Керована ін’єкція аномалій у мережевий трафік для stress-тестування систем виявлення вторгнень

Анотація

В умовах сучасних динамічних мереж, де шифрування трафіку та використання витончених «low-and-slow» атак стають нормою, класичні підходи до тестування систем виявлення вторгнень (IDS) демонструють свою неспроможність. Існуючі статичні набори даних не відображають ані сучасних багатоетапних сценаріїв атак, ані різноманіття легітимного фонового трафіку, що призводить до нерепрезентативних оцінок. У цій роботі пропонується комплексна методологія керованої ін'єкції аномалій, призначена для систематичного та відтворюваного stress-тестування IDS в лабораторних умовах. На відміну від застарілих практик, запропонований фреймворк вводить чітко визначені та керовані параметри ін'єкцій. Це дозволяє гнучко задавати інтенсивність, тривалість, просторово-часову локальність, рівень непомітності та семантику сценаріїв, що охоплюють розвідку, атаки на відмову в обслуговуванні, перебір облікових даних та приховану ексфільтрацію даних. Такий підхід уможливлює цілеспрямоване «налаштування» складності перевірок і прозоре порівняння різних реалізацій IDS. Ключовою перевагою є повна незалежність від конкретної технології синтезу: методологія сумісна з різними генераторами, зокрема із сучасними дифузійними моделями. Це гарантує довгострокову актуальність фреймворку, дозволяючи йому еволюціонувати разом із розвитком генеративних технологій. Ін'єкції інтегруються в наявні трейси або формуються разом із реалістичним фоном, зберігаючи гарантовану відтворюваність через стандартизовані описові маніфести. Ці маніфести фіксують версії інструментів, початкові значення генераторів випадковості та контрольні суми артефактів. Таким чином, стандартизуються не лише умови атаки, але й протокол оцінювання. Планується проведення пілотних випробувань, які, як очікується, продемонструють контрольований вплив параметрів на поведінку IDS. Очікується, що зі зростанням непомітності сигнатурні детектори втрачатимуть ефективність, тоді як поведінкові демонструватимуть вимірюване збільшення часу реакції. Це дозволить досліджувати їхні граничні режими роботи, аналізувати рівень хибних спрацювань та оцінювати ресурсну поведінку систем під навантаженням. Отримані спостереження мають підтвердити придатність методології для планомірної оцінки стійкості та виявлення «сліпих зон». Окремо розглянуто безпекові та етичні аспекти. У якості подальших робіт окреслено інтеграцію фреймворку з процесами CI/CD, що сприятиме впровадженню культури безперервної валідації захисту (DevSecOps), та публікацію відкритих, відтворюваних бенчмарків