CC BY
80
УДК 004.891.2
ИСПОЛЬЗОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ АНАЛИЗА ДАННЫХ В МОБИЛЬНОЙ UEBA/DSS-СИСТЕМЕ ДЛЯ РЕШЕНИЯ ЗАДАЧ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
П.А. Савенков
Целью данного исследования является разработка математического и программного обеспечения обнаружения аномального поведения пользователей на основе анализа их поведенческих биометрических характеристик. В данной статье осуществляется обзор применяемости методов машинного обучения в интеллектуальных системах. Одной из существенных проблем, в интеллектуальных UEBA/DSS системах, является получение полезной информации, из большого объема неструктурированных, несогласованных данных. Предлагается применение методов машинного обучения в реализации мобильной UEBA/DSS системы. В ходе исследования был сформирован перечень наиболее значимых факторов. Применение методов машинного обучения в UEBA/DSS системах позволит принимать взвешенные управленческие решения и сократить время на получение полезной информации и повысить конкурентоспособность предприятия.
Ключевые слова: Big Data, Data science, большие данные, программное обеспечение, информационная система машинное обучение, UEBA, DSS.
В настоящее время, на основе существующих DSS (Decision Support System), DLP (Data Loss Prevention), SIEM (Security information and event management), IDS/IPS (Intrusion Detection System/ Intrusion Prevention System), появился самостоятельный класс систем, использующий методы машинного обучения, применяющиеся для выявления признаков несвойственного поведения пользователей. Данный класс систем именуется компанией Gartner как UEBA (англ. User and Entity Behavior Analytics — анализ поведения пользователей и систем) [1]. В отличие от DLP, UEBA системы осуществляют мониторинг широкого спектра действий пользователя и принимают решения не на основе сформированных экспертами политик безопасности, а на основе исторических данных, собираемых естественным образом при взаимодействии пользователя со своим устройством.
В данный момент одной из существенных проблем, в интеллектуальных DSS и UEBA системах, является получение полезной информации, из большого объема неструктурированных разнородных, зашумленных и несогласованных данных [2] для решения задачи обнаружения аномалии.
Анализ аномального поведения пользователей должен проводиться на основе реальных данных. Так как данные являются разнородными, а их объемы крайне велики, определить аномалии в поведенческих характеристиках пользователей не всегда представляется возможным. Для сокращения объемов результирующих данных, предлагается использовать методы машинного обучения и интеллектуальную обработку данных.
В DSS и UEBA системах достаточно часто применяется статистический и многомерный анализ, поиск и просмотр исходной информации, Data Mining. Однако использование первых двух методик оправдано лишь при наличии небольших объемов данных [3].
Задачу анализа многомерных, данных можно представить в виде треугольника (рис.1) в основании которого объем исходных данных, а горизонтальная прямая, проведенная на разных уровнях, показывает, какой объем данных будут формировать соответствующие методы.
Data volume
Рис. 1. Схема методов анализа данных
По мере роста объемов исходных данных меняется и метод их анализа. Для принятия решения, при наличии краткого перечня данных, достаточно использовать просмотр исходной информации. При среднем объеме исходных данных применяется статистический и многомерный анализ, а при использо-
вании больших данных используется Data Mining. При использовании методов Data Mining, возможно получение максимально краткого объема информативных выходных значений, при достаточно большом количестве анализируемых входных параметров [4].
Для решения задачи обнаружения аномалии требуется: определить факторы аномального поведения пользователей; определить методы поиска таких аномалий.
Для решения задачи обнаружения аномалий в поведении пользователя определим факторы аномального поведения пользователей. Данные факторы представлены в табл. 1.
Таблица 1
Факторы аномального поведения пользователей_
Источник данных Поведенческий признак пользователя
Используемые приложения Изменение времени использования различных приложений
Посещаемые сайты Изменение перечня посещаемых сайтов; Посещение сайтов другой группы пользователей;
Камера, изображения Нахождение в изображении запрещенных фрагментов (фотографии документов с подписями, печатями
Звонки, диктофон Нахождение запрещенных ключевых фраз, или фраз относящихся к другой группе пользователей
Набираемый и получаемый текст Запрещенные к вводу ключевые фразы
Координаты GPS Изменение перемещений
Определение методов поиска аномалий
Для реализуемой UEBA системы c функционалом DSS, основанной на анализе поведенческих биометрических характеристик персонала предприятия, в связи с большим объемом входных анализируемых данных, предлагается использовать методы машинного обучения и интеллектуальную обработку данных. Это позволит уменьшить количество результирующих параметров.
Для сбора исходных данных используются мобильные устройства сотрудников предприятия c OC Android. Для анализа поведенческого, предлагается использовать следующие методы для анализа данных:
метод k ближайших соседей; используемые приложения;
координаты GPS (история перемещения сотрудника);
посещаемые сайты;
набираемый текст;
получаемый текст.
нейронные сети;
звонки, диктофон;
камера, изображение.
На основе «просеянных» данных программное обеспечение предлагает осуществить ряд действий администратору указывая на определенные отклонения пользователя от эталонного профиля [6]. В некоторых случаях администратор системы принимает решение о блокировке пользователя. На рис.2. представлена базовая схема связей в системе.
На каждое мобильное устройство, подключенное к системе, устанавливается мобильное приложение - клиент. После установки приложения, на мобильное устройство сотрудника, администратор системы назначает пользователю перечень, собираемых с его устройства, параметров. Набор анализируемых параметров, которые будут собираться на устройстве и анализироваться на сервере, отличается в зависимости от пользователя/группы пользователей. Формирование перечня анализируемых параметров и групп пользователей осуществляется администратором системы.
Мобильное приложение (Mobile Device) запускается при старте мобильного устройства как сервис. Мобильное устройство запрашивает перечень команд с сервера раз в N минут. После получения команд осуществляется их обработка, получение соответствующей информации и отправка данных на сервер (Main Server). Команды (Event Server) имеют различные приоритеты выполнения. Так же команды имеют различные статусы, такие как однократное выполнение и циклическое выполнение с таймером. После отправки данных на сервер происходит их прием главным сервером (Main Server), обработка, последующий анализ (Data Analisis server), и запись в базу данных (DataBase) исходных и результирующих параметров. В случае возникновения ошибки данная команда выполняется повторно на мобильном устройстве.
Панель администратора (Admin Console) имеет прямое подключение к главному серверу и имеет определенные возможности, такие как:
управление группой или определенным пользователем (Mobile Control Server); добавление к выполнению новых команд (Event Server); генерирование отчетов.
Ф
Mobile Device
Ф
Mobile Device
Ф
Mobile Device
Ф
Mobile Device
Internet
о
DDOS
Protection
Main Server
Ъ
Mobile Control Server
i si à
Event Server
Data Analysis Server
Рис. 2. Схема связей системы
Прямой доступ к серверу обеспечивает постоянный доступ к управлению на случай DDOS атаки, в обход фильтрации DDOS атак модулем DDOS Protection.
В ходе исследования был сформирован перечень наиболее значимых факторов, подаваемых на вход анализирующих методов. C Ростом количества признаков экспоненциально увеличивалось количество объектов, которые должны находиться в обучающей выборке для покрытия всевозможных ситуаций. Уменьшение количества входных параметров позволило экспоненциально уменьшить объем обучающей выборки для метода knn, так как всевозможное количество комбинаций признаков XN, где N это количество признаков, X количество состояний признака.
Благодаря применению различных алгоритмов и методов анализа данных и машинного обучения, в мобильной UEBA, удалось добиться повышения информативности результирующих данных. Раннее обнаружение аномалий позволит принимать взвешенные управленческие решения администратору системы, уменьшит операционные затраты и повысит конкурентоспособность предприятия. Актуальность UEBA/DSS в настоящее время, очень высока и будет увеличиваться со временем по мере развития новых информационных технологий.
Список литературы
1. Gartner. Market Guide for User and Entity Behavior Analytics. Gartner, 2015. [Электронный ресурс] URL: https://www.gartner.com/en/documents/3538217 (дата обращения: 04.11.2019).
2. Cai L., Zhu Y. The challenges of data quality and data quality assessment in the big data era // Data science journal, 2015. Т. 14. 10 p.
3. Wang Y. et al. Energy efficient neural networks for big data analytics // Proceedings of the conference on Design, Automation & Test in Europe. European Design and Automation Association, 2014. P. 345.
4. Chen H., Chiang R.H.L., Storey V.C. Business intelligence and analytics: From big data to big impact // MIS quarterly, 2012. Т. 36. №. 4. 24 p.
5. Ivutin A.N., Savenkov P.A., Veselova A.V. Neural network for analysis of additional authentication behavioral biometrie characteristics // 7th Mediterranean Conference on Embedded Computing (MECO). IEEE, 2018. P. 1-3.
6. Wang J., Neskovic P., Cooper L. N. Improving nearest neighbor rule with a simple adaptive distance measure // Pattern Recognition Letters, 2007. Т. 28. №. 2. P. 207-213.
7. Yan Z. et al. Energy-efficient continuous activity recognition on mobile phones: An activity-adaptive approach //2012 16th international symposium on wearable computers. Ieee, 2012. P. 17-24.
Савенков Павел Анатольевич, аспирант, pavel@savenkov.net, Россия, Тула, Тульский государственный университет
USE OF DATA ANALYSIS METHODS AND ALGORITHMS IN MOBILE UEBA / DSS SYSTEM FOR SOL UTION OF INFORMA TION SEC URITY TASKS
P.A. Savenkov
The purpose of this study is to develop mathematical and software for detecting abnormal user behavior based on an analysis of their behavioral biometric characteristics. This article provides an overview of the applicability of machine learning methods in intelligent systems. One of the significant problems in intelligent UEBA / DSS systems is obtaining useful information from a large amount of unstructured, inconsistent data. The application of machine learning methods in the implementation of a mobile UEBA / DSS system is proposed. During the study, a list of the most significant factors was formed. The use of machine learning methods in UEBA / DSS systems will allow you to make informed management decisions and reduce the time to obtain useful information and increase the competitiveness of the enterprise.
Key words: Big Data, Data science, Big Data, software, machine learning information system, UEBA,
DSS.
Savenkov Pavel Anatolevich, postgraduate, pavel@savenkov.net, Russia, Tula, Tula State
University
УДК 623.76
ПОЛЕВОЙ ТРЕНАЖЕР ГРУППОВОЙ ПОДГОТОВКИ ОПЕРАТОРОВ ПЕРЕНОСНЫХ ЗЕНИТНЫХ РАКЕТНЫХ КОМПЛЕКСОВ (ОБОСНОВАНИЕ И ПОСТАНОВКА ЗАДАЧИ)
А.А. Саулин
Цикл статей посвящен вопросу создания полевого группового тренажера подготовки отделений стрелков-зенитчиков. В данной статье обосновывается и ставится задача исследований, а также приводится физическая модель, положенная в основу решения указанной задачи.
Ключевые слова: тренажер, стрелок-зенитчик, зенитная управляемая ракета, переносной зенитный комплекс, учебно-тренировочная задача, цель.
Как показал опыт мировых и региональных войн, а также опыт локальных конфликтов последних десятилетий, в большинстве случаях именно роль противовоздушной обороны (ПВО) является ключевой при организации оборонительных мероприятий в тылу, прифронтовой зоне и непосредственно на линии фронта. Действия сил ПВО во многом предопределяют успешность как оборонительных, так наступательных операций. Переносные зенитные ракетные комплексы (ПЗРК) относятся к средствам ПВО ближнего боя (до 5 км) и являются последним рубежом обороны. В настоящее время на вооружении РФ, и почти всех стран бывшего СССР, стоят ПЗРК семейств «Стрела» 9К32 и «Игла» 9К38, а также ПЗРК «Верба» 9К333.
Ключевыми особенностями применения ПЗРК при решении различных боевых задач (в сравнении с комплексами других типов) является следующее:
использование при организации объектовой обороны как стационарной, так и в движении, причем в качестве объектов защиты могут и выступать ЗРК других типов;
использование против целей, имеющих большой диапазон как по высотам (от 10 м до 3 км), та и по скоростям полета (от 0 до 360 м/с), то есть и против самолетов тактической авиации, и против беспилотных летательных аппаратов (БЛА);
существенное влияние на боевые возможности ПЗРК и результат стрельбы типа и ракурса движения цели (вдогон или навстречу) относительно оператора ПЗРК;
минимальное информационное обеспечение стрельбы (в лучшем случае указание предполагаемых азимута и высоты движения цели за несколько секунд до ее визуального контакта с оператором ПЗРК);
автономность и самостоятельность действий оператора ПЗРК в процессе поиска, идентификации, захвата цели и проведения пуска.
