Метод обнаружения инцидентов информационной безопасности по аномалиям в биометрических поведенческих чертах пользователя
Аннотация:
Предмет исследования. В настоящее время значительный объем атак на информационные системы составляют многоэтапные целевые атаки. Зачастую ключевыми субъектами атаки становятся внутренние нарушители — инсайдеры. Действия инсайдера отличаются от активности легитимного пользователя. Тогда возможно формирование модели поведения пользователя, отличия от которой могут быть классифицированы как события или инциденты информационной безопасности. Существующие подходы к обнаружению аномалий в активности пользователя предполагают использование отдельных характеристик его поведения, без учета их взаимозависимостей и зависимостей от различных факторов. Задача исследования состоит в формировании комплексной характеристики поведения пользователя при использовании компьютера — «цифровой метрики», для обнаружения событий и инцидентов информационной безопасности. Метод. Предложен метод обнаружения инцидентов информационной безопасности посредством формирования цифровой метрики пользователя за счет анализа его поведенческих характеристик и их зависимостей, выбранных в качестве предикторов. Разработанный метод предполагает формирование модели посредством машинного обучения без учителя. Рассмотрены алгоритмы: опорных векторов для одного класса, изолирующего леса и эллипсоидальной аппроксимации данных. Основной метрикой качества моделей выбран коэффициент корреляции Мэтьюса, однако были рассмотрены и другие показатели. Выполнен сравнительный анализ моделей, обученных выбранными алгоритмами с различными параметрами по метрикам качества. Основные результаты. Выполнен эксперимент с целью получения оценки разработанного метода и сравнения его эффективности с ближайшим аналогом. Для обучения и оценки моделей в рамках исследуемых методов использованы реальные данные о поведении 138 пользователей. По результатам сравнительного анализа, разработанный метод продемонстрировал отличные показатели по всем рассмотренным метрикам, в том числе повышение коэффициента корреляции Мэтьюса на 0,6125. Практическая значимость. Разработанный метод может быть использован для непрерывной аутентификации пользователя в средствах защиты информации от несанкционированного доступа и выявления инцидентов информационной безопасности, связанных с действиями инсайдеров.
Ключевые слова:
Постоянный URL
Статьи в номере
- Исследование дисперсионных свойств конгруэнтного кристалла ниобата лития терагерцовом диапазоне частот
- Исследование влияния наведенных механических напряжений, вызванных герметизацией стеклоприпоем, на значение коэффициента поляризационной экстинкции в двулучепреломляющем оптическом волокне
- Метод дистанционного контроля радиационных параметров космических аппаратов на основе рентгенофлуоресцентного анализа
- Волоконно-оптический амплитудный датчик направления и величины изгиба
- Компенсация внешних возмущений для многоканальных систем с запаздыванием в управлении
- Построение криптографических схем, основанных на эллиптических кривых над рациональными числами
- Алгоритм генерации проектных решений для управления данными и проектно-производственными процедурами на этапах жизненного цикла электронного изделия
- Способ повышения эффективности комплексной обработки данных дистанционного зондирования Земли при решении задач мониторинга пространственных объектов
- Разработка модели обнаружения сетевых аномалий трафика в беспроводных распределенных самоорганизующихся сетях
- Применение FN-корректора с целью повышения качества классификации аудиособытий
- Усиление роли микроархитектурных этапов проектирования встраиваемых систем
- Многомерный двоичный классификатор дерева решений на основе неглубокой нейронной сети
- Организация фаззинг-тестирования многопоточных приложений на основе метода распараллеливания независимых переходов
- Метод защиты нейронных сетей от компьютерных бэкдор-атак на основе идентификации триггеров закладок
- Программная инструментальная система создания адаптивных пользовательских интерфейсов
- Облегченная система рекомендаций для анализа социальных сетей с использованием гибридного алгоритма классификатора BERT-SVM
- Моделирование случайных процессов на основе преобразования Карунена–Лоэва
- Управление численной диссипацией гибридного метода крупных частиц в задачах с вихревой неустойчивостью
- Численная модель импульсного подкритического стримерного сверхвысокочастотного разряда для задач плазменного поджига топливных смесей в газовой фазе
- Численное исследование прямой, винтовой и спиральной капиллярной трубок для хладагента CO2
- Восстановление информации в зашумленном канале методом фантомной визуализации со спектральным мультиплексированием в оптическом диапазоне