A. Yu. Iskhakov, A. O. Iskhakova, R. V. Mescheriakov, R. Bendraou, O. Melekhova, “Application of user behavior thermal maps for identification of information security incident”, Тр. СПИИРАН, 2018, выпуск 61,страницы 147

Эта публикация цитируется в 8 статьях

Информационная безопасность

Application of user behavior thermal maps for identification of information security incident

[Использование тепловой карты поведения пользователя в задаче идентификации субъекта инцидента информационной безопасности]

A. Yu. Iskhakov^a, A. O. Iskhakova^a, R. V. Mescheriakov^a, R. Bendraou^b, O. Melekhova^b

^a V.A. Trapeznikov Institute of Control Sciences of Russian Academy of Sciences
^b Paris Nanterre University

Аннотация: Одной из основных функций системы защиты информации является идентификация любого субъекта доступа с целью возможности расследования инцидентов информационной безопасности (ИБ). В ходе выполнения процедур сканирования и эксплуатации уязвимостей квалифицированные злоумышленники регулярно производят смену идентифицирующих признаков. Подобные действия не только обфусцируют данные в подсистемах аудита, затрудняя возможность восстановления хронологии событий эксперту ИБ, но и ставят под сомнение неопровержимость доказательной базы причастности конкретного злоумышленника к конкретным противоправным действиям. В статье приводится анализ применения современных подходов идентификации злоумышленников в веб-ресурсах, не требующих проведения аутентификации для основной пользовательской аудитории (методы fingerprinting, анализ поведенческих признаков). Авторами рассмотрены признаки пользователя, которые могут быть использованы для решения задачи его последующей идентификации.
С использованием широко применяемых в задачах веб-аналитики «тепловых карт», адаптированного профиля пользователя и компьютерной модели динамики системы «пользователь-мышь» авторами предлагается проводить идентификацию субъектов инцидента ИБ в общедоступных информационных ресурсах сети Интернет. Основная идея предполагаемого подхода заключается в том, что при построении тепловой карты должны учитываться не только плотность расположения данных, а также определяемые экспертом статистические параметры (дистанция градиента интенсивности, дистанция перекрытия и т.д.). Авторами предлагается учитывать и динамику действий пользователя (например, вычисление среднего времени ввода данных в интерактивные элементы). В статье содержится пошаговое описание каждого шага соответствующей методики, а также информация по ее практической реализации. Робастность данного подхода подтверждается практическим экспериментом. Предложенная методика не является универсальным средством идентификации злоумышленника – во внимание принимаются только ручные таргетированные атаки, не учитывается использование злоумышленниками cURL инструментов и т.д. Поэтому рекомендуется использовать его исключительно в дополнение к действующим системам защиты (WAF, IPS, IDS).

Ключевые слова: идентификация, тепловые карты, fingerprinting, биометрия, анонимизация.

УДК: 004.9

Поступила в редакцию: 29.06.2018

Язык публикации: английский

DOI: 10.15622/sp.61.6