CC BY
36
УДК 004.056
К ВОПРОСУ ВЫБОРА АЛГОРИТМОВ В ЗАДАЧАХ АНАЛИЗА ПОВЕДЕНИЯ
ПОЛЬЗОВАТЕЛЕЙ
Е. В. Анашкин Научный руководитель - М. Н. Жукова
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: a.yegoriy@gmail.com
Приводятся три свойства, которыми должны обладать современные средства защиты информации. Для обеспечения данных свойств предлагается использование технологии поведенческой аналитики пользователей и сущностей. Осуществляется выбор подходящих алгоритмов для решения задач анализа поведения пользователей.
Ключевые слова: самоадаптивные системы защиты, самообучающиеся системы защиты, поведенческая аналитика пользователей.
TO THE QUESTION OF ALGORITHMS CHOICE IN TASKS OF USER BEHAVIOR
ANALYSIS
E. V. Anashkin Scientific supervisor - M. N. Zhukova
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: a.yegoriy@gmail.com
The paper gives three properties, which must have modern information security facilities. For ensuring these properties an using of user and entity behavior analytics technology is proposed. To solve tasks of user behavior analysis the choice of suitable algorithms is realized.
Keywords: self-adaptive security system, self-learning security system, user's behavior analytics.
Динамичность современных информационных систем (далее - ИС) негласно диктует для средств защиты информации (далее - СЗИ) дополнительные требования. К таким требованиям можно отнести наличие у СЗИ следующих свойств:
- автономности;
- самоадаптации;
- самообучаемости.
Автономность направлена на сокращение времени, которое затрачивается на реагирование и принятие решения специалистом по информационной безопасности (далее - ИБ), а также способна решать вопросы ИБ в то время, когда рабочий день специалистов окончен.
Самоадаптация и самообучаемость позволяют не проводить переконфигурацию СЗИ при изменениях в инфраструктуре ИС или кадровых изменениях. Кроме того, в классических правило-ориентированных СЗИ существует определенная дилемма. С одной стороны, каждое правило выражает некоторый обобщенный универсальный критерий, например 3 попытки на ввод пароля. Недостаток такого подхода в том, что универсальный критерий не покроет особенности всех пользователей или всей инфраструктуры, что приведет к периодическим ложным срабатываниям. С другой стороны, можно создавать для каждого особенного случая отдельное правило. При данном способе возрастает асимптотическая сложность алгоритма проверки срабатывания пра-
Секция «Информационнаябезопасность»
вил и понижается управляемость базой правил в условиях отсутствия автоматизации. Применение самоадаптивных и самообучающихся систем может разрешить эту дилемму.
Один из способов добиться адаптивности - это внедрение поведенческого анализа. Относительно молодой технологией на рынке решений по информационной безопасности является поведенческая аналитика пользователя и сущности UEBA (User and Entity Behavior Analytics) [1]. Решение использует аналитику для построения стандартных профилей поведения для пользователей и сущностей. Определение сущности достаточно широко, ею может являться отдельный хост, приложение, сетевой трафик или хранилище данных. Обнаружение аномальной активности, то есть отклонения от стандартного поведения способствует обнаружению угроз и потенциальных инцидентов. Общая схема работы технологии UEBA представлена на рисунке.
Общая схема работы технологии UEBA
Обнаружение аномального поведения осуществляется с использованием различных аналитических подходов - прежде всего статистического моделирования и машинного обучения, но дополнительно для сравнения поведения пользователей и сущностей с их профилями поведения применяются правила и сигнатуры.
Построение профилей поведения невозможно без большого количества анализируемых данных. Поэтому можно выделить два критерия к данным:
- должны использоваться данные из разнородных источников (логи, события, сетевые потоки и пакеты и др.);
- данные должны также нести контекстную информацию, например, путем получения справочной информации из каталогов Active Directory или базы данных отдела кадров. В противном случае решение будет сопровождаться проблемой ложных срабатываний [2]. В качестве примера, можно рассмотреть ситуацию, когда работнику назначается новая обязанность, предусматривающая доступ к новому ресурсу. В таком случае если система защиты не учтет данный факт -то обращение работника к новому ресурсу будет считаться потенциально опасным действием (отклонением от стандартного профиля поведения).
Одной из первоначальных задач при разработке новых методов поведенческого анализа является выбор алгоритмов, которые будут использоваться внутри метода. Применительно к анализу поведения из алгоритмов машинного обучения наиболее интересны алгоритмы классификации. В рамках данной задачи были рассмотрены классические алгоритмы классификации, к числу которых можно отнести метод наивного байеса, метод k-ближайших соседей, деревья решений и машину опорных векторов.
Также был рассмотрен отдельный класс алгоритмов, для которых адаптивность является основополагающим свойством. Такие алгоритмы делают попытку воспроизвести процессы, меха-
низмы и свойства различных биологических систем, которые приобрели способности к самоадаптации в ходе эволюции. Этот класс алгоритмов носит название биоинспирированные алгоритмы. Для систем защиты информации можно выделить две распространённые биоинспирированные модели [3]:
- искусственные иммунные системы (ИИС);
- искусственные нейронные сети (ИНС).
Каждый из перечисленных выше методов имеет определенные недостатки, которые стараются нивелировать при помощи различных техник композиции и/или взаимодействия между собой нескольких копий алгоритмов. К таким техникам можно отнести следующие подходы:
- алгоритмы «не знают» друг о друге и работают независимо (бэггинг, случайный лес);
- алгоритмы «знают» о своем предшественнике, работают совместно и последовательно (бус-тинг).
- алгоритмы конкурируют друг с другом за ресурс;
- алгоритмы подражают лучшему.
Стоит отметить также разнородность информации, которую потребуется мониторить и анализировать адаптивной, автономной системе защиты. Это могут быть численные значения (размер сетевого пакета), временные интервалы (дата, время) и символьные константы (название процесса). Кроме того, можно привести разделение на одиночные данные, которые возможно рассматривать обособленно, и на последовательности данных, привязанных ко времени. С определенными типами данных лучше работают определенные алгоритмы. Данная особенность наталкивает на вывод о необходимости разработки решения в виде одного (или комбинации) следующих вариантов:
- механизма «интеллектуального» переключения между алгоритмами в зависимости от задачи и вида данных;
- алгоритма с универсальной архитектурой, одинаково работающего со всеми видами данных;
- механизма преобразования анализируемых данных в единый унифицированный формат.
Библиографические ссылки
1. Gartner. Market Guide for User and Entity Behavior Analytics., pp. 22 [Электронный ресурс]. URL: https://www.cbronline.com/wp-content/uploads/dlm_uploads/2018/07/gartner-market-guide-for-ueba-2018-analyst-report.pdf (дата обращения 24.03.2019).
2. Большие ожидания: почему технологиям UEBA не стать серебряной пулей//Аналитическая статья [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Technology_Analysis/ why_technology_UEBA_not_be_silver_bullet (дата обращения 24.03.2019).
3. Анализ биоинспирированных подходов для защиты компьютерных систем и сетей / И. В. Котенко, А. В. Шоров, Ф. Г. Нестерук. //Тр. СПИИРАН, 2011, выпуск 18, С. 19-73 [Электронный ресурс]. URL: http://www.mathnet.ru/links/d53465ed54f4adbec92eacf63e05084b/trspy450.pdf (дата обращения 24.03.2019).
© Анашкин Е. В., 2019
