Модель обнаружения фишинговых атак на основе гибридного подхода для защиты автоматизированных систем управления производством

Аннотация

Введение. В связи с ежегодным развитием фишинговых техник злоумышленников, которые направленны на автоматизированные системы управления производством с целью компрометации конфиденциальной информации, актуальной задачей является разработка новых методов определения фишинговых атак, направленных на промышленный сектор. Цель исследования: разработка метода защиты от фишинговых атак на пользователей и сервисы автоматизированных систем управления производством. Материалы и методы. Для анализа предметной области проанализированы возможные источники литературы. Основываясь на собранной информации из предыдущих исследований, продолжена работа над улучшением архитектуры системы защиты от фишинга. В архитектуру системы добавлены восемь эвристик, направленных на улучшение точности детектирования фишинговых URL (Uniform Resource Locator). Ряд эвристик направлен на семантическую проверку URL в части использования специальных символов, точек, слешей, порта, протокола URL и в том числе длины самого URL. Другие же проверяют валидность SSL/TLS (Secure Sockets Layer/Transport Layer Security) сертификата, ищут фишинговые ключевые слова в URL и сравнивают страну хостинг-провайдера со страной домена верхнего уровня. Результаты. Проведены практические исследования новой архитектуры с различными комбинациями эвристик. Приводятся количественные данные, показывающие улучшение ключевых показателей детектирования фишинговых ресурсов системой, которые, в свою очередь, помогают офицеру безопасности принимать решение о фишинговости или легитимности URL. Заключение. Представленная система показывает следующие показатели: TPR (True Positive Rate) – 97,85 % и FPR (False positive Rate) – 2,09 %. Также улучшена точность метода до 98,16 %.