CC BY
12Структура системы «Терминал ПДн»
Таким образом, применение системы дает, в сравнении с другими технологиями защиты удаленных и мобильных клиентов, целый ряд преимуществ:
- строгая аутентификация пользователя при доступе к терминалу работает по двухфакторной схеме: пользователь аутентифицируется перед загрузкой при помощи стойкого пароля, установленного службой безопасности, а доступ в корпоративную сеть и к серверным ресурсам осуществляется при помощи цифрового сертификата Х.509, хранящегося на СЗН. При необходимости, эти средства аутентификации могут быть усилены средствами аутентификации в составе целевых приложений;
- обеспечивается целостность программной среды терминала удаленного доступа (эталонный образец загружается в рабочее место со специального защищенного носителя, исключающего запись на него посторонних данных).
В настоящее время реализованы серверные и клиентские программные составляющие системы. Ведутся работы по созданию специального загрузочного носителя.
Библиографическая ссылка
1. Защита мобильных устройств: текущее состояние и перспективы развития. Ч. 2 [Электронный ресурс]. URL: http://www.leta.ru/press-center/publications/ article_930.html (дата обращения: 10.09.2013).
References
1. Zashhita mobil'nyh ustrojstv: tekushhee sostojanie i perspektivy razvitija. Chast' 2, Available at: http://www.leta.ru/press-center/publications/article_ 930.html (accessed 10 September 2013).
© Лемке Е. А., Лубкин И. А., 2013
УДК 004.056
АНАЛИЗ ЖУРНАЛА ОПЕРАЦИЙ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ АЛГОРИТМОМ САМООРГАНИЗУЮЩИХСЯ КАРТ КОХОНЕНА
К. Д. Михайлов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: kdmk@ya.ru
Исследуется возможность применения алгоритма самоорганизующихся карт Кохонена для анализа журнала операций пользователей информационной системы с целью выявления аномалий в действиях пользователя.
Ключевые слова: система обнаружения вторжений, модель пользователя, самоорганизующиеся карты Кохонена.
Методы и средства защиты информации
LOG OF OPERATIONS ANALYSIS OF REGISTERED USERS BY KOHONEN SELF-ORGANIZING MAP ALGORITHM
K. D. Mikhailov
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia E-mail: kdmk@yandex.ru
The possibility of applying the algorithm of Kohonen self-organizing maps for the analysis of the transaction log of information system users to identify anomalies in user actions is researched.
Keywords: intrusion detection system, a user model, the Kohonen self-organizing maps.
Системы обнаружения вторжений (СОВ) используются в сетях для отслеживания трафика и выявления потенциально опасного поведения. На сегодняшний день идея СОВ является достаточно новой и пока не до конца разработана. Современные СОВ способны определить аномальное поведение пользователя на основании его же модели, т. е. определить, тот ли пользователь осуществляет операции, за которого он себя выдает, либо же профиль пользователя был похищен, и опираются на поведенческий метод обнаружения вторжений, способный фиксировать и описывать нормальное поведение пользователя и тем самым выявлять несанкционированные действия пользователя или его потенциально опасное поведение [1].
Для проведения анализа и построения эталонной модели пользователя был получен журнал операций [2] пользователей одной из крупных организаций г. Красноярска (более 800 сотрудников). Согласно журналу за один рабочий день пользователями было совершено 58 870 операций. Просмотреть и проанализировать та-
кой объем информации невозможно, поэтому возникает необходимость автоматизированного анализа данных.
В журнал записываются следующие параметры операции: логин сотрудника, идентификатор роли сотрудника, Ш-адрес рабочей станции, с которой производилась операция, номер сессии (используется для выявления фактов запуска нескольких экземпляров программного обеспечения на одной рабочей станции), код начального и конечного события (код совершаемой операции, т. е. открытие, сохранение и т. п.), время начального и конечного событий, отметка о пакетной операции (если обрабатывается один документ, присваивается «0», в случае пакетной обработки присваивается «1»), количество обработанных документов, идентификатор документа, код типа документа, дата и время создания документа (появления документа в системе), статус документа.
Анализ журнала проводился при помощи алгоритма самоорганизующихся карт Кохонена на базе программы SOMine (см. рисунок).
Атлас карт, построенный на основе анализа журнала операций
Ввиду того, что данный программный продукт не может анализировать текстовые значения, в журнале операций была произведена замена текстовых значений на целочисленные коды. На основании данных журнала операций построены карты, приведенные на рисунке. Алгоритм разбил данные на три кластера. Наиболее интересными являются неоднородности карты, выделенные на рисунке. Неоднородность № 1 может показывать, что пользователи, которые относятся к этой области карты, выполняют действия, соответствующие роли, к которой они не относятся, неоднородность № 2 может показывать, что пользователи, обозначенные в этой области карты, выполняют действия, не только в общем не соответствующие роли, но и выполняющие несвойственные операции с документами.
Для подтверждения предположения о несоответствии пользователей роли были внесены изменения в журнал операций и изменены роли у пользователей, отнесенных алгоритмом к данной области, но изменение журнала операций, сгладив аномальные значения, обозначенные в областях № 1 и № 2, повлекло за собой появление аномалий в других областях. Анализ журнала операций вручную также не дал понимания причин возникновения аномальных значений.
Таким образом, применение самоорганизующихся карт Кохонена позволяет построить эталонную мо-
дель пользователя для корректного анализа действий пользователя и выявления таким образом потенциальных нарушителей правил безопасности.
Библиографические ссылки
1. Pannell G. & Ashman H. Anomaly Detection over User Profiles for Intrusion Detection // 8th Australian Information Security Mangement Conf. / Edith Cowan University, Perth Western, 2010. P. 94-117
2. Михайлов К. Д. О применении самоорганизующихся карт Кохонена для решения задачи обнаружения аномалий информационной безопасности в реляционных СУБД // Актуальные вопросы современной техники и технологии. Липецк : Изд-во «Де-факто», 2010. С. 64-67.
References
1. Pannell G. & Ashman H. Anomaly Detection over User Profiles for Intrusion Detection // 8th Australian Information Security Mangement Conference / Edith Cowan University, Perth Western, 2010, pp. 94-117.
2. Mihajlov K. D. O primenenii samoorganizujushhihsja kart Kohonena dlja reshenija zadachi obnaruzhenija anomalij informacionnoj bezopasnosti v reljacionnyh SUBD // Aktual'nye voprosy sovremennoj tehniki i tehnologii, Lipeck : izd-vo «De-fakto», 2010. S. 64-67.
© Михайлов К. Д. 2013
УДК 004.056
ОБ ОСОБЕННОСТЯХ ЗАДАЧИ АНАЛИЗА СЕТЕВОГО ТРАФИКА В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ПРОВАЙДЕРА
Е. Ю. Моисеев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: Ares_kr@mail.ru
Рассматриваются особенности задачи анализа сетевого трафика в вычислительных сетях провайдера для обнаружения информационных атак и аномалий.
Ключевые слова: компьютерные сети, анализ сетевого трафика.
SPECIAL TASKS OF TRAFFIC ANALYSIS IN THE COMPUTER NETWORK INTERNET SERVICE PROVIDER
E. Y. Moiseev
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: Ares_kr@mail.ru
Special tasks of traffic analysis are considered for detection information attacks and anomalies in the computer network internet service provider.
Keywords: computer networks, network traffic analysis.
Развитие современных информационных систем в мире предъявляет высокие требования по надежности, пропускной способности и безопасности к глобальным вычислительным сетям. Так, по прогнозам
компании Cisco, объем мирового IP-трафика, генерируемого в среднем в месяц, может составить порядка 83,8 экзабайт к 2017 г. [1]. С увеличением объемов передаваемых данных увеличивается и число инфор-
