Разработка автоматизированных методов анализа воздействий на файлы в задаче расследования инцидентов информационной безопасности : диссертация на соискание ученой степени кандидата технических наук : 2.3.6

Актуальность темы исследования. Вступление в силу Федерального
закона No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] и других сопутствующих нормативных правовых актов обязало владельцев информационных систем (ИС), входящих в состав критической информационной инфраструктуры (КИИ), принимать меры по защите информации, в частности проводить аудит информационной безопасности (ИБ) ИС и расследование инцидентов.
Под аудитом ИБ, согласно [2], будем понимать «систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности». Одной из задач аудита [3] является выявление уязвимостей в ИС, в т.ч. эксплуатируемых как локально, так и удаленно, которые могут быть использованы злоумышленником для нарушения действующей политики безопасности (осуществление несанкционированного доступа, нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений и др.) с целью формирования рекомендаций по совершенствованию мер и методов обеспечения ИБ, направленных на устранение выявленных уязвимостей.
Совершенствование существующих и создание новых методов защиты информации является актуальной задачей, которая нашла свое отражение в трудах ученых и практиков [4-143]. Несмотря на существование множества решений, предназначенных для обеспечения требуемого (согласно принятой в организации политики безопасности) уровня безопасности информации, злоумышленники не снижают своей активности по реализации различных видов компьютерных атак (КА), направленных на получение несанкционированного доступа к ИС и нарушение конфиденциальности, целостности и доступности обрабатываемых в ИС сведений.
Для определения действий злоумышленника и последствий возникшего инцидента ИБ проводится расследование инцидента. Результаты расследования
5
могут указывать на не выявленные недостатки системы обеспечения ИБ и
действующей политики безопасности организации и составляют основу рекомендаций по совершенствованию мер по защите информации, направленных на недопущение возникновения подобных инцидентов ИБ в будущем.
В процессе расследования инцидента ИБ возникает потребность в определении воздействий на информацию, обрабатываемую в ИС. Хранилищем информации в ИС является файл. Таким образом, для определения воздействий на информацию следует обнаружить и классифицировать воздействия на файлы, предварительно их идентифицировав.
Основой для определения воздействий на файлы является информация, содержащаяся в разноформатных массивах данных (рисунок 1.1).
Файлы службы упреждающего чтения
Десятки записей об именах и идентификаторах исполняемых файлов
Временные отметки
Десятки тысяч записей о действиях над файлами
Журналы событий
Десятки тысяч записей об именах файлов и действиях над ними
События информационной безопасности
Воздействия на файлы
Ярлыки и списки переходов
Десятки-сотни записей об именах файлов
Журналы файловой системы
Десятки-сотни тысяч записей об идентификаторах, именах, содержимом и иной служебной информации файлов, а также действиях над ними
Записи реестра
Десятки-сотни записей об именах файлов
Ограничения в определении возможных воздействий
Отсутствие методов автоматизации
Не всегда обеспечивается требуемая точность и полнота классификации
Рисунок 1.1. Массивы данных и недостатки методов их анализа

6
Как видно из рисунка 1.1, в процессе анализа информации о воздействиях
на файлы, содержащейся в разноформатных массивах данных, специалист, проводящий расследование инцидентов ИБ, сталкивается с недостатками существующих методов анализа данных (рассмотрены подробно в первой главе диссертации): отсутствие методов автоматизации анализа или неудовлетворительные результаты классификации с позиций точности и полноты, а также ограничения в полноте определяемых воздействий.
Таким образом, для решения задачи автоматизации процесса обнаружения и классификации воздействий на файлы в рамках расследования инцидентов ИБ использование существующих методов анализа данных либо не обеспечивает необходимой точности и/или полноты, либо имеет ограничения по набору определяемых воздействий. Возникает потребность в разработке новых методов анализа данных, учитывающих порядок изменения признаков, характеризующих файлы, в рамках осуществленных воздействий. Для разрешения возникшей потребности необходимо выбрать массив данных, обладающий наиболее полной информацией о воздействиях на файлы, создать алгоритмический и методологический аппарат автоматизированного анализа воздействий, менее подверженный указанным ранее недостаткам существующих методов, и на его основе разработать специальный комплекс программных средств, позволяющий ускорить процесс расследования инцидентов ИБ.
Степень разработанности темы исследования. Расследование инцидентов ИБ представляет собой сложный процесс, требующий наличия у специалиста обширных знаний об особенностях функционирования ИС, способах обеспечения ИБ и оценки качества принятых мер защиты, математических методах анализа данных, связанных с инцидентами.
Вопросы, связанные с разработкой и применением мер, направленных на обеспечение ИБ, рассмотрены в работах С.С. Титова [4, 5], А.А. Захарова [6], А.Н. Соколова [7], В.В. Богданова [8], Ю.Д. Королькова [9], П.Н. Девянина [10, 11], И.И. Баранковой [12]. Авторами были предложены различные методы обеспечения ИБ, как в рамках отдельного узла, так и системы в составе

7
вычислительной сети, описаны организационные меры, направленные на
нейтрализацию угроз ИБ, рассмотрены методы и алгоритмы выявления угроз в сетевом трафике.
Применению математических методов и алгоритмов при анализе данных (в том числе используемых в рамках расследования инцидентов ИБ) посвящено множество научных работ, среди которых необходимо отметить труды В.А.Баранского [13, 14], Н.А. Гайдамакина [15], А.А. Захарова [16, 17], С.В. Поршнева [18], Д. Феррейры (D.R. Ferreira) [19], В. Сатиша (V. Sathish) [20], Е. Чуа (E. Chuah) [21], В.Н. Зуева [22], А.Н. Соколова [23, 24], О.И. Шелухина [25, 26], Ф. Юана (F. Yuan) [27], C. Йена (S. Yen) [28], К. Берлина (K. Berlin) [29], Р.Вааранди (R.Vaarandi) [30-32], Б. Штейна (B. Stein) [33], Х.Штудиавана (H. Studiawan) [34, 35]. Авторы разработали методы анализа информации, в том числе основанные на теории графов, рассмотрели применение метрик в контексте обработки информации, связанной с событиями ИБ, предложили новые и адаптировали существующие методы и алгоритмы машинного обучения для анализа разноформатных массивов данных: сетевого трафика, журналов событий и др. Часть указанных работ содержат количественные оценки результатов работы алгоритмов, что позволяет выбрать наилучший для решения задач анализа данных.
Целью исследования является разработка научно-обоснованных автоматизированных методов расследования инцидентов ИБ, их программных реализаций и методики использования.
Для достижения поставленной цели сформулированы и решены следующие задачи:
1. Анализ состояния предметной области и инструментов для автоматизированной идентификации, обнаружения и классификации воздействий на файлы.
2. Разработка математического аппарата для анализа воздействий на файлы, в частности: математической модели процесса идентификации воздействий на файлы; кластеризационного метода идентификации воздействий; метода экспресс-анализа событий ИБ.

8
3. Создание комплекса программных средств, реализующих
математические методы для анализа воздействий на файлы, направленных, в том числе, на нарушение действующей политики безопасности.
Объект исследования – процесс расследования инцидентов ИБ.
Предмет исследования – автоматизированные методы и алгоритмы расследования инцидентов ИБ.
Научная новизна работы. В рамках проведенного исследования получены следующие новые научные результаты:
1. Разработана модель процесса идентификации воздействий на файлы, основанная на математическом аппарате сетей Петри, позволяющая формализовать набор признаков, характеризующих файл, для их последующего анализа в рамках расследования инцидентов ИБ (соответствует п. 14 паспорта специальности в части создания событийной модели процесса идентификации воздействий на файлы, в т.ч. направленных на нарушение действующей политики ИБ, применяемой при мониторинге состояния объекта, находящегося под воздействием угроз нарушения его ИБ).
2. Разработан кластеризационный метод идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ (соответствует п. 15 паспорта специальности в части разработки кластеризационного метода идентификации воздействий на файлы с целью создания шаблонов воздействий как нового элемента контроля за влиянием на информацию в рамках процесса управления событиями ИБ).
3. Разработан метод экспресс-анализа событий ИБ, связанных с воздействиями на файлы, позволяющий ускорить процесс обнаружения и классификации воздействий (соответствует п. 13 паспорта специальности в части разработки принципа по созданию нового метода определения нормальных, аномальных и условно аномальных событий ИБ в целях формирования рекомендаций по совершенствованию мер, направленных на обеспечение ИБ).

9
Теоретическая значимость работы выражается в развитии научно-
методического аппарата для анализа воздействий на файлы в рамках расследования инцидентов ИБ [144-151].
Практическая значимость работы заключается в разработке комплекса программных средств, обеспечивающего автоматизацию процесса анализа воздействий на файлы, в том числе направленных на нарушение действующей политики ИБ [148, 149].
Методология и методы исследования. В диссертации представлены результаты исследований, полученные с помощью математического аппарата сетей Петри, теории вероятностей, кластерного анализа и алгоритмов классификации.
Положения, выносимые на защиту:
1. Процесс идентификации воздействий на файлы, направленных, в том числе, на нарушение действующей политики ИБ, описывается математическим аппаратом на основе сетей Петри [146].
2. Предложенный кластеризационный метод, в котором используются адаптированные к структуре массивов данных алгоритмы подготовки входной информации и определения оптимального количества кластеров, позволяет автоматизировать процесс идентификации воздействий на файлы [147].
3. Метод экспресс-анализа событий информационной безопасности, связанных с воздействиями на файлы, и реализующий его комплекс программных средств, позволяют автоматизировать процесс выявления нормальных, аномальных и условно аномальных воздействий на файлы [144, 148, 149].
Границы исследования – операционная система (ОС) Windows c файловой системой (ФС) NTFS и журналом изменений тома $UsnJrnl, являющимся массивом данных о воздействиях на файлы.
Достоверность и обоснованность полученных результатов подтверждается адекватным выбором математического аппарата задачам исследования и результатами экспериментальной апробации предложенных моделей и методов анализа воздействий на файлы.

10
Апробация исследования. Основные результаты диссертационных
исследований докладывались на различных семинарах и совещаниях, а также на международной научной конференции, в том числе:
1. II Всероссийская научная конференция (с приглашением зарубежных ученых) «Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации» (FISP-2020), 30 ноября 2020 г., Россия, г. Ставрополь [150];
2. 16-я Юбилейная международная молодежная научно-техническая конференция «Современные проблемы радиоэлектроники и телекоммуникаций, РТ-2020», 12-16 октября 2020 г., Россия, г. Севастополь [151];
3. 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 14-15 мая 2020 года, Россия, г. Екатеринбург [145].
Внедрение результатов исследования. Результаты работы используются в ООО «Уральский центр систем безопасности», Екатеринбург, Россия (акт об использовании результатов от 16.03.2021); в Уральском федеральном университете имени первого Президента России Б.Н. Ельцина, Екатеринбург, Россия (акт об использовании результатов от 10.03.2021); в ОКБ «Новатор», Екатеринбург, Россия (акт об использовании результатов от 23.12.2020).
Публикации. По теме диссертации опубликовано 6 научных работ, из них 4 статьи опубликованы в рецензируемых научных журналах и изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, включая 1 статью в издании, индексируемом в международной цитатно-аналитической базе Scopus. Имеются 2 свидетельства о государственной регистрации программы для ЭВМ.
Личный вклад автора. Все результаты и положения, выносимые на защиту, получены лично автором. Все алгоритмы, обсуждаемые в работе, разработаны и экспериментально исследованы автором самостоятельно. Научный руководитель принимал участие в постановке цели и задач исследования, их предварительном анализе, планировании экспериментов. Подготовка к публикации полученных

11
результатов проводилась совместно с соавторами, при этом вклад диссертанта был
определяющим.
Структура и объем работы. Диссертация состоит из введения, трех глав,
заключения и приложений. Общий объем диссертации составляет 178 страниц, включая 31 рисунок и 23 таблицы. Список использованных источников содержит 151 наименование.