CC BY
1
УДК 004.056
О ПОСТРОЕНИИ ПРОФИЛЯ ПОЛЬЗОВАТЕЛЯ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
*
Е. В. Анашкин Научный руководитель - М. Н. Жукова
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: a.yegoriy@gmail.com
Предлагается вариант построения профиля пользователя информационной системы на основе иерархических марковских моделей. Представленный профиль предназначен для дальнейшего использования в задачах поведенческой аналитики в целях повышения защиты информационной системы от несанкционированного доступа.
Ключевые слова: профилирование, профиль пользователя, поведенческая аналитика пользователей, информационная безопасность.
ABOUT CONSTRUCTION OF THE USER PROFILE OF THE INFORMATION SYSTEM
E. V. Anashkin* Scientific supervisor - M. N. Zhukova
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation *E-mail: a.yegoriy@gmail.com
The paper proposes the option of constructing a user profile of an information system based on hierarchical Markov models. The presented profile is intended for further use in tasks of behavioral analytics in order to increase the protection of the information system from unauthorized access.
Keywords: profiling, user profile, user's behavior analytics, information security.
В общем смысле под профилем понимается множество взаимосвязанных знаний, которое используется для индивидуализации и представления субъекта [1]. Профиль является результатом процесса профилирования.
В системах поведенческой аналитики профиль строится на основании действий пользователя в информационной системе. Построенный профиль используется для детектирования аномальных действий, не присущих данному пользователю. Профиль позволяет идентифицировать, что за рабочей станицей работает легитимный пользователь, а не иной субъект, который может быть злоумышленником. Поэтому способ формирования и представления профиля является важной и актуальной задачей.
Профиль также можно разделить на три уровня: уровень представления - каким образом профиль представлен администратору системы, уровень анализа - это формат профиля, который используется внутри алгоритмов для оценки и сравнения текущего поведения пользователя с профилем, уровень хранения - каким образом профиль сохраняется в хранилище (файле или базе данных).
Наиболее важным с точки зрения корректной работы системы поведенческого анализа является уровень анализа. Поэтому далее под профилем будет пониматься именно уровень
Секция «Информационнаябезопасность»
анализа. Для сравнения возможных вариаций построения профилей проанализирован ряд работ [2-5]. Результат анализа сведен в таблицу.
Сравнение профилей пользователей в научных работах
№ работы Профиль Недостатки подхода
1 [2] Список частотных и ассоциативных правил ■ Алгоритм проверки профиля имеет асимптотическую сложность О(п), где п -количество правил. При добавлении N пользователей в систему сложность возрастет до №О(п) ■ Обнаружение нетипичных (аномальных) действий малоинформативно без дополнительной приоритетной информации об опасности действия
2 [3] Ряд статистических показателей, например: общий сетевой трафик, т.е. сумму принятого и отправленного трафика пользователем в единицу времени ■ Статистические показатели в единицу времени не учитывают особенности, связанные с датой (количество сетевого трафика в конкретный день может быть на порядок больше или меньше) ■ До накопления статического показателя до уровня, соответствующего пользователю, проблематично определить соответствие, оно будет размыто и может пересекаться с показателями других пользователей
3 [4] Профиль - это одно из состояний пользователя (безопасное, безвредный, подозрительный, опасный). Состояние определяется путем калькуляции баллов по критическим событиям за период времени Т ■ Выбор критичных событий и количество баллов, начисляемых за событие полностью основано на экспертной оценке ■ Если получен НСД в систему, но действия злоумышленника не входят в множество критических событий - НСД не обнаружится
4 [5] Кортеж из марковской модели наблюдения событий доступа в процессе выполнения пользователем функциональной задачи и множество программных средств, необходимых для выполнения задачи ■ Учет последовательности событий происходит без привязки ко времени ■ Основная ассоциация с программными средствами
Таким образом, учитывая приведенные в таблице недостатки, выдвинуты следующие требования к профилю пользователя:
- профиль должен позволять анализировать последовательности действий (порядок выполнения действий может являться отличительной чертой пользователя);
- профиль должен иметь привязку к временной шкале.
Предлагается использовать для построения профиля пользователя, удовлетворяющего выдвинутым требованиям, иерархические модели Маркова [6]. На рис. 1 представлены варианты профиля пользователя, где и - элемент множества временных штампов действий Т = {11, ..., иб, ...}, аг - элемент множества действий пользователя А = {а1, ..., а4, ...}, вг -элемент множества объектов, над которыми совершаются действия О = {о1, ..., в3, ...}.
Из рисунка можно увидеть несколько марковских цепей:
- цепь время-время связывает время действия с вероятным временем наступления следующего действия;
- цепь время-действие связывает время действия с вероятным действием;
- цепь действие-действие связывает действием с вероятным следующим действием;
- цепь действие-объект, связывает действие с вероятным объектом, над которым должно совершиться действие.
Рис. 1. Пример профиля пользователя в виде иерархических цепей Маркова: а - двухуровневая цепь; б - трехуровневая цепь
Для определения соответствия текущих действий профилю может использоваться
следующая формула C = (p(t^} + p(amk) + P(0i+1|0i), иначе ' ГД6 С - К0ЭФФИ™
соответствия профилю пользователя.
Предложенный вариант построения профиля пользователя совместно с формулой позволяет определять соответствие текущих действий модели поведения пользователя.
Библиографические ссылки
1. M. Hildebrandt, S. Gutwirth. Profiling the European Citizen: Cross-Disciplinary Perspectives. 2008 edition (May 1, 2008), Springer Science. pp. - 19.
2. Гарусев M. Л. Методы Data Mining в автоматизированном построении профиля пользователя защищаемой автоматизированной системы // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. 2006. № 25. С. 127-134.
3. Назаров А.О., Аникин И.В. Формирование эталонных профилей поведения пользователей в корпоративных информационных системах // Вестник Казанского государственного технического университета им. А.Н. Туполева. 2012. № 3. С. 138-142.
4. Цветков A.A., Надеждин E.H. Практическая реализация алгоритма идентификации профиля пользователя в процессе активного мониторинга сетевых ресурсов // Современные проблемы науки и образования. 2014. № 5. С. 169.
5. Формирование эталонных профилей пользователей для разграничения доступа пользователей в автоматизированных системах специального назначения / Грязев А.Н., Кий A.B., Саенко И.Б. и др. // Труды ЦНИИС. Санкт-Петербургский филиал. 2017. Т. 1. № 4. С. 12-23.
6. Fine S., Singer Y., Tishby N. The Hierarchical Hidden Markov Model: Analysis and Applications // Machine Learning. 1998. T. 32. № 1. C. 41-62.
© Анашкин E. В., 2020
