Rogue Access Point (Evil
Twin): Злоумышленник
устанавливает поддельную
точку доступа для
перехвата сетевого
трафика.
■
SSL Stripping: Понижение
HTTPS-трафика до HTTP с
целью кражи
конфиденциальной
информации.
■
Подмена DNS:
Перенаправление DNSзапросов жертвы на
вредоносные сайты.
■
Перехват сеанса: Захват и
использование токенов
сеансов жертвы для
несанкционированного
доступа.
■
Инъекция данных:
Модификация HTTPтрафика между
пользователем и
легитимным сервером.
Особенности:
○
○
○
Для оценки используются такие
наборы данных, как ISCX-IDS 2017
или
Набор данных UNB ISCX Wi-Fi
может быть использован для
воспроизведения реальных
моделей трафика с упором на
взломанные и недоверенные
сетевые среды.
■
Сведения о подключении: SSID,
MAC-адрес, уровень сигнала, время
соединения, количество пакетов,
характер трафика и т. д.
Особенности атаки: DNSаномалии, манипуляции с пакетами,
индикаторы отмены SSL,
подозрительные HTTP-запросы и
необычное взаимодействие с
внешними серверами.
Аномалии или вторжения:
Данные временных рядов,
показывающие отклонения в
поведении (например, внезапные
изменения в структуре трафика,
указывающие на MitM-атаки).
Сценарии нападения:
○
Набор данных должен включать
различные типы атак и сценарии
нападений, например:
Благодаря симуляции этих атак в контролируемой
среде, набор данных позволяет всесторонне оценить
способность модели обнаружения выявлять и
предотвращать различные методы фишинговых атак.
реальные сети Wi-Fi.
4.2 Метрики оценки

20.

Эффективность гибридной модели обнаружения
оценивается с помощью общих метрик
классификации, которые оценивают
производительность модели в задачах бинарной
классификации (атака против нормы).
Рассматриваются следующие метрики:
правильно обнаруженных атак из всех
реальных атак. Это важно для того, чтобы
система не пропустила атаки, особенно
редкие. Recall=TPTP+FNRecall =
\frac{TP}{TP + FN}Recall=TP+FNTP
Точность обнаружения:
Эта метрика измеряет общую долю
правильно классифицированных экземпляров
(истинно положительных + истинно
отрицательных) среди всех экземпляров.
Формула выглядит следующим образом:
Точность=TP+TNTP+TN+FP+FNA
точность = \frac{TP + TN}{TP + TN
+ FP + FN} Точность=TP+TN+FP+FNTP+ TN
Где:
○
TP= Истинные позитивы
○
TN= Истинные негативы
○
FP = Ложноположительные
результаты
○
FN = Ложные отрицательные
результаты
Точность:
Точность измеряет процент правильных
положительных предсказаний среди всех
предсказанных положительных результатов.
Это очень важно, когда стоимость ложных
срабатываний (ошибочное определение
доброкачественной деятельности как
вредоносной) высока.
Точность=TPTP+FPPrecision =
\frac{TP}{TP + FP} Точность=TP+FPTP
Отзыв (чувствительность):
Recall оценивает процент
F1-Score:
F1-score - это среднее гармоническое
между precision и recall, собой единую
метрику, которая уравновешивает
компромисс между точностью и
отзывом.
F1=2×Precision×RecallPrecision+Re callF1 = 2
\times \frac{Precision
\times Recall}{Precision +
Recall}F1=2×Precision+RecallPreci sion×Recall
Коэффициент ложноположительных результатов (FPR):
Коэффициент ложных срабатываний
указывает на долю неатак (нормального
поведения), ошибочно классифицированных
как атаки. Он рассчитывается следующим
образом:
FPR=FPFP+TNFPR =
\frac{FP}{FP + TN}FPR=FP+TNFP
Сравнение производительности гибридной
модели с существующей базовой моделью
модели для обнаружения фишинга через Wi-Fi:
Базовые модели:
Производительность гибридной модели
сравнивается с традиционными подходами,
такими как системы обнаружения на основе
сигнатур (которые сопоставляют шаблоны
трафика с известными сигнатурами атак),
обнаружение на основе правил
модели и машины
подходы, основанные на обучении (такие как

21.

SVM, деревья решений и
Random Forests).
○
○
Системы, основанные на
сигнатурах, часто неэффективны
против
Атаки "нулевого дня" или атаки с
развивающейся тактикой, в то
время как модели машинного
обучения могут обнаруживать
неизвестные шаблоны, но могут
страдать от чрезмерной подгонки
или длительного времени
обучения.
Способность гибридной модели
сочетать ассоциативные правила
(которые могут выявить
неизвестные шаблоны атак) с
Модели на основе графов
(которые фокусируются на
структурных аномалиях и
реляционном поведении), как
ожидается, превзойдут эти базовые
методы как по точности
обнаружения, так и по
устойчивости к новым атакам.
4.3 Результаты и обсуждение
Представление результатов эксперимента:
В этом разделе экспериментальные результаты работы
системы обнаружения представлены в виде таблиц и
графиков, в которых выделены такие ключевые
показатели, как точность, прецизионность, отзыв и F1score для различных типов атак.
1.
Эффективность обнаружения
ассоциативных правил:
○
Результаты должны
продемонстрировать связь
способность анализа правил
обнаруживать специфические
фишинговые сигнатуры
(например, определенные DNSзапросы или аномалии HTTPтрафика).
Однако его производительность
может снижаться при сложных
многоуровневых атаках, когда
динамические изменения в
возникают закономерности.
2.
Эффективность обнаружения
моделей на основе графиков:
○
3.
Ожидается, что модели на основе
графов будут хорошо работать при
обнаружении необычных путей
связи, перехвате сеансов и
инъекции данных. Визуализируя
взаимодействие между узлами в
сети, модели на основе графов
могут выявлять боковые
перемещения и другие сложные
методы атак.
Эффективность обнаружения
гибридной модели:
○
Гибридная модель должна
показать превосходные
результаты в обнаружении
широкого спектра
атак, включая сложные,
многоэтапные фишинговые атаки
MitM. Она сочетает в себе лучшие
черты обеих моделей, выявляя
частые
шаблоны в данных с помощью
ассоциативных правил и анализа
структуры сети

22.

с помощью графовых методов.
устройства).
○
Анализ сильных и слабых сторон:
Сильные стороны Association Rule
Mining:
○
○
○
Быстрое выявление общих
шаблонов атак на основе
известных событий (например,
специфических DNS-запросов или
аномалий HTTP-запросов).
Благодаря обнаруженным
корреляциям можно выявить
новые модели атак.
Слабые стороны:
■
■
Невозможно
обнаружить сложные,
развивающиеся
атаки, которые не
соответствуют заранее
определенным
шаблонам.
Может привести к ложным
положительные
результаты из-за
зашумленных данных или
доброкачественных
действий, напоминающих
шаблоны атак.
Слабые стороны:
■
Требуется
вычислительная
мощность для крупных
сетей.
■
Может иметь высокие
показатели
ложных
срабатываний,
если
модель графа не настроена
точно.
Сильные стороны гибридной модели:
○
Предлагает комплексное решение
для обнаружения как простых, так и
сложных фишинговых атак.
○
Обеспечивает многоуровневый
подход к обнаружению,
повышая надежность и
минимизируя количество
ложноотрицательных
результатов.
○
Слабые стороны:
■
Более
дорогостоящие
вычисления по
сравнению с
одномодельными
подходами.
■
Обнаружение в
реальном времени
может быть затруднено
без дальнейшей
оптимизации.
Сильные стороны моделей на основе
графиков:
○
Отлично справляется с выявлением
структурных аномалий в сетевом
трафике и сложных
многоступенчатых атак
(например, MitM-атака с
использованием нескольких
взломанных устройств).

23.

Примеры обнаруженных фишинговых атак в
реальных сетях Wi-Fi:
Можно привести реальные примеры
фишинговых атак MitM, обнаруженных с
помощью гибридной модели. Например,
случай, когда пользователь подключается к
неавторизованной точке доступа (Evil Twin) и
из-за подмены DNS перенаправляется на
поддельный банковский сайт. Гибридная
модель обнаруживает эту атаку, определяя
подозрительную ассоциацию с сетью Wi-Fi и
необычный DNS-трафик.
шаблоны.
4.4 Сравнение производительности
Сравнение с традиционными системами
обнаружения (например, методами на основе
сигнатур, моделями машинного обучения):
Методы, основанные на сигнатурах:
○
Эти методы позволяют быстро
выявлять известные атаки, но
неэффективны против новых или
развивающихся угроз. Ожидается,
что гибридная модель превзойдет
эти методы, особенно в сценариях,
где атака является новой.
Модели машинного обучения:
○
Модели машинного обучения, такие
как SVM или Random Forest, могут
обнаружить неизвестные
Атаки, но они требуют
значительного объема обучающих
данных и могут
не могут обнаруживать атаки в
реальном времени из-за сложности
вычислений. Ожидается, что
гибридная модель будет
превосходить другие модели как по
точности обнаружения, так и по
обобщенности на новые типы атак.
Эффективность и масштабируемость предложенной
гибридной модели:
Масштабируемость и эффективность
гибридной модели оцениваются путем
измерения времени отклика и
использования ресурсов при анализе
больших объемов данных сетевого
трафика. Учитывая, что модель опирается
как на
правила ассоциации и анализ на основе
графов, гибридная модель может
потребовать дополнительной оптимизации,
например, использования методов
распределенных вычислений или
параллельной обработки, чтобы эффективно
справляться с крупномасштабными
развертываниями.
5. Проблемы и ограничения
Несмотря на то что предложенная гибридная система
обнаружения обладает значительными
преимуществами при выявлении сетевых атак с
помощью моделей на основе ассоциативных правил
и графов, существует ряд проблем и ограничений,
которые необходимо решить, особенно в реальных
условиях. Эти проблемы связаны, прежде всего, со
способностью системы эффективно работать в
динамичных средах с большими объемами данных,
требованиями реального времени и сложностью
современного сетевого трафика.

24.

Системы могут не справляться с
этими колебаниями, что затрудняет
определение базовых параметров
поведения для обнаружения
аномалий.
5.1 Обнаружение в режиме реального времени
Одна из наиболее актуальных задач - обеспечить
работу системы обнаружения в режиме реального
времени, чтобы выявлять и устранять потенциальные
атаки по мере их возникновения.
Проблемы при реализации обнаружения в
режиме реального времени
○
1. Скорость передачи данных:
○
В современных сетевых средах,
особенно в сетях Wi-Fi, в режиме
реального времени генерируется
огромный объем трафика, что
затрудняет быструю обработку и
анализ этих данных.
В условиях обнаружения в
реальном времени гибридная
система должна постоянно
подстраиваться и адаптироваться к
изменяющейся топологии сети.
Любая задержка в способности
системы обрабатывать и реагировать
на эти изменения может привести
пропуску атак или неточному
обнаружению.
3. Анализ сложных данных в режиме
реального времени:
○
Гибридная система обнаружения
требует обработки больших
объемов журналов сетевого
трафика, журналов Wi-Fi и
данных о поведении
пользователей в режиме
реального времени. Это
предполагает анализ
высокоразмерных данных и
выявление закономерностей или
аномалий в течение миллисекунд,
что позволяет устранить угрозы до
их эскалации.
2. Адаптация к динамической
среде:
○
Сети очень динамичны: устройства
часто присоединяются к ним или
покидают их, а пользователи
постоянно меняют свою активность.
Традиционное обнаружение
○
Модели на основе ассоциативных
правил и графов требуют
значительных вычислений для
обработки больших объемов
данных. Поиск ассоциативных
правил обычно включает в себя
итерации по всему набору данных
для поиска частых паттернов, а
модели на основе графов требуют
обхода и вычисления графов
метрики, такие как центральность или
кластеризация.
○
Обеспечение быстрого выполнения
этих вычислительных операций в
режиме реального времени
представляет собой серьезную
проблему, поскольку требует
оптимизации
техники и потенциально

25.

высокопроизводительное
оборудование (например, GPUускорение, распределенные
вычисления).
устройств, взаимодействующих друг
с другом в любой момент времени.
Алгоритмы обхода графов или
выявления частых элементов при
поиске ассоциативных правил могут
требовать все больше
вычислительных затрат по мере
расширения сети.
Проблемы с задержкой и временем обработки
1. Задержка в обнаружении:
○
○
Даже если система способна
обнаруживать угрозы, между
моментом обнаружения угрозы и
моментом принятия мер может
пройти значительное время. Если
время обработки данных велико
из-за вычислительной сложности
моделей, злоумышленники могут
успеть выполнить вредоносные
действия до обнаружения.
Например, такая атака, как
фишинг, может сопровождаться
утечкой данных в течение
определенного времени, и если
система обнаружит вредоносную
активность слишком поздно, утечка
данных может уже произойти.
○
5.2 Масштабируемость
Масштабируемость - еще одна ключевая задача,
поскольку система должна быть способна эффективно
масштабироваться для работы с крупными сетями WiFi или сложными сетевыми инфраструктурами.
Масштабируемость алгоритма Association Rule Mining
1. Сложность добычи правил:
○
Поиск ассоциативных правил
основан на обнаружении частых
закономерностей в больших наборах
данных. По мере увеличения
количества устройств и событий
связи пространство поиска частых
закономерностей растет
экспоненциально.
○
Например, если сеть состоит из
тысяч устройств, то потенциальные
комбинации связи между
2. Время обработки больших массивов
данных:
○
По мере роста размера и сложности
сети время обработки данных
становится проблемой. Например, в
крупномасштабных сетях Wi-Fi или
корпоративных сетях
В среде могут сотни или даже
тысячи
Это создает проблему баланса
между временем обнаружения и
сложностью модели, особенно
когда количество устройств,
пользователей и сетевых действий
велико.

26.

Эти устройства создают
комбинаторный взрыв в
количестве правил, которые
должны быть сгенерированы и
оценены.
2. Накладные расходы на память и
вычисления:
○
○
Огромный объем данных в
крупномасштабных сетях (с
журналы трафика с высоким
разрешением) может привести к
значительному расходу памяти и
вычислительным затратам. По мере
того как система должна хранить и
обрабатывать массивные
транзакционные наборы данных
для обнаружения ассоциативных
правил, возрастают требования к
памяти и стоимость вычислений.
○
1. Размер графа и узкие места в
вычислениях:
С ростом размера сети и размер
графов, представляющих
взаимодействие и связь устройств.
Это приводит к увеличению
Большие графы могут
значительных вычислений.
узкие места, особенно если граф
плотный (т.е. с большим
количеством ребер). Обход таких
плотных графов в поисках
аномальных подграфов или
вычисление метрик на уровне сети
требует больших вычислительных
затрат.
2. Обновление графиков в режиме реального времени:
○
В динамической сети граф
постоянно меняется по мере
подключения или отключения
новых устройств и изменения
поведения пользователей.
Обновление графа в реальном
времени при сохранении его
корректности и актуальности
представляет собой серьезную
проблему точки зрения
эффективности вычислений.
○
Разбиение графиков и
распределённый граф
Алгоритмы могут быть
использованы для облегчения
некоторых проблем
масштабируемости, но эти решения
усложняют поддержание
согласованности данных и
В результате возникает
необходимость в
распределенных системах или
методах параллельной
обработки данных, позволяющих
обрабатывать данные в масштабе,
не создавая узких мест в
производительности.
Масштабируемость моделей на основе графиков
○
требования к памяти и более
длительное время вычислений для
расчета таких показателей графа,
как центральность, кластеризация
коэффициенты или кратчайшие
пути.

27.

сокращение задержек при
передаче данных по сети.
Доброкачественные аномалии
распознаются как подозрительные
паттерны, что приводит к
ненужным тревогам или действиям
по реагированию на вторжение.
Решение проблем с вычислительными узкими
местами в крупномасштабных сетях Wi-Fi
Для решения проблем масштабируемости в больших
Сети Wi-Fi, потенциальные решения включают в себя:
Распределенные вычисления
Фреймворки (например, Apache Spark,
Hadoop) для распределенной обработки
сетевых журналов и данных.
Разбиение графов Техника разбиения сети
на
управляемые
подграфы
для
параллельной обработки.
Решения Edge Computing, которые
обрабатывают данные ближе к источнику
(например, в точках доступа), чтобы
уменьшить объем данных, передаваемых на
центральный сервер, и снизить
вычислительную нагрузку.
○
Например, если пользователь
входит систему на новом
устройстве из необычного места
(например, во время путешествия),
система может отметить это как
подозрительное, даже если это
вполне законное явление.
○
Последствия: Ложные
срабатывания могут привести к
усталости от предупреждений,
когда администраторы
игнорируют или отклоняют
предупреждения, а также к
неэффективному реагированию
на инциденты, когда ресурсы
тратятся на расследование
доброкачественных событий.
2. Ложные негативы:
5.3 Ложноположительные и ложноотрицательные
результаты
○
Ложные отрицательные
результаты возникают, когда
система не обнаруживает реальную
атаку. Это особенно опасно,
поскольку позволяет вредоносным
действиям оставаться
незамеченными, позволяя
злоумышленникам использовать
уязвимости без обнаружения.
○
Например, если злоумышленник
способен имитировать
нормальное поведение сети
(например, маскируясь под
легитимное устройство), гибрид
Достижение баланса между точностью обнаружения
и количеством ложноположительных и
ложноотрицательных результатов - одна из самых
сложных задач для любой системы обнаружения
аномалий.
Компромисс между точностью обнаружения и
риском ложных положительных/отрицательных
результатов
1. Ложные срабатывания:
○
Ложные срабатывания возникают,
когда система ошибочно
воспринимает обычное поведение
как атаку. Это может быть
результатом незначительных
действий,

28.

система обнаружения может
распознать аномалию.
○
Воздействие: Ложные
отрицательные результаты
подрывают эффективность
системы обнаружения, поскольку
злоумышленники могут
использовать это окно
возможностей для нанесения
ущерба, например, утечки
данных или предоставления
услуг.
сбои.
Влияние зашумленных данных и динамических
шаблонов атак
Шумные данные: Сетевые среды часто
генерируют шумные данные, что может
привести к путанице в различении между
законной сетевой деятельностью и атаками.
Например, временные проблемы в сети или
обновления системы могут привести к
скачкам трафика или необычным
шаблонам доступа, которые могут вызвать
ложные срабатывания, если их не
отфильтровать должным образом.
Динамические шаблоны атак:
Злоумышленники все чаще используют
адаптивные методы для обхода
обнаружения. Например,
злоумышленники могут менять свою
тактику, используя
имитируют поведение обычных
пользователей (например, меняют время, IPадреса или схемы взаимодействия), что
затрудняет обнаружение. Гибридная система
должна адаптироваться к этим изменениям в
моделях атак, что требует постоянного
переобучения и обновления правил и
модели.
Для решения этих задач в систему могут быть
включены:
Модели машинного обучения для
обнаружения аномалий, которые могут
постоянно обучаться и адаптироваться к
новым шаблонам атак.
Динамические пороги, которые
настраиваются в зависимости от серьезности
аномалии или исторических данных для
данной сети.
6. Заключение
В этом разделе мы обобщаем основные выводы и
результаты исследования, предлагаем перспективный
взгляд на возможные достижения в области
обнаружения фишинговых атак с использованием WiFi и обсуждаем более широкие последствия
применения гибридных моделей обнаружения в
контексте кибербезопасности.
6.1 Сводная информация о взносах
В данном исследовании представлена гибридная
модель обнаружения, объединяющая Association
Rule Mining (ARM) и Graph-Based Models для
раннего выявления фишинговых атак "человек
посередине" (MitM), основанных на Wi-Fiтехнологиях.
атаки. Основной вклад в эту работу заключается в
следующем:
1. Предлагаемая гибридная модель
обнаружения: Объединяя сильные стороны
ARM и графовой аналитики, предложенная
модель способна выявлять более широкий
спектр шаблонов атак по сравнению с
традиционными.

29.

системы обнаружения. Компонент ARM
выявляет частые и аномальные модели
трафика, которые могут указывать на
вредоносное поведение, а модель на основе
графов реляционную структуру связи между
устройствами, что очень важно для
обнаружения подрывного поведения,
характерного для MitM-атак.
2. Обнаружение сложных фишинговых
атак MitM:
Эта модель позволяет эффективно решать
сложные задачи, связанные с
Фишинговые атаки через Wi-Fi, когда
злоумышленники часто пытаются
замаскироваться под легитимных сетевых
посредников. Гибридный подход сочетает
анализ трафика и структурный анализ сети,
позволяя обнаруживать как тонкие, так и
открытые векторы атак, которые в
противном случае могут ускользнуть от
обычных механизмов обнаружения.
3. Улучшение производительности по
сравнению с существующими методами:
Модель превосходит существующие
Системы обнаружения на основе сигнатур
и эвристические подходы отличаются
точностью обнаружения, масштабируемостью
и адаптивностью. В отличие от традиционных
систем, которые полагаются на заранее
определенные сигнатуры атак, гибридная
модель может адаптироваться к новым
методам атак, предлагая более надежное
решение в условиях эволюции тактики
фишинга. Ложноположительные
результаты
скорость значительно снижается благодаря
совместное применение ARM и графового
метода обнаружения аномалий,
гарантирующее, что легитимное поведение
пользователя не будет отмечено ошибочно.
4. Масштабируемость и эффективность:
Одним из ключевых преимуществ
гибридного подхода является его способность
масштабироваться до больших сетей без
существенного снижения
производительности. Способность
обрабатывать большие объемы трафика
данных при сохранении низкой задержки
делает эту модель подходящей для
приложений реального времени в
корпоративных сетях, общественных точках
доступа и
крупномасштабные среды Wi-Fi.
6.2 Будущая работа
Несмотря на то, что текущая модель показала
многообещающие результаты в обнаружении
фишинговых атак MitM, остается несколько
возможностей для дальнейшего совершенствования и
интеграции. Будущие исследования будут направлены
на расширение возможностей этой гибридной системы
обнаружения для повышения точности, оперативности
реагирования в реальном времени и совместимости с
существующими инструментами кибербезопасности.
1. Интеграция моделей машинного
обучения:
Нынешняя модель опирается на
Поиск ассоциаций на основе правил и
обнаружение аномалий на основе графов оба эти метода очень эффективны, но могут
быть усовершенствованы с помощью
машинного обучения. Включение
алгоритмов контролируемого и
неконтролируемого обучения может
повысить точность обнаружения, позволяя
модели выявлять более сложные
закономерности в

30.

Данные, которые не могут быть охвачены
статичными правилами. Например, подходы
глубокого обучения, такие как нейронные
сети, могут быть использованы для
распознавания временных моделей и
обнаружения развивающихся фишинговых
методов, которые адаптируются с течением
времени.
○
Выбор признаков и
классификация:
Благодаря интеграции передовых
Благодаря методам выбора
признаков и алгоритмам
классификации, модель может
лучше определять приоритеты
критически важных сетевых
признаков, что приводит к более
точному обнаружению атак и
ускорению времени реагирования.
Обучение с подкреплением также
может быть использовано для
постоянного улучшения процессов
принятия решений моделью путем
изучения обратной связи в реальных
условиях.
2. Реализация в реальном времени в
Мобильные устройства и общественные
точки доступа Wi-Fi:
Хотя текущая оценка основана на
контролируемых тестовых средах и
смоделированных данных, расширение
системы для развертывания в реальном
времени в мобильных устройствах и
общественных точках доступа Wi-Fi
является логичным следующим шагом.
Учитывая растущее использование
Wi-Fi в общественных местах, интеграция
этой модели обнаружения в мобильные
операционные системы или шлюзы
общественных сетей обеспечит проактивное
механизмы
защиты
от
фишинговых атак в динамичных
средах с высоким уровнем риска.
○
Интеграция
граничных
вычислений:
С развитием пограничных
вычислений появилась
возможность переложить
вычислительную нагрузку по
обнаружению аномалий в реальном
времени на локальные пограничные
узлы (например, маршрутизаторы
или мобильные точки доступа). Это
значительно улучшит время отклика,
минимизирует использование
полосы пропускания и позволит
обнаруживать аномалии даже в
местах с ограниченным доступом к
централизованным серверам.
3. Интеграция с системами
обнаружения вторжений (IDS) для
более широкого ослабления угроз:
Для создания более комплексной
инфраструктуры защиты гибридная модель
обнаружения может быть интегрирована с
существующими системами обнаружения
вторжений (IDS). Комбинируя эту систему
обнаружения на базе Wi-Fi с платформами
IDS, которые нацелены на обнаружение
вредоносной активности на уровне узла или
сети, организации
может создать более целостную систему
безопасности. Такая интеграция позволит
коррелировать многочисленные векторы
атак, что обеспечит более эффективные
стратегии борьбы с ними и лучшую
ситуационную осведомленность для команд
безопасности.

31.

○
Автоматизированное
реагирование и смягчение
последствий:
В будущем мы также изучим
возможности интеграции
автоматизированных
механизмы реагирования,
способные не только обнаруживать,
но и нейтрализовать фишинговые
угрозы в режиме реального времени.
Это может включать блокировку
вредоносных устройств, изоляцию
скомпрометированных сегментов
сети или инициирование
корректирующих действий в ответ
на обнаруженные MitM-атаки.
6.3 Заключительные замечания
Исследование, представленное в этой статье,
подчеркивает растущую потребность в гибридных
моделях обнаружения, которые могут справиться со
сложностью и эволюционирующей природой
современных фишинговых угроз, особенно в Wi-Fi.
среды. По мере того как кибербезопасность
продолжает развиваться, роль
гибридных
моделей, сочетающих машинное обучение, анализ
данных и топологии сети, становится все более
значимой. Эти модели способны обеспечить более
надежные, адаптивные и проактивные механизмы
защиты по сравнению с традиционными подходами.
Улучшенная масштабируемость и
минимизация ложных срабатываний. Они
также позволяют легко интегрировать в
инфраструктуру сетевой безопасности
развивающиеся технологии, такие как
искусственный интеллект и блокчейн. Такая
адаптивность будет крайне важна в борьбе с
растущей изощренностью
Атаки типа "человек посередине", которые
продолжают развиваться с развитием
технологий Wi-Fi и беспроводной связи.
2. Постоянная адаптация к новым и
развивающимся методам фишинга: Борьба
с фишинговыми атаками - это постоянная
задача, особенно по мере того, как
киберпреступники разрабатывают все более
совершенные техники, позволяющие
обходить традиционные методы обнаружения.
Данное исследование подчеркивает важность
непрерывной адаптации моделей
обнаружения. Поскольку методы фишинга с
использованием Wi-Fi становятся все более
изощренными и коварными, будущие модели
обнаружения должны обладать способностью
обучаться на основе возникающих моделей
атак и оперативно реагировать на новые
угрозы. Поэтому исследователи и практики
должны сохранять бдительность и активно
совершенствовать системы обнаружения,
чтобы быть на шаг впереди
злоумышленников.
1. Роль гибридных моделей развивающемся
ландшафте кибербезопасности:
Использование гибридных моделей
представляет собой смену парадигмы в
кибербезопасности. Благодаря интеграции
нескольких методов обнаружения эти модели
могут адаптироваться к новым стратегиям
атак, предлагать
В заключение следует отметить, что данное
исследование показывает, что гибридные системы
обнаружения имеют большие перспективы для
обнаружения и смягчения последствий
Фишинговые атаки "человек посередине" на основе
Wi-Fi. Предложенная модель обеспечивает
значительный скачок вперед с точки зрения

32.

точность обнаружения, производительность и
масштабируемость, что создает основу для будущих
исследований, которые позволят еще больше
повысить безопасность беспроводных сетей лицом
постоянно развивающихся угроз.
4.
Ци, Фанг, Йинкай Чжао, Мд Закирул Алам
Бхуян, Хай Тао, Вэйфэн
Янь, и Чжэ Тан. "Анализ данных об ИБК WiFi, управляемый искусственным
интеллектом: Фокусировка на вторжении
приложения для обнаружения". International
Journal of Communication Systems (2022): e5338.
Ссылка:
1.
R. Aravindhan, K. R., & Lakshmi, Dr. R. S.
Дина Шачнева и Иоаннис Влавианос.
потенциальной угрозы фишинга через Wi-Fi
"Утечки конфиденциальной информации
с помощью поиска ассоциативных правил.
из
Springer Link - Wireless Personal
Wi-Fi зондирование". Отчет о курсе MSc по
Communications.
информационной безопасности в
https://link.springer.com/article/10.1 007/s11277-
Университетский колледж Лондона (201
Нагараджан, Сивакумар. "Исследование
методов обнаружения фишинговых атак с
помощью искусственного интеллекта".
(2024).
3.
Наджафи, Педжман, Андреас Георгиу,
(2016b). Обход зарождающейся и
016-3451-1
2.
5.
Бхандвалкар, Каляни Тукарам. "Обзор
системы обнаружения вторжений WiFi
Miner". (IRJET) International Research
Journal of Engineering and Technologye 3, no.
03 (2016).