- Оглавление диссертации кандидат технических наук Поляничко, Марк Александрович
- Введение диссертации (часть автореферата) на тему «Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы»
- Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Поляничко, Марк Александрович
- Список литературы диссертационного исследования кандидат технических наук Поляничко, Марк Александрович, 2013 год
- Руководитель, директор
- Учредитель Поляничко М. А.
- Использование технических индикаторов для выявления инсайдерских угроз
Оглавление диссертации кандидат технических наук Поляничко, Марк Александрович
Обозначения и сокращения.
1 Общий анализ проблемы обнаружения конфликтов программных средств защиты информации компьютерной системы.
1.1 Анализ современных подходов обнаружения конфликтов в программно защищенных компьютерных системах.
1.2 Анализ встроенных средств защиты операционной системы.
1.3 Общая характеристика потенциально конфликтующих программных средств защиты информации.
1.3.1 Антивирусные программы.
1.3.2 Межсетевой экран.
1.3.3 Системы обнаружения и предотвращения вторжений.
1.3.4 Системы предотвращения утечки информации.:\’Г.
1.3.5 Системы дополнительной аутентификации.
1.4 Анализ потенциально конфликтующих сочетаний программных средств защиты информации.
1.5 Постановка научной задачи исследования.
2 Разработка моделей конфликтного взаимодействия в комплексе программных средств защиты информации и логических правил обнаружения конфликта.
2.1 Разработка модели конфликтного взаимодействия программных средств защиты информации и динамических библиотек.
2.2 Разработка модели конфликта программных средств защиты информации в реестре.
2.3 Разработка модели конфликта программных средств защиты информации в конфигурационных файлах.
2.4 Анализ последствий конфликтного взаимодействия программных средств защиты информации.
2.5 Формирование логических правил определения степени априорной конфликтности.
Выводы по второй главе.
3 Разработка методики обнаружения конфликтов в комплексе программных средств защиты информации.
3.1 Характеристика этапов методики обнаружения конфликтного взаимодействия в компьютерной системе.
3.2 Выбор показателей быстродействия и обобщенного показателя.
3.2.1 Показатели работы оперативной памяти.
3.2.2 Показатели работы процессора.
3.2.3 Показатели работы жесткого диска.
3.3 Создание лингвистических переменных.
3.4 Создание базы нечетких правил обнаружения конфликтного состояния компьютерной системы.
3.4.1 Правила обнаружения снижения быстродействия оперативной памяти.
3.4.2 Правила обнаружения снижения быстродействия процессора.
3.4.3 Правила обнаружения снижения быстродействия жесткого диска.
3.5 Обнаружение конфликта на основе дискриминантного анализа.
3.5.1 Формирование вектора конфликтного/бесконфликтного состояния компьютерной системы.
3.5.2 Описание алгоритма классификации (кластеризации) конфликта.
3.5.3 Экспериментальное построение дискриминантной функции.
3.6 Рекомендации по разрешению конфликта.
Выводы по третьей главе.
4 Экспериментальная проверка предлагаемых методов и разработка практических рекомендаций по их использованию.
4.1 Архитектура системы обнаружения конфликтов.
4.2 Структура базы данных системы автоматизированного поиска конфликтов программных средств защиты информации.
4.3 Применение средств и сервисов компьютерной системы для обнаружения конфликтов.
4.3.1 Использование средств журналирования операционной системы.
4.3.2 Использование объектов WMI системы.
4.3.3 Использование системного монитора.
4.3.4 Использование Windows Resource Kit.
4.4 Экспериментальное исследование временных затрат на обнаружение конфликтов.
Выводы по четвертой главе.
Введение диссертации (часть автореферата) на тему «Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы»
В настоящее время информатизация затронула все сферы деятельности человека, общества и государства. Она направлена, прежде всего, на решение задач управления различными объектами, которые реализуются, в том числе с помощью компьютерных систем (КС). При управлении грузовыми и пассажирскими перевозками и движением поездов на железнодорожном транспорте важным является обеспечение информационной безопасности. В связи с этим задачи обеспечения защиты информации в КС при реализации этих управленческих процессов выходят на передний план. Большую часть этих задач решают программные средства защиты информации (ПСЗИ), которые являются важнейшей и неотъемлемой частью механизма защиты современных КС.
Большинство современных ПСЗИ обладают высокой ресурсоемкостью, поскольку они интенсивно взаимодействуют со многими аппаратными и программными компонентами КС и используют их во время комплексных, системных проверок и других операций по обеспечению информационной безопасности. Несмотря на проводимые работы по улучшению работы ПСЗИ и процесса их взаимодействия в КС, потребность таких программ в системных ресурсах продолжает неуклонно расти вследствие увеличения сложности и растущего количества вредоносного программного обеспечения и других угроз информационной безопасности.
ПСЗИ могут вмешиваться в работу других программ, в том числе в работу других ПСЗИ, приняв их действия за вредоносные, и впоследствии ограничить доступ приложения к системным ресурсам, таким как память, системный реестр и прочие. Из-за этого вмешательства конфликтующие программы не могут выполняться должным образом и должны повторять свои запросы к системным ресурсам, что еще сильнее снижает быстродействие и ослабляет защищенность системы.
Важную роль при проектировании, внедрении и эксплуатации программно защищенной комплексной системы (ПЗКС) играет обеспечение бесконфликтного взаимодействия ее элементов. Вопросам построения систем защиты информации и комплексных систем информационной безопасности посвящено множество работ ряда отечественных и зарубежных специалистов: Д. Д. Ульмана, М. А. Харри-сона, П. Д. Зегжды, В. В. Липаева, A. A. Корниенко, В. Н. Кустова, A. A. Молдовяна, А. Н. Молдовяна, Е. А. Рогозина, A. B. Царегородцева и других. Исследованием вопросов конфликтов взаимодействия ПСЗИ занимаются компании ЗАО «Лаборатория Касперского», McAfee, AVAST Software, Научно-испытательный институт систем обеспечения комплексной безопасности и другие.
Существующие методы, процедуры и инструментальные средства обеспечения бесконфликтного взаимодействия программных средств защиты информации в КС обладают следующими недостатками:
— отсутствие инструментальных средств, направленных на обнаружение конфликтов, специфичных для ПСЗИ;
— малая детализация информации об обнаруженных конфликтах во встроенных средствах журналирования событий в операционных системах;
— большая сложность ручного поиска и анализа конфликтов между ПСЗИ. Таким образом, задача совершенствования методов, процедур и построения автоматизированных средств обнаружения конфликтного взаимодействия ПСЗИ и объектов КС для сокращения времени выявления конфликтов администраторами является актуальной в области построения и эксплуатации систем защиты информации КС.
Объект диссертационного исследования — программно защищенная компьютерная система.
Предмет диссертационного исследования — процедуры, методы и инструментальные средства обнаружения конфликтов в комплексе программных средств защиты информации.
Цель диссертационного исследования — повышение уровня автоматизации обнаружения конфликтов в комплексе программных средств защиты информации КС и уменьшение трудоемкости обнаружения конфликтов системными администраторами и администраторами безопасности.
Научная задача состоит в разработке научно-методического аппарата обнаружения конфликтов в комплексе программных средств защиты информации КС.
Достижение поставленной цели и решение научной задачи требует решения следующих задач:
— Анализ проблемных вопросов обеспечения бесконфликтного функционирования программно защищенной компьютерной системы;
— Разработка моделей конфликтного взаимодействия программных,, средств защиты информации и объектов КС и формирование правил определения степени их конфликтности;
— Разработка методики обнаружения конфликтов в комплексе программных средств защиты информации и объектов компьютерной системы;
— Предложения по построению автоматизированного средства и разработка практических рекомендаций по использованию методики обнаружения конфликтов при проектировании и эксплуатации компьютерной системы. Методы исследования: реляционная алгебра, аппарат алгебры логики, нечеткая логика, методы нечеткого вывода и дискриминантный анализ.
Теоретическая основа и методологическая база: работы отечественных и зарубежных ученых в области создания и эксплуатации программных средств защиты информации, стандарты в области информационной безопасности. На защиту выносятся следующие научные результаты:
— модели конфликтного взаимодействия и логические правила определения степени конфликтности программных средств защиты информации и объектов компьютерной системы;
— базы нечетких правил определения состояния конфликтности программно защищенной компьютерной системы;
— методика обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы;
— предложения по построению автоматизированного средства обнаружения конфликтов в программно защищенной компьютерной системе.
Научная новизна работы заключается в следующем:
— разработаны модели конфликтного взаимодействия ПСЗИ и объектов (динамических библиотек, ключей реестра, конфигурационных файлов) компьютерной системы и на основе моделей сформированы логические правила, позволяющие выявить возможную степень конфликтности программных средств защиты информации и объектов КС;
— построены базы нечетких правил выявления снижения быстродействия КС, которые при совместном использовании с логическими правилами позволяют определить состояние конфликтности КС;
— разработана методика обнаружения конфликтного взаимодействия программных средств защиты информации, содержащая выбор показателей и обобщенного показателя, формирование логических правил обнаружения конфликта, создание лингвистических переменных, формирование базы нечетких правил и решение задачи классификации (определения вида) конфликта на основе дискриминантного анализа.
Достоверность полученных научных результатов определяется корректным применением методов исследования, математическими доказательствами сформулированных положений, расчетами и примерами, подтверждающими эффективность предложенной методики, апробацией результатов диссертационных исследований на научно-практических конференциях и его внедрением в организациях.
Практическая значимость результатов исследования состоит в возможности повышения оперативности обнаружения конфликтов в комплексе ПСЗИ компьютерной системы на стадиях проектирования и эксплуатации. В результате применения результатов исследования, время обнаружения конфликтов программных средств защиты информации уменьшилось на 25-75%.
Реализация результатов работы. Основные результаты диссертационных исследований внедрены в следующих организациях:
— ФГБОУ ВПО ПГУПС;
Основные результаты исследования излагались и обсуждались на научных семинарах кафедры «Информатика и информационная безопасность» ФГБОУ ВПО ПГУПС, а также на международных научно-практических конференциях «Интеллектуальные системы на транспорте» (Санкт-Петербург, ФГБОУ ВПО ПГУПС, 2011,2012).
По результатам исследования опубликовано 6 статей, 2 из которых в журналах, рекомендуемых ВАК, материалы исследования использовались в 2 научно-исследовательских работах.
Диссертация включает введение, четыре главы, заключение и список использованных источников. Общий объем диссертации — 135 е., из которых основного текста — 123 с. Библиографический список содержит 94 наименования. Основной текст диссертации включает 24 рисунка и 26 таблиц.
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Поляничко, Марк Александрович
Выводы по четвертой главе
В четвертой главе представлены предложения по построению автоматизированного средства и структура базы данных программного средства, реализующего методику обнаружения конфликтного взаимодействия ПСЗИ. Представлены практические рекомендации по программной реализации методики в распределенном и локальном виде. Представлены результаты экспериментов по оценке разработанного методики обнаружения конфликтов с точки зрения повышения временной эффективности обнаружения конфликтного взаимодействия.
В ходе разработки практических рекомендаций по применению разработанной методики обнаружения конфликтов в комплексе ПСЗИ КС были получены следующие результаты.
1. Разработаны предложения по архитектуре автоматизируемого средства, реализующего методику, согласно которым средство работает с одной или несколькими анализируемыми КС, на каждой из которых функционирует комплекс ПСЗИ. Множество КС могут быть соединены в локальную сеть. Средство включает в себя множество локальных программных агентов, которые собирают информацию о системной конфигурации каждой КС и наблюдают за показателями использования ресурсов, и программный механизм обнаружения конфликта, который реализует набор логических правил, определяет, находится ли комплекс ПСЗИ в состоянии конфликта и передает информацию администратору КС.
2. Разработана схема базы данных, согласно которой автоматизированной средство работает со следующими сущностями: программное средство защиты информации, версия ПСЗИ, ключ реестра, динамическая библиотека, конфигурационный файл, показатель, вектор состояния, правило нечеткого вывода.
3. Выполнена программная реализация прототипа автоматизированного средства.
4. Выполнено оценивание затрат времени на обнаружения конфликтов с помощью разработанной методики. Полученные результаты позволяют обоснованно утверждать о более высокой оперативности обнаружения конфликтов по сравнению со стандартными средствами и ручным поиском.
В результате проведенного диссертационного исследования были разработаны модели и методика обнаружения конфликтов в комплексе программных средств защиты информации. Применение данной методики позволяет уменьшить время, затрачиваемое на обнаружение конфликтов в системе обеспечения информационной безопасности компьютерной системы.
При решении частных задач были получены следующие результаты:
1. В ходе выполнения анализа объекта исследования и современных подходов, методов, методик и инструментальных средств обеспечения бесконфликтного функционирования ПЗЙС. Выявлены основные недостатки: контроль отсутствия конфликтного взаимодействия на определенной стадии работы системы, отсутствие возможности мониторинга в реальном времени.
2. Разработаны модели конфликтного взаимодействия в комплексе ПСЗИ, проявляющихся в объектах КС (динамические библиотеки, ключи реестра, конфигурационные файлы) и самих ПСЗИ.
3. Разработаны логические правила, сформированные на основе представленных моделей, позволяющие определить степень возможной конфликтности программных средств и объектов КС.
4. Разработана база нечетких правил выявления снижения быстродействия, которая при совместном использовании с логическими правилами позволяет определить состояние конфликтности ПЗКС.
5. Разработана методика обнаружения конфликта программных средств защиты информации, содержащая выбор показателей и обобщенного показателя, формирование логических правил обнаружения конфликта, создание лингвистических переменных, формирование базы нечетких правил и решение задачи классификации (определение вида конфликта) на основе дискрими-нантного анализа.
6. Описаны принципы построения и функционирования программной реализации средства обнаружения конфликтов, приведена структура базы данных. Даны практические рекомендации по ее применению при обнаружении конфликта комплекса ПСЗИ в работе системного администратора или администратора безопасности КС.
7. Проведено исследование времени обнаружения конфликтов комплекса ПСЗИ КС с использованием автоматизированного средства обнаружения конфликтов и без его использования. Показано, что время обнаружения конфликтов уменьшается на 25-75%.
Таким образом, в ходе диссертационного исследования были решены поставленные задачи и главная научная задача исследования, достигнута цель исследования, состоящая в повышении уровня автоматизации обнаружения конфликтов в комплексе программных средств защиты информации и сокращения времени обнаружения конфликтов системным администратором или администратором информационной безопасности.
Список литературы диссертационного исследования кандидат технических наук Поляничко, Марк Александрович, 2013 год
1. Доктрина информационной безопасности Российской Федерации.
2. Утверждена Президентом Российской Федерации 09.09.2000 г II Российская газета. — 28 сентября 2000.
3. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. — СПб.: Наука и техника, 2004. — 384 с.
4. Harrison M. A. Protection in operating systems II Communications of the ACM. — 1976. — c. 461-471.
5. Захарченко C. C., Поляничко M. A. Обзор методов формальной верификации II Интеллектуальные системы на транспорте: материалы II международной научно-практической конференции «ИнтеллектТранс-2012». — 2012. —с. 424-427.
6. Варлатая М. В., Шаханов С. К. Предмет и задачи программно-аппаратной защиты информации II С. К. Шаханов, М. В. Варлатая Аппаратно-программные средства и методы защиты информации: Учебное пособие — Владивосток: ДВГТУ, 2007. —11 с.
7. Царегородцев A. B. Теоретические основы построения платформ безопасности информационно-управляющих систем: Монография. — М.: РУДН, 2003. — 112 с.
8. Герасименко В. А. Основы защиты информации. — М.: МИФИ, 1997. —540 с.
9. Зегжда Д. П. Как построить защищенную информационную систему. Технология создания безопасных систем. — СПб.: НПО «Мир и семья-95», ООО «Интерлайн», 1998. — 256 с.
10. Молдовян A. A., Молдовян А. Н. Безопасность глобальных сетевых технологий. — СПб.: БХВ-Петербург, 2001. — 320 с.
11. Зегжда Д. П. и др. Теория и практика обеспечения информационной безопасности. — М.: Яхтсмен, 1996.12. » ГОСТ 50.922-96. Стандартизованные термины и определения в области».
12. Расторгуев С. П. Программные методы защиты информации в компьютерах и сетях. — М.: Агентство «Яхтсмен», 1993.
13. Платонов В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. Учебное пособие. — М.: Академия, 2007. — 240 с.
14. Мельников В. В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электронинформ, 1997.
15. Гришина Н. В. Организация комплексной системы защиты информации. — М.: Гелиос АРВ, 2007. — 256 с.
16. Парахин В. Н., Смирнов В. В. Один из подходов к выбору механизмов безопасности для построения СЗИ, синтезированной на основе модели с полным покрытием II Проблемы информационной безопасности. — 1998.
17. Попов И., Емельянова Н., Партыка Т. Защита информации в персональном компьютере. — М.: Форум, 2009. — 368 с.
18. Забияко C. B. Модели оценки эффективности функционирования интегрированных систем безопасности в условиях структурно-параметрического конфликта подсистем: дис. канд. техн. наук. — Воронеж, 2004.
19. Лавлинский В. В. Моделирование взаимодействия систем защиты информации вьиислительных сетей с внешней средой: дис. канд. техн. наук. — Воронеж, 2002.
20. Застрожнов И. И. Моделирование и исследование динамики функционирования программных систем защиты информации для оценки и анализа качества их функционирования при проектировании и управлении: дис. канд. техн. наук. — Воронеж, 2005.
21. Савельева А. А. Модели и методы комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации: дис. канд. техн. наук. — Москва, 2011.
22. Гвоздик Я. М. Модель и методика оценки систем защиты информации автоматизированных систем: дис. канд. техн. наук. — СПб., 2011.
23. Стюгин М. Защита систем от исследования. Методы и модели построения защищенных систем и управления информацией в конфликте. — М.: Книга по требованию, 2011. — 140 с.
24. Рогозин Е. А. Моделирование и алгоритмизация процесса проектирования программных систем защиты информации: дис. канд. техн. наук. — Воронеж, 2006.
26. Oleg V Zaitsev, «Adaptive configuration of conflicting applications,» EP 2 388 695 Al, 2010.
27. Yong Ding, «Method and system for avoidance of software conflict,» US 8,141,059 B2, March 20, 2012.
28. Коробкин Д. И. Модели и алгоритмы оценки эффективности программных систем защиты информации: дис. канд. техн. наук. — М., 2005.
29. Грушо А. А., Применко Э. А., Тимонина Е. Е. Теоретические основы компьютерной безопасности. — М.: Академия, 2009. — 272 с.
30. Захарченко С. С., Поляничко М. А. Интеллектуальный фаззинг как средство поиска уязвимостей // Интеллектуальные системы на транспорте:материалы I международной научно-практической конференции «ИнтеллектТранс-2011». — 2011. — с. 372 374.
31. Таненбаум Э. Современные операционные системы. — СПб.: Питер, 2002. — 1040 с.
32. Иртегов Д. В. Введение в операционные системы. — СПб.: БХВ-Петербург, 2002. — 616 с.
33. Брагг Р. Система безопасности Windows 2000. — М.: Изд. дом «Вильяме», 1999, —320 с.
34. Гайдамакин H. A. Разграничение доступа к информации в компьютерных системах. — Екатеринбург: Екатеринбург, 2004. — 328 с.
35. Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации, 1992.
36. Хорев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2006. — 256 с.
37. Романец Ю. В., Тимофеева П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. — М.: Радио и связь, 2001. — 376 с.
38. Мэйволд Э. Безопасность сетей под ред. Е.А. Макарова. — Москва: Эком, 2005. —528 с. ‘ .
39. Мафтик С. Механизмы защиты в ‘детях ЭВМ. — М.: Мир, 1993.
40. I DS/IPS — Системы обнаружения и предотвращения вторжений // сайт. U RL: http://netconfig.ru/server/ids-ips/.
41. Поляничко М. А. Внутренние угрозы информационных систем на транспорте // Интеллектуальные системы на транспорте: материалы I международной научно-практической конференции «ИнтеллектТранс-2011». — 2011. —с. 369-372.
42. Газизова Э. Р., Веденьев Л. Т., Афанасьев А., Воронцов. A.B. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособиё для вузов. — М.: Горячая линия-Телеком, 2009. — 552 с.
43. Шрамко В. Комбинированные системы идентификации и аутентификации II PCWeek. — №459., Выпуск 45. — дек. 2004.
44. Ухлинов JI. M. Управление безопасностью информации в автоматизированных системах =. — М.: МИФИ, 1996. — 112 с.
45. Ухлинов JI. M. Принципы построения системы управления безопасностью данных в ИБС II Автоматика и вычислительная техника. — 1990. — с. 11-17.
46. Дружинин В. В. Введение в теорию конфликта. — М.: Радио и связь, 1989, — 288 с.
47. Касперски К. Секреты поваров компьютерной кухни или ПК: решение проблем. — СПб.: BHV, 2003. — 560 с.
48. Иллюстрированный самоучитель по Delphi 7 для профессионалов // сайт. U RL: http://www.realcoding.net/teach/Delphi7profGlava28/Indexl .html.
49. D LL, DLL Hell, перенаправление DLL, Side-by-Side сборки и манифесты // сайт. U RL: http://www.gunsmoker.ru/2011/02/dll-dll-hell-dll-side-by-side.html.
50. Гладкий A. A. Реестр Windows ХР. Трюки и эффекты. — Санкт-Петербург: Питер, 2005. — 272 с.
51. Системный реестр Windows. U RL: http://life-prog.m/viewzam2 .php?id=69&cat= 1 &page=2.
52. Кокорева О. Реестр Windows 7. — СПб.: BHV-СПб, 2010.
53. Russinovich Mark E., Solomon David A., Ionescu Alex Windows Internals’, 6th. — United States: Microsoft Press, 2012. — 752 c.
54. Беллью Джоли, Дантеманн Дж. Зачищаем Windows. — M.: Символ-Плюс, 2008. —400 с.
55. Соломон Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000. — Спб.: Питер, 2001. — 752 с.
56. Побегайло А. П. Системное программирование в Windows. — СПб.: БХВ-Петербург, 2006. — 1056 с.
57. О С и Железо // сайт. U RL: http://cybern.ru/ini-fajly.html.
58. Кулямин B. B. Методы верификации программного обеспечения. — М.: Институт Системного Программирования РАН, 2008. — 111 с.
59. Библиотека Technet Добавление и редактирование проблем // сайт. U RL: http://technet.microsoft.com/ru-ru/library/cc722369(v=ws. 10).aspx.
60. Поляничко M. А. Модель обнаружения конфликтов программных средств защиты информации на основе анализа зависимостей динамических библиотек // Естественные и технические науки. — №6., Выпуск 62. — 2012. — с. 524-526.
61. M SDN Знакомство со способами выявления пороговых „значений производительности // сайт. U RL: http://msdn.microsoft.com/ru-ru/library/bd20x32d(v=vs.90).aspx.
62. Рыжков А. П. Элементы теории нечетких множеств и измерения нечеткости. — М.: Диалог-МГУ, 1998. — 116 с.
63. Селезнев M. JI. Информационно-вычислительные системы и их эффективность. — М.: Радио и связь, 1986. — 103 с,
64. Авен О. И., Турин H. H. 0ценка качества и оптимизация вычислительных систем. — М.: Наука, 1982. — 464 с.
65. Авен О. И., Коган Я. А. Управление вычислительным процессом в ЭВМ. — М.: Энергия, 1978. — 240 с.
66. Счётчики производительности SQL Server и Windows // сайт. U RL: http://www.sql.ru/subscribe/2003/149.shtml.
67. Литвин В. Г., Аладыщев В. Ц., Винниченко А. И. Анализ производительности мультипрограммных ЭВМ. — М.: Финансы и статистика, 1984, — 160 с.
68. Хованов Н. В. Математические основы теории шкал измерения качества. — Л.: ЛГУ, 1982.
69. Нечеткая и лингвистическая переменная // сайт. U RL: http://masters.donntu.edu.ua/2010/fknt/snezhok/library/arcticle4.htm.
70. Рутковская Д., Пилиньский М., Рутковский JI. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. — Москва: Горячая линия-Телеком, 2006.
71. Лингвистическая переменная // Википедия. U RL: http://ru.wikipedia.org/wiki/Лингвистическаяпеременная.
72. Экспертные системы // Все лекции и материалы МГТУ им. Баумана. U RL: http://www.mgtu-lekcii.rU/iu/iu7/4/es/index40.html.
73. Кофман А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982. —432 с.
74. Zadeh Lotfi A. Fuzzy Sets II Information and Control. — №8., Выпуск 3. —1965.
75. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. — М.: Мир, 1976.
76. Стивен Чой Измерение ритма работы сервера II TechNet Magazine. — Август 2008.
77. Корченко А. Г. Построение систем защиты информации на. нечетких м^оЬ/сесгквах. Теория и практические решения. — М. : ДДДэка, 2006. — 320 с.
78. Орловский С. А. Проблемы принятия решений в многокритериальной среде: количественный подход. — М.: Физматлит, 2002.
79. Борисов А. Н., Алексеев А. В., Крумберг О. А., Меркурьева Г. В., Попов В. А. Модели принятия решений на основе лингвистической переменной. — Рига: Зинатне, 1982. — 256 с.
80. I Tteach. U RL: http://itteach.ru/predstavlenie-znaniy/predstavlenie-nechetkich-znaniy/nechetkaya-logika.
81. Борисов А. Н., Алексеев А. В., Меркурьев Г. В. и др. Обработка нечеткой информации в системах принятия решений. — М.: Радио и связь, 1989. — 304 с.
82. Гридина Е. Г., Лебедев А. Н. Новый метод определения функций принадлежности нечетких множеств II Новые информационные технологии. — №7. —1997. —с. 30-33.
83. Леоненков А. В. Нечеткое моделирование в среде MATLAB и fuzzyTECH.
84. С Пб.: БХВ-Петербург, 2003. — 736 с.
85. Каримов Р. Н. Основы дискриминантного анализа. Учебно-методическое пособие. — Саратов: СГТУ, 2002. — 108 с.
86. Ким Дж.-О., Мьюллер Ч. У., Клекка У. Р. Факторный, дискриминантный и кластерный анализ: Пер. с англ. — М.: Финансы и статистика, 1989. — 215 с.
87. Штовба С. Д. Проектирование нечетких систем средствами MATLAB.
88. M.: Горячая линия-Телеком, 2007. — 288 с.
89. Лекции Математическая статистика. Специальные главы прикладной математики // сайт. U RL: http://gendocs.ru/v25963/?cc=2.
90. Липаев В. В., Яшков С. Ф. Эффективность методов организации вычислительного процесса в АСУ. — М.: Статистика, 1975. — 255 с.
91. Попов А. Администрирование Windows с помощью WML и WMIC. — СПб.: BHV-СПб, 2004. — 752 с.
92. Руссинович М. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер класс. — M.: Издательство «Русская редакция»; СПб.: Питер, 2005. — 992 с.
93. Общие сведения о системном мониторе Windows // сайт. U RL: http://technet.microsoft.com/ru-ru/library/cc749154(v=ws. 10).aspx.
94. Маргозис А., Руссинович М. Утилиты Sysinternals. — СПб.: БХВ-Петербург, 2012. — 480 с.
95. Smith В. Microsoft Windows Security Resource Kit. — Microsoft Press, 2003.678 c.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.
Согласно данным Единого государственного реестра юридических лиц (ЕРГЮЛ) от 21.11.2023, публикуемым налоговой службой РФ, Поляничко Марк Александрович
(ИНН 783800083308
) упоминается в следующих юридических лицах.
Данный ИНН был выдан налоговой инспекцией региона Санкт-Петербург
.
Ранее Поляничко М. А. значился в сведениях об организации, зарегистрированной в регионе Санкт-Петербург
: производство штукатурных работ.
Статус регистрации в качестве самозанятого:
Руководитель, директор
До 26 октября 2021 г. *
Поляничко М. А. был руководителем (лицом, имеющим право без доверенности действовать от имени юридического лица) ООО «АЦР ИНЖИНИРИНГ»
.
Учредитель Поляничко М. А.
Указана дата изменения в ЕГРЮЛ (может не совпадать с фактической).
Представленные на этой странице данные получены из официальных источников: Единого государственного реестра юридических лиц (ЕГРЮЛ), Государственного информационного ресурса бухгалтерской отчетности (ГИР БО), с сайта Федеральной налоговой службы (ФНС), Минфина и Росстата. Указанные данные подлежат опубликованию в соответствии с законодательством РФ
.
Разработкой программного обеспечения и обработкой информации занимается ООО «Профсофт» (ИНН 3906992381). Используется информация только из официальных открытых источников. Если вы заметили ошибку или некорректную информацию, пожалуйста, свяжитесь с разработчиком
.
Кибернетика и программирование
Правильная ссылка на статью:
Поляничко М. А. —
Использование технических индикаторов для выявления инсайдерских угроз
// Кибернетика и программирование.
– 2018. – № 6.
– С. 40 — 47.
DOI: 10.25136/2306-4196.2018.6.27970 URL: https://nbpublish.com/library_read_article.php?id=27970
Использование технических индикаторов для выявления инсайдерских угроз
Дата направления статьи в редакцию:
10-11-2018
Аннотация:
Обнаружение инсайдерских угроз и противодействие им – сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.
внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, индикатор, средства защиты информации, мониторинг, инсайдерские угрозы, подозрительные действия, работники
internal threats, information security, insider, insider detection, indicator, information security tools, monitoring, insider threats, suspicious actions, staff
— Средства управления доступом и аутентификации: применяются для управления и мониторинга доступа к информационным системам и использования привилегий.
— DLP-системы: сведения о попытках инсайдерских утечек, нарушении прав доступа.
— IDS/IPS-системы: несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
— Антивирусные приложения: генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
— Журналы событий серверов и рабочих станций: применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
— Межсетевые экраны: сведения об атаках, вредоносном программном обеспечении и прочих угрозах информационной безопасности.
— Сетевое активное оборудование: используется для контроля доступа, учета сетевого трафика.
— Сканеры уязвимостей: данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
— Системы инвентаризации и asset-management: поставляют данные для контроля активов в инфраструктуре и выявления новых.
— Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.
1. Печать документов
— Увеличение количества выводимых на печать документов
— Выполнение печати в нерабочее время
— Удаленная печать
— Печать документов, запрещенных для копирования
— Печать больших документов
2. Поисковые запросы
— Увеличение количества запросов
— Осуществление поиска в нерабочее время
— Запросы из черного списка
— Прямой доступ к базе данных
— Запросы на странные темы
— Высокое количество уникальных запросов
3. Осуществление доступа
— Высокое использование одного IP адреса для доступа
— Доступ в нерабочее время
— Доступ к запрещенным ресурсам
— Попытки получения администраторского доступа
4. Скачивание информации
— Увеличение количества скачиваемой информации
— Скачивание информации в нерабочее время
— Скачивание с удаленных серверов
— Скачивание документов, запрещенных для копирования
— Скачивание больших файлов
5. Использование браузера
— Частое обращение к одному и тому же ресурсу
— Использование браузера в нерабочее время
— Просмотр запрещенных ресурсов
— Просмотр большого количества документов
Функция S-класса применяется в случае, если возрастание какого-то показателя увеличивает его функцию принадлежности к множеству.
Функция p-класса применима в том случае, если изменение значения показателя сначала увеличивает значение функции принадлежности, а затем его уменьшает.
Функция L
-класса применяется, если значение функции принадлежности не информативно в каком-то диапазоне значения показателя.
В некоторых случаях, функция принадлежности класса t может быть альтернативой по отношению к функции класса p.
Ниже рассмотрены примеры технических показателей выявления инсайдерских угроз. На рисунке 1 изображена лингвистическая переменная « PrintBursts
», характеризующая увеличение количества документов, выводимых на печать. Технический показатель увеличения объема печати описывается тремя термами « low
», « medium
» и « high
». Данный показатель измеряется в процентах, относительно среднего объема печати данного сотрудника за предыдущий период. В случае, если количество выводимых на печать документов увеличилось до 25%, то считается, что происходит небольшое увеличение печати, которое не имеет большой смысл относить к подозрительному поведению. Увеличение свыше 50%, то есть более чем в полтора раза считается подозрительным. Средний диапазон считается областью среднего риска и решение о необходимости дополнительного анализа поведения остается за администратором безопасности.
Рисунок 1 – Лингвистическая переменная « PrintBursts
»
На рисунке 2 изображен график лингвистической переменной « PrintSusTiming
». Технический показатель выполнения печати в нерабочее время описывается тремя термами « low
», « medium
» и « high
». Данный показатель измеряется в часах, прошедших относительно окончания официального рабочего времени. В работе при создании переменной использовался стандартный восьмичасовой рабочий день (с 8.30 до 17.30). В случае, если сотрудник выполняет печать в течение трех часов с момента окончания рабочего дня, то такое поведение слабо относится к подозрительному, так как задержки на работе являются распространённым явлением. Самым подозрительным временем печати является ночное время, то есть спустя 12-14 часов после окончания рабочего дня. При этом по мере приближения времени к началу следующего рабочего дня значение показателя снижается, так как сотрудники часто приезжают на работу немного заранее.
Рисунок 2 – Лингвистическая переменная « PrintSusTiming
»
На рисунке 3 изображен график лингвистической переменной «QueryHighDistCnt». Технический показатель наличия поисковых запросов на странные темы описывается двумя термами « low
» и « high
». Данный показатель измеряется в процентах, относительно среднего объема запросов, выполняемых пользователем. В случае, если объем уникальных запросов от общего объема запросов не превышает 25%, то относить данный факт к подозрительному поведению не имеет смысла. Возрастание количества уникальных запросов до 30% и выше может свидетельствовать о том, что пользователь собирает информацию компании или компьютер пользователя заражен вредоносным программным обеспечением, которое выполняет автоматизированный поиск.
Рисунок 3 – Лингвистическая переменная «QueryHighDistCnt»
Анализ данных показателей может выявить потенциально опасные инсайдерские действия, такие как осуществление доступа в нерабочее время, печать или скачивание больших объемов информации, обращение к информации, не требуемой для выполнения должностных обязанностей и д.р.
Предложенный набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз и уменьшить время, требуемое для выявления их наличия.
Ссылка на эту статью
Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также
попробовать найти похожие
статьи
Программные системы и вычислительные методы
Правильная ссылка на статью:
Корниенко А. А., Поляничко М. А. —
Метод обнаружения инсайдерской деятельности в организации
// Программные системы и вычислительные методы.
– 2019. – № 1.
– С. 30 — 41.
DOI: 10.7256/2454-0714.2019.1.29048 URL: https://nbpublish.com/library_read_article.php?id=29048