Разработка автоматизированных методов анализа воздействий на файлы в задаче расследования инцидентов информационной безопасности : диссертация на соискание ученой степени кандидата технических наук : 2.3.6

📅 2021 год
Гибилинда, Р. В.
Бесплатно
В избранное
Работа доступна по лицензии Creative Commons:«Attribution» 4.0

Введение…………………………………………………………………………………………………………… 4
Глава 1. Анализ состояния предметной области. Постановка задач исследования …. 12
1.1. Понятие расследования инцидента информационной безопасности …………. 12
1.2. Понятие воздействия на файл ………………………………………………………………….. 13
1.3. Анализ массивов данных в ОС Windows при расследовании инцидентов ИБ ….. 17
1.4. Анализ методов классификации и кластеризации событий при расследовании инцидентов ИБ………………………………………………………………………………………………. 34
1.5. Методы моделирования на основе сетей Петри ……………………………………….. 57
1.6. Известные программные средства, применяемые при расследовании инцидентов ИБ………………………………………………………………………………………………. 58
1.7. Постановка задач исследования ………………………………………………………………. 60
Глава 2. Разработка математической модели процесса идентификации воздействий на файлы, кластеризационного метода идентификации воздействий и метода экспресс-анализа событий информационной безопасности …………………… 62
2.1. Событийная модель процесса идентификации воздействий на файлы………. 62
2.2. Кластеризационный метод идентификации воздействий на файлы…………… 75
2.3. Метод экспресс-анализа событий, связанных с воздействиями на файлы …. 90
2.4. Выводы по главе 2…………………………………………………………………………………… 103
Глава 3. Разработка комплекса программных средств идентификации воздействий на файлы при расследовании инцидентов информационной безопасности……… 105
3.1.Программное средство генерации шаблонов воздействий на файлы, используемое при расследовании инцидентов ИБ ………………………………………….. 105
3.2. Программное средство обнаружения событий ИБ, использующее шаблоны воздействий на файлы……………………………………………………………………………………. 112
3
3.3.Программное средство генерации компьютерных атак и осуществления
воздействий на файлы……………………………………………………………………………………. 116
3.4.Методика использования комплекса программных средств идентификации воздействий на файлы……………………………………………………………………………………. 117
3.5. Сравнительный анализ предложенных и существующих методов и средств обнаружения и классификации воздействий на файлы …………………………………… 129
3.6. Выводы по главе 3…………………………………………………………………………………… 137
Заключение …………………………………………………………………………………………………… 138
Обозначения и сокращения……………………………………………………………………………. 140
Список использованных источников ……………………………………………………………… 141
Приложение А. Акты о внедрении …………………………………………………………………. 158
Приложение Б. Таблицы позиций и переходов сети петри, моделирующей процесс идентификации воздействий на файлы…………………………………………………………… 161
Приложение В. Результаты сравнительного анализа работы алгоритма k-средних при разных плотностях распределения вероятностей и их параметрах ………………………. 164
Приложение Г. Свидетельства о государственной регистрации программ для ЭВМ . 167
Приложение Д. Пример выполнения сети Петри для идентификации простого воздействия на файл………………………………………………………………………………………. 169

Актуальность темы исследования. Вступление в силу Федерального
закона No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] и других сопутствующих нормативных правовых актов обязало владельцев информационных систем (ИС), входящих в состав критической информационной инфраструктуры (КИИ), принимать меры по защите информации, в частности проводить аудит информационной безопасности (ИБ) ИС и расследование инцидентов.
Под аудитом ИБ, согласно [2], будем понимать «систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности». Одной из задач аудита [3] является выявление уязвимостей в ИС, в т.ч. эксплуатируемых как локально, так и удаленно, которые могут быть использованы злоумышленником для нарушения действующей политики безопасности (осуществление несанкционированного доступа, нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений и др.) с целью формирования рекомендаций по совершенствованию мер и методов обеспечения ИБ, направленных на устранение выявленных уязвимостей.
Совершенствование существующих и создание новых методов защиты информации является актуальной задачей, которая нашла свое отражение в трудах ученых и практиков [4-143]. Несмотря на существование множества решений, предназначенных для обеспечения требуемого (согласно принятой в организации политики безопасности) уровня безопасности информации, злоумышленники не снижают своей активности по реализации различных видов компьютерных атак (КА), направленных на получение несанкционированного доступа к ИС и нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений.
Для определения действий злоумышленника и последствий возникшего инцидента ИБ проводится расследование инцидента. Результаты расследования
5
могут указывать на не выявленные недостатки системы обеспечения ИБ и
действующей политики безопасности организации и составляют основу рекомендаций по совершенствованию мер по защите информации, направленных на недопущение возникновения подобных инцидентов ИБ в будущем.
В процессе расследования инцидента ИБ возникает потребность в определении воздействий на информацию, обрабатываемую в ИС. Хранилищем информации в ИС является файл. Таким образом, для определения воздействий на информацию следует обнаружить и классифицировать воздействия на файлы, предварительно их идентифицировав.
Основой для определения воздействий на файлы является информация, содержащаяся в разноформатных массивах данных (рисунок 1.1).
Файлы службы упреждающего чтения
Десятки записей об именах и идентификаторах исполняемых файлов
Временные отметки
Десятки тысяч записей о действиях над файлами
Журналы событий
Десятки тысяч записей об именах файлов и действиях над ними
События информационной безопасности
Воздействия на файлы
Ярлыки и списки переходов
Десятки-сотни записей об именах файлов
Журналы файловой системы
Десятки-сотни тысяч записей об идентификаторах, именах, содержимом и иной служебной информации файлов, а также действиях над ними
Записи реестра
Десятки-сотни записей об именах файлов
Ограничения в определении возможных воздействий
Отсутствие методов автоматизации
Не всегда обеспечивается требуемая точность и полнота классификации
Рисунок 1.1. Массивы данных и недостатки методов их анализа

6
Как видно из рисунка 1.1, в процессе анализа информации о воздействиях
на файлы, содержащейся в разноформатных массивах данных, специалист, проводящий расследование инцидентов ИБ, сталкивается с недостатками существующих методов анализа данных (рассмотрены подробно в первой главе диссертации): отсутствие методов автоматизации анализа или неудовлетворительные результаты классификации с позиций точности и полноты, а также ограничения в полноте определяемых воздействий.
Таким образом, для решения задачи автоматизации процесса обнаружения и классификации воздействий на файлы в рамках расследования инцидентов ИБ использование существующих методов анализа данных либо не обеспечивает необходимой точности и/или полноты, либо имеет ограничения по набору определяемых воздействий. Возникает потребность в разработке новых методов анализа данных, учитывающих порядок изменения признаков, характеризующих файлы, в рамках осуществленных воздействий. Для разрешения возникшей потребности необходимо выбрать массив данных, обладающий наиболее полной информацией о воздействиях на файлы, создать алгоритмический и методологический аппарат автоматизированного анализа воздействий, менее подверженный указанным ранее недостаткам существующих методов, и на его основе разработать специальный комплекс программных средств, позволяющий ускорить процесс расследования инцидентов ИБ.
Степень разработанности темы исследования. Расследование инцидентов ИБ представляет собой сложный процесс, требующий наличия у специалиста обширных знаний об особенностях функционирования ИС, способах обеспечения ИБ и оценки качества принятых мер защиты, математических методах анализа данных, связанных с инцидентами.
Вопросы, связанные с разработкой и применением мер, направленных на обеспечение ИБ, рассмотрены в работах С.С. Титова [4, 5], А.А. Захарова [6], А.Н. Соколова [7], В.В. Богданова [8], Ю.Д. Королькова [9], П.Н. Девянина [10, 11], И.И. Баранковой [12]. Авторами были предложены различные методы обеспечения ИБ, как в рамках отдельного узла, так и системы в составе

7
вычислительной сети, описаны организационные меры, направленные на
нейтрализацию угроз ИБ, рассмотрены методы и алгоритмы выявления угроз в сетевом трафике.
Применению математических методов и алгоритмов при анализе данных (в том числе используемых в рамках расследования инцидентов ИБ) посвящено множество научных работ, среди которых необходимо отметить труды В.А.Баранского [13, 14], Н.А. Гайдамакина [15], А.А. Захарова [16, 17], С.В. Поршнева [18], Д. Феррейры (D.R. Ferreira) [19], В. Сатиша (V. Sathish) [20], Е. Чуа (E. Chuah) [21], В.Н. Зуева [22], А.Н. Соколова [23, 24], О.И. Шелухина [25, 26], Ф. Юана (F. Yuan) [27], C. Йена (S. Yen) [28], К. Берлина (K. Berlin) [29], Р.Вааранди (R.Vaarandi) [30-32], Б. Штейна (B. Stein) [33], Х.Штудиавана (H. Studiawan) [34, 35]. Авторы разработали методы анализа информации, в том числе основанные на теории графов, рассмотрели применение метрик в контексте обработки информации, связанной с событиями ИБ, предложили новые и адаптировали существующие методы и алгоритмы машинного обучения для анализа разноформатных массивов данных: сетевого трафика, журналов событий и др. Часть указанных работ содержат количественные оценки результатов работы алгоритмов, что позволяет выбрать наилучший для решения задач анализа данных.
Целью исследования является разработка научно-обоснованных автоматизированных методов расследования инцидентов ИБ, их программных реализаций и методики использования.
Для достижения поставленной цели сформулированы и решены следующие задачи:
1. Анализ состояния предметной области и инструментов для автоматизированной идентификации, обнаружения и классификации воздействий на файлы.
2. Разработка математического аппарата для анализа воздействий на файлы, в частности: математической модели процесса идентификации воздействий на файлы; кластеризационного метода идентификации воздействий; метода экспресс-анализа событий ИБ.

8
3. Создание комплекса программных средств, реализующих
математические методы для анализа воздействий на файлы, направленных, в том числе, на нарушение действующей политики безопасности.
Объект исследования – процесс расследования инцидентов ИБ.
Предмет исследования – автоматизированные методы и алгоритмы расследования инцидентов ИБ.
Научная новизна работы. В рамках проведенного исследования получены следующие новые научные результаты:
1. Разработана модель процесса идентификации воздействий на файлы, основанная на математическом аппарате сетей Петри, позволяющая формализовать набор признаков, характеризующих файл, для их последующего анализа в рамках расследования инцидентов ИБ (соответствует п. 14 паспорта специальности в части создания событийной модели процесса идентификации воздействий на файлы, в т.ч. направленных на нарушение действующей политики ИБ, применяемой при мониторинге состояния объекта, находящегося под воздействием угроз нарушения его ИБ).
2. Разработан кластеризационный метод идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ (соответствует п. 15 паспорта специальности в части разработки кластеризационного метода идентификации воздействий на файлы с целью создания шаблонов воздействий как нового элемента контроля за влиянием на информацию в рамках процесса управления событиями ИБ).
3. Разработан метод экспресс-анализа событий ИБ, связанных с воздействиями на файлы, позволяющий ускорить процесс обнаружения и классификации воздействий (соответствует п. 13 паспорта специальности в части разработки принципа по созданию нового метода определения нормальных, аномальных и условно аномальных событий ИБ в целях формирования рекомендаций по совершенствованию мер, направленных на обеспечение ИБ).

9
Теоретическая значимость работы выражается в развитии научно-
методического аппарата для анализа воздействий на файлы в рамках расследования инцидентов ИБ [144-151].
Практическая значимость работы заключается в разработке комплекса программных средств, обеспечивающего автоматизацию процесса анализа воздействий на файлы, в том числе направленных на нарушение действующей политики ИБ [148, 149].
Методология и методы исследования. В диссертации представлены результаты исследований, полученные с помощью математического аппарата сетей Петри, теории вероятностей, кластерного анализа и алгоритмов классификации.
Положения, выносимые на защиту:
1. Процесс идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ, описывается математическим аппаратом на основе сетей Петри [146].
2. Предложенный кластеризационный метод, в котором используются адаптированные к структуре массивов данных алгоритмы подготовки входной информации и определения оптимального количества кластеров, позволяет автоматизировать процесс идентификации воздействий на файлы [147].
3. Метод экспресс-анализа событий информационной безопасности, связанных с воздействиями на файлы, и реализующий его комплекс программных средств, позволяют автоматизировать процесс выявления нормальных, аномальных и условно аномальных воздействий на файлы [144, 148, 149].
Границы исследования – операционная система (ОС) Windows c файловой системой (ФС) NTFS и журналом изменений тома $UsnJrnl, являющимся массивом данных о воздействиях на файлы.
Достоверность и обоснованность полученных результатов подтверждается адекватным выбором математического аппарата задачам исследования и результатами экспериментальной апробации предложенных моделей и методов анализа воздействий на файлы.

10
Апробация исследования. Основные результаты диссертационных
исследований докладывались на различных семинарах и совещаниях, а также на международной научной конференции, в том числе:
1. II Всероссийская научная конференция (с приглашением зарубежных ученых) «Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации» (FISP-2020), 30 ноября 2020 г., Россия, г. Ставрополь [150];
2. 16-я Юбилейная международная молодежная научно-техническая конференция «Современные проблемы радиоэлектроники и телекоммуникаций, РТ-2020», 12-16 октября 2020 г., Россия, г. Севастополь [151];
3. 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 14-15 мая 2020 года, Россия, г. Екатеринбург [145].
Внедрение результатов исследования. Результаты работы используются в ООО «Уральский центр систем безопасности», Екатеринбург, Россия (акт об использовании результатов от 16.03.2021); в Уральском федеральном университете имени первого Президента России Б.Н. Ельцина, Екатеринбург, Россия (акт об использовании результатов от 10.03.2021); в ОКБ «Новатор», Екатеринбург, Россия (акт об использовании результатов от 23.12.2020).
Публикации. По теме диссертации опубликовано 6 научных работ, из них 4 статьи опубликованы в рецензируемых научных журналах и изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, включая 1 статью в издании, индексируемом в международной цитатно-аналитической базе Scopus. Имеются 2 свидетельства о государственной регистрации программы для ЭВМ.
Личный вклад автора. Все результаты и положения, выносимые на защиту, получены лично автором. Все алгоритмы, обсуждаемые в работе, разработаны и экспериментально исследованы автором самостоятельно. Научный руководитель принимал участие в постановке цели и задач исследования, их предварительном анализе, планировании экспериментов. Подготовка к публикации полученных

11
результатов проводилась совместно с соавторами, при этом вклад диссертанта был
определяющим.
Структура и объем работы. Диссертация состоит из введения, трех глав,
заключения и приложений. Общий объем диссертации составляет 178 страниц, включая 31 рисунок и 23 таблицы. Список использованных источников содержит 151 наименование.

Заказать новую

Лучшие эксперты сервиса ждут твоего задания

от 5 000 ₽

Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям

    Нажимая на кнопку, я соглашаюсь на обработку персональных данных и с правилами пользования Платформой

    Помогаем с подготовкой сопроводительных документов

    Совместно разработаем индивидуальный план и выберем тему работы Подробнее
    Помощь в подготовке к кандидатскому экзамену и допуске к нему Подробнее
    Поможем в написании научных статей для публикации в журналах ВАК Подробнее
    Структурируем работу и напишем автореферат Подробнее

    Хочешь уникальную работу?

    Больше 3 000 экспертов уже готовы начать работу над твоим проектом!

    Логик Ф. кандидат наук, доцент
    4.9 (826 отзывов)
    Я - кандидат философских наук, доцент кафедры философии СГЮА. Занимаюсь написанием различного рода работ (научные статьи, курсовые, дипломные работы, магистерские дисс... Читать все
    Я - кандидат философских наук, доцент кафедры философии СГЮА. Занимаюсь написанием различного рода работ (научные статьи, курсовые, дипломные работы, магистерские диссертации, рефераты, контрольные) уже много лет. Качество работ гарантирую.
    #Кандидатские #Магистерские
    1486 Выполненных работ
    Рима С.
    5 (18 отзывов)
    Берусь за решение юридических задач, за написание серьезных научных статей, магистерских диссертаций и дипломных работ. Окончила Кемеровский государственный универси... Читать все
    Берусь за решение юридических задач, за написание серьезных научных статей, магистерских диссертаций и дипломных работ. Окончила Кемеровский государственный университет, являюсь бакалавром, магистром юриспруденции (с отличием)
    #Кандидатские #Магистерские
    38 Выполненных работ
    Анна В. Инжэкон, студент, кандидат наук
    5 (21 отзыв)
    Выполняю работы по экономическим дисциплинам. Маркетинг, менеджмент, управление персоналом. управление проектами. Есть опыт написания магистерских и кандидатских диссе... Читать все
    Выполняю работы по экономическим дисциплинам. Маркетинг, менеджмент, управление персоналом. управление проектами. Есть опыт написания магистерских и кандидатских диссертаций. Работала в маркетинге. Практикующий бизнес-консультант.
    #Кандидатские #Магистерские
    31 Выполненная работа
    AleksandrAvdiev Южный федеральный университет, 2010, преподаватель, канд...
    4.1 (20 отзывов)
    Пишу качественные выпускные квалификационные работы и магистерские диссертации. Опыт написания работ - более восьми лет. Всегда на связи.
    Пишу качественные выпускные квалификационные работы и магистерские диссертации. Опыт написания работ - более восьми лет. Всегда на связи.
    #Кандидатские #Магистерские
    28 Выполненных работ
    Елена Л. РЭУ им. Г. В. Плеханова 2009, Управления и коммерции, пре...
    4.8 (211 отзывов)
    Работа пишется на основе учебников и научных статей, диссертаций, данных официальной статистики. Все источники актуальные за последние 3-5 лет.Активно и уместно исполь... Читать все
    Работа пишется на основе учебников и научных статей, диссертаций, данных официальной статистики. Все источники актуальные за последние 3-5 лет.Активно и уместно использую в работе графический материал (графики рисунки, диаграммы) и таблицы.
    #Кандидатские #Магистерские
    362 Выполненных работы
    Ольга Р. доктор, профессор
    4.2 (13 отзывов)
    Преподаватель ВУЗа, опыт выполнения студенческих работ на заказ (от рефератов до диссертаций): 20 лет. Образование высшее . Все заказы выполняются в заранее согласован... Читать все
    Преподаватель ВУЗа, опыт выполнения студенческих работ на заказ (от рефератов до диссертаций): 20 лет. Образование высшее . Все заказы выполняются в заранее согласованные сроки и при необходимости дорабатываются по рекомендациям научного руководителя (преподавателя). Буду рада плодотворному и взаимовыгодному сотрудничеству!!! К каждой работе подхожу индивидуально! Всегда готова по любому вопросу договориться с заказчиком! Все работы проверяю на антиплагиат.ру по умолчанию, если в заказе не стоит иное и если это заранее не обговорено!!!
    #Кандидатские #Магистерские
    21 Выполненная работа
    Олег Н. Томский политехнический университет 2000, Инженерно-эконо...
    4.7 (96 отзывов)
    Здравствуйте! Опыт написания работ более 12 лет. За это время были успешно защищены более 2 500 написанных мною магистерских диссертаций, дипломов, курсовых работ. Явл... Читать все
    Здравствуйте! Опыт написания работ более 12 лет. За это время были успешно защищены более 2 500 написанных мною магистерских диссертаций, дипломов, курсовых работ. Являюсь действующим преподавателем одного из ВУЗов.
    #Кандидатские #Магистерские
    177 Выполненных работ
    Глеб С. преподаватель, кандидат наук, доцент
    5 (158 отзывов)
    Стаж педагогической деятельности в вузах Москвы 15 лет, автор свыше 140 публикаций (РИНЦ, ВАК). Большой опыт в подготовке дипломных проектов и диссертаций по научной с... Читать все
    Стаж педагогической деятельности в вузах Москвы 15 лет, автор свыше 140 публикаций (РИНЦ, ВАК). Большой опыт в подготовке дипломных проектов и диссертаций по научной специальности 12.00.14 административное право, административный процесс.
    #Кандидатские #Магистерские
    216 Выполненных работ
    Анна С. СФ ПГУ им. М.В. Ломоносова 2004, филологический, преподав...
    4.8 (9 отзывов)
    Преподаю англ язык более 10 лет, есть опыт работы в университете, школе и студии англ языка. Защитила кандидатскую диссертацию в 2009 году. Имею большой опыт написания... Читать все
    Преподаю англ язык более 10 лет, есть опыт работы в университете, школе и студии англ языка. Защитила кандидатскую диссертацию в 2009 году. Имею большой опыт написания и проверки (в качестве преподавателя) контрольных и курсовых работ.
    #Кандидатские #Магистерские
    16 Выполненных работ

    Последние выполненные заказы

    Другие учебные работы по предмету