Preview

Вестник СибГУТИ

Расширенный поиск

Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности

Полный текст:

Аннотация

В статье предложен метод экспресс-анализа событий информационной безопасности (ИБ), основанный на представлении инцидента как совокупности событий, состоящих из воздействий на файлы. Метод предполагает применение базы данных шаблонов идентифицированных воздействий, исходными данными для которых являются записи журнала изменений тома файловой системы NTFS - $UsnJml. Рассмотрен алгоритм поиска и классификации воздействий на файлы с использованием шаблонов. Предлагаемый метод экспресс-анализа позволяет определить порядок событий в рамках расследуемого инцидента ИБ, сократив количество анализируемых массивов данных до одного - журнала $UsnJml.

Об авторах

Николай Александрович Гайдамакин
УрФУ им. первого Президента России Б. Н. Ельцина
Россия


Роман Владимирович Гибилинда
УрФУ им. первого Президента России Б. Н. Ельцина
Россия


Николай Игоревич Синадский
УрФУ им. первого Президента России Б. Н. Ельцина
Россия


Список литературы

1. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: ФГУП «Стандартинформ», 2008. 30 с.

2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: ФГУП «Стандартинформ», 2006. 12 с.

3. ГОСТ 33707-2016 (ISO/IEC 2382:2015). Информационные технологии (ИТ). Словарь. М.: ФГУП «Стандартинформ», 2016. 548 с.

4. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http://gar-ant. ru/products/ipo/prime/doc/714 57 690 (дата обращения: 06.06.2020).

5. Гайдамакин Н. А., Гибилинда Р. В., Синадский Н. И. Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри // Вестник СибГУТИ. 2020. № 1. С. 73-88.

6. Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom [Электронный ресурс]. URL: https ://bleepingcomputer. com/news/security/jigsaw-ransom-ware-decrypted-will-delete-your-files-until-you-pay-the-ransom (дата обращения: 06.06.2020).

7. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Worksharing. 2013. P. 563-570.

8. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25-32.

9. UsnJrnl Parsing for File System History Project Report [Электронный ресурс]. URL: https://delaat.net/rp/2015-2016/p18/report. pdf (дата обращения: 06.06.2020).

10. USN_RECORD_V2 - Win32 apps [Электронный ресурс]. URL: https://docs.micro soft.com/en-us/windows/win32/api/winioctl/ns-winioctl-usn record v2 (дата обращения: 06.06.2020).


Рецензия

Для цитирования:


Гайдамакин Н.А., Гибилинда Р.В., Синадский Н.И. Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности. Вестник СибГУТИ. 2020;(4):3-10.

For citation:


Gaidamakin N.A., Gibilinda R.V., Sinadsky N.I. A method for rapid analysis of events related to impacts on files designed to investigate information security incidents. The Herald of the Siberian State University of Telecommunications and Informatics. 2020;(4):3-10. (In Russ.)

Просмотров: 7


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1998-6920 (Print)