Аннотация:
Одной из основных функций системы защиты информации является идентификация любого субъекта доступа с целью возможности расследования инцидентов информационной безопасности (ИБ). В ходе выполнения процедур сканирования и эксплуатации уязвимостей квалифицированные злоумышленники регулярно производят смену идентифицирующих признаков. Подобные действия не только обфусцируют данные в подсистемах аудита, затрудняя возможность восстановления хронологии событий эксперту ИБ, но и ставят под сомнение неопровержимость доказательной базы причастности конкретного злоумышленника к конкретным противоправным действиям. В статье приводится анализ применения современных подходов идентификации злоумышленников в веб-ресурсах, не требующих проведения аутентификации для основной пользовательской аудитории (методы fingerprinting, анализ поведенческих признаков). Авторами рассмотрены признаки пользователя, которые могут быть использованы для решения задачи его последующей идентификации.
С использованием широко применяемых в задачах веб-аналитики «тепловых карт», адаптированного профиля пользователя и компьютерной модели динамики системы «пользователь-мышь» авторами предлагается проводить идентификацию субъектов инцидента ИБ в общедоступных информационных ресурсах сети Интернет. Основная идея предполагаемого подхода заключается в том, что при построении тепловой карты должны учитываться не только плотность расположения данных, а также определяемые экспертом статистические параметры (дистанция градиента интенсивности, дистанция перекрытия и т.д.). Авторами предлагается учитывать и динамику действий пользователя (например, вычисление среднего времени ввода данных в интерактивные элементы). В статье содержится пошаговое описание каждого шага соответствующей методики, а также информация по ее практической реализации. Робастность данного подхода подтверждается практическим экспериментом. Предложенная методика не является универсальным средством идентификации злоумышленника – во внимание принимаются только ручные таргетированные атаки, не учитывается использование злоумышленниками cURL инструментов и т.д. Поэтому рекомендуется использовать его исключительно в дополнение к действующим системам защиты (WAF, IPS, IDS).
Работа выполнена при поддержке Министерства образования и науки Российской Федерации в рамках проектной части государственного задания на 2017–2019 гг. (проект № 2.3583.2017/4.6).
Поступила в редакцию: 29.06.2018
Реферативные базы данных:
Тип публикации:
Статья
УДК:
004.9
Язык публикации: английский
Образец цитирования:
A. Yu. Iskhakov, A. O. Iskhakova, R. V. Mescheriakov, R. Bendraou, O. Melekhova, “Application of user behavior thermal maps for identification of information security incident”, Тр. СПИИРАН, 61 (2018), 147–171
\RBibitem{IskIskMes18}
\by A.~Yu.~Iskhakov, A.~O.~Iskhakova, R.~V.~Mescheriakov, R.~Bendraou, O.~Melekhova
\paper Application of user behavior thermal maps for identification of information security incident
\jour Тр. СПИИРАН
\yr 2018
\vol 61
\pages 147--171
\mathnet{http://mi.mathnet.ru/trspy1035}
\crossref{https://doi.org/10.15622/sp.61.6}
\elib{https://elibrary.ru/item.asp?id=36514013}
Образцы ссылок на эту страницу:
https://www.mathnet.ru/rus/trspy1035
https://www.mathnet.ru/rus/trspy/v61/p147
Эта публикация цитируется в следующих 8 статьяx:
A.A. Salomatin, I. Kovalev, “Method of user identification based on dynamic characteristics of mobile device hardware”, E3S Web Conf., 548 (2024), 03008
Alexander A. Salomatin, Andrey Y. Iskhakov, Anastasia O. Iskhakova, “Web user identification based on browser fingerprints using machine learning methods”, IFAC-PapersOnLine, 54:13 (2021), 582
Aleksander A. Salomatin, Andrey Yu. Iskhakov, Roman V. Meshcheryakov, 2021 International Siberian Conference on Control and Communications (SIBCON), 2021, 1
A.Y. Iskhakov, A.A. Salomatin, V. Breskich, A. Zheltenkov, Y. Dreizis, “Estimation of the time for calculating the attributes of browser fingerprints in the user authentication task”, E3S Web Conf., 224 (2020), 01030
O. O. Shumskaya, A. О. Iskhakova, “Digital Watermarks with Adaptive Information Ring Width in the Issue of Hidden Transmission of a Control Signal in the Multi-Target Robotic System”, Proceedings of the SWSU, 24:2 (2020), 136
Andrey Iskhakov, Roman Meshcheryakov, Elena Okhapkina, 2020 International Russian Automation Conference (RusAutoCon), 2020, 431
Irina Vatamaniuk, Roman Iakovlev, 2020 IEEE 10th International Conference on Intelligent Systems (IS), 2020, 392
А.Ю. Исхаков, А.М. Смирнов, “Implementation of an adaptive authentication system using an EEG interface”, МОДЕЛИРОВАНИЕ, ОПТИМИЗАЦИЯ И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ, 8:2(29) (2020), 20
Цитирование в формате AMSBIB
Обратная связь: