Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри

В статье рассмотреныпризнаки, идентифицирующие файлы, приведены примеры файловых операций, предложен алгоритм идентификации файловыхопераций, представлена разработанная модельпроцессаидентификациивоздействий на файлы. С учетом событийно-переходной природы процессовизменения признаков, идентифицирующих файлы, для моделирования использован аппарат сетей Петри. На основе моделивозможнареализация системы, применение которойпозволитавтоматизировать процесс идентификации воздействий на файлыс целью определения влияния на обрабатываемую информациюв рамкахрасследования инцидентовинформационной безопасности.Установление факта влияния на информацию позволяет упростить процедуру ликвидациипоследствий инцидента информационной безопасности.Использованиесистемы на основе разработанной модели позволит верифицировать источники информации, содержащиепризнаки, идентифицирующие файлы,и данныеофайловыхоперациях

расследование инцидентов информационной безопасности, событие информационной безопасности, файловая операция, воздействие на файл, модель, сети Петри

1. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежный средств» [Электронный ресурс]. URL

2. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы я Ntfs в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25-32

3. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation д // 9th IEEE International on Collaborative Computing: Networking, Applications and е Worksharing, 2013. P. 563-570

4. Studiawan H., Payne C., Sohel F. Graph Clustering and Anomaly Detection of Access Control Log for Forensic Purposes // Digital Investigation. 2017.

5. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства р ©беспечения безопасности. Менеджмент инцидентов информационной безопасности. о М.: ФГУП «Стандартинформ», 2007. 50 с.

6. Effendi Y. A., Sarno R Discovering Process Model from Event Logs by Considering Overlapping е Rules // EECSI 2017. Yogyakarta, Indonesia, 2017.

7. Хорьков Д. А., Гайдамакин Н. А. Модель атакующего воздействия на автоматизированные а системы в рамках развития аппарата сетей Петри // Проблемы информационной Гезопасности. Компьютерные системы. 2013. № 1. С. 73-80.

8. GitHub - sarahtattersall/PIPE: PIPE - Platform Independent Petri Net Editor [Электронный e ресурс]. URL: https://github.com/sarahtattersall/PIPE (дата обращения: н u

9. Dingle N., Knottenbelt W., Suto T. PIPE2: A tool for the Performance Evaluation of Generalized и Stochastic Petri Nets // ACM SIGMETRICS Performance Evaluation Review (Special Issue on Tools for Computer Performance Modeling and Reliability Analysis). 2009. № 36. P. 34-39.