SIMULATION MODEL FOR RESEARCHING THE USER BEHAVIOR IN DISTRIBUTED INFORMATION COMPUTER SYSTEMS

Full Text

Введение Для анализа поведения пользователя необхо- димо осуществлять анализ ряда его поступков и принимать решение о его аномальности. Нель- зя считать неправомерным увеличение сетевого трафика пользователя - для принятия решения о «Infokommunikacionnye tehnologii» 2021, Vol. 19, No. 2, pp. 207-216 Таблица 1. Права доступа пользователей Наименование (тип) ресурса Права пользователей по доступу к информации Администратор Пользователь 1 Пользователь n Ресурс 1 REWAD REW RW Ресурс 2 REWAD R R . . . REWAD R RW Ресурс n REWAD REW R блокировке его соединения необходимо рассмо- треть предшествующие действия и на их основе сделать вывод о нормальности данного трафика или осуществить его блокировку при обнаруже- нии несанкционированного доступа (НСД). Разработка вербальной модели поведения пользователя Для пользователя можно выделить ряд ключе- вых факторов в его поведении, на которые стоит обратить внимание, - это преобладание фото- и видеоматериалов в трафике, большой объем передаваемой информации, использование ком- пьютера в нерабочее время, но осуществление пользователем данного действия еще не говорит о его неправомерности, для выяснения необхо- димо развернуть всю цепочку предшествующих событий [1]. Согласно теории автоматов, автомат - дис- кретный преобразователь информации, способ- ный принимать различные состояния, переходить под воздействием входных сигналов из одного со- стояния в другое и выдавать выходные сигналы, что в общем случае подходит под определение пользователя в информационной системе (ИС), который выполняет ряд операций под влиянием внешнего воздействия; поэтому, если рассматри- вать пользователя как конечный цифровой авто- мат, необходимо формализовать его поведение - описать переходы, входные и выходные значения. Для разработки модели языка поведения пользователя необходимо: осуществить классификацию пользователей ИС; осуществить классификацию информации, обрабатываемой в ИС; определить права пользователей по доступу к информации. Классификация пользователей необходима для дальнейшей их группировки в группы для на- значения им однородных прав для работы с систе- мой, информацию также необходимо классифи- цировать для объединения в классы доступности для пользователей с различными привилегиями, права пользователей необходимо определять для соотношения групп пользователей и их прав до- ступа. В таблице 1 представлен пример классифика- ции пользователей и ресурсов, а также установ- ки соответствий прав доступа пользователей к ресурсам. В данной таблице прокатегорированы пользователи и ресурсы ИС, а также определены права доступа пользователей к ним. Технология обнаружения атак путем иденти- фикации аномального поведения пользователя основана на следующей гипотезе. Аномальное поведение пользователя (атака или какое-нибудь враждебное действие) часто проявляется как от- клонение от нормального поведения. События (поступки) при попытке вторжения отличаются от событий нормальной деятельности и исполь- зуют различные сигнатуры для определения от- клонения от нормального состояния. Если возможно однозначно описать профиль нормального поведения пользователя, а имен- но однозначно определить критерии для оценки аномальности поведения, то любое отклонение от них можно идентифицировать как аномаль- ное поведение. Однако аномальное поведение не всегда является атакой, например, одновре- менную посылку большого числа запросов от администратора сети система защиты может идентифицировать как атаку типа «отказ в обслу- живании». При настройке и эксплуатации систем обна- ружения аномального поведения пользователя имеется ряд сложностей: построение профиля нормального поведения пользователя является трудно формализуемой и трудоемкой задачей, требующей от администратора большой предва- рительной работы; определение граничных зна- чений характеристик поведения пользователя для снижения вероятности появления ошибок перво- го и второго рода. Для составления профиля нормального пове- дения пользователя может использоваться следу- ющая информация: - обычное число входов в данное время в те- чение дня, предполагаемое самое раннее время входа, предполагаемая максимальная длитель- ность входа; Таблица 2. Сигнатуры аномального поведения пользователя Пользователь Сигнатуры 10101010 1010 1100 010100 010 10101010 000101010 11001010 10101 предполагаемый тип использования ресур- сов, который должна поддерживать данная вы- числительная система; число IP-адресов, с которыми были взаимо- действия, объемы переданного/полученного тра- фика/пакетов, число клиентских/серверных пор- тов TCP/UDP, на которых были взаимодействия, количество сессий, число уникальных значений типов и кодов ICMP, количество появлявшихся уникальных битов в поле флагов TCP-заголовка и другие; попытка запустить или установить про- граммное обеспечение, которое относится к кате- гории системных программ; попытка изменения процесса загрузки ОС или внесение изменений в BIOS; создание новых разделов на диске; установка драйвера; попытка добавить нового пользователя в си- стеме или изменить уже имеющегося; попытка загрузки операционной системы в безопасном режиме; действия, направленные на заполнение ан- кет, регистрацию на неизвестном сайте с вводом личных/конфиденциальных данных, например вводом паспортных данных; работа в Internet через прокси-серверы или использование программного обеспечения для гарантирования анонимности; частота чтения и записи некоторых файлов, число отказов на запросы чтения или записи не- которых файлов и другие параметры доступа к файлам. Технология обнаружения аномалий ориенти- рована на выявление новых типов атак. Анома- лия может быть вызвана неисправностью обору- дования или же некорректной работой сетевых сервисов и поддерживающих их систем. Это делает возможным использование таких систем для осуществления аудита сети. В разрабаты- ваемой программе по данному методу анализа аномального поведения пользователя на основе автоматной модели будет создана база правил несанкционированных действий пользователя, которая будет содержать сигнатуры аномального поведения пользователя, с которыми будет срав- ниваться текущее состояние пользователя и, соот- ветственно, даваться разрешение на выполнение / Рисунок 1. Формальное представление таблицы переходов и последовательности действий пользователя невыполнение текущих действий пользователя, пример базы сигнатур аномального поведения пользователя показан в таблице 2. Анализ поведения пользователя осуществля- ется путем поиска запрещенных сигнатур в та- блице переходов, таким образом осуществляется анализ распределенной цепочки действий поль- зователя, а не тривиальной прямой последова- тельности. Также возможен режим контроля дей- ствий пользователя, когда действия пользователя анализируются по таблице переходов путем ее сравнения с эталонной, при появлении перехо- дов, не описанных в эталонной таблице перехо- дов, переход будет блокироваться. На рисунке 1 показаны формальное пред- ставление таблицы переходов и последователь- ность действий, которые совершил пользователь (маршрут обозначен указателями), при этом поль- зователь осуществляет только разрешенные для него переходы, запрещенные переходы отмечены в виде наиболее темных (красных) блоков [7]. Для выполнения одной и той же операции воз- можно использовать несколько методов, напри- мер, для отправки электронного письма можно воспользоваться веб-браузером или почтовой программой, текст письма вводить непосред- ственно в веб-браузере, почтовой программе или скопировать заранее подготовленный текст из текстового редактора. Поэтому для описания одного и того же дей- ствия необходимо использовать несколько сигнатур, описывающих разные алгоритмы достиже- ния цели. Число вариантов выполнения операции напрямую зависит от квалификации пользовате- ля. Так, пользователь с низким уровнем квали- фикации для решения поставленной задачи будет совершать множество ненужных переходов, со- вершать ошибки при вводе данных, и все в тече- нии продолжительного периода времени. Поль- зователь среднего уровня квалификации знает один или два метода решения поставленной зада- чи, операции выполняет с меньшим количеством ошибок и за меньший период времени. Пользо- ватель высокого уровня квалификации знает не- сколько методов решения поставленной задачи, редко совершает ошибки, выполняет задачи за короткий промежуток времени. Распознавание запрещенных действий поль- зователя основано на методе эталонов. В каче- стве базы эталонов используется предварительно составленная база сигнатур, полученная из кодов состояний таблиц выходов и переходов пользо- вателя, сравнение осуществляется с текущей та- блицей выходов и переходов пользователя. Разработка и исследование автоматной модели поведения пользователя Алгебраическая теория автоматов представ- ляет собой ветвь теории систем. В приложени- ях автомат оказывается наиболее подходящим объектом для моделирования действия ряда логических элементов, когда не удается непо- средственно воспользоваться вычислительными системами. Автомат будет адекватной моделью реального электронного устройства, когда для последнего правильно введено абстрактное по- нятие «состояния». Абстрактный автомат - это математическая идеализация реального объекта или явления, реагирующего на различные входные возмуще- ния [2]. Автомат A = {Q, X, Y, δ, λ}, имеет: конечное множество состояний Q = {q1, ..., qk}; конечный входной алфавит X = {x1, ..., xm}; конечный выходной алфавит Y = {y1, ..., yn}. Действия автомата определяются: функцией переходов δ : Q×X→Q; функцией выходов λ : Q×X→Y. В качестве основной модели была выбрана модель Гогена - Мезигера. Согласно этой моде- ли, система может при каждом действии перехо- дить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы - до- мены. Переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой ука- зано, какие операции может выполнять субъект, например из домена С над объектом из домена D. В данной модели при переходе системы из одно- го разрешенного состояния в другое используют- ся транзакции, что обеспечивает общую целост- ность системы [4; 5]. Разработанный метод реализует анализ по- ведения пользователя, базируясь на автоматной модели Гогена - Мезигера, где каждый поступок пользователя представляется в виде состояния автомата, при этом система при каждом действии может переходить из одного разрешенного состо- яния только в несколько других, но в отличие от базовой модели проверяется корректность пере- хода не только по данным из текущего состояния, а из всей предыстории действий пользователя. Следует отметить, что данный метод не явля- ется заменой существующих методов противо- действия НСД, а дополняет их, работая в комплек- се - повышает защищенность информационной системы от НСД, путем анализа и предотвраще- ния аномального поведения пользователя. Метод анализа аномального поведения поль- зователя на основе автоматной модели: универ- сален - применяется для защиты как от внешних, так и от внутренних нарушителей; для принятия решения о разрешении или запрещении последу- ющих действий пользователя анализируются все предыдущие действия (состояния) пользователя, если для анализа недостаточно данных, то поль- зователю необходимо выполнить ряд дополни- тельных действий либо повторить предыдущие; обучаем - в процессе работы создаются базы сиг- натур разрешенных и запрещенных состояний; скрытность работы - пользователь не замечает анализа и фиксации своих действий в системе; удобен в использовании - не накладывает на пользователя выполнение дополнительных дли- тельных операций; незначительное потребление ресурсов системы при мониторинге поведения пользователя. В разрабатываемом подходе в отличие от клас- сической модели Гогена - Мезигера для контро- ля действий пользователя учитывается не одно его последнее действие, а вся цепочка действий пользователя. Таким образом выявляется запре- щенное действие, состоящее из нескольких опе- раций, которые при поэлементной проверке явля- ются разрешенными [3]. Для создания базы эталонов, шаблонов пове- дения необходимо учитывать особенности поль- зователя, работающего с системой. Ручной ввод и составление сигнатур поведения пользователей - Рисунок 2. Описание поведения пользователя (обобщенная схема алгоритма действий пользователя) сложный и трудоемкий процесс, в ходе которо- го возникают ошибки. Для устранения данной проблемы в разрабатываемом подходе использу- ется самообучающаяся система с учителем. При настройке системы мониторинга система запи- сывает все действия пользователя, определяет основные алгоритмы выполнения задач, адми- нистратор проверяет данные действия, выявляет запрещенные переходы, и на основе данной вы- борки создается база эталонов. Пользователь для осуществления какой-либо операции в системе выполняет определенный алгоритм действий (совершение операций, ввод данных, выполнение условий, вывод данных), данный алгоритм описан согласно теории авто- матов и представлен в виде обобщенной схемы управляющего цифрового автомата - см. рису- нок 2, в ней указаны все его состояния, входные и выходные значения, что наглядно демонстрирует поведение пользователя как работу цифрового автомата. Рисунок 3. Описание поведения пользователя (граф переходов действий пользователя) При этом алгоритм имеет разветвленную структуру, блоки операций, выбора, условия и вывода. Для обработки алгоритма действий пользователя построен граф переходов - см. ри- сунок 3, где указана взаимосвязь всех состояний автомата и условияй, при каких входных и вы- ходных значениях осуществляются переходы от одного состояния к другому [2]. В таблицах 3 и 4 показано представление значений функций перехода и выхода, в данных таблицах хранится основная база данных раз- решенных действий пользователя, по ним будет осуществляться непосредственный мониторинг его поведения. Состояние пользователя очень сложно точ- но описать как состояние цифрового автомата ввиду невозможности формализации состояний человеческого мозга и всех факторов, оказыва- ющих на него воздействия для принятия того или иного решения. Поэтому в данной работе рассма- триваются состояния цифрового автомата, доста- точно полно отображающие действие пользова- теля в целом. В таблице 5 представлены коды состояния цифрового автомата. Для создания базы этало- нов, шаблонов поведения необходимо учиты- вать особенности пользователя, работающего с системой. Согласно разработанному алгоритму, сначала осуществляется регистрация действий пользователя, далее анализ зарегистрированных действий, согласно предварительно составлен- ной базе правил, и в конце принимается решение о разрешении или запрещении входящей после- довательности действий пользователя. При этом осуществляется декомпозиция це- почки действий пользователя, цепочка разбива- ется на элементарные составные части, далее со- ставляются сочетания этих поступков по времени поступления, и осуществляется сравнительный анализ цепочки действий пользователя с сигнату- Таблица 3. Таблица переходов xj\\aj a0 … an x1 (a0, x1) … (an, x1) … … … … xm (a0, xm) … (an, xm) Таблица 4. Таблица выходов xj\\aj a0 … an x1 (a0, x1) … (an, x1) … … … … xm (a0, xm) … (an, xm) Таблица 5. Кодирование состояний цифрового автомата № Состояние ЦА Код состояния ЦА 1 S0 0000 2 S1 0001 … … … n Sn 1001 Таблица 6. Принцип сравнения сигнатур по методу эталонов Сигнатуры дей- ствий пользова- теля База сигнатур (эталоны) Анализ сигнатуры действий пользователя Разрешить действие Запретить действие (0111)(0011)(1000) (0111) (0111) (0111) - (0111)(0011) (0111)(0011) (0111)(0011) - ….. (0111)(0011)(1000) - (0111)(0011)(1000) рами из базы правил, в случае нахождения совпа- дений цепочка действий пользователя относится к запрещенным и дальнейшие намерения пользо- вателя блокируются. В таблице 6 представлен принцип опреде- ления запрещенных действий пользователя. На вход поступают сигнатуры действий пользовате- ля, далее они сравниваются с базой сигнатур, при нахождении несовпадений действие пользовате- ля запрещается. Обобщенная модель поведения пользовате- ля (ПП) в виде цифрового автомата может быть представлена как А = {S, s0, X, Y, δ, λ}, где S - текущее технологическое состояние си- стемы, обусловленное действиями пользователя; s0 - начальное состояние системы; X - входной алфавит действий пользователя; Y - выходной алфавит реакций системы на действия пользова- теля; δ(s, х) - функция перехода системы; λ(s, х) - функция выходов системы. Для осуществления определенной операции в системе пользователь выполняет некоторый алго- ритм действий (совершение операций, ввод дан- ных, выполнение условий, вывод данных), дан- ный алгоритм описан согласно теории автоматов и представлен на рисунке 4 в виде обобщенной схемы управляющего цифрового автомата, ото- бражающего действия пользователя. Представленная математическая модель опи- сывает все входные и выходные значения подси- стемы мониторинга автоматной модели контроля поведения пользователя. На рисунке 5 представлена структурная схема данной системы, согласно которой подсистема мониторинга контролирует все входные и вы- ходные значения пользователя и системы, ведет отчет по их работе, оказывает воздействие на систему для осуществления разрешенных пере- ходов согласно таблице выходов и переходов. Пользователь выполняет действие над системой под вилянием предыдущих действий, выполнен- ных над ней. Рисунок 4. Схема алгоритма действий пользователя Рисунок 5. Структурная схема автоматной системы контроля ПП Рисунок 6. Классификация действий пользователя в сигнатурном подходе Система выполняет действия пользователя только в случае разрешения подсистемы мони- торинга. Контроль осуществляется по пред- варительно составленной таблице выходов и переходов. На рисунке 5 Xупр - управляющее воз- действие на пользователя; Хс - воздействие систе- мы на пользователя; Yп - действие пользователя на систему; Yм - реакция системы мониторинга на действия пользователя; Yкс - реакция системы на действие пользователя (результат работы си- стемы). Классификация действий пользователя в сигнатурном подходе представлена на рисунке 6. В зависимости от типа поведения и действий пользователя (см. рисунок 5) система способ- на адекватно реагировать на его действия. Если пользователь выполняет поставленные ему за- дачи без каких-либо отклонений - система не вмешивается; в случае когда пользователь намерен совершить запрещенное действие - система заблокирует действия пользователя и уведомит администратора об инциденте; в случае когда пользователь не совершает запрещенных пере- ходов, но и не может решить поставленную зада- чу - система подсказывает пользователю последу- ющие переходы системы для выполнения задачи. Заключение Таким образом, для анализа поведения поль- зователя была разработана модель языка по- ведения пользователя, для построения которой необходимо: осуществить классификацию поль- зователей ИС, провести классификацию ин- формации, обрабатываемой в ИС, определить права пользователей по доступу к информации, составить таблицу переходов и выходов для всех пользователей. Распознавание запрещенных действий поль- зователя основано на методе эталонов. В каче- стве базы эталонов используется предварительно составленная база сигнатур, полученная из кодов состояний таблиц выходов и переходов пользо- вателя, сравнение осуществляется с текущей та- блицей выходов и переходов пользователя. При этом в отличие от классического подхода при- менения сигнатур, в котором в качестве сигнатур используются уникальные признаки объекта, в нашем подходе сигнатурами в таблице переходов обозначены все возможные состояния системы (запрещенные и разрашенные). Контроль осуществляется путем сравнения сигнатур, при этом сравнение осуществляется поэлементно и путем сравнения нескольких или всех сигнатур с эталоном, то есть анализируется не только одно действие пользователя, а после- довательность его действий. Для ускорения про- цесса контроля действий пользователя применя- ется прогнозирование переходов пользователя от одного действия к другому. Согласно эталонной таблице выходов и переходов, пользователю для выполнения определенной операции необходимо выполнить ряд заранее определенных действий, поэтому при выполнении пользователем текущих действий заранее известно, какой переход дол- жен осуществить пользователь. Для выполнения одной и той же операции воз- можно использовать несколько методов, напри- мер, для отправки электронного письма можно воспользоваться веб-браузером или почтовой программой, текст письма вводить непосред- ственно в веб-браузере, почтовой программе или скопировать заранее подготовленный текст из текстового редактора. Поэтому для описания одного и того же дей- ствия над системой необходимо использовать несколько сигнатур, описывающих разные ал- горитмы достижения цели. Количество вариан- тов выполнения операции напрямую зависит от квалификации пользователя. Так, пользователь с низким уровнем квалификации для решения по- ставленной задачи будет совершать множество ненужных переходов, совершать ошибки при вводе данных, и все в течение продолжительного периода времени. Пользователь среднего уровня квалификации знает один или два метода реше- ния поставленной задачи, операции выполняет с меньшим количеством ошибок и за меньший период времени. Пользователь высокого уровня квалификации знает несколько методов решения поставленной задачи, редко совершает ошибки, выполняет задачи за короткий промежуток вре- мени. Описывая все разрешенные переходы пользо- вателя в системе, мы создаем шаблоны безопас- ного поведения пользователей по классической модели информационной безопасности Гогена - Мезигера, согласно которой система может при каждом действии переходить из одного разре- шенного состояния только в несколько других, что переход системы из одного состояния в дру- гое выполняется только в соответствии с табли- цей разрешений, в которой указано, какие опера- ции может выполнять субъект над объектом.

About the authors

E. I Ryapolova

Orenburg Branch of the Volga State University of Telecommunications and Informatics

Email: ananeva_ei@mail.ru
Orenburg, Russia

M. A Studyannikova

Orenburg Branch of the Volga State University of Telecommunications and Informatics

Email: studyannikovam@mail.ru
Orenburg, Russia

References

Supplementary files