CC BY
145
АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ СБОРА ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ С ОТКРЫТЫХ РЕСУРСОВ И МОНИТОРИНГА ИНФОРМАЦИОННЫХ РЕСУРСОВ С ИСПОЛЬЗОВАНИЕМ МАШИННОГО ОБУЧЕНИЯ
DOI 10.24411/2072-8735-2018-10154
Красов Андрей Владимирович, krasov@inbox.ru Штеренберг Станислав Игоревич, shterenberg.stanislaw@yandex.ru Фахрутдинов Ринат Маратович, rinat9753@mail.ru Рыжаков Данила Владиславович, dan.ryzhakov@gmail.com
Ключевые слова: машинное обучение,
Пестов Иг°рь Евгеньевич, pestovie@outlook.com Python, информационная безопасность,
Санкт-Петербургский государственный университет телекоммуникаций анализ, мониторинг, поведение
им. проф. М.А. Бонч-Бруевича, г. Санкт-Петербург, Россия пользователей и объектов.
Рассматривается метод применения машинного обучения для обеспечения информационной безопасности (ИБ) предприятия. Для анализа информационной безопасности проводится рассмотрение нескольких способов работы с данными, таких как сбор и систематизация данных пользователей открытых источников и ресурсов и мониторинг распределения ресурсов облачной инфраструктуры предприятия, которые в совокупности позволяют разработать модель поведения пользователей и объектов в системе для повышения уровня информационной безопасности. Под объектом будем рассматривать виртуальную машину, коммутатор, маршрутизатор и другие объекты виртуальной инфраструктуры. Использование комплексного подхода позволяет определить индивидуальное поведение пользователей, а также объектов, и влияние их действий на состояние информационной безопасности в целом. Машинное обучение используется для более точного определения девиантного поведения пользователя и так же объектов в системе. Сбор различных данных пользователя и объекта позволяет: однозначно определить нарушителя в системе; предотвратить возможность вторжения в корпоративную систему; проводить проверку функционирования системы. Мониторинг ресурсов позволяет: оценить состояние инфраструктуры в целом; выявить подозрительную активность внутри системы; проводить прогноз потребления ресурсов системы. Модель поведения пользователей и объектов позволяет: идентифицировать пользователей и объекты в системе; определить род деятельности пользователей; предотвратить возможные нарушения безопасности в системе; исследовать влияние объектов информатизации на инфраструктуру предприятия. Данное направление актуально для отслеживания потенциальных нарушений ИБ как на малых, так и крупных предприятиях.
Информация об авторах:
Красов Андрей Владимирович, к.т.н., доцент, заведующий кафедрой защищенных систем связи; Штеренберг Станислав Игоревич, ассистент кафедры защищенных систем связи;
Фахрутдинов Ринат Маратович, студент магистратуры, инженер кафедры защищенных систем связи; Рыжаков Данила Владиславович, студент магистратуры, инженер кафедры защищенных систем связи; Пестов Игорь Евгеньевич, аспирант, старший преподаватель кафедры защищенных систем связи,
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, г. Санкт-Петербург, Россия Для цитирования:
Красов А.В., Штеренберг С.И., Фахрутдинов Р.М., Рыжаков Д.В., Пестов И.Е. Анализ информационной безопасности предприятия на основе сбора данных пользователей с открытых ресурсов и мониторинга информационных ресурсов с использованием машинного обучения // T-Comm: Телекоммуникации и транспорт. 2018. Том 12. №10. С. 36-40.
For citation:
Krasov A.V., Shterenberg S.I., Fakhrutdinov R.M., Ryzhakov D.V., Pestov I.E. (2018). Analysis of the information security of the enterprise based on data collection of users from open resources and monitoring of information resources with the use of machine learning. T-Comm, vol. 12, no.10, pр. 36-40. (in Russian)
Введение
В настоящее и рем я машинное обучение занимает огромное место в жизни человека, в связи с наличием большого спектра его применений. Например, оно используется в анализе дорожных пробок или медицинской диагностики. Можно привести большое количество таких примеров, но в данной статье будет рассматриваться использование машинного обучения для более точного определения поведения пользователя и объектов информатизации в информационной системе (ИС).
Проведение исследования:
Машинное обучение (machine learning) чаще всего подразделяют на два типа:
- контролируемое - поиск зависимости между первоначальной постановкой задачи и её конечным результатом;
- неконтролируемое — в данном случае конечный результат заранее не известен и необходимо найти различные зависимости между объектами, т.е. целью является упорядочить данные или описать их структуру.
В первом случае определяются такие популярные алгоритмы как классификация, ранжирование, регрессия, обнаружение аномалий (используется, например, для выявления фактов мошенничества в банковских системах или нарушения правил поведения в корпоративной сети). В случае второго типа - кластеризация, поиск ассоциаций, фильтрация выбросов и гак далее. Также определяют машинное обучение, которое применяется в робототехнике. В этом случае для каждого текущего действия выбирается наилучшее последующее. Этот метод обладает обратной связью для уведомления об успешности выбранного действия [11,
Выбор алгоритма машинного обучения зависит от большого числа факторов, таких как длительность обучения, линейность, точность, число и а раме ¡ров и многое другое. В случае, если необходимо получить системы с коротким временем обучения, то используется алгоритм регрессии, а если необходимо получить высокую точность - лес решений или нейронная сеть [2, 3].
Существуют множество подходов к машинному обучению, но они имеют нечеткие границы, так как каждый из подходов подразумевает использование различных алгоритмов и часто пересекается с другими. Среди существующих подходов самыми популярными являются: байесовская теория классификации, классификация на основе сходства, поиск закономерностей, нейронные сети, и другие [3].
На рисунках 1а и 16 продемонстрированы два примера использования машинного обучения.
В первом примере видно, как работает алгоритм машинного обучения на примере использования электронной почты. При поступлении какого-либо сообщения данный алгоритм определяет, является ли это сообщение спамом или не является. Па основе поступления сообщений с типовой структурой система обучается распознавать спам и блокировать его.
Как происходит обучение системы в данном случае. На начальной стадии система анализирует, каким образом пользователь проводит фильтрацию сообщений на спам — не спам. Далее она понимает этот алгоритм действий пользователя, обучается этому алгоритму и далее автоматически
проводит фильтрацию входящих сообщений, облегчая работу пользователя [1,2, 3].
Пример А
Исходный Спа.4
Электронная алгоритм
почта машинного
ооучения
Не там
Рис. 1 а. Пример использования машинного обучения
Пример Б
Сайт по теме Сайг по теме
«сварочные «системного
работ» имини стркрованга»
Сайт по «не «оукга.тгерн*»
Сайта по другим itiiiii
Рис. 15. Пример использования машинного обучения
Второй пример является более сложным аналогом работы алгоритма машинного обучения. В этом случае алгоритм определяет, к каким сайтам имеет доступ сотрудник в связи с его родом занятий. То есть, например, сварщик имеет доступ только к сайтам по тематике его работы, но не имеет доступа к сайтам с тематикой, не относящейся к его роду деятельности.
В данном случае обучение системы проходит таким образом. В начале работы система анализирует запросы работ-пиков, то есть, например, бухгалтер пользуется сайтами, относящиеся к его роду деятельности, в это время система обрабатывает запросы этого пользователя, запоминает их. и далее на основе этих запросов строит характеристическую модель пользователя, что позволяет ей сортировать запросы работника. И па основе этой модели система разграничивает доступ к тем или иным сайтам. В итоге работник будет получать доступ только к сайтам с его тематикой.
Разработка метода
Представленные выше примеры использования машинного обучения являются общеизвестными. В данной статье машинное обучение будет рассмотрено как необходимый инструмент любой системы 1Т безопасности, основывающийся на нескольких способах работы с информацией |4].
Рассмотрим первый способ: сбор и анализ информации о пользователе.
В настоящее время основным средством хранения и распространения информации является сеть Интернет. «Всемирная паутина» всё чаще используется для решения огромного количества различных задач. Таким образом, Интернет является необходимым механизмом, позволяющим организовывать работу различных предприятий.
Но, говоря о работе с данной сетью, нельзя забывать и о безопасности корпоративной информации, Безопасность данных является одной из основных задач, как малых, так и крупных организаций. При этом речь идет не только о возможных утечках информации и противодействия этому, отражении различных атак на ресурсы компании, но и об оптимизации функционирования системы в целом.
Одним из инструментов для обеспечения безопасности корпоративной информации предприятия является сбор и анализ ключевой информации о пользователях. Но тут возникают две ключевые проблемы:
- большие объемы данных: в связи с бурным ростом сети Интернет и большого количества контента невозможно вручную собирать данные;
- частое обновление контента: один человек или специальная группа сотрудников не в силах обслуживать о!ром-ные потоки динамично изменяющейся информации самостоятельно.
Для решения этих проблем предполагается использование синтаксического анализа (пирсинга), позволяющего собирать данные о пользователях для их дальнейшей обработки, Парсинг сайтов является оптимальным и эффективным решением для автоматизации сбора и анализа информации [5]. В отличие от человека, программа-парсер может:
- быстро просматривать огромное количество вебстраниц;
- отделить машинный код от контента, воспринимаемого человеком;
- выделить необходимую информацию и отбросить лишнюю;
- предоставить конечные данные в необходимом виде.
Далее с полученными структурированными данными
(база данных или электронная таблица) можно проводить различные манипуляции, необходимые предприятиям.
Преимущества использования парсинга сайтов:
- автоматический режим работы, практически без участия оператора;
- безотказность работы программы, отсутствие ошибок;
- экономия времени и средств;
- обработка большого количества информации;
- способность обрабатывать динамическую, то есть постоянно меняющуюся информацию.
Виды парсинга сайтов:
- заполнение веб-сайтов текстовой или мультимедийной информацией;
- сбор данных о товарах и их стоимости для интернет-магазинов;
- сбор данных о пользователях;
- работа с социальными сетями;
и другое.
На рисунке 2 представлен простейший алгоритм работы программы-парсера для сбора информации из какого-либо информационного источника, например веб-страницы.
Программа-парсер может быть реализована на большом количестве языков программирования. Например, С++, Delphi, Python, PHP и др.
11 од видя итог, можно с уверенностью сказать, что синтаксический анализ (парсинг) сайтов является удобным инструментом для сбора информации о пользователях, который позволит предприятиям контролировать влияние действий сотрудников на состояние информационной безопасности [6].
Второй способ: мониторинг ресурсов облачной инфраструктуры. Данный способ позволяет производить мониторинг ресурсов и аналитику данных мониторинга. Он будет направлен на облачную инфраструктуру предприятий, так как она подходит для малого, среднег о и крупного бизнеса.
Данная инфраструктура обычно строится на стандартном наборе компонентов: сервис идентификации, сервер хранения данных, сервера с вычислительными ресурсами. Сервер идентификации - главный элемент системы, отвечающий за все сервисы, использующиеся в работе облака. Сервисы в свою очередь предоставляют тот или иной функционал системе.
Например: сервис вычислительных ресурсов предоставляет системе ресурсы для запуска виртуальных машин (ин-стансов); сетевой сервис отвечает за предоставление сетевых ресурсов, таких как выделение пула IP-адресов, маршрутизацию и построение оверлейных туннелей; сервис управления отвечает за работу других сервисов; сервис идентификации и авторизации позволяет производить аутентификацию для всех сервисов, служб и пользователей; сервис хранения предоставляет пространство для хранения данных.
Все сервисы взаимодействуют между собой при помощи сервиса сообщений для обеспечения стабильной и синхронной работы, он передает запросы на выделение ресурсов, данные о состоянии и т.д. Все сообщения передаются при помощи зашифрованных litips запросов, поэтому без специального клиента невозможно получить данные [7, 8J.
В роли клиента выступает сервис сбора телеметрии. При помощи него можно собирать разные полезные данные. Каждый инстане может получать некое количество ресурсов, таких как количество процессорного времени, количество оперативной памяти и дискового пространства. Каждый из этих ресурсов можно рассматривать, как источник данных о состоянии данного инстанса или даже целого сервера предоставления вычислительных ресурсов. Также есть возможность сбора трафика для его дальнейшего анализа. На границе виртуальной сети предприятия устанавливается DIM (deep packet inspection), позволяющий просматривать пакет целиком, в обоих направления и получать полезные данные.
На рисунке 3 представлена схема взаимодействия сервисов облачной инфраструктуры.
СЕРВИС ТЕЛЕМЕТРИИ
Сервис ■исншфньашш
Сервис
[;:.,'<■ к . | ' : с : : \
ресурсов
Сервис хранения
Сетевой сервис
ведения пользователей и объектов в системе для повышения уровня информационной безопасности.
Таблица 1
Событии журналов аудита для определения поведении пользователей
Рис. 3. Схема взаимодействия сервисов облачной инфраструктуры
Третий способ: анализ поведения пользователей в информационной системе.
Данный способ подразумевает проведение анализа поведения пользователей в информационной системе.
Непрерывное развитие и внедрение информационных технологий, появление больших объёмов данных и их ценности приводит к необходимости защиты информации. Основной угрозой безопасности являются вторжения в вычислительные системы. Под ними понимается какая-либо деятельность пользователей или объектов, нарушающая целостность, доступность и конфиденциальность данных [7, 8J.
Для предотвращения подобных вторжений целесообразно проводить анализ поведения пользователей и объектов в системе.
В таблице 1 представлен пример журнала событий для определения поведения пользователей на основе операционной системы Windows [9].
Построение модели определения поведения пользователей и объектов в системе позволит:
- идентифицировать пользователей и объекты в системе;
- определить род деятельности пользователей;
- предотвратить возможные нарушения безопасности в системе;
- исследовать влияние объектов информатизации на инфраструктуру предприятия.
Для анализа информационной безопасности в данной статье были рассмотрены несколько способов работы с данными, таких как сбор и систематизация данных пользователей открытых источников и ресурсов и мониторинг распределения ресурсов облачной инфраструктуры предприятия, которые в совокупности позволяют разработать модель no-
Категория Описание
Системное событие Перезагрузка операционной системы
Систем ное событие Завершение работы операционной системы (shutdown)
Системное событие Загрузка пакета аутентификации
Системное событие Запуск процесса аутентификации (используется WinLogon.exe)
Систем н ое событие Сбой при регистрации одного или нескольких событий аудита
С истем ное собы тйе Очистка журнала аудита
Системное событие Загрузка пакета оповещения об изменениях в списке пользователей
Вход/выход пользователя из системы Пользователь успешно вошел в систему
Вход/выход пользователя из системы Вход пользователя в систему запрещен -имя или пароль некорректны
Вход/выход пользователя из системы Вход пользователя в домен в данное время запрещен
Изменения в списке пользователей Произведены изменения в учетной записи пользователей глобальной группы, не связанные с изменением членства пользователей в этой группе
Изменения в списке пользователей Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства в группах
Аудит доступа к объектам Открытие папок
Аудит доступа к объектам Создание/удаление/изменен не файлов
li ы вод
Технологии машинного обучения могут быть использованы для создания динамических моделей повеления пользователей, наиболее полно раскрывающие специфику обязанностей сотрудников и позволяющую динамически распределять их нагрузку. С помощью данных технологий, в зависимости от временных рамок, можно увеличивать или уменьшать загрузку ресурсов облачной инфраструктуры предприятия, а также варьировать информационные ресурсы для выполнения должностных обязанностей сотрудников, в зависимости от специфики их деятельности.
Машинное обучение является необходимым инструментом для обеспечения информационной безопасности предприятия, основывающимся на рассмотренных в данной статье способах работы с информацией.
Литература
!, Shterenberg S.I.. Kraspv А. V,. Ushakov LA. Analysis of using equivalent instructions at the hidden embedding of information into the executable files, / Journal of Theoretical and Applied Information Technology, 2015. T. 80. № I.C. 28-34.
2. Штеренберг С.И., Кафланов Р.И., Дружин А.С., Марченко С.С. Методика применения самомодификации файлов для скрытой передачи данных в экспертной системе // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 1. С. 71-75.
3. Штеренберг С. И. Методика применения я адаптивной системе локальных вычислительных сетей сте го вложения в исполнимые файлы на основе самомодифицирующегося кода. // Системы управления и информационные технологии. 2016. Т. 63. № I. С. 51-54.
4. Красив A.B.. Верещагин A.C.. Цветков А.Ю. Аутентификация программного обеспечения при помощи вложения цифровых водяных знаков в исполняемый код // Телекоммуникации. 2013. № S7. С. 27-29.
5. Красов A.B.. Верещагин A.C., Абатуров B.C. Методы скрытого вложення информации в исполняемые файлы // Известия Санкт-Петербургского государственного электротехнического университета Л ЭТИ. 2012. № 8. С. 51-55.
6. Виткова Л.А. Исследование распределённой компьютерной системы адаптивного действия // Наукоемкие технологии в космических исследованиях Земли. 2015. Т. 7. № 5. С. 44-48.
7. Коржик В.И., Токарева М.В, Метод обнаружения стегоси-Стем на основе анализа статистики криптограмм, формируемых при помощи шифрования вкладываемых сообщений / В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании сборник научных статей V международной научно-технической и научно-методической конференции. 2016. С. 431-436.
8. Буйневич М.В., Израилов К.Е. Метод алгоритмизации машинного кода телекоммуникационных устройств // Телекоммуникации. 2012. № 12. С. 2-6.
9. Кузнецов И.А., Липатников В.А.. Сахаров Д.В. Способ управления информационно-вычислительной сетью на основе краткосрочного прогнозирования распространения компьютерного вируса / В сборнике: Актуальные проблемы инфотелекоммуникаций в пауке и образовании сборник научных статен V международной научно-технической и научно-методической конференции. 2016. С. 441-446.
ANALYSIS OF THE INFORMATION SECURITY OF THE ENTERPRISE BASED ON DATA COLLECTION OF USERS FROM OPEN RESOURCES AND MONITORING OF INFORMATION RESOURCES WITH THE USE OF MACHINE LEARNING
Andrei V. Krasov, Stanislaw I. Shterenberg, Rinat M. Fakhrutdinov, Danila V. Ryzhakov, Igor E. Pestov,
The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, Saint-Petersburg, Russia, pestovie@outlook.com
Abstract
In this article, the authors consider the method of applying machine learning to ensure the information security (IS) of an enterprise. For the analysis of information security, several methods of working with data are being considered, such as collecting and systematizing data from users of open sources and resources and monitoring the distribution of resources of the cloud infrastructure of the enterprise, which together allow develop a model of the behavior of users and objects in the system to improve information security. As an object we will consider a virtual machine, switch, router and other objects of virtual infrastructure. Using an integrated approach allows you to determine the individual behavior of users, as well as objects, and the impact of their actions on the condition of information security in general. Machine learning is used to determine the deviant behavior of the user and also objects in the system more accurately. Collecting various user and object data allows: uniquely identify the intruder in the system; prevent the possibility of an intrusion into the corporate system; check the functioning of the system. Monitoring resources allows: estimate the condition of the infrastructure as a whole; identify suspicious activity within the system; carry out a forecast of resource consumption of the system. The model of user and object behavior allows: identify users and objects in the system; determine the type of activity of users; prevent possible security breaches in the system; investigate the impact of information objects on the infrastructure of the enterprise. This direction is relevant for monitoring potential violations of information security for small and large enterprises.
Keywords: machine learning, Python, information security, analysis, behavior of users and objects. References
1. Shterenberg S.I., Krasov A.V., Ushakov I.A. (2015). Analysis of using equivalent instructions at the hidden embedding of information into the executable files. Journal of Theoretical and Applied Information Technology. Vol. 80. No. 1, pp. 28-34.
2. Shterenberg S.I., KaflanovR.I., Druzhin A.S., Marchenko S.S. (2016). Self-modification method of application files for secure communication in the expert system. High technology in space-based Earth research. Vol. 8. No 1, pp. 71-75.
3. Shterenberg S.I. (2016). Method of use in the adaptive system of local area networks stegovlozheniya in executables based on self-modifying code. Control Systems and Information Technology. Vol. 63. No. 1, pp. 51-54.
4. Krasov A.V., Vereshchagin A.S., Tsvetkov A.Y. (2013). Software Authentication using embedding digital watermarks into executable code. Telecommunications. No. S7, pp. 27-29.
5. Krasov A.V., Vereshchagin A.S., Abaturov V.S. (2012). Methods of hidden information in the attachment executable files. Proceedings of the St. Petersburg State Electrotechnical University LETI. No. 8, pp. 51-55.
6. Vitkova L.A. (2015). Study of adaptive distributed computing system actions. High Tech Earth in space research. Vol. 7. No. 5, pp. 44-48.
7. Korzhik V.I., Tokarev M.V. (2016). Stegosystems detection method based on the analysis of cryptograms statistics generated by encrypting invested posts. Recent infotelecommunications problems in science and education collection of scientific articles V International scientific and methodological conference, pp. 431-436.
8. Buinevich M.V., Israel K.E. (2012). Algorithmization Method Machine Code telecommunication devices. Telecommunications. 2012. No. 12, pp. 2-6.
9. Kuznetsov I.A., Lipatnikov V.A. Sakharov D.V. The process control computer and information network on the basis of short-term forecasting the spread of a computer virus. Recent infotelecommunications problems in science and education collection of scientific articles V International scientific and methodological conference.
Information about authors:
Andrei V. Krasov, Candidate of Technical Sciences., assistant professor, Head of Secure Communication Systems Department;
Stanislaw I. Shterenberg, Assistant of the Secure Communication Systems Department;
Rinat M. Fakhrutdinov, graduate student, engineer of the Secure Communication Systems Department;
Danila V. Ryzhakov, graduate student, engineer of the Secure Communication Systems Department;
Igor E. Pestov, graduate student, Teacher of the Secure Communication Systems Department, The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, Saint-Petersburg, Russia
