Безопасность информационных технологий

Подавляющее большинство вредоносных программ осуществляет сетевое взаимодействие со своими компонентами, при котором может происходить скачивание необходимых модулей, передача украденной информации и т.д. Часто такое взаимодействие базируется на самых распространенных протоколах – HTTP и HTTPS, но при этом имеется достаточно много фактов реализации создателями вредоносного ПО собственных протоколов. Целью данной статьи является обзор подходов к реализации собственных протоколов, существующих в среде разработчиков вредоносного ПО, и методов обнаружения фактов использования подобных протоколов в сетевом трафике, выявление перспектив использования тех или иных подходов на практике в настоящее время. Анализируются возможные причины, которые побуждают создателей вредоносных программ поступать таким образом. Проводится обзор различных вариантов подобных протоколов, от примитивных до весьма сложных, приводятся конкретные примеры. В статье приведены способы выявления подобной активности в сетевом трафике: сигнатурный анализ, методы на основе статистики и машинного обучения, интеллектуальный анализ. Рассмотрены основные достоинства и недостатки данных методов. Результатом анализа данных методов является вывод, согласно которому наиболее перспективным подходом в рамках данной проблемы является применение нейронных сетей, в частности, наибольшей популярностью сейчас пользуются решения на основе архитектур CNN и LSTM, однако имеются и альтернативные подходы, которые сейчас не показывают выдающихся результатов, однако могут стать хорошими вариантами для использования в ближайшем будущем.

вредоносное ПО, сетевые протоколы, шифрование, обнаружение, нейронные сети.

1. Farinholt B., Rezaeirad M., McCoy D., Levchenko K. Dark Matter: Uncovering the DarkComet RAT Ecosystem. Proceedings of The Web Conference 2020 WWW ’20: The Web Conference 2020. Taipei Taiwan: ACM, 2020. Dark Matter. P. 2109–2120.
DOI: https://doi.org/10.1145/3366423.3380277.

2. Yaroslav Harakhavik Warzone: Behind the enemy lines. URL: https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/ (дата обращения: 24.10.2022).

3. Shusei Tomonaga RedLeaves – Malware Based on Open Source RAT.
URL: https://blogs.jpcert.or.jp/en/2017/04/redleaves---malware-based-on-open-source-rat.html (дата обращения: 24.10.2022).

4. James T. Bennett, Barry Vengerik Behind the CARBANAK Backdoor.
URL: https://www.mandiant.com/resources/blog/behind-the-carbanak-backdoor (дата обращения: 24.10.2022).

5. Check Point Research Ransomware Alert: Pay2Key.
URL: https://research.checkpoint.com/2020/ransomware-alert-pay2key/ (дата обращения: 27.10.2022).

6. Gh0stCringe RAT Being Distributed to Vulnerable Database Servers. URL: https://asec.ahnlab.com/en/32572/ (дата обращения: 24.10.2022).

7. Anton Kuzmenko, Oleg Kupreev, Haim Zigel QakBot technical analysis. URL: https://securelist.com/qakbot-technical-analysis/103931/ (дата обращения: 24.10.2022).

8. Paxson V. Bro: a system for detecting network intruders in real-time. Computer Networks. 1999, vol. 31,
no. 23–24, p. 2435–2463. DOI: https://doi.org/10.1016/S1389-1286(99)00112-7.

9. Roesch M. Snort – Lightweight Intrusion Detection for Networks//Proceedings of the 13th USENIX Conference on System Administration : LISA ’99/event-place: Seattle, Washington. USA: USENIX Association. 1999, p. 229–238. URL: https://www.usenix.org/legacy/event/lisa99/full_papers/roesch/roesch.pdf (дата обращения: 25.11.2022).

10. Piskozub M., Spolaor R., Martinovic I. MalAlert: Detecting Malware in Large-Scale Network Traffic Using Statistical Features. SIGMETRICS Perform. Eval. Rev. 46, 3 (December 2018), p. 151–154.
DOI: https://doi.org/10.1145/3308897.3308961.

11. AlAhmadi B.A., Martinovic I. MalClassifier: Malware family classification using network flow sequence behaviour. APWG Symposium on Electronic Crime Research (eCrime), San Diego, CA, USA. 2018,
p. 1–13. DOI: https://doi.org/10.1109/ECRIME.2018.8376209.

12. Bapat R. et al. Identifying malicious botnet traffic using logistic regression. 2018 Systems and Information Engineering Design Symposium (SIEDS), Charlottesville, VA, USA. 2018, p. 266–271.
DOI: https://doi.org/10.1109/SIEDS.2018.8374749.

13. Wei Wang, Ming Zhu, Xuewen Zeng, Xiaozhou Ye and Yiqiang Sheng. Malware traffic classification using convolutional neural network for representation learning. International Conference on Information Networking (ICOIN), Da Nang, Vietnam. 2017, p. 712–717. DOI: https://doi.org/10.1109/ICOIN.2017.7899588.

14. W. Niu, J. Zhou, Y. Zhao, X. Zhang, Y. Peng, C. Huang. Uncovering APT malware traffic using deep learning combined with time sequence and association analysis, Computers & Security. 2022, v. 120, p. 102809.
DOI: https://doi.org/10.1016/j.cose.2022.102809.

15. Частикова В.А., Малыхина М.П., Жерлицын С.А., Воля Я.И. Сравнительный анализ некотрых алгоритмов роевого интеллекта при обнаружении сетевых атак нейросетевыми методами. Научный журнал КубГАУ, 2017, № 129(05). DOI: https://doi.org/10.21515/1990-4665-129-009.

16. Полянская М.С. Обнаружение вредоносной активности в зашифрованном трафике, представленном в виде временных рядов. Современные информационные технологии и ИТ-образование, [S.l.], т. 18, № 1, с. 144–151, 2022. ISSN 2411-1473. DOI: https://doi.org/10.25559/SITITO.18.202201.144-151.

17. Šmít D., Millar K., Page C., Cheng A., Chew H., & Lim C. (2017). Looking deeper: Using deep learning to identify internet communications traffic. URL: https://www.semanticscholar.org/paper/Looking-deeper%3A-Using-deep-learning-to-identify-Šmít-Millar/c037bc2f528c4eb0e025df3aa10587a42c6a2c62 (дата обращения: 25.11.2022).

18. Mekky H., Mohaisen A., Zhi-Li Zhang. Separation of benign and malicious network events for accurate malware family classification. IEEE Conference on Communications and Network Security (CNS), Florence, Italy. 2015, p. 125–133.
DOI: https://doi.org/10.1109/CNS.2015.7346820.

19. Ren X., Gu H., Wei W. Tree-RNN: Tree structural recurrent neural network for network traffic classification. Expert Systems with Applications. 2021, v. 167, p. 114363.
DOI: https://doi.org/10.1016/j.eswa.2020.114363.

20. Зуев В.Н. Обнаружение аномалий сетевого трафика методом глубокого обучения. Международный журнал «Программные продукты и системы». 2021, т. 25, с. 91–97.
DOI: https://doi.org/10.15827/0236-235X.133.091-097.

21. Бурлаков М.Е., Ивкин А.Н. Система обнаружения вторжения на основе искуственной имунной си-стемы. 2020. URL: https://www.researchgate.net/publication/341179692_SISTEMA_OBNARUZENIA_
VTORZENIA_NA_OSNOVE_ISKUSSTVENNOJ_IMMUNNOJ_SISTEMY_INTRUSION_DETECTION_
SYSTEM_BASED_ON_THE_ARTIFICIAL_IMMUNE_SYSTEM (дата обращения: 25.11.2022).

22. Li F. and Ye F. Adaptive and Lightweight Network Traffic Classification for Edge Devices. IEEE Transactions on Green Communications and Networking. Dec. 2022, vol. 6, no. 4, p. 2003–2014.
DOI: https://doi.org/10.1109/TGCN.2022.3165221.

23. García S., Grill M., Stiborek J., Zunino A. An empirical comparison of botnet detection methods. Computers & Security. 2014, v. 45, p. 100–123.
DOI: https://doi.org/10.1016/j.cose.2014.05.011.

24. Letteri I., Penna G.D., Vita L.D., Grifa M.T. MTA-KDD’19: A Dataset for Malware Traffic Detection. Proceedings of the Fourth Italian Conference on Cyber Security, Ancona, Italy, February 4th to 7th, 2020. V. 2597, p. 153–165. URL: http://ceur-ws.org/Vol-2597/paper-14.pdf (дата обращения: 25.11.2022).

25. Szumelda P., Orzechowski N., Rawski M., Janicki A. VHS-22 – A Very Heterogeneous Set of Network Traffic Data for Threat Detection. In Proceedings of the 2022 European Interdisciplinary Cybersecurity Conference (EICC '22). Association for Computing Machinery, New York, NY, USA. 2022, p. 72–78.
DOI: https://doi.org/10.1145/3528580.3532843.

26. Sean Gallagher. Nearly half of malware now use TLS to conceal communications. 2021.
URL: https://news.sophos.com/en-us/2021/04/21/nearly-half-of-malware-now-use-tls-to-conceal-communications/ (дата обращения: 25.11.2022).