CC BY
33УДК 004.056.57
Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей
Петри
Н. А. Гайдамакин, Р. В. Гибилинда, Н. И. Синадский
В статье рассмотрены признаки, идентифицирующие файлы, приведены примеры файловых операций, предложен алгоритм идентификации файловых операций, представлена разработанная модель процесса идентификации воздействий на файлы. С учетом событийно-переходной природы процессов изменения признаков, идентифицирующих файлы, для моделирования использован аппарат сетей Петри. На основе модели возможна реализация системы, применение которой позволит автоматизировать процесс идентификации воздействий на файлы с целью определения влияния на обрабатываемую информацию в рамках расследования инцидентов информационной безопасности. Установление факта влияния на информацию позволяет упростить процедуру ликвидации последствий инцидента информационной безопасности. Использование системы на основе разработанной модели позволит верифицировать источники информации, содержащие признаки, идентифицирующие файлы, и данные о файловых операциях.
Ключевые слова: расследование инцидентов информационной безопасности, событие информационной безопасности, файловая операция, воздействие на файл, модель, сети Петри.
1. Введение
Информационные технологии (ИТ) оказывают влияние на множество областей развития современного общества: медицина, экономика, образование, промышленность, сфера услуг и др. Рассматривая положительные стороны влияния ИТ, не следует забывать о том, что их применение связано с рисками, а именно с возможностью совершения так называемых киберпреступлений. В целях минимизации рисков принимаются различные меры, направленные на обеспечение безопасности информации, обрабатываемой с применением ИТ [1]. Тем не менее рост количества киберпреступлений говорит об актуальности задачи обеспечения информационной безопасности (ИБ) и поиска новых средств и методов ее решения.
Одним из способов совершенствования мер, направленных на обеспечение ИБ, является расследование инцидентов ИБ. Результаты расследования учитываются при формировании рекомендаций по повышению эффективности принятых мер защиты информации. В процессе расследования определяются причины возникновения инцидента, регистрируется активность процессов, идентифицируются воздействия на файлы и информацию, хранящуюся в них, и др.
Информация, обрабатываемая с помощью ИТ, хранится в виде файлов. Процесс ее обработки непосредственно связан с осуществлением воздействий на файлы. При
расследовании инцидента ИБ возникает необходимость в разделении множества осуществленных воздействий на файлы на санкционированные и несанкционированные для ускорения процедуры ликвидации последствий инцидента. Для того чтобы разделить воздействия, их необходимо идентифицировать и оценить. В рамках статьи под идентификацией воздействий на файлы будем понимать процесс, в результате которого определяется порядок изменения параметров, характеризующих файл. Под оценкой воздействия на файл будем понимать процесс сопоставления идентифицированного воздействия с возможностью его появления согласно действующей политике безопасности компьютерной системы. Рассмотрение процесса оценки воздействий выходит за рамки статьи.
При расследовании инцидента ИБ в первую очередь интерес представляют несанкционированные воздействия на файлы. Специалист при выявлении несанкционированных воздействий может дать ответы на вопросы:
• нарушена ли конфиденциальность, целостность и/или доступность информации, хранящейся в файлах;
• какова активность пользователя и/или процесса по отношению к файлам;
• каков перечень файлов, подвергшихся несанкционированному воздействию.
Расследование инцидентов ИБ связано с анализом множества разноформатных массивов
данных, присущих компьютерной системе и содержащих информацию о воздействиях на файлы (далее - массивы данных): временные отметки файлов [2], журналы событий операционной системы [3], журналы аудита [4], журналы средств защиты информации, записи о последних открытых файлах и т.д. Анализ таких массивов является основой процесса идентификации воздействий на файлы. В то же время использование указанных массивов связано с наличием ряда проблем:
• данные, содержащиеся в массиве, могут быть умышленно искажены. Этот факт свидетельствует о необходимости определения наличия искажений - требуется решение задачи верификации1 данных, содержащихся в массиве;
• данные, содержащиеся в различных массивах, не всегда содержат полный набор параметров, характеризующих файл. Отсутствие единого набора параметров не позволяет однозначно идентифицировать воздействие на файл - для решения задачи идентификации требуется формализация минимально необходимого набора параметров, которые могут быть получены из существующих массивов данных;
• в некоторых массивах отсутствуют данные, позволяющие идентифицировать сложные, комплексные воздействия на файлы.
Авторами в статье представлена разработанная событийная модель процесса идентификации воздействий на файлы, используемая как средство формализации данных, полученных из массивов при расследовании инцидентов ИБ. Предложенная модель позволяет идентифицировать воздействия на файлы, а также верифицировать данные, получаемые из массивов.
2. Понятийный аппарат, используемый при идентификации воздействий на файлы
В рамках настоящего исследования используется понятийный аппарат, детализирующий существующие определения инцидента ИБ и события ИБ в контексте решаемой задачи.
Причиной возникновения инцидента ИБ является событие ИБ, которое согласно [5] определяется как «идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных
1 В рамках статьи под верификацией массива данных будем понимать процесс выявления комбинаций параметров, характеризующих файл, возникновение которых невозможно в процессе штатного заполнения массива данными.
мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности». В соответствии с [1] инцидент ИБ определяется как совокупность событий ИБ. Опишем инцидент ИБ R выражением:
Я = {(%.., (1)
где 51,..., - события ИБ, ар - их количество.
В рамках исследования каждое событие ИБ рассматривается с позиции идентификации
воздействий на файлы и описывается кортежем:
*<2)
где Лк1 - воздействие г на файл относящееся к событию ИБ k, I - количество воздействий,
п - количество файлов.
Событие ИБ может сопровождаться широким спектром как простых, так и сложных комплексных воздействий на файлы. В основе каждого воздействия на файл лежат признаки, идентифицирующие файл, и соответствующая файловая операция. Таким образом, расследование инцидентов ИБ является процессом идентификации воздействий на файлы, составляющих событие ИБ.
2.1. Признаки, идентифицирующие файл
В рамках настоящего исследования будем считать, что произвольный файл ' в каждый момент времени I идентифицируется следующими признаками:
• 1^) - идентификатор файла - уникальное числовое значение, содержащееся в служебной информации о файле, используемое драйвером файловой системы для однозначного определения файла;
• Д/(0 - идентификатор родительского каталога файла - уникальное числовое значение, используемое драйвером файловой системы для установления однозначного соответствия между файлом и каталогом, в котором файл расположен;
• N'(0 - имя файла - битовая строка, используемая драйвером файловой системы для представления файла пользователю;
• С^ - содержимое файла - битовая строка, являющаяся информацией, хранимой в файле;
• Х'(0 - иная служебная информация о файле - набор числовых значений, являющихся служебной информацией о файле, зависящий от типа файловой системы.
Признаки, идентифицирующие файлобразуют вектор V- (г), описываемый выражением:
V- (г) = {/-. (0, в} (О, Ы- а),С- (О, X- (г)}. (3)
Запишем и будем в дальнейшем использовать выражение, описывающее вектор идентифицирующих признаков, в удобной для восприятия форме:
V- (<)=V- = {1-, Д, N, С-, х-}. (4)
При рассмотрении некоторого файла' в рамках расследования инцидента ИБ возможно определение значений компонентов вектора идентифицирующих признаков V' в текущий момент времени. Зачастую интерес представляет информация, описывающая изменения значений компонентов вектора идентифицирующих признаков V' в ходе инцидента ИБ. Получить такую информацию можно при анализе указанных ранее массивов данных. Данные, появляющиеся в массивах в результате некоторого события, имеющего отношение к файлу, описывают состояние файла на момент события. Зададим определение состояния файла.
Определение 1. Состояние файла - значения компонентов вектора идентифицирующих признаков V/, присущих файлу в определенный момент времени t.
2.2. Файловые операции
Изменение значений компонентов вектора идентифицирующих признаков Vj происходит
не спонтанно, а в соответствии с процессом, называемым файловой операцией.
Пусть в момент времени tl начат процесс, в результате которого произошло изменение значений компонентов вектора Vj, характеризующего файл, и к моменту времени окончания
процесса t2 файл, описываемый начальным состоянием Кд = Vj (¿1), перешел в конечное
состояние Vj2 = Vj (¿2), причем Vjl Ф Vj2.
Зададим определение файловой операции.
Определение 2. Файловая операция O - процесс модификации значений компонентов вектора идентифицирующих признаков Vj, приводящий к переходу файла от одного
состояния к другому.
Авторами предлагается рассмотреть один из вариантов зависимостей между файловыми операциями и изменяющимися компонентами вектора Vj (табл. 1), полученных в рамках
настоящего исследования. Определив изменения компонентов вектора Vj, специалист,
проводящий расследование, может идентифицировать файловую операцию в соответствии с табл. 1.
Таблица 1. Зависимости между файловыми операциями и изменяющимися компонентами V/
Файловая операция Изменяющиеся компоненты вектора V,-
Создание файла (01) / ц, М/, Х/
Удаление файла (02) I/, В, Щ, X/
Переименование файла (03) Щ
Изменение содержимого файла (04) С/, X/2
Изменение служебной X/
информации3 (05)
Перемещение файла в
пределах логического О/
раздела (06)
Копирование файла в 1) I/, В/, Щ X/ (создание конечного файла)4;
пределах каталога (07) 2) С/, X/ (изменение содержимого конечного файла, изменение служебной информации конечного файла); 3) X/ (изменение служебной информации исходного файла).
2 Изменение размера файла повлечет за собой изменение служебной информации о файле. В случае, когда размер не изменяется, о факте изменения содержимого свидетельствует соответствующая временная отметка.
3 Чтение файлов может сопровождаться изменением временной отметки последнего доступа к файлу при установке значений соответствующих параметров операционной системы, поэтому файловая операция «Чтение файла» относится к файловой операции «Изменение служебной информации». Исследование проводилось при установленном по умолчанию параметре операционной системы, связанном с запретом обновления временной отметки последнего доступа. В таком случае чтение файла не вызывает изменения признаков, идентифицирующих файл.
4 У исходного и конечного файла совпадут В/, но будут отличаться Щ
Файловая операция Изменяющиеся компоненты вектора V-
Копирование файла в другой каталог (O8) 1) I-, В-, Ы-, X- (создание конечного файла)5; 2) С-, X- (изменение содержимого конечного файла, изменение служебной информации конечного файла); 3) X- (изменение служебной информации исходного файла).
Примечание: исследование зависимостей проводилось в операционных системах Windows 7 Professional SP1, Microsoft Windows 8.1 Professional, Microsoft Windows 10 Professional с файловой системой NTFS.
К моменту начала расследования инцидента ИБ файловые операции считаются выполненными. Информация о них может быть получена из массивов данных. В связи с тем, что файловая операция в массивах не всегда указывается в явном виде, необходимо провести анализ набора параметров в данных массивов, чтобы идентифицировать файловую операцию О(г) е{й1,02, 03, 04,05, Об, 07,08} (см. табл. 1). Для этого следует определить состояния файла в соответствующие моменты времени и воспользоваться кортежем:
0(гх, г 2) = (V- (4), V- (г2)), (5)
где V- (¿1) и V- (г^) - векторы идентифицирующих признаков файла ] для начального и
конечного состояния соответственно.
Запишем и будем в дальнейшем использовать выражение, описывающее файловую
операцию, в удобной для восприятия форме:
0 = (—), (6)
где V-! и V-2 - векторы идентифицирующих признаков файла - для начального и конечного
состояния соответственно.
При совершении множества файловых операций по отношению к файлу ] происходит несколько переходов между состояниями {У-1,К-2,..., Vjm*,..., Vjm}, причем при каждом
переходе состояние m* считается конечным, а m*-1 - начальным.
Исходя из определений состояния файла и файловой операции, переходы между состояниями файла ] зависят от примененного к нему набора файловых операций
{01,02,-, 0т',...,0т-1},0т е{01,02,03,04,05,06,07,08},т' = 1,т-1 и сопровождаются
изменением значений компонент вектора идентифицирующих признаков V-.
2.3. Воздействие на файл
При осуществлении воздействий на файлы возможно проведение как одной, так и нескольких файловых операций, которые приведут к появлению нескольких состояний файла, являющихся последовательным переходом от состояния до начала воздействия к окончательному состоянию. В рамках исследования изучены особенности некоторых типов воздействий на файлы, совершение которых привело к осуществлению набора файловых операций с несколькими файлами.
Определение 3. Воздействие на файл - совокупность файловых операций, связанных по назначению, разделенных по времени и приводящих к изменению состояний одного или нескольких файлов.
Следует отметить, что в зависимости от типа воздействия могут возникать ситуации, когда воздействие на один файл приводит к осуществлению файловых операций над другими файлами, но в рамках текущего воздействия. Такие ситуации характерны для сложных,
5 У исходного и конечного файла совпадут Nj, но будут отличаться Dj.
комплексных воздействий. Ярким примером является работа с временными файлами в процессе редактирования, например документа в формате docx.
Определение воздействия на файл с учетом выражения (6) описывается как:
где Ojm - файловая операция, осуществляемая в отношении файлаj, Vjm< - вектор признаков, идентифицирующих файл j до момента совершения файловой операции Ojm (начальное состояние файла j), Vj(m'+1) - вектор признаков, идентифицирующих файл j после совершения файловой операции Ojm (конечное состояние файла j), l - количество файлов, m - количество операций.
Воздействие на файл может представлять собой одну операцию (j = 1, m' = 1), совершаемую по отношению к файлу. В таком случае оно является простым. Если имеет место последовательность операций и/или набор файлов, то такое воздействие является комплексным (j > 1, m' > 1). Примерами простых воздействий на файлы являются:
• создание, удаление файла;
• изменение имени файла;
• изменение содержимого документа формата txt в текстовом редакторе «Блокнот». Примеры комплексных воздействий на файлы:
• изменение содержимого документа формата doc, docx, odt в текстовых процессорах Microsoft Word, LibreOffice Writer;
• извлечение файлов из архива с помощью программ-архиваторов;
• шифрование файлов, в т.ч. вредоносным программным обеспечением (Ransomware). Для построения модели процесса идентификации воздействий на файлы в первую очередь
необходимо формализовать процесс изменения значений компонентов вектора V j для
идентификации файловой операции, совершаемой в отношении файла j. Для этого предлагается использовать разработанный в рамках исследования алгоритм идентификации файловой операции.
3. Алгоритм идентификации файловой операции
Алгоритм может быть использован как для идентификации одной файловой операции (при отсутствии в массиве данных информации о файловой операции), так и для верификации данных массива (в целях обеспечения достоверности). Необходимость в идентификации/верификации последовательности файловых операций удовлетворяется представленной далее моделью. Входными данными алгоритма являются значения компонентов векторов Кд = {1/1, -Од, , Сд, х/1} и V/ 2 = { 1/ 2 >2 >2 >С/ 2 >х/ 2 },
характеризующих начальное и конечное состояния файла j соответственно. Алгоритм состоит из нескольких шагов:
1. Подать на вход алгоритма значения компонентов векторов V/1 и V/ 2.
2. Определить принадлежность 1/1 и I / 2 пустому множеству.
3. Если 1/1 е0 и I/2 £0, то идентифицируется операция «Создание файла» (табл. 1,
01).
4. Если 1/1 £0 и I/2 е0, то идентифицируется операция «Удаление файла» (табл. 1,
5. Если 1/1 £0 и I/2 £0, то необходимо провести дальнейшее сравнение признаков,
идентифицирующих файл.
6. При несовпадении I/1 и I/ 2 определяется одна из двух операций копирования (табл. 1,
O7 и O8) с учетом равенства В/1,0/2 и Щд, N/2 .
7. В случае совпадения I/1 и I / 2 определяется равенство N/1 и N/ 2, а также равенство
В/1 и В/ 2 .
8. Если не равны имена файла, но равны идентификаторы его родительского каталога, то идентифицируется операция «Переименование файла» (табл. 1, O3).
9. Если равны имена файла, но не равны идентификаторы его родительского каталога, то идентифицируется операция «Перемещение файла в пределах логического раздела» (табл. 1, O6).
10. В случае совпадения имен файла и идентификаторов его родительского каталога необходимо сравнить С/1 и С/ 2.
11. Если С/1 и С/2 равны, то идентифицируется операция «Изменение служебной
информации» (табл. 1, O5), в противном случае - «Изменение содержимого файла» (табл. 1, O4).
Результатом работы алгоритма является идентификация файловой операции, совершенной над файлом. Стоит отметить, что элемент «Вызов исключения» является условным и указывает на ошибку в значениях компонентов векторов Vjl и/или V/2 .
Блок-схема алгоритма идентификации файловой операции представлена на рис. 1. При применении алгоритма следует учитывать ряд особенностей:
1. —13 V/ 11/ £ 0,0/ е 0 (файл j всегда расположен в его родительском каталоге).
2. N/1, N/2 £ 0, так как файл не может существовать без имени.
3. Из рис. 1 видно, что для идентификации всех файловых операций отсутствует необходимость сравнения значений компонентов X/1 и X/2 ввиду отсутствия неопределенности в работе алгоритма. В связи с этим, при разработке модели компоненты X/ и С/ заменены на признак X/ = /(X/, С/) - признак изменения содержимого файла, который
может быть сформирован на основании данных, полученных при анализе служебной информации файла (изменение размера содержимого файла, временных отметок и т.п.) и его содержимого. X/ принимает два значения - 1, если изменилось содержимое файла, и 0, если
изменилась его служебная информация.
Файл был скопирован в пределах каталога (07)
00 о
.
В
я о\ я
►а 3
О я я
дс о Я
я »
Рис. 1. Блок-схема алгоритма идентификации файловой операции
4. Модель процесса идентификации воздействий на файлы
Представленный алгоритм предназначен для идентификации файловой операции и не учитывает сложную природу компьютерной системы, в которой выполняются различные по типу и назначению процессы: последовательные и параллельные, синхронные и асинхронные. Среди множества процессов встречаются такие, которые связаны с воздействиями на файлы, результат работы которых необходимо фиксировать. Как уже было сказано ранее, сложные комплексные воздействия на файлы состоят более чем из одной файловой операции и могут иметь отношение к нескольким файлам. Для моделирования процесса идентификации как простых, так и сложных воздействий на файлы, а не только файловых операций, необходим математический аппарат, позволяющий учесть множество возможных комбинаций состояний файлов.
Для построения модели с использованием выражения (5) и алгоритма, изображенного на рис. 1, в рамках введенных определений воспользуемся математическим аппаратом сетей Петри, хорошо зарекомендовавшим себя в качестве инструмента формализации алгоритмов и процессов [6, 7], который позволит смоделировать процесс идентификации воздействий на файлы. Смоделированная сеть построена таким образом, чтобы исключить случайные переходы.
Сеть Петри задается пятью параметрами - Р, Т, Е, Q, /л. Представленная модель процесса идентификации воздействий на файлы М, построенная с использованием сети Петри, дополняется двумя параметрами: ё, который является внешним по отношению к сети «накопителем» файловых операций, и временной задержкой т = t2 - Н, где 11 соответствует времени до начала файловой операции, а t2 - времени ее окончания. Таким образом, М = (Р,Т,Е, Q, ¡л,8,т) . Представленная сеть характеризуется следующими особенностями:
1. В конечное множество позиций Р = Р^ и Ра1 и Р^п и Ра^ включены:
• позиции состояний файла Р^ (Р1 е ^ 1-1, Дд, NР2 е ^I-2, 2, N-Рб е 2- );
• позиции состояний алгоритма Ра1 (Р3 - Р5, Р19 - Р28), представленного на рис. 1 (с учетом признака 2 - );
• позиции «индикации» идентифицированных файловых операций Р^т (Р29 - Рзб);
• вспомогательные позиции, предназначенные для корректного функционирования сети Петри Padd (Р7 - Р18, Р37, Р38).
2. В конечное множество переходов Т = Т^п и Та[ и Та^ и Т^е[ау и Т^0 включены:
• переходы «индикации» получения значений состояний файла Т]\п (Т1, Т2);
• переходы алгоритма Та1 (Т3 - Т8, Т13 - Т16), представленного на рис. 1 (с учетом признака 2 - );
• вспомогательные переходы, предназначенные для корректного функционирования сети Петри Tadd (Т9 - Т12);
• переход имитации временной задержки при совершении файловой операции Tdelay (Т25 ег:г = ¿2 -¿1);
• переходы идентификации файловых операций Т/в (Т\7 е 01, Т18 е 02, Т19 е 03, Т20 е 05, Т21 е 04, Т22 е 06, Т23 е 07, Т24 е 08 ) (типы файловых
операций представлены в табл. 1).
В рамках модели все переходы, кроме Т25, являются примитивными, т.е. выполняются мгновенно.
3. Входные и выходные функции - Е и Q соответственно (Е: Т ^ Р', Q: Р' ^ Т'), отображающие позиции в переходы и наоборот, связаны как с алгоритмическими, так и со вспомогательными позициями и переходами.
4. Маркировка сети фишками /: |||| = |\Р\\, /( Рб) е X/.
5. Конечное множество значений временных задержек нетривиальных переходов т связано с переходом Т25.
Начальное состояние сети Петри, обозначаемое как /л, маркируется фишками только для позиций Р\ - Рб и Р37, в остальных позициях отсутствие фишек является обязательным условием корректности работы сети. Маркировка позиций Р1 - Рб осуществляется внешним по отношению к моделируемому процессу элементом. Позиции Р7 - Р28 и переходы Т3 - Т24 реализуют ветвления алгоритма идентификации файловой операции, представленного на рис. 1. По достижению одной из позиций Р29 - Рзб идентифицируется тип файловой операции в рамках моделируемого процесса с учетом данных из позиций Р1 и/или Р2. Позиции Р29 - Рзб взаимоисключающие. Полученный результат помещается в «накопитель» ё, который содержит все операции в рамках одного воздействия на файлы. Принудительное прерывание выполнения сети обеспечивается удалением фишки из позиции Р37 в момент подачи на вход сети новых данных о состояниях файла. Прерывание сигнализирует о завершении «накопления» файловых операций, т.е. об окончании идентификации воздействия на файл в соответствии с выражением (7). Результатом выполнения сети является идентифицированное воздействие на файл.
Стоит отметить, что при неверной совокупности заданных фишек в позициях Р1 - Рб и Р37 выполнение сети прервется раньше, чем будут достигнуты Р29 - Рзб. Такие ситуации должны быть рассмотрены специалистом с позиции достоверности заданных значений параметров, а также с точки зрения осуществления файловой операции с другим файлом в рамках одного сложного комплексного воздействия. Конечное множество маркировок, обеспечивающих определение файловой операции, представлено в табл. 2.
Таблица 2. Множество маркировок позиций
Маркировка /л Файловая операция
Р1 = 0, Р2 = 1, Р3 = 0, Р4 = 0, Р5 = 0, Рб = 0 Создание файла (табл. 1, 01)
Р1 = 1, Р2 = 0, Р3 = 0, Р4 = 0, Р5 = 0, Рб = 0 Удаление файла (табл. 1, 02)
Р1 = 1, Р2 = 1, Р3 = 1, Р4 = 1, Р5 = 0, Рб = 0 Переименование файла (табл. 1, 03)
Р1 = 1, Р2 = 1, Р3 = 1, Р4 = 1, Р5 = 1, Рб = 1 Изменение содержимого файла (табл. 1, 04)
Р1 = 1, Р2 = 1, Р3 = 1, Р4 = 1, Р5 = 1, Рб = 0 Изменение служебной информации файла (табл. 1, 05)
Р1 = 1, Р2 = 1, Р3 = 1, Р4 = 0, Р5 = 1, Рб = 0 Перемещение файла в пределах логического раздела (табл. 1, 0б)
Р1 = 1, Р2 = 1, Р3 = 0, Р4 = 1, Р5 = 0, Рб = 0 Копирование файла в пределах каталога (табл. 1, 07)
Р1 = 1, Р2 = 1, Р3 = 0, Р4 = 0, Р5 = 1, Рб = 0 Копирование файла в другой каталог (табл. 1, 08)
Разработанная модель изображена на рис. 2. Описание позиций и переходов представлено в табл. 3 и 4 приложения соответственно.
Рис. 2. Сеть Петри, описывающая модель процесса идентификации воздействий на файлы
С
о
о»
т
а
№
Я я
я
о д
а>
и
о-
р
С 1
с
а
с. 1
с. 1
к и д 1
а
а т
В
>€
Я
я а
1
с
я
я в
с 1
де 1
а
В !<
с т |
и
я
я н <
£ ф 1
И
£ 1
я !<
и ы
8
и)
В результате анализа конечного состояния предложенной сети Петри был выявлен ряд особенностей:
1. Операции «Создание файла» и «Удаление файла» определяются независимо от маркировок позиций P3 - P6.
2. Операции «Изменение служебной информации файла» и «Изменение содержимого файла» определяются только при условиях: /д = Ij 2, Dji = Dj 2, Nji = Nj 2.
3. Операции, связанные с копированием файла, являются составными и предполагают как создание служебной информации о новом файле, так и копирование содержимого (при его наличии) исходного файла согласно табл. 1. Они представлены отдельными позициями сети, не зависящими от операций «Создание файла» и «Изменение содержимого файла».
Представленная сеть смоделирована и протестирована в специализированном программном обеспечении Platform Independent Petri Net Editor [8, 9]. Соответствие результата, полученного после выполнения сети, реальным файловым операциям экспериментально подтверждено на специальном стенде с установленными операционными системами Microsoft Windows 7 Professional SP1, Microsoft Windows 8.1 Professional, Microsoft Windows 10 Professional.
5. Заключение
Использование разработанной модели позволяет реализовать систему идентификации воздействий на файлы, применение которой возможно при расследовании инцидентов ИБ. Получив информацию о начальном и конечном состояниях файла, специалист, осуществляющий расследование инцидента ИБ, задает начальное состояние маркировки сети фишками и по результатам однократного или множественного выполнения сети идентифицирует осуществленные воздействия на файлы.
Практическое применение разработанной модели рассматривается с позиции решения двух задач - идентификации и верификации. При необходимости идентификации воздействий на файлы модель может быть использована в качестве основы для создания автоматизированной системы контроля состояний файлов с учетом большого количества данных в массивах. В случае необходимости верификации данных, полученных из массивов, модель может быть применена как средство контроля за целостностью этих данных.
Приложение
1. Описание позиций представленной сети Петри
Таблица 3. Описание позиций
№ позиции Описание
П озиции маркировки, определяющие начальное состояние сети Петри
Pi Добавление файла с признаками /д, В/1, N/1 на вход сети Петри
P2 Добавление файла с признаками I/ 2, В/ 2, Nj 2 на вход сети Петри
P3 Условие равенства I/1 и I / 2. Установка фишки, если 7д = I/ 2
P4 Условие равенства В/1 и В/2 . Установка фишки, если В/1 = В/2
P5 Условие равенства N/1 и N/2 . Установка фишки, если Nд = N/2
P6 Признак изменения содержимого файла. Установка фишки необходима, если содержимое файла изменялось
№ позиции Описание
P37 Имитация задержки осуществления файловой операции. Установка фишки необходима для запуска перехода T25
Вспомогательные и алгоритмические позиции
P7 Файл 1 существует
P8 Файл 2 существует
P9 /л £0
P10 Ij 2 £ 0
Pll Яд £ 0
P12 Dj 2 £ 0
P13 Жд £0
Pl4 Ж; 2 £ 0
P15 jЖ2 £0
Pl6 Dji,Dj2 £0
Pl7 Ж/1, Ж/2 £0
Pl8 Файлы 1 и 2 существуют
Pl9 j = Ж- 2
P20 j * Ij 2
P21 Dj1 = Dj 2
P22 Dji * Dj 2
P23 ЖЛ = ^ 2
P24 ЖЛ * ^ 2
P25 /ji, Ij 2 £0 и /ji = Ij2
P26 j /j2 £0 и /ji * /j2
P27 /ji, /j 2 £0 , /ji * /j2, .Уд * ж/2
P28 j Ij 2 £0, /ji * /j 2, ЖЛ = ^ 2, Dji = Dj 2
P38 Имитация завершения файловой операции, после задержки в Г25
Позиции маркировки, указывающие на идентифицированную файловую операцию
P29 Создание файла (табл. 1, 01)
P30 Удаление файла (табл. 1, 02)
P31 Переименование файла (табл. 1, 03)
P32 Изменение служебной информации файла (табл. 1, 05)
P33 Изменение содержимого файла (табл. 1, 04)
P34 Перемещение файла в пределах логического раздела (табл. 1, 06)
P35 Копирование файла в пределах каталога (табл. 1, 07)
P36 Копирование файла в другой каталог (табл. 1, 08)
2. Описание переходов представленной сети Петри
Таблица 4. Описание переходов
№ перехода Описание
Т1 Получение информации о файле с признаками 7/1, В/1, N/1
Т2 Получение информации о файле с признаками I / 2, В/ 2, Nj 2
Вспомогательные и алгоритмические переходы
Т3 Получение значения - равенство ^ и I / 2
Т4 Получение значения - неравенство Тд и I / 2
Т5 Получение значения - равенство В/1 и В/ 2
Тб Получение значения - неравенство В/1 и В/ 2
Т7 Получение значения - равенство N/1 и 2
Т8 Получение значения - неравенство N/1 и 2
Т9 Исключение операций «Создание файла» и «Удаление файла»
Т10 Определение принадлежности Тд и I / 2 к непустому множеству
Т11 Определение принадлежности В/1 и В/ 2 к непустому множеству
Т12 Определение принадлежности N/1 и Nj 2 к непустому множеству
Т13 Переход к файловым операциям с равными признаками !/1 и I / 2
Г14 Переход к файловым операциям с неравными признаками ^ и I / 2
Т15 Переход к файловым операциям, где Iд1 = Iд 2, N/1 = Жд 2
Т1б Переход к файловым операциям, где Iд1 = Iд 2, N/1 = N/ 2, В/1 = Вд 2
Т25 Непримитивный переход, имитирующий время выполнения файловой операции
Переходы, идентифицирующие файловые операции
Т17 Создание файла (табл. 1, 01)
Т18 Удаление файла (табл. 1, 02)
Т19 Переименование файла (табл. 1, 03)
Т20 Изменение служебной информации файла (табл. 1, 05)
Т21 Изменение содержимого файла (табл. 1, 04)
Т22 Перемещение файла в пределах одного логического раздела (табл. 1, 0б)
Т23 Копирование файла в рамках каталога (табл. 1, 07)
Т24 Копирование файла в другой каталог (табл. 1, 08)
Литература
1. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http ://garant. ru/products/ipo/prime/doc/714 57 690 (дата обращения: 20.12.2019).
2. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25-32.
3. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Worksharing, 2013. P. 563-570.
4. Studiawan H., Payne C., Sohel F. Graph Clustering and Anomaly Detection of Access Control Log for Forensic Purposes // Digital Investigation. 2017.
5. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. М.: ФГУП «Стандартинформ», 2007. 50 с.
6. Effendi Y A., Sarno R. Discovering Process Model from Event Logs by Considering Overlapping Rules // EECSI 2017. Yogyakarta, Indonesia, 2017.
7. Хорьков Д. А., Гайдамакин Н. А. Модель атакующего воздействия на автоматизированные системы в рамках развития аппарата сетей Петри // Проблемы информационной безопасности. Компьютерные системы. 2013. № 1. С. 73-80.
8. GitHub - sarahtattersall/PIPE: PIPE - Platform Independent Petri Net Editor [Электронный ресурс]. URL: https://github.com/sarahtattersall/PIPE (дата обращения: 20.12.2019).
9. Dingle N., Knottenbelt W., Suto T. PIPE2: A tool for the Performance Evaluation of Generalized Stochastic Petri Nets // ACM SIGMETRICS Performance Evaluation Review (Special Issue on Tools for Computer Performance Modeling and Reliability Analysis). 2009. № 36. P. 34-39.
Статья поступила в редакцию 30.01.2020.
Гайдамакин Николай Александрович
д.т.н., профессор, профессор учебно-научного центра «Информационная безопасность» ИРИТ-РтФ УрФУ им. первого Президента России Б.Н. Ельцина (620002, Екатеринбург, ул. Мира, 19) e-mail: n.a. gaydamakin@urfu. ru.
Гибилинда Роман Владимирович
ассистент учебно-научного центра «Информационная безопасность» ИРИТ-РтФ УрФУ им. первого Президента России Б.Н. Ельцина, e-mail: r.v. gibilinda@urfu. ru.
Синадский Николай Игоревич
к.т.н., доцент, доцент учебно-научного центра «Информационная безопасность» ИРИТ-РтФ УрФУ им. первого Президента России Б.Н. Ельцина (620002, Екатеринбург, ул. Мира, 19) e-mail: n.i.sinadskiy@urfu.ru.
88
H. A. rangaMaKHH, P. B. rH6H^HHga, H. H. CnHagcKHH
Event model of file impact identification process during information security incident response based on Petri Nets
N. A. Gaydamakin, R. V. Gibilinda, N. I. Sinadskiy
The article introduces file identifying characteristics, describes file operation examples, offers file operation identification algorithm, presents developed file impact identification process model. There is a possibility to create system based on developed model that allows to automate file impact identification process to determine impact on stored information during information security incident response. Information impact determination makes incident result removing process easier. The system used allows to verify information sources that contain file identifying characteristics and file operations data.
Keywords: information security incident response, information security event, file operation, file impact, model, Petri nets.
