ИСТИНА |
Войти в систему Регистрация |
|
Интеллектуальная Система Тематического Исследования НАукометрических данных |
||
Диссертационная работа посвящена исследованию и разработке новых технологий построения специализированных систем мониторинга работы пользователей корпоративных сетей. Системы мониторинга состоят из совокупности информационных подсистем, обеспечивающих решение следующих задач: • сбор данных; • обработка и анализ данных; • отображение результатов анализа и оповещение эксперта. Системы мониторинга работы корпоративной сети и корпоративных пользователей традиционно решают следующие задачи: • обеспечение информационной безопасности; • сбор и отображение статистики работы пользователей, использования ресурсов и др. В данной работе предлагается новая технология построения систем мониторинга работы корпоративных пользователей, основанная на формировании и анализе моделей поведения отдельных пользователей и пользовательских групп. Данная технология должна предоставлять возможность создания специализированных систем мониторинга, предназначенных, в частности, для решения ряда актуальных задач, среди которых можно выделить: • раннее обнаружение внутренних вторжений (обнаружение действий пользователей, которые могут предшествовать внутренним вторжениям); • выявление фактов нецелевого использования корпоративных вычислительных ресурсов; • обнаружение непрофессиональных, некомпетентных или халатных действий пользователей при работе с информационными ресурсами корпоративной сети. Общей характеристикой данных задач является то, что при их решении затруднено использование экспертных знаний, описывающих сценарии «интересных» для аналитика действий пользователей. Для внутренних вторжений практически отсутствуют сценарии, описывающие последовательность действий, однозначно определяющих подготовку или начало проведения вторжения. Для нецелевого и непрофессионального использования не могут быть созданы однозначные правила, так как такие действия могут трактоваться каждой организацией по-своему и зависеть от контекста работы пользователей. Таким образом, подходы, применяемые в большинстве систем информационной безопасности, основанные на использовании сигнатурных баз данных, описывающих атаки или нецелевые действия, не могут обеспечить полное решение задачи. Актуальной является разработка технологии, позволяющей на основе сбора, консолидации и централизованного анализа данных формировать модели корректного поведения пользователей (или групп пользователей), затем, путем сопоставления текущих действий пользователей с построенными моделями, решать обозначенные выше задачи. Так, например, выявляя аномальные относительно моделей события, можно определять действия пользователей, которые могут являться фактами нецелевого или непрофессионального использования, подготовкой внутренних вторжений и прочими значимыми отклонениями в работе. Данный подход исключает необходимость поиска и формирования экспертами сигнатур, характеризующих обнаруживаемые действия. Другой характеристикой систем мониторинга является тип данных, который используется при консолидации и анализе. Так, например, множество систем информационной безопасности построено по принципу анализа содержательной (контентной) информации. Для поиска вторжений, могут составляться наборы правил, объединяющих ключевые слова и признаки документов. Эти правила используются для контроля содержимого файлов, электронных писем и других документов. Такой подход имеет целый ряд недостатков, среди которых главным является то, что анализ контентной информации потенциально снижает уровень защищенности корпоративных данных и сети. Это происходит по следующим причинам: • За счет предоставления экспертам, разрабатывающим наборы правил и настраивающих систему, ключевых слов или иных признаков документов фактически происходит их ознакомление с конфиденциальной информацией, которую следует охранять от несанкционированного доступа. • Системам безопасности предоставляется доступ ко всей информации, тем самым снижается уровень безопасности, т.к. образуется программный продукт, через который проходит вся конфиденциальная информация. Таким образом, актуальным является удовлетворение в новой технологии требования минимизации рисков, связанных с предоставлением доступа экспертов и подсистем мониторинга к содержательной информации, обрабатываемой в корпоративной сети. Возможным решением является исключение использования содержательной информации для проведения мониторинга. В частности, актуальным является разработка технологии, основанной на использовании журналируемой информации, т.е. информации, не являющейся содержимым файлов или иных документов, а являющейся совокупностью событий обработки контентной информации, которые могут фиксироваться операционной системой, прикладными программами или специализированными системами. Основной специфической характеристикой новой технологии является возможность создания систем мониторинга, учитывающих цели применения, доступные источники журналируемой информации и другую специфику функционирования корпоративной сети. В связи с этим, актуальным является разработка достаточно унифицированных моделей и методов, позволяющих производить сбор, консолидацию и анализ журналированных событий из различных источников с учетом особенностей функционирования наблюдаемых систем, сети передачи данных и других компонентов корпоративной сети.