Просмотр статьи


Номер журнала: 2020.1

Заголовок статьи: Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри

Резюме

В статье рассмотрены признаки, идентифицирующие файлы, приведены примеры файловых операций, предложен алгоритм идентификации файловых операций, представлена разработанная модель процесса идентификации воздействий на файлы. С учетом событийно-переходной природы процессов изменения признаков, идентифицирующих файлы, для моделирования использован аппарат сетей Петри. На основе модели возможна реализация системы, применение которой позволит автоматизировать процесс идентификации воздействий на файлы с целью определения влияния на обрабатываемую информацию в рамках расследования инцидентов информационной безопасности. Установление факта влияния на информацию позволяет упростить процедуру ликвидации последствий инцидента информационной безопасности. Использование системы на основе разработанной модели позволит верифицировать источники информации, содержащие признаки, идентифицирующие файлы, и данные о файловых операциях.

Авторы

Н. А. Гайдамакин, Р. В. Гибилинда, Н. И. Синадский

Библиография

1. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http://garant.ru/products/ipo/prime/doc/71457690 (дата обращения: 20.12.2019).
2. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25–32.
3. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Worksharing, 2013. P. 563–570.
4. Studiawan H., Payne C., Sohel F. Graph Clustering and Anomaly Detection of Access Control Log for Forensic Purposes // Digital Investigation. 2017.
5. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
М. : ФГУП «Стандартинформ», 2007. 50 с.
6. Effendi Y. A., Sarno R. Discovering Process Model from Event Logs by Considering Overlapping Rules // EECSI 2017. Yogyakarta, Indonesia, 2017.
7. Хорьков Д. А., Гайдамакин Н. А. Модель атакующего воздействия на автоматизированные системы в рамках развития аппарата сетей Петри // Проблемы информационной безопасности. Компьютерные системы. 2013. № 1. С. 73–80.
8. GitHub – sarahtattersall/PIPE: PIPE – Platform Independent Petri Net Editor [Электронный ресурс]. URL: https://github.com/sarahtattersall/PIPE (дата обращения: 20.12.2019).
9. Dingle N., Knottenbelt W., Suto T. PIPE2: A tool for the Performance Evaluation of Generalized Stochastic Petri Nets // ACM SIGMETRICS Performance Evaluation Review (Special Issue on Tools for Computer Performance Modeling and Reliability Analysis). 2009. № 36. P. 34–39.

Ключевые слова

расследование инцидентов информационной безопасности, событие информационной безопасности, файловая операция, воздействие на файл, модель, сети Петри

Скачать полный текст