Использование тепловой карты поведения пользователя в задаче идентификации субъекта инцидента информационной безопасности
Ключевые слова:
идентификация, тепловые карты, fingerprinting, биометрия, анонимизацияАннотация
Одной из основных функций системы защиты информации является идентификация любого субъекта доступа с целью возможности расследования инцидентов информационной безопасности (ИБ). В ходе выполнения процедур сканирования и эксплуатации уязвимостей квалифицированные злоумышленники регулярно производят смену идентифицирующих признаков. Подобные действия не только обфусцируют данные в подсистемах аудита, затрудняя возможность восстановления хронологии событий эксперту ИБ, но и ставят под сомнение неопровержимость доказательной базы причастности конкретного злоумышленника к конкретным противоправным действиям. В статье приводится анализ применения современных подходов идентификации злоумышленников в веб-ресурсах, не требующих проведения аутентификации для основной пользовательской аудитории (методы fingerprinting, анализ поведенческих признаков). Авторами рассмотрены признаки пользователя, которые могут быть использованы для решения задачи его последующей идентификации. С использованием широко применяемых в задачах веб-аналитики «тепловых карт», адаптированного профиля пользователя и компьютерной модели динамики системы «пользователь-мышь» авторами предлагается проводить идентификацию субъектов инцидента ИБ в общедоступных информационных ресурсах сети Интернет. Основная идея предполагаемого подхода заключается в том, что при построении тепловой карты должны учитываться не только плотность расположения данных, а также определяемые экспертом статистические параметры (дистанция градиента интенсивности, дистанция перекрытия и т.д.). Авторами предлагается учитывать и динамику действий пользователя (например, вычисление среднего времени ввода данных в интерактивные элементы). В статье содержится пошаговое описание каждого шага соответствующей методики, а также информация по ее практической реализации. Робастность данного подхода подтверждается практическим экспериментом. Предложенная методика не является универсальным средством идентификации злоумышленника – во внимание принимаются только ручные таргетированные атаки, не учитывается использование злоумышленниками cURL инструментов и т.д. Поэтому рекомендуется использовать его исключительно в дополнение к действующим системам защиты (WAF, IPS, IDS).
Литература
2. Iskhakov S.Yu., Shelupanov A.A., Mescheryakov R.V. Assessment of security systems complex networks security // Dynamics of Systems, Mechanisms and Machines (Dynamics). 2014. pp. 1–4.
3. Yankovskaya A.E., Shelupanov A.A., Hodashinsky I.A., Gorbunov I.V. Development of hybrid intelligent system of express-diagnostics for detection potential attacker // The 9th International Conference on Application of Information and Communication Technologies (AICT). 2015. pp. 183–187.
4. Iskhakov A., Meshcheryakov R., Ekhlakov Yu. The Internet of Things in the security industry // Interactive Systems: Problems of Human-Computer Interaction (collection of scientific papers). 2017. pp. 161–168.
5. Ромашев А. Тест и сравнение эффективности WAF (Web Application Firewall). URL: https://www.anti-malware.ru/compare/web-application-firewall#part4 (дата обращения: 20.06.2018).
6. Iskhakov A., Meshcheryakov R., Iskhakov S., Krainov A. Increase in security of authentication services through additional identification using optimal feature space // Proceedings of the IV International research conference “Information technologies in Science, Management, Social sphere and Medicine” (ITSMSSM). 2017. pp. 443–446.
7. Eckersley P. How Unique Is Your Web Browser? // Proceedings of the 10th Privacy Enhancing Technologies Symposium (PETS). 2010. pp. 1–18.
8. Alnaami K. et al. P2V: Effective Website Fingerprinting Using Vector Space Representations // IEEE Symposium Series on Computational Intelligence. 2015. pp. 59–66.
9. Iskhakova A., Meshcheryakov R. Automatic search of the malicious messages in the internet of things systems on the example of an intelligent detection of the unnatural agents requests // International Conference on Information Science and Communications Technologies (ICISCT). 2017. pp. 1–4.
10. Бессонова Е.Е., Зикратов И.А., Колесников Ю.Л., Росков В.Ю. Способ идентификации пользователя в сети Интернет // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 3. С. 133–137.
11. Usmonov B. et al. The cybersecurity in development of IoT embedded technologies // International Conference on Information Science and Communications Technologies (ICISCT). 2017. pp. 1–5.
12. Исхаков А.Ю., Исхаков С.Ю., Мещеряков Р.В. Повышение защищенности сервисов аутентификации путем проведения дополнительной идентификации с использованием оптимального признакового пространства // Информационные технологии в науке, управлении, социальной сфере и медицине: сборник научных трудов. 2017. С. 117–122.
13. Abouollo A., Almuhammadi S. Detecting malicious user accounts using Canvas Fingerprint // The 8th International Conference on Information and Communication Systems (ICICS). 2017. pp. 358–361.
14. Daud N.I., Haron G.R., Othman S.S.S. Adaptive authentication: Implementing random canvas fingerprinting as user attributes factor // IEEE Symposium on Computer Applications & Industrial Electronics (ISCAIE). 2017. pp. 152–156.
15. Система управления проектами Trac. URL: https://trac.torproject.org/projects/tor/ query?status=accepted&status=assigned&status=needs_review&status=needs_revisi on&status=new&status=reopened&order=priority&col=id&col=summary&col=keywords&col=status&col=owner&col=type&col=priority&keywords=tbb-fingerprinting (дата обращения 20.06.2018).
16. Диденко С.М. Исследование модели динамики параметров информационного почерка пользователя // Вестник Тюменского государственного университета. 2006. № 5. С. 170–174.
17. Pilankar P.S., Padiya P. Multi-phase mouse dynamics authentication system using behavioural biometrics // International Conference on Signal Processing, Communication, Power and Embedded System (SCOPES). 2016. pp. 1947–1950.
18. Hu S. et al. Deceive Mouse-Dynamics-Based Authentication Model via Movement Simulation // The 10th International Symposium on Computational Intelligence and Design (ISCID). 2017. vol. 1. pp. 482–485.
19. Chen X. et al. A practical real-time authentication system with Identity Tracking based on mouse dynamics // IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS). 2014. pp. 121–122.
20. Kaminsky R., Enev M., Andersen E. Identifying Game Players with Mouse Biometrics // University of Washington. Technical Report. 2008. 12 p.
21. Feher C. et al. User Identity Verification via Mouse Dynamics // Information Sciences. 2012. vol. 201. pp. 19–36.
22. Stanić M. Continuous user verification based on behavioral biometrics using mouse dynamics // Proceedings of the ITI 2013 35th International Conference on Information Technology Interfaces. 2013. pp. 251–256.
23. Идентификация пользователей Tor Browser через анализ особенностей работы с мышью. URL: https://www.opennet.ru/opennews/art.shtml?num=44027 (дата обращения: 20.06.2018).
24. Данилов Н.А., Шульга Т.Э. Построение тепловой карты на основе точечных данных об активности пользователя приложения // Прикладная информатика. 2015. № 2(56). C. 49–58.
25. Диденко С.М. Развитие математической модели информационного почерка пользователя // Математическое и информационное моделирование: сборник научных трудов. 2006. С. 68–73.
26. Шапцев В.А., Диденко С.М. Разработка и исследование компьютерной модели динамики системы «пользователь-мышь» // Диссертация на соискание степени кандидата технических наук. 2007. 95 с.
