Модель обнаружения фишинговых атак на основе гибридного подхода для защиты автоматизированных систем управления производством

Abstract

Введение. В связи с ежегодным развитием фишинговых техник злоумышленников, которые направленны на автоматизированные системы управления производством с целью компрометации конфиденциальной информации, актуальной задачей является разработка новых методов определения фишинговых атак, направленных на промышленный сектор. Цель исследования: разработка метода защиты от фишинговых атак на пользователей и сервисы автоматизированных систем управления производством. Материалы и методы. Для анализа предметной области проанализированы возможные источники литературы. Основываясь на собранной информации из предыдущих исследований, продолжена работа над улучшением архитектуры системы защиты от фишинга. В архитектуру системы добавлены восемь эвристик, направленных на улучшение точности детектирования фишинговых URL (Uniform Resource Locator). Ряд эвристик направлен на семантическую проверку URL в части использования специальных символов, точек, слешей, порта, протокола URL и в том числе длины самого URL. Другие же проверяют валидность SSL/TLS (Secure Sockets Layer/Transport Layer Security) сертификата, ищут фишинговые ключевые слова в URL и сравнивают страну хостинг-провайдера со страной домена верхнего уровня. Результаты. Проведены практические исследования новой архитектуры с различными комбинациями эвристик. Приводятся количественные данные, показывающие улучшение ключевых показателей детектирования фишинговых ресурсов системой, которые, в свою очередь, помогают офицеру безопасности принимать решение о фишинговости или легитимности URL. Заключение. Представленная система показывает следующие показатели: TPR (True Positive Rate) – 97,85 % и FPR (False positive Rate) – 2,09 %. Также улучшена точность метода до 98,16 %. Introduction. Today there is an annual development of phishing techniques cybercriminals who are aimed at industrial control systems in order to compromise sensitive information, the task is to develop new methods for determining phishing attacks aimed at the industrial sector is extremely Митюков Е.А., Затонский А.В. Модель обнаружения фишинговых атак на основе гибридного подхода для защиты… Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника». 2020. Т. 20, № 2. С. 56–66 65 important. Aim. The article discusses developed method to protection against phishing attacks on users and services of industrial control systems. Materials and methods. The possible literature sources of the subject area are analyzed. Based on the information gathered from previous studies, work on improving the architecture of the phishing protection system are continued. With aimed at improving the accuracy of detection of phishing URLs (Uniform Resource Locator), eight heuristics in the system architecture are added. Most heuristics are aimed at semantic verification of URLs, in terms of the use of special characters, periods, slashes, URL protocols and ports, including the length of the URL itself. Additionally, the validity of the SSL/TLS (Secure Sockets Layer/Transport Layer Security) certificate, phishing keywords in the URL and difference the hosting country of the provider with the country of the top-level domain is checked. Results. The practical research of the new architecture system with various combinations of heuristics are carried out. Quantitative data showing the improvement of key indicators to detecting phishing URLs by the system are presented. Security Officer decides on phishing or legitimate URL by new architecture of system are helped. Conclusion. The presented system shows the following indicators: TPR (True Positive Rate) – 97.85 % and FPR (False positive Rate) – 2.09 %. Also, the accuracy of the method to 98.16 % is improved.