Разработка автоматизированных методов анализа воздействий на файлы в задаче расследования инцидентов информационной безопасности : диссертация на соискание ученой степени кандидата технических наук : 2.3.6

📅 2021 год
Гибилинда, Р. В.
Бесплатно
В избранное
Работа доступна по лицензии Creative Commons:«Attribution» 4.0

Введение…………………………………………………………………………………………………………… 4
Глава 1. Анализ состояния предметной области. Постановка задач исследования …. 12
1.1. Понятие расследования инцидента информационной безопасности …………. 12
1.2. Понятие воздействия на файл ………………………………………………………………….. 13
1.3. Анализ массивов данных в ОС Windows при расследовании инцидентов ИБ ….. 17
1.4. Анализ методов классификации и кластеризации событий при расследовании инцидентов ИБ………………………………………………………………………………………………. 34
1.5. Методы моделирования на основе сетей Петри ……………………………………….. 57
1.6. Известные программные средства, применяемые при расследовании инцидентов ИБ………………………………………………………………………………………………. 58
1.7. Постановка задач исследования ………………………………………………………………. 60
Глава 2. Разработка математической модели процесса идентификации воздействий на файлы, кластеризационного метода идентификации воздействий и метода экспресс-анализа событий информационной безопасности …………………… 62
2.1. Событийная модель процесса идентификации воздействий на файлы………. 62
2.2. Кластеризационный метод идентификации воздействий на файлы…………… 75
2.3. Метод экспресс-анализа событий, связанных с воздействиями на файлы …. 90
2.4. Выводы по главе 2…………………………………………………………………………………… 103
Глава 3. Разработка комплекса программных средств идентификации воздействий на файлы при расследовании инцидентов информационной безопасности……… 105
3.1.Программное средство генерации шаблонов воздействий на файлы, используемое при расследовании инцидентов ИБ ………………………………………….. 105
3.2. Программное средство обнаружения событий ИБ, использующее шаблоны воздействий на файлы……………………………………………………………………………………. 112
3
3.3.Программное средство генерации компьютерных атак и осуществления
воздействий на файлы……………………………………………………………………………………. 116
3.4.Методика использования комплекса программных средств идентификации воздействий на файлы……………………………………………………………………………………. 117
3.5. Сравнительный анализ предложенных и существующих методов и средств обнаружения и классификации воздействий на файлы …………………………………… 129
3.6. Выводы по главе 3…………………………………………………………………………………… 137
Заключение …………………………………………………………………………………………………… 138
Обозначения и сокращения……………………………………………………………………………. 140
Список использованных источников ……………………………………………………………… 141
Приложение А. Акты о внедрении …………………………………………………………………. 158
Приложение Б. Таблицы позиций и переходов сети петри, моделирующей процесс идентификации воздействий на файлы…………………………………………………………… 161
Приложение В. Результаты сравнительного анализа работы алгоритма k-средних при разных плотностях распределения вероятностей и их параметрах ………………………. 164
Приложение Г. Свидетельства о государственной регистрации программ для ЭВМ . 167
Приложение Д. Пример выполнения сети Петри для идентификации простого воздействия на файл………………………………………………………………………………………. 169

Актуальность темы исследования. Вступление в силу Федерального
закона No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] и других сопутствующих нормативных правовых актов обязало владельцев информационных систем (ИС), входящих в состав критической информационной инфраструктуры (КИИ), принимать меры по защите информации, в частности проводить аудит информационной безопасности (ИБ) ИС и расследование инцидентов.
Под аудитом ИБ, согласно [2], будем понимать «систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности». Одной из задач аудита [3] является выявление уязвимостей в ИС, в т.ч. эксплуатируемых как локально, так и удаленно, которые могут быть использованы злоумышленником для нарушения действующей политики безопасности (осуществление несанкционированного доступа, нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений и др.) с целью формирования рекомендаций по совершенствованию мер и методов обеспечения ИБ, направленных на устранение выявленных уязвимостей.
Совершенствование существующих и создание новых методов защиты информации является актуальной задачей, которая нашла свое отражение в трудах ученых и практиков [4-143]. Несмотря на существование множества решений, предназначенных для обеспечения требуемого (согласно принятой в организации политики безопасности) уровня безопасности информации, злоумышленники не снижают своей активности по реализации различных видов компьютерных атак (КА), направленных на получение несанкционированного доступа к ИС и нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений.
Для определения действий злоумышленника и последствий возникшего инцидента ИБ проводится расследование инцидента. Результаты расследования
5
могут указывать на не выявленные недостатки системы обеспечения ИБ и
действующей политики безопасности организации и составляют основу рекомендаций по совершенствованию мер по защите информации, направленных на недопущение возникновения подобных инцидентов ИБ в будущем.
В процессе расследования инцидента ИБ возникает потребность в определении воздействий на информацию, обрабатываемую в ИС. Хранилищем информации в ИС является файл. Таким образом, для определения воздействий на информацию следует обнаружить и классифицировать воздействия на файлы, предварительно их идентифицировав.
Основой для определения воздействий на файлы является информация, содержащаяся в разноформатных массивах данных (рисунок 1.1).
Файлы службы упреждающего чтения
Десятки записей об именах и идентификаторах исполняемых файлов
Временные отметки
Десятки тысяч записей о действиях над файлами
Журналы событий
Десятки тысяч записей об именах файлов и действиях над ними
События информационной безопасности
Воздействия на файлы
Ярлыки и списки переходов
Десятки-сотни записей об именах файлов
Журналы файловой системы
Десятки-сотни тысяч записей об идентификаторах, именах, содержимом и иной служебной информации файлов, а также действиях над ними
Записи реестра
Десятки-сотни записей об именах файлов
Ограничения в определении возможных воздействий
Отсутствие методов автоматизации
Не всегда обеспечивается требуемая точность и полнота классификации
Рисунок 1.1. Массивы данных и недостатки методов их анализа

6
Как видно из рисунка 1.1, в процессе анализа информации о воздействиях
на файлы, содержащейся в разноформатных массивах данных, специалист, проводящий расследование инцидентов ИБ, сталкивается с недостатками существующих методов анализа данных (рассмотрены подробно в первой главе диссертации): отсутствие методов автоматизации анализа или неудовлетворительные результаты классификации с позиций точности и полноты, а также ограничения в полноте определяемых воздействий.
Таким образом, для решения задачи автоматизации процесса обнаружения и классификации воздействий на файлы в рамках расследования инцидентов ИБ использование существующих методов анализа данных либо не обеспечивает необходимой точности и/или полноты, либо имеет ограничения по набору определяемых воздействий. Возникает потребность в разработке новых методов анализа данных, учитывающих порядок изменения признаков, характеризующих файлы, в рамках осуществленных воздействий. Для разрешения возникшей потребности необходимо выбрать массив данных, обладающий наиболее полной информацией о воздействиях на файлы, создать алгоритмический и методологический аппарат автоматизированного анализа воздействий, менее подверженный указанным ранее недостаткам существующих методов, и на его основе разработать специальный комплекс программных средств, позволяющий ускорить процесс расследования инцидентов ИБ.
Степень разработанности темы исследования. Расследование инцидентов ИБ представляет собой сложный процесс, требующий наличия у специалиста обширных знаний об особенностях функционирования ИС, способах обеспечения ИБ и оценки качества принятых мер защиты, математических методах анализа данных, связанных с инцидентами.
Вопросы, связанные с разработкой и применением мер, направленных на обеспечение ИБ, рассмотрены в работах С.С. Титова [4, 5], А.А. Захарова [6], А.Н. Соколова [7], В.В. Богданова [8], Ю.Д. Королькова [9], П.Н. Девянина [10, 11], И.И. Баранковой [12]. Авторами были предложены различные методы обеспечения ИБ, как в рамках отдельного узла, так и системы в составе

7
вычислительной сети, описаны организационные меры, направленные на
нейтрализацию угроз ИБ, рассмотрены методы и алгоритмы выявления угроз в сетевом трафике.
Применению математических методов и алгоритмов при анализе данных (в том числе используемых в рамках расследования инцидентов ИБ) посвящено множество научных работ, среди которых необходимо отметить труды В.А.Баранского [13, 14], Н.А. Гайдамакина [15], А.А. Захарова [16, 17], С.В. Поршнева [18], Д. Феррейры (D.R. Ferreira) [19], В. Сатиша (V. Sathish) [20], Е. Чуа (E. Chuah) [21], В.Н. Зуева [22], А.Н. Соколова [23, 24], О.И. Шелухина [25, 26], Ф. Юана (F. Yuan) [27], C. Йена (S. Yen) [28], К. Берлина (K. Berlin) [29], Р.Вааранди (R.Vaarandi) [30-32], Б. Штейна (B. Stein) [33], Х.Штудиавана (H. Studiawan) [34, 35]. Авторы разработали методы анализа информации, в том числе основанные на теории графов, рассмотрели применение метрик в контексте обработки информации, связанной с событиями ИБ, предложили новые и адаптировали существующие методы и алгоритмы машинного обучения для анализа разноформатных массивов данных: сетевого трафика, журналов событий и др. Часть указанных работ содержат количественные оценки результатов работы алгоритмов, что позволяет выбрать наилучший для решения задач анализа данных.
Целью исследования является разработка научно-обоснованных автоматизированных методов расследования инцидентов ИБ, их программных реализаций и методики использования.
Для достижения поставленной цели сформулированы и решены следующие задачи:
1. Анализ состояния предметной области и инструментов для автоматизированной идентификации, обнаружения и классификации воздействий на файлы.
2. Разработка математического аппарата для анализа воздействий на файлы, в частности: математической модели процесса идентификации воздействий на файлы; кластеризационного метода идентификации воздействий; метода экспресс-анализа событий ИБ.

8
3. Создание комплекса программных средств, реализующих
математические методы для анализа воздействий на файлы, направленных, в том числе, на нарушение действующей политики безопасности.
Объект исследования – процесс расследования инцидентов ИБ.
Предмет исследования – автоматизированные методы и алгоритмы расследования инцидентов ИБ.
Научная новизна работы. В рамках проведенного исследования получены следующие новые научные результаты:
1. Разработана модель процесса идентификации воздействий на файлы, основанная на математическом аппарате сетей Петри, позволяющая формализовать набор признаков, характеризующих файл, для их последующего анализа в рамках расследования инцидентов ИБ (соответствует п. 14 паспорта специальности в части создания событийной модели процесса идентификации воздействий на файлы, в т.ч. направленных на нарушение действующей политики ИБ, применяемой при мониторинге состояния объекта, находящегося под воздействием угроз нарушения его ИБ).
2. Разработан кластеризационный метод идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ (соответствует п. 15 паспорта специальности в части разработки кластеризационного метода идентификации воздействий на файлы с целью создания шаблонов воздействий как нового элемента контроля за влиянием на информацию в рамках процесса управления событиями ИБ).
3. Разработан метод экспресс-анализа событий ИБ, связанных с воздействиями на файлы, позволяющий ускорить процесс обнаружения и классификации воздействий (соответствует п. 13 паспорта специальности в части разработки принципа по созданию нового метода определения нормальных, аномальных и условно аномальных событий ИБ в целях формирования рекомендаций по совершенствованию мер, направленных на обеспечение ИБ).

9
Теоретическая значимость работы выражается в развитии научно-
методического аппарата для анализа воздействий на файлы в рамках расследования инцидентов ИБ [144-151].
Практическая значимость работы заключается в разработке комплекса программных средств, обеспечивающего автоматизацию процесса анализа воздействий на файлы, в том числе направленных на нарушение действующей политики ИБ [148, 149].
Методология и методы исследования. В диссертации представлены результаты исследований, полученные с помощью математического аппарата сетей Петри, теории вероятностей, кластерного анализа и алгоритмов классификации.
Положения, выносимые на защиту:
1. Процесс идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ, описывается математическим аппаратом на основе сетей Петри [146].
2. Предложенный кластеризационный метод, в котором используются адаптированные к структуре массивов данных алгоритмы подготовки входной информации и определения оптимального количества кластеров, позволяет автоматизировать процесс идентификации воздействий на файлы [147].
3. Метод экспресс-анализа событий информационной безопасности, связанных с воздействиями на файлы, и реализующий его комплекс программных средств, позволяют автоматизировать процесс выявления нормальных, аномальных и условно аномальных воздействий на файлы [144, 148, 149].
Границы исследования – операционная система (ОС) Windows c файловой системой (ФС) NTFS и журналом изменений тома $UsnJrnl, являющимся массивом данных о воздействиях на файлы.
Достоверность и обоснованность полученных результатов подтверждается адекватным выбором математического аппарата задачам исследования и результатами экспериментальной апробации предложенных моделей и методов анализа воздействий на файлы.

10
Апробация исследования. Основные результаты диссертационных
исследований докладывались на различных семинарах и совещаниях, а также на международной научной конференции, в том числе:
1. II Всероссийская научная конференция (с приглашением зарубежных ученых) «Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации» (FISP-2020), 30 ноября 2020 г., Россия, г. Ставрополь [150];
2. 16-я Юбилейная международная молодежная научно-техническая конференция «Современные проблемы радиоэлектроники и телекоммуникаций, РТ-2020», 12-16 октября 2020 г., Россия, г. Севастополь [151];
3. 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 14-15 мая 2020 года, Россия, г. Екатеринбург [145].
Внедрение результатов исследования. Результаты работы используются в ООО «Уральский центр систем безопасности», Екатеринбург, Россия (акт об использовании результатов от 16.03.2021); в Уральском федеральном университете имени первого Президента России Б.Н. Ельцина, Екатеринбург, Россия (акт об использовании результатов от 10.03.2021); в ОКБ «Новатор», Екатеринбург, Россия (акт об использовании результатов от 23.12.2020).
Публикации. По теме диссертации опубликовано 6 научных работ, из них 4 статьи опубликованы в рецензируемых научных журналах и изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, включая 1 статью в издании, индексируемом в международной цитатно-аналитической базе Scopus. Имеются 2 свидетельства о государственной регистрации программы для ЭВМ.
Личный вклад автора. Все результаты и положения, выносимые на защиту, получены лично автором. Все алгоритмы, обсуждаемые в работе, разработаны и экспериментально исследованы автором самостоятельно. Научный руководитель принимал участие в постановке цели и задач исследования, их предварительном анализе, планировании экспериментов. Подготовка к публикации полученных

11
результатов проводилась совместно с соавторами, при этом вклад диссертанта был
определяющим.
Структура и объем работы. Диссертация состоит из введения, трех глав,
заключения и приложений. Общий объем диссертации составляет 178 страниц, включая 31 рисунок и 23 таблицы. Список использованных источников содержит 151 наименование.

Заказать новую

Лучшие эксперты сервиса ждут твоего задания

от 5 000 ₽

Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям

    Нажимая на кнопку, я соглашаюсь на обработку персональных данных и с правилами пользования Платформой

    Помогаем с подготовкой сопроводительных документов

    Совместно разработаем индивидуальный план и выберем тему работы Подробнее
    Помощь в подготовке к кандидатскому экзамену и допуске к нему Подробнее
    Поможем в написании научных статей для публикации в журналах ВАК Подробнее
    Структурируем работу и напишем автореферат Подробнее

    Хочешь уникальную работу?

    Больше 3 000 экспертов уже готовы начать работу над твоим проектом!

    Ольга Б. кандидат наук, доцент
    4.8 (373 отзыва)
    Работаю на сайте четвертый год. Действующий преподаватель вуза. Основные направления: микробиология, биология и медицина. Написано несколько кандидатских, магистерских... Читать все
    Работаю на сайте четвертый год. Действующий преподаватель вуза. Основные направления: микробиология, биология и медицина. Написано несколько кандидатских, магистерских диссертаций, дипломных и курсовых работ. Слежу за новинками в медицине.
    #Кандидатские #Магистерские
    566 Выполненных работ
    Ксения М. Курганский Государственный Университет 2009, Юридический...
    4.8 (105 отзывов)
    Работаю только по книгам, учебникам, статьям и диссертациям. Никогда не использую технические способы поднятия оригинальности. Только авторские работы. Стараюсь учитыв... Читать все
    Работаю только по книгам, учебникам, статьям и диссертациям. Никогда не использую технические способы поднятия оригинальности. Только авторские работы. Стараюсь учитывать все требования и пожелания.
    #Кандидатские #Магистерские
    213 Выполненных работ
    Дмитрий М. БГАТУ 2001, электрификации, выпускник
    4.8 (17 отзывов)
    Помогаю с выполнением курсовых проектов и контрольных работ по электроснабжению, электроосвещению, электрическим машинам, электротехнике. Занимался наукой, писал стать... Читать все
    Помогаю с выполнением курсовых проектов и контрольных работ по электроснабжению, электроосвещению, электрическим машинам, электротехнике. Занимался наукой, писал статьи, патенты, кандидатскую диссертацию, преподавал. Занимаюсь этим с 2003.
    #Кандидатские #Магистерские
    19 Выполненных работ
    Елена С. Таганрогский институт управления и экономики Таганрогский...
    4.4 (93 отзыва)
    Высшее юридическое образование, красный диплом. Более 5 лет стажа работы в суде общей юрисдикции, большой стаж в написании студенческих работ. Специализируюсь на напис... Читать все
    Высшее юридическое образование, красный диплом. Более 5 лет стажа работы в суде общей юрисдикции, большой стаж в написании студенческих работ. Специализируюсь на написании курсовых и дипломных работ, а также диссертационных исследований.
    #Кандидатские #Магистерские
    158 Выполненных работ
    Екатерина Д.
    4.8 (37 отзывов)
    Более 5 лет помогаю в написании работ от простых учебных заданий и магистерских диссертаций до реальных бизнес-планов и проектов для открытия своего дела. Имею два об... Читать все
    Более 5 лет помогаю в написании работ от простых учебных заданий и магистерских диссертаций до реальных бизнес-планов и проектов для открытия своего дела. Имею два образования: экономист-менеджер и маркетолог. Буду рада помочь и Вам.
    #Кандидатские #Магистерские
    55 Выполненных работ
    Шиленок В. КГМУ 2017, Лечебный , выпускник
    5 (20 отзывов)
    Здравствуйте) Имею сертификат специалиста (врач-лечебник). На данный момент являюсь ординатором(терапия, кардио), одновременно работаю диагностом. Занимаюсь диссертац... Читать все
    Здравствуйте) Имею сертификат специалиста (врач-лечебник). На данный момент являюсь ординатором(терапия, кардио), одновременно работаю диагностом. Занимаюсь диссертационной работ. Помогу в медицинских науках и прикладных (хим,био,эколог)
    #Кандидатские #Магистерские
    13 Выполненных работ
    Анна С. СФ ПГУ им. М.В. Ломоносова 2004, филологический, преподав...
    4.8 (9 отзывов)
    Преподаю англ язык более 10 лет, есть опыт работы в университете, школе и студии англ языка. Защитила кандидатскую диссертацию в 2009 году. Имею большой опыт написания... Читать все
    Преподаю англ язык более 10 лет, есть опыт работы в университете, школе и студии англ языка. Защитила кандидатскую диссертацию в 2009 году. Имею большой опыт написания и проверки (в качестве преподавателя) контрольных и курсовых работ.
    #Кандидатские #Магистерские
    16 Выполненных работ
    Петр П. кандидат наук
    4.2 (25 отзывов)
    Выполняю различные работы на заказ с 2014 года. В основном, курсовые проекты, дипломные и выпускные квалификационные работы бакалавриата, специалитета. Имею опыт напис... Читать все
    Выполняю различные работы на заказ с 2014 года. В основном, курсовые проекты, дипломные и выпускные квалификационные работы бакалавриата, специалитета. Имею опыт написания магистерских диссертаций. Направление - связь, телекоммуникации, информационная безопасность, информационные технологии, экономика. Пишу научные статьи уровня ВАК и РИНЦ. Работаю техническим директором интернет-провайдера, имею опыт работы ведущим сотрудником отдела информационной безопасности филиала одного из крупнейших банков. Образование - высшее профессиональное (в 2006 году окончил военную Академию связи в г. Санкт-Петербурге), послевузовское профессиональное (в 2018 году окончил аспирантуру Уральского федерального университета). Защитил диссертацию на соискание степени "кандидат технических наук" в 2020 году. В качестве хобби преподаю. Дисциплины - сети ЭВМ и телекоммуникации, информационная безопасность объектов критической информационной инфраструктуры.
    #Кандидатские #Магистерские
    33 Выполненных работы
    Анна Н. Государственный университет управления 2021, Экономика и ...
    0 (13 отзывов)
    Закончила ГУУ с отличием "Бухгалтерский учет, анализ и аудит". Выполнить разные работы: от рефератов до диссертаций. Также пишу доклады, делаю презентации, повышаю уни... Читать все
    Закончила ГУУ с отличием "Бухгалтерский учет, анализ и аудит". Выполнить разные работы: от рефератов до диссертаций. Также пишу доклады, делаю презентации, повышаю уникальности с нуля. Все работы оформляю в соответствии с ГОСТ.
    #Кандидатские #Магистерские
    0 Выполненных работ

    Последние выполненные заказы

    Другие учебные работы по предмету