Разработка систем поведенческого анализа | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 20 марта, печатный экземпляр отправим 24 марта.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №19 (257) май 2019 г.

Дата публикации: 13.05.2019

Статья просмотрена: 92 раза

Библиографическое описание:

Лисунова, М. Е. Разработка систем поведенческого анализа / М. Е. Лисунова. — Текст : непосредственный // Молодой ученый. — 2019. — № 19 (257). — С. 9-10. — URL: https://moluch.ru/archive/257/58848/ (дата обращения: 06.03.2021).



Несанкционированный доступ и утечка данных могут нанести компании значительный экономический ущерб, привести к снижению ее рентабельности и оттоку клиентов. Именно поэтому в любом крупном предприятии стоит вопрос защиты конфиденциальных данных и оперативного обнаружения информационных угроз.

Информационные угрозы принято разделять на внешние и внутренние. В случае внешних угроз, злоумышленник пытается получить доступ к конфиденциальным данным компании, отыскивая уязвимости в аппаратной и программной архитектуре информационной системы. Примерами таких атак являются:

– Внедрение кода (XSS, SQL Injection и т.д.)

– Сетевая разведка

– Атака «Человек посередине» и пр.

Под внутренними угрозами понимаются угрозы, исходящие от действий сотрудников компании. Это могут быть как умышленные, так и неумышленные действия сотрудников, приводящие к компрометации конфиденциальной информации.

Применяются различные способы защиты как от внешних, так и от внутренних угроз информационной безопасности. Однако если стратегии защиты от внешних угроз регулируются архитектурой информационной системы и применением «лучших» практик по защите от распространенных атак, то внутренние атаки не так просто распознать и предотвратить. При этом согласно исследованию, проведенному компанией InfoWatch в 2018г., на долю внутренних нарушителей приходится около 64,5% всех инцидентов утечки информации.

Для выявления подозрительной активности со стороны сотрудников используются системы поведенческого анализа. Решения этого класса занимаются разбором действий конкретного пользователя и составлением модели его «типичного» поведения в информационной системе. Анализируется его работа с данными, устройствами, а также сетевое взаимодействие.

Разработка систем поведенческого анализа сводится к следующим этапам:

1) Определение источников информации о действиях сотрудников в системе

2) Агрегация данных из разных источников и приведение их к единому виду

3) Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя

4) Предоставление отчетов по аномальным активностям пользователей.

Рассмотрим каждый этап подробнее.

  1. Определение источников информации о действиях сотрудников в системе

При разработке систем поведенческого анализа необходимо обратить внимание на различные типы источников информации о действиях сотрудников, которые позволят составить более точный профиль пользователя и определить его модель поведения. В качестве стандартных источников информации выступают логи доступа к серверным компонентам и журналы персональных компьютеров, информация об использовании сетевого трафика, а также транзакции баз данных.

  1. Агрегация данных из разных источников и приведение их к единому виду.

Данные о действиях сотрудников, поступающие из разных источников, имеют различную структуру. Поэтому необходимо преобразовать их к единому формату, пригодному для статистического анализа. С этой целью применяют ETL или ELT процессы. (с англ. Extraction, Transformation, Loading – выгрузка, преобразование, загрузка). Данные выгружаются из предопределенных источников по заданному расписанию; каждый тип исходных данных трансформируется таким образом, чтобы формат соответствовал формату данных для составления статистики. По завершении этапа трансформации, данные из всех источников агрегируют и загружают в целевую аналитическую систему.

  1. Разработка обучающих алгоритмов, позволяющих выстроить стандартную поведенческую линию каждого пользователя.

Для того, чтобы выявить закономерности в поведении пользователя или групп пользователей, применяют математическое моделирование и машинное обучение. Разработанные алгоритмы позволяют на основании большого объема статистических данных сформировать линию поведения пользователя и оперативно отслеживать любые ее отклонения. Например, если сотрудник всегда работал в стандартные часы, а в один из дней был обнаружен в доступе к системе в ночное время, алгоритм сочтет такое поведение за аномалию и зарегистрирует событие как инцидент информационной безопасности.

  1. Предоставление отчетов по аномальным активностям пользователей.

Основная цель систем поведенческого анализа – это предоставление актуальной информации о нарушении безопасности в системе и несанкционированном доступе к данным. Эта информация должна быть представлена в виде, доступном для конечного пользователя – офицера информационной безопасности. С этой целью используются отчеты в виде таблиц, круговые диаграммы, столбчатые и др. Они объединяются на обзорной панели системы поведенческого анализа, предоставляя полноценную информацию о текущем состоянии системы и наличии инцидентов.

Литература:

  1. Gorka Sadowski, Avivah Litan, Toby Bussa, Tricia Phillips, Market Guide for User and Entity Behavior Analytics, 2018 г. – 11 с.
  2. Макаренко, С.И., Информационная безопасность, 2009г. – 24-26 с.
Основные термины (генерируются автоматически): поведенческий анализ, действие сотрудников, данные, информационная безопасность, информационная система, ELT, ETL, аномальная активность пользователей, единый вид, стандартная поведенческая линия.


Похожие статьи

ETL: обзор и роль в развитии компаний | Статья в сборнике...

Понятие ETL. Данные, загружаемые из каких-либо источников, как правило, требуется не просто хранить внутри одной системы, а передавать для обработки и анализа в другие системы. Для этого существуют, так называемые, хранилища данных (ХД или DWH — Data Warehouse).

Анализ методов обнаружения аномалий для обнаружения...

Перед администраторами информационно–вычислительных систем, предоставляющих

Данными для анализа является сетевой трафик, представленный как набор сетевых пакетов, в

По результатам сравнительного анализа было выявлено, что поведенческие методы...

Исследование и сравнительный анализ методов аутентификации

В настоящее время передача данных по незащищенным каналам связи создаёт потенциальную возможность для действий злоумышленников. В информационных системах хранится, обрабатывается, циркулирует различная информация...

Технологии профилирования заёмщиков в банковской сфере...

Анализируя данные по клиенту или группе клиентов, банки строят профили потенциальных заемщиков с учетом их полной истории взаимоотношения с банком, в том числе и по закрытым договорам. С помощью передовых технологий интеллектуального анализа данных банк может...

Классификация состояний информационной системы по...

Информационная система (ИС) является базовым компонентом информационной инфраструктуры, в которой циркулирует наиболее

Данные события возникают на системном и сетевом уровнях, носят нежелательный характер и влияют на состояние информационной...

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Обеспечение безопасности информационных систем

Ключевые слова: информационная безопасность, информационные технологии, доступ

Его целью является контроль за деятельностью пользователей в системе в любой момент времени.

Информационная безопасность — есть основа всей системы безопасности...

Исследование нейросетевых технологий для выявления...

системы обнаружения вторжений, информационная безопасность, нейронные сети, классификация сетевых атак.

Данными для анализа является сетевой трафик, представленный как набор сетевых пакетов, в общем случае фрагментированных на уровне IP.

Методы интеллектуального анализа данных в диагностировании...

Интеллектуальный анализ данных в медицине, применяемый для построения медицинских диагностических систем, предназначен для того, чтобы помочь врачу, в частности, малоопытному специалисту, свести к минимуму диагностические ошибки и ускорить процесс...

Метод биометрической аутентификации, основанный на анализе...

Традиционные методы идентификации личности, в основе которых находятся различные идентификационные карты, или уникальные данные, такие как, например, пароль, не являются надежными в той степени, которая требуется на сегодняшний день.

Похожие статьи

ETL: обзор и роль в развитии компаний | Статья в сборнике...

Понятие ETL. Данные, загружаемые из каких-либо источников, как правило, требуется не просто хранить внутри одной системы, а передавать для обработки и анализа в другие системы. Для этого существуют, так называемые, хранилища данных (ХД или DWH — Data Warehouse).

Анализ методов обнаружения аномалий для обнаружения...

Перед администраторами информационно–вычислительных систем, предоставляющих

Данными для анализа является сетевой трафик, представленный как набор сетевых пакетов, в

По результатам сравнительного анализа было выявлено, что поведенческие методы...

Исследование и сравнительный анализ методов аутентификации

В настоящее время передача данных по незащищенным каналам связи создаёт потенциальную возможность для действий злоумышленников. В информационных системах хранится, обрабатывается, циркулирует различная информация...

Технологии профилирования заёмщиков в банковской сфере...

Анализируя данные по клиенту или группе клиентов, банки строят профили потенциальных заемщиков с учетом их полной истории взаимоотношения с банком, в том числе и по закрытым договорам. С помощью передовых технологий интеллектуального анализа данных банк может...

Классификация состояний информационной системы по...

Информационная система (ИС) является базовым компонентом информационной инфраструктуры, в которой циркулирует наиболее

Данные события возникают на системном и сетевом уровнях, носят нежелательный характер и влияют на состояние информационной...

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Обеспечение безопасности информационных систем

Ключевые слова: информационная безопасность, информационные технологии, доступ

Его целью является контроль за деятельностью пользователей в системе в любой момент времени.

Информационная безопасность — есть основа всей системы безопасности...

Исследование нейросетевых технологий для выявления...

системы обнаружения вторжений, информационная безопасность, нейронные сети, классификация сетевых атак.

Данными для анализа является сетевой трафик, представленный как набор сетевых пакетов, в общем случае фрагментированных на уровне IP.

Методы интеллектуального анализа данных в диагностировании...

Интеллектуальный анализ данных в медицине, применяемый для построения медицинских диагностических систем, предназначен для того, чтобы помочь врачу, в частности, малоопытному специалисту, свести к минимуму диагностические ошибки и ускорить процесс...

Метод биометрической аутентификации, основанный на анализе...

Традиционные методы идентификации личности, в основе которых находятся различные идентификационные карты, или уникальные данные, такие как, например, пароль, не являются надежными в той степени, которая требуется на сегодняшний день.

Задать вопрос