Совершенствование инструментальных средств выявления утечек инсайдерской информации в финансово-кредитных организациях (1142745), страница 3
Текст из файла (страница 3)
В зависимости от величины компаниисредняя стоимость утечки информации обходится от 2 до 25 млн. долл. Особоезначение имеют репутационные издержки. По данным из различных источниковследствием средней информационной утечки является отток 2,67% клиентовкомпании, что является достаточно высоким показателем в масштабах крупнойорганизации.В работе проведен развернутый анализ инструментальных средств защиты отутечки конфиденциальных данных (DLP-система (Data Leak Protection)), а также14проблем, возникающих при их использовании. В результате сделан вывод, что DLPсистемы снижают многие риски, связанные с внутренним нарушителем, но узлоумышленника остается возможность сфотографировать экран монитора илизапомнить данные, доступ к которым у него уже есть, и передать третьим лицам.
Оттакого типа утечки не может защитить ни одна DLP-система.Показано, что особую проблему составляют противоправные действия,связанные с использованием информационных ресурсов за счет доступа к ним счужого рабочего места или под чужой учетной записью. По данным авторитетныхисточников такого рода инциденты случались в 81% случаев, повлекшихфинансовые потери или ухудшение репутации банка.2.Сбориобработкаэмпирическихданныхоколичественноизмеримых индивидуальных особенностях клавиатурного ввода.В работе показано, что для борьбы со злонамеренными инсайдерами,использующими чужие учетные данные для входа в информационную систему,неэффективно использование алгоритмов анализа действий в сети или в АРМ, атакже организационных мероприятий.Поэтому было предложено использовать скрытые методы аутентификации дляпресечения доступа к конфиденциальной информации уже на этапе доступа всистему.
Основная проблема при использовании данного подхода состоит в том, чтонеобходимо выявлять персональные особенности работы каждого пользователя скомпьютером для идентификации его личности, чтобы использовать скрытуюаутентификацию, позволяющую выявить попытку использования чужих учетныхданных.Для проведения скрытой аутентификации был выбран метод, основанный наклавиатурном почерке, как наиболее незаметный, не требующий дополнительныхтехнических средств и доступный для применения при удаленном доступе с любогоустройства.В работе проведён опыт по получению биометрических характеристик15клавиатурного ввода и их анализу.
Так как производится дополнительная скрытаяаутентификация, то можно использовать только метод набора определеннойключевой фразы, а не случайно выдаваемого текста. В качестве ключевой фразыиспользуется пара: имя пользователя и пароль.В качестве основных параметров для контроля были использованы:время между вводом символов;время между вводом Ctrl+Alt+Delete и началом ввода логина;время между окончанием ввода логина и переноса фокуса на поле«пароль»;время между окончанием ввода пароля и передачей на проверку.Модифицированнаябиблиотекаmsgina.dll,отвечающаязапроцедуруаутентификации в операционной системе Windows XP была внедрена на пяти АРМпредприятия ОАО «Концерн «Системпром» в период с декабря 2012 по апрель 2013г.
для набора статистики, необходимой для подтверждения или опровержениягипотезы о возможности использования особенностей клавиатурного ввода какустойчивой биометрической характеристики.Анализ полученных данных подтвердил, что клавиатурная подпись являетсяустойчивой биометрической характеристикой. Для проверки гипотезы в работе былавыбрана информационно-аналитическая система Deductor, в которой был проведёнанализ данных следующими методами:линейной регрессии (построение линейной модели);логистической регрессии (построение бинарной модели);с помощью нейросети.В качестве примера далее приведены данные анализа, полученные с помощьютрех способов для одного из пользователей, на АРМ которого происходил съембиометрических характеристик.При анализе полученных данных методом линейной регрессии в случае16наличия всего 167 замеров, где 139 замеров от легального пользователя и 28являющихся имитацией действий нарушителя, верно классифицировано 166замеров, или 99,4%; неверно – 1, или 0,6%;При анализе полученных данных методом логистической регрессии в случаеналичия такого же количества замеров, были распознаны все 100% случаев.Анализ полученных данных с помощью построения нейросети проводилсядля различного количества нейронов (7, 12, 13, 30), различной крутизны сигмоиды иметодом Back-Propagation, где коррекция весов производится после предъявлениякаждого примера обучающего множества.
В результате анализа рассмотреннойвыше выборки были распознаны все 100% случаев.По результатам эксперимента были выявлены закономерности, позволяющиепровести скрытую аутентификацию пользователя. Все выбранные параметры, еслианализировать общую картину для каждого пользователя, достаточно стабильны, нопри этом для большинства параметров случаются «выпады», т.е. увеличениевремени, из-за того, что пользователь отвлекся на что-либо, или из-завозникновения ошибок. Чаще всего «выпады» (рис.
1) случаются у легальныхпользователей, так как они более расслаблены и случайные ошибки у нихпроявляются чаще. Нарушитель же более собран и сосредоточен, поэтому вбольшинстве замеров ошибки и, как следствие, увеличение интервалов временизамечаются гораздо реже.Анализ полученных данных для каждого пользователя привел к выводу, чтораспределениеинтерваловмеждунажатиямихарактеристики имеют гамма-распределение.клавишидополнительные17Рис. 1. – Визуализация фиксируемых параметров18Исходя из особенностей гамма-распределения, можно сделать вывод, чтопосле продолжительной тренировки нарушителем будет увеличиваться числоошибок первого рода.
Для выработки иного метода, позволяющего противостоятьквалифицированным внутренним нарушителям, осуществляющим прямую атакуна клавиатурную подпись, потребовалось провести ряд проверок. Так, с помощьюэмпирических методов удалось обнаружить, что, несмотря на то, что интервалымежду нажатиями клавиш и дополнительные характеристики носят нормальныйхарактер, разница между парами символов для каждого пользователя гораздоболее выражена. То есть, набор учетных данных имеет устойчивое соотношениемежду временными интервалами между рассматриваемыми параметрами.Вследствие указанных выше причин необходимо производить нормировку.Также было обнаружено, что еще более выраженный результат получаетсяпри нормализации входных данных. Это достигается за счет деления параметроводного замера на сумму всех замеров.Эксперимент показал, что наиболее устойчивыми и стабильными являютсяте временные параметры, которые имеют меньшую продолжительность.
Чембольше временной интервал, тем чаще случаются выпадения из него. Вследствиеуказанной выше причины ИАС Deductor или аналогичные будут даватьоднозначный ответ при аутентификации, что может привести к ошибкам первогоили второго рода. При действиях подготовленного нарушителя это можетпривести к признанию злонамеренного инсайдера легальным пользователем.
Дляпредотвращения подобных событий был выработан критерий доверия. Длякаждого пользователя на основе полученных данных рассчитывается диапазонзначений критерия, по которому будет определяться, кто пытается пройтипроверку–однозначнопользователь,нарушитель,неопределенность и требуется вмешательство администратора.илисуществует193.Математическая модель анализа параметров клавиатурнойподписи при аутентификации.Разработка критерия:Разница между вводом i-го символа в текущем замере и эталонным:(1)где– среднее время перехода– текущее время переходаСравнение возводится во вторую степень, так как.может быть меньше .Суммируются значения всех параметров:,(2)где n – количество всех параметров, фиксируемых для данногопользователя.Нормированное время:;(3).(4),(5)Обозначается:где T – нормированное время всех периодов для одного замера.,где–(6)среднее время периодов всех замеров, соотнесенное с конкретнымпользователем.Сравнение при нормированном времени:.(7)Эмпирически полученные данные показывают, что чем меньше время20параметра, тем реже пользователь в нем ошибется.
Поскольку значимостьконкретного параметра набора зависит от устойчивости его набора конкретнымпользователем(индивидуальныенавыки),требуетсявывестивесовыекоэффициенты важности каждого параметра. Для эталонного значения онопределяется статистическими параметрами устойчивости ввода данных. Чемменьше отклонений совершает пользователь при текущем наборе заданногопараметра от среднестатистического, тем важнее будет его значение:.Веспараметрасреднеквадратическогоберется(8)пропорциональнымотклоненияобратнойПоскольку.величинеполученныеэкспериментальные данные показали, что чем меньше для конкретногопользователя интервал набора заданного параметра, тем устойчивее оносуществляет его набор; весовой коэффициент важности связываем с временемнабора. Поскольку при текущем наборе не имеется статистических данных,весовой коэффициент определяется обратно пропорциональным времени набора:.(9)В итоге получается коэффициент важности:.(10)Поскольку значение V может быть больше единицы, для удобствапредставления и сравнения значений следует произвести нормирование:.(11)Значение W задает критерий легальности клавиатурной подписи.214.Инструментарийидентификациипользователянаосновеклавиатурной подписи при входе в информационную систему.В результате создания математической модели и ее опытной апробации былсозданпрограммныйкомплексаутентификациипользователянаосновеклавиатурной подписи.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
