МЕТОД ЭКСПРЕСС-АНАЛИЗА СОБЫТИЙ, СВЯЗАННЫХ С ВОЗДЕЙСТВИЯМИ НА ФАЙЛЫ, ПРЕДНАЗНАЧЕННЫЙ ДЛЯ РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.57

Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной

безопасности

Н. А. Гайдамакин, Р. В. Гибилинда, Н. И. Синадский

В статье предложен метод экспресс-анализа событий информационной безопасности (ИБ), основанный на представлении инцидента как совокупности событий, состоящих из воздействий на файлы. Метод предполагает применение базы данных шаблонов идентифицированных воздействий, исходными данными для которых являются записи журнала изменений тома файловой системы №ГР8 - $Шп.Тгп1. Рассмотрен алгоритм поиска и классификации воздействий на файлы с использованием шаблонов. Предлагаемый метод экспресс-анализа позволяет определить порядок событий в рамках расследуемого инцидента ИБ, сократив количество анализируемых массивов данных до одного - журнала $Шп.Ггп1.

Ключевые слова: расследование инцидентов информационной безопасности, событие информационной безопасности, воздействие на файл, шаблон воздействия на файл.

1. Введение

Менеджмент инцидентов, являющийся важной составляющей управления информационной безопасностью (ИБ), включает в первую очередь расследование инцидентов в целях выяснения и устранения их причин и условий, им способствующих. В соответствии с [1, п. 3.2.7] инцидент информационной безопасности определяется как «любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность». Причинами, способствующими возникновению инцидентов ИБ, являются как компьютерные атаки (согласно [2] компьютерная атака - целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы1 или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств), так и действия пользователя, нарушающие действующую политику безопасности, принятую в организации.

Таким образом, процесс расследования инцидентов ИБ включает, прежде всего, анализ событий («определённой совокупности обстоятельств» [1, п. 3.2.8]), являющихся в соответствии с [4] составляющими частями инцидента ИБ. К ключевым событиям относятся те, которые связаны с воздействиями на файлы, содержащими защищаемую информацию.

Под воздействием на файлы понимается совокупность файловых операций2, связанных по назначению, разделённых по времени и приводящих к изменению характеризующих признаков одного или нескольких файлов [5]. При этом следует отметить, что в процессе обработки

1 Информационная система - система, организующая обработку информации о предметной области и её хранение [3].

2 Под файловой операцией понимается процесс модификации значений признаков (параметров), характеризующих файл.

информации в компьютерной системе3 (КС), являющейся основой информационной системы (ИС), осуществляется множество файловых операций.

С одной стороны, файловые операции, являющиеся результатом обработки информации пользователем КС, можно трактовать как санкционированные воздействия на файлы, т.е. не приводящие к нарушениям ИБ. С другой стороны, сценарии и технологии реализации компьютерных атак могут включать в том числе различные файловые операции, совокупность которых может составлять воздействия на файлы, аналогичные осуществляемым в ходе пользовательской обработки информации. Однако такие воздействия, называемые несанкционированными, характеризуются другими субъектами, т.н. злоумышленниками, и/или направлены на нарушение ИБ и/или создание условий для её нарушения.

В результате при расследовании инцидентов ИБ необходимо рассматривать и анализировать события, связанные как с санкционированными, так и с несанкционированными воздействиями на файлы, чтобы выделить и идентифицировать4 те из них, которые непосредственно связаны с инцидентом. Общее количество событий, связанных с воздействиями на файлы, зависит от нескольких факторов, таких как: количество файлов, активность пользователя в работе с файлами, тип действий злоумышленника (использование вредоносного программного обеспечения, внедрение уязвимостей в сервисы КС с целью получения контроля над ней), решаемые КС задачи и др. Рассмотрим два примера, которые описывают зависимость количества событий от ранее указанных факторов.

Первым примером является использование злоумышленником на компьютере жертвы вредоносного программного обеспечения Jigsaw [6], предназначенного для шифрования содержимого пользовательских файлов с целью последующего «вымогания» денежных средств за ключ расшифрования. При наличии 100 файлов, владельцем которых является пользователь, Jigsaw в процессе своей работы создаст 150-200 событий, связанных с воздействиями на файлы. Количество же санкционированных воздействий, обусловленных активностью пользователя в период работы Jigsaw, зачастую не превышает 10-15.

Второй пример - внедрение кода в Web-приложение. Пусть Web-сервер в процессе своей работы осуществляет 20000 событий, связанных с воздействиями на файлы, в час. Основной файловой операцией, выполняемой Web-сервером при обработке запросов, является чтение файлов, в которых содержится исходный код Web-приложений. Злоумышленник, реализуя компьютерную атаку типа «внедрение кода», изменяет содержимое Web-приложения, формирующего страницу сайта, где пользователь может изменить пароль от своей учетной записи. В данном случае цель злоумышленника - кража учетных данных. В результате формируются 1-2 события, связанные с изменением содержимого файла.

Как видно из примеров, работа специалиста-аналитика по расследованию инцидента ИБ осложняется тем, что ему необходимо идентифицировать и классифицировать заранее неизвестное количество событий, связанных с воздействиями на файлы.

Одним из направлений разрешения указанной проблемы является разделение процесса анализа событий, связанных с воздействиями на файлы, на т.н. экспресс-анализ5 и в случае необходимости дальнейшее детальное исследование специалистом-аналитиком, проводящим расследование. Разработанный метод экспресс-анализа событий, основанный на использовании массивов данных, содержащих информацию о воздействиях на файлы, отличается от известных методов [7-9] использованием шаблонов6 с целью последующей идентификации и классификации воздействий.

3 Совокупность аппаратных средств, управляемых программным обеспечением (операционной системой) как единый модуль [3].

4 Под идентификацией воздействия на файл в рамках статьи будем понимать процесс определения действия, совершённого по отношению к файлу, на основе анализа значений признаков, его характеризующих.

5 Анализ, целью которого является составление перечня событий, связанных с воздействиями на файлы и классифицированных как несанкционированные, с указанием времени события и его типа.

6 Под шаблоном воздействия на файл понимается декомпозиция данных, характеризующая это воздействие и позволяющая выделить его среди множества остальных воздействий.

2. Общая схема метода экспресс-анализа событий ИБ

КС работают под управлением многозадачных систем, вследствие чего специалист-аналитик, как уже отмечалось, вынужден исследовать множество как санкционированных, так и несанкционированных воздействий на файлы, «сплетённых» в едином массиве данных. Для сокращения объёма анализируемой информации необходимо разделить (классифицировать) множество осуществлённых воздействий на нормальные, условно аномальные (предварительно - «подозрительно» аномальные) и аномальные. Нормальные воздействия не имеют отношения к инциденту ИБ и должны быть исключены из отчёта специалистом-аналитиком, проводящим расследование. Условно аномальные воздействия должны быть рассмотрены в рамках инцидента в том случае, если удовлетворяют дополнительным критериям, например, дата и время начала/окончания, расположение файлов и т.д. Аномальные воздействия, которые не должны возникать в процессе штатного функционирования КС, должны быть проанализированы в приоритетном порядке.

Установление взаимосвязи между классифицированным воздействием на файл и событием ИБ осуществляется следующим образом. В соответствии с [3] инцидент ИБ Q определяется как совокупность событий ИБ и описывается выражением:

Q ={ (V..,Sp)} , (1)

где Si,...,Sp - события ИБ, аp - их количество. В работе [4] каждое событие ИБ рассматривается с позиции воздействий на файлы и описывается выражением:

Sj =(< jí=1=1' (2)

где Ají - воздействие i на файл j, относящееся к событию ИБ k; l - количество воздействий;

n - количество файлов.

Таким образом, в соответствии с (1) и (2) инцидент ИБ состоит из событий, а события ИБ представляются совокупностью воздействий на файлы. Следовательно, на основе классификации воздействий на файлы специалист имеет возможность выявлять связанное событие ИБ.

Предлагаемый метод экспресс-анализа нацелен на автоматизированное определение порядка возникновения событий ИБ за счёт использования шаблонов воздействий на файлы и состоит из двух этапов. На первом (подготовительном) этапе на основе идентифицированных воздействий на файлы необходимо подготовить шаблоны воздействий, оценив их аномальность применительно к процессу штатной обработки информации в исследуемой КС, и сформировать базу данных шаблонов. Второй этап (расследование инцидента ИБ) заключается в осуществлении поиска и классификации воздействий на файлы с применением подготовленной базы данных шаблонов. Метод позволяет сконцентрировать внимание специалиста только на тех событиях ИБ, которые связаны с несанкционированными воздействиями на файлы.

3. Поиск и классификация воздействий на файлы с применением подготовленной базы данных шаблонов

Содержащиеся в базе шаблоны должны быть структурированы в соответствии с задачами, решаемыми узлом инфраструктуры ИС. Так, например, на Web-сервере уделяется особое внимание файлам Web-приложений, файлам конфигурации сервисов, изображениям, видео, текстовым файлам, используемым непосредственно для работы Web-ресурса.

3.1. Идентификация воздействий на файлы

В рамках реализации предлагаемого метода экспресс-анализа событий ИБ разработано программное средство, которое осуществляет автоматизированный процесс идентификации воздействий на файлы на основе предварительно подготовленных шаблонов воздействий с отмеченными признаками нормальности, условной и безусловной аномальности. Анализ воздействий на файлы производится по данным журнала изменений тома файловой системы N□FS $№оГт1 [10] (далее - журнал).

На рис. 1 представлен пример идентификации и классификации по признаку аномальности воздействий на файлы при помощи разработанного программного средства в рамках эксперимента, в ходе которого на компьютерную систему осуществлялась атака типа «внедрение кода», направленная на нарушение конфиденциальности и целостности исходного кода Wtb-приложений, послужившая причиной инцидента ИБ.

Сигналом об обнаружении атаки является сработка системы обнаружения атак. Из данных о сработке специалист, который начинает расследование инцидента ИБ, получает время атаки, её тип и 1П-адрес узла, которые подаются на вход программного средства экспресс-анализа для установления условий аномальности воздействий на файл.

I

Воздействия

Обнаруженные воздействия Не совпавшие воздействия

Воздействие Время начала Время окончания

2 Создание txt файла 2020-04-06 15:24:30.093750 2020-04-06 15:24:30.4843

3 Создание txt файла 2020-04-06 15:26:24.046875 2020-04-06 15:26:24.0468

4 Дополнение содержимого php ... 2020-04-06 15:27:01.015625 2020-04-06 15:27:01.0156

Дополнение содержимого php ... 2020-04-06 15:28:10.890625 2020-04-06 15:28:10.890

Дополнение содержимого php ... 2020-04-06 15:28:55.765625 2020-04-06 15:28:55.765

Дополнение содержимого php ... 2020-04-06 15:29:15.937500 2020-04-06 15:29:15.937

8 Дополнение содержимого txt ф... 2020-04-06 15:24:30.093750 2020-04-06 15:24:30.4843

9 Переименование В ехе 2020-04-06 15:25:16.078125 2020-04-06 15:25:16.4375 ,

РежйТГ

Классифицированные воздействия

dHdJlHJd-

® По шаблонам О По источнику

Начать анализ

Дополнительные условия аномальности

0 Дата начала:

0 Время начала: 15:00 t

06.04.2020 v

□ Дата окончания:

□ Время окончания:

09.04.2020 17:30 :

Рис. 1. Классификация воздействий на файлы с применением шаблонов

На рис. 1 красным цветом выделены идентифицированные аномальные воздействия на файлы, желтым цветом - условно аномальные воздействия, которые удовлетворяют дате и времени начала инцидента ИБ. В примере идентифицировано воздействие компьютерной атаки типа «внедрение кода», в процессе которой осуществляется переименование файла с расширением *.ИШ

Полученный результат достигается специалистом-аналитиком на основе ранее подготовленной базы данных шаблонов и последующего её применения для поиска и классификации воздействий в рамках расследования.

3.2. Подготовка базы данных шаблонов воздействий на файлы

Обладая знаниями об используемых в КС технологиях (версия операционной системы, тип прикладного программного обеспечения), специалист-аналитик заранее готовит базу данных, содержащую шаблоны типовых воздействий на файлы.

Источником информации о воздействиях на файлы является, как уже отмечалось, журнал. Структуру журнала составляют записи, формат которых представлен в табл. 1. Поля, отмеченные курсивом, используются при идентификации воздействий на файлы.

Таблица 1. Формат записи журнала изменений тома $№п1гп1

Смещение, байт Размер, байт Описание поля

0x00 4 Размер записи

0x04 2 Версия записи

0x06 2 Версия программного обеспечения, которым запись создана

0x08 8 Идентификатор файловой записи

0x10 8 Идентификатор родительского каталога

0x18 8 Номер записи

0x20 8 Временная отметка создания записи

0x28 4 Идентификатор операции

0X2с 4 Тип источника записи

0x30 4 Идентификатор безопасности

0x34 4 Атрибуты файла

0x38 2 Длина имени файла *

0X3А 2 Начало имени файла в записи

0x3с * Имя файла

Примеры некоторых значений поля «Идентификатор операции» [10], которые были проанализированы в рамках проведенного эксперимента, представлены в табл. 2.

Таблица 2. Примеры значений поля «Идентификатор операции»

Значение поля (в десятичной системе счисления) Описание

1 Содержимое файла перезаписано

2 Содержимое файла дополнено

4 Содержимое файла уменьшено

256 Создание файла

512 Удаление файла

4096 Предыдущее имя файла

8192 Новое имя файла

32768 Изменение служебной информации о файле

2147483648 Закрытие файла

Значения полей записей журнала являются основой шаблона G, который представляет собой совокупность фиксированных значений, описываемых вектором:

sign

R R

RG' Rsign

С {( Спате, Сапота1у) ' ( ' lsignj' ( DG' Dsign)' ( ' М, где в отношении к рассматриваемому шаблону воздействия:

• Спате - название шаблона воздействия;

• Сапотау - признак аномальности воздействия;

• ^ - множество значений, описывающих идентификаторы файловых записей7;

• DQ - множество значений, описывающих идентификаторы родительских каталогов8;

• Мс - множество значений, описывающих имена файлов9, расширения имен файлов и используемые специальные символы10 (при их наличии);

• Яс - множество значений, описывающих идентификаторы операций, полученных из поля «Идентификатор операции» (табл. 1) записей журнала;

• Isign, Dsign, , Ящп - признаки значимости соответствующих множеств значений

1с, DQ , Мс, Яс для воздействия на файл, описываемого шаблоном G.

На рис. 2 показан пример генерации шаблона (нижняя таблица рис. 2), соответствующего идентифицированному воздействию на файл (верхняя таблица рис. 2) - замена расширения файла с О на р1П(переименование), в результате чего интерпретатор □□□ будет выполнять программный код, содержащийся в файле.

г-> ИФЗ ЙРКФЗ л Г Операция* ( Имя Временная отметка USN

7442 7442 7442 17789 17789 L 17789 4096 8192 £147491840> about.txt about php jtoout.php J 132306602848750000 80384 132306602848750000 80464 132306602848750000 80544

Dg

f- \ ИФЗ ИРКФЗ ^Операции* Расширения Шаблоны имен Символы имени*

7442 17789 4096 8192 £147483648^ Dhp about.php about.txt v J

Рис. 2. Пример генерации шаблона воздействия -замена расширения файла с Ю на СЫНв целях осуществления атаки типа «внедрение кода»

На рисунке столбцы таблиц соответствуют следующим полям записей журнала (табл. 1) и компонентам вектора G:

• «ИФЗ» - идентификаторы файловых записей Iс;

• «ИРК ФЗ» - идентификатор родительских каталогов, принадлежащих DQ ;

7 Идентификатор файловой записи - уникальное числовое значение, содержащееся в служебной информации о файле, используемое драйвером файловой системы для однозначного определения файла [4].

8 Идентификатор родительского каталога - уникальное числовое значение, используемое драйвером файловой системы для установления соответствия между файлом и каталогом, в котором файл расположен [4].

9 Имя файла - битовая строка, используемая драйвером файловой системы для представления файла пользователю [4].

10 Символы, не являющиеся буквами, цифрами и пробелами будем относить к категории специальных при рассмотрении имен файлов.

• «Операция» - идентификаторы операций, принадлежащих Ro;

• «Имя», «Расширения», «Шаблоны имён», «Символы имени» - имена файлов, принадлежащих N0;

• «ШМ» - номера записей;

• «Временная отметка» - временные отметки создания записей.

Говоря об оценке аномальности воздействия, следует отметить, что этот параметр непосредственно связан с процедурой экспертной оценки и определяется специалистом-аналитиком, подготавливающим шаблон воздействия на файл с целью последующей их (воздействий) идентификации в рамках расследования инцидента ИБ. Например, создавая шаблоны воздействий на файлы, в т.ч. при рассмотрении сценариев и примеров атаки типа «внедрение кода», специалист, используя признак Оапота1у, может пометить шаблоны как аномальные, то есть не

являющиеся санкционированными в процессе штатного функционирования операционной системы и активности пользователя.

Признаки значимости , , Rsign, Nsign определяют необходимость использования значений из соответствующих множеств ¡о, Во , Ro, N0 при экспресс-анализе воздействий на файлы с использованием шаблонов. Каждый признак значимости может принимать значение 0 или 1, определяемое специалистом-аналитиком, подготавливающим шаблон, в зависимости от того, важны ли значения соответствующего множества при идентификации воздействия на файл с применением генерируемого шаблона. Стоит отметить, что поля, не выделенные как значимые, не будут учитываться в последующем применении шаблона воздействия для его идентификации в рамках экспресс-анализа событий. В свою очередь, чем точнее указаны значения полей шаблона воздействия, тем ниже вероятность появления ошибок 1 и 2 рода при проведении экспресс-анализа событий ИБ с применением шаблонов.

3.3. Применение базы данных шаблонов воздействий на файлы

Поиск и классификация воздействий на файлы с использованием шаблонов осуществляется на основе нахождения совпадений в записях журнала с данными шаблонов. Как отмечалось выше, воздействие на файл характеризуется значениями из множеств ¡о, Во , Ro, N0, которые можно рассматривать как компоненты вектора О/, характеризующего файл. Поскольку в контексте определённого воздействия те или иные компоненты могут быть значимыми или незначимыми и иметь различные значения из соответствующих множеств, то сравнение с шаблоном осуществляется пороговым способом по степени близости, рассчитываемой как взвешенное скалярное произведение компонент вектора О/ с соответствующими компонентами шаблона О.

Алгоритм поиска и классификации воздействий на файлы включает следующие операции (рис. 3):

1) открыть базу данных шаблонов; загрузить совокупность хранящихся в базе шаблонов и начать цикл по поиску соответствия шаблонов в наборе записей журнала;

2) загрузить из выбранного в цикле шаблона компоненты вектора О;

3) сформировать вектор-столбец максимальных весовых коэффициентов Wmax (все компоненты вектора имеют ненулевое значение и по умолчанию имеют вес, равный 1). Wmax описывает ситуацию, когда все компоненты вектора О, характеризующие воздействие, являются значимыми;

4) на основе признаков значимости , , Rsign, Nsign сформировать вектор-

строку весовых коэффициентов W (по умолчанию вес равен 1). W описывает ситуацию, когда значимость компонентов вектора О, характеризующих файл, определяется соответствующими признаками;

5) умножением вектора-строки W на вектор-столбец Wmax рассчитать пороговое значение Gthreshold ;

6) выбрать из журнала записи в соответствии со значимыми признаками шаблона G;

7) разделить выбранные записи на блоки по временным интервалам t для выделения воздействий из общего набора записей;

8) сравнить полученные блоки записей с текущим шаблоном G: для каждого признака текущего шаблона G найти вхождения (совпадения) значений признака в полях записей блоков и сформировать вектор-столбец вхождений Wsimiiar;

9) рассчитать значение коэффициента сходства Gsimiiar, умножив вектор-строку W на

вектор-столбец Wsimilar;

10) сравнить Gsimilar и Gthreshold : если Gsimilar ^ Gthreshold , то набор записей в блоке совпадает с шаблоном G;

11) принять решение об условной аномальности воздействия: если записи в блоке принадлежат временному интервалу инцидента ИБ, то классифицировать их как условно аномальные;

12) на основании признака аномальности Ganomaly принять решение о классификации

воздействия, совпавшего с шаблоном G, как аномального;

13) перейти к следующему шаблону.

Говоря об оценке вычислительной сложности предложенного алгоритма, следует учитывать, что наибольший вклад вносит процедура выборки записей журнала в соответствии со значимыми признаками шаблона G, вычислительная сложность которой за счёт использования двоичных деревьев поиска в индексах базы данных, хранящей записи загруженного журнала, составляет O(n*log2n), где n - количество записей журнала. В сравнении с другими популярными алгоритмами классификации, например, SVM (O(n2)) или деревьям решений (O(h+n*log2n), где h - «глубина» дерева), предложенный алгоритм показывает лучшие или сопоставимые результаты, но устойчив к повышению вычислительной сложности из-за увеличения размерности пространства признаков (компонентов вектора G), а также позволяет менять дополнительные условия аномальности без необходимости переобучения классификатора.

4. Заключение

Существующие подходы к идентификации воздействий на файлы в рамках расследования инцидента ИБ опираются на анализ данных из множества массивов, таких как: журналы событий, последние открытые файлы, временные отметки файлов, объекты Jump List, объекты службы Prefetch, ветки реестра (UserAssist, MUICache, Persisted, BagMRU и др.), журналы стороннего программного обеспечения (например, Web-сервера), журналы средств защиты информации. Анализ указанных массивов данных позволяет определить порядок событий в рамках инцидента ИБ. В результате применения предложенного метода экспресс-анализа удалось сократить объём анализируемой специалистом информации. Вместо анализа совокупности данных о воздействиях на файлы, полученных из 8-12 массивов, упоминавшихся ранее, специалисту требуется проанализировать один массив данных - журнал изменений тома файловой системы NTFS $UsnJrnl.

Несмотря на то, что объем записей в журнале $UsnJrnl достигает 700-800 тысяч записей в зависимости от интенсивности осуществления файловых операций, применение подготовленной узкоспециализированной базы данных шаблонов для идентификации и классификации воздействий на файлы позволяет сконцентрировать внимание специалиста на нескольких десятках или сотнях записей, имеющих непосредственное отношение к расследуемому инциденту ИБ.