A method for rapid analysis of events related to impacts on files designed to investigate information security incidents
Abstract
The article offers a method for rapid analysis of information security events based on the representation of an incident as a set of events consisting of impacts on files. The method involves using a database of identified impact templates, where initial data is the NTFS volume change log entries - SUsnJrnl. An algorithm for searching and classifying impacts on the files using templates is considered. The proposed method of rapid analysis allows you to determine the order of events within the framework of the incident under investigation, reducing the number of analyzed data arrays to one - SUsnJrnl log.
About the Authors
N. A. Gaidamakin
УрФУ им. первого Президента России Б. Н. Ельцина
Russian Federation
Russian Federation
R. V. Gibilinda
УрФУ им. первого Президента России Б. Н. Ельцина
Russian Federation
Russian Federation
N. I. Sinadsky
УрФУ им. первого Президента России Б. Н. Ельцина
Russian Federation
Russian Federation
References
1. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: ФГУП «Стандартинформ», 2008. 30 с.
2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: ФГУП «Стандартинформ», 2006. 12 с.
3. ГОСТ 33707-2016 (ISO/IEC 2382:2015). Информационные технологии (ИТ). Словарь. М.: ФГУП «Стандартинформ», 2016. 548 с.
4. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http://gar-ant. ru/products/ipo/prime/doc/714 57 690 (дата обращения: 06.06.2020).
5. Гайдамакин Н. А., Гибилинда Р. В., Синадский Н. И. Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри // Вестник СибГУТИ. 2020. № 1. С. 73-88.
6. Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom [Электронный ресурс]. URL: https ://bleepingcomputer. com/news/security/jigsaw-ransom-ware-decrypted-will-delete-your-files-until-you-pay-the-ransom (дата обращения: 06.06.2020).
7. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Worksharing. 2013. P. 563-570.
8. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25-32.
9. UsnJrnl Parsing for File System History Project Report [Электронный ресурс]. URL: https://delaat.net/rp/2015-2016/p18/report. pdf (дата обращения: 06.06.2020).
10. USN_RECORD_V2 - Win32 apps [Электронный ресурс]. URL: https://docs.micro soft.com/en-us/windows/win32/api/winioctl/ns-winioctl-usn record v2 (дата обращения: 06.06.2020).
Review
For citations:
Gaidamakin N.A., Gibilinda R.V., Sinadsky N.I. A method for rapid analysis of events related to impacts on files designed to investigate information security incidents. The Herald of the Siberian State University of Telecommunications and Information Science. 2020;(4):3-10. (In Russ.)
Views:
267
Email this article 
