Научная статья на тему 'Разграничение доступа к информации на основе скрытого мониторинга пользователей компьютерных систем: портрет нелояльного сотрудника'

Разграничение доступа к информации на основе скрытого мониторинга пользователей компьютерных систем: портрет нелояльного сотрудника Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
324
58
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СКРЫТЫЙ МОНИТОРИНГ / HIDDEN MONITORING / КЛАВИАТУРНЫЙ ПОЧЕРК / KEYBOARD HANDWRITING / БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ / BIOMETRIC IDENTIFICATION / ОСОБЕННОСТИ РАБОТЫ С МЫШЬЮ / ESPECIALLY THE WORK WITH THE MOUSE / ПОРТРЕТ РАБОТЫ ПОЛЬЗОВАТЕЛЯ В КОМПЬЮТЕРНОЙ СИСТЕМЕ / A PORTRAIT OF THE USER IN A COMPUTER SYSTEM

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Сулавко Алексей Евгеньевич, Еременко Александр Валериевич, Левитская Елена Андреевна

Работа посвящена проверке истинности гипотезы о том, что информация о действиях пользователя в компьютерной системе, полученная на основе скрытого мониторинга стандартных периферийных устройств, позволит своевременно распознать нелояльное поведение и предотвратить реализацию внутренней угрозы информационной безопасности, что актуально для информационных систем железнодорожного транспорта.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Сулавко Алексей Евгеньевич, Еременко Александр Валериевич, Левитская Елена Андреевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

AN APPROACH TO INFORMATION ACCESS CONTROL BASED ON HIDDEN MONITORING OF COMPUTER SYSTEM USERS: PORTRAIT DISLOYAL EMPLOYEES

The article is devoted to checking the validity of the hypothesis that the information on a user's computer system, obtained on the basis of covert monitoring of standard peripherals allow timely recognize disloyal behavior and prevent the realization of the internal threats to information security, which is important for the information systems of rail transport.

Текст научной работы на тему «Разграничение доступа к информации на основе скрытого мониторинга пользователей компьютерных систем: портрет нелояльного сотрудника»

Список литературы

1. Ананьева, Н. Г. Снижение удельного расхода электроэнергии на тягу поездов при внедрении устройств контроля ситуации на железнодорожном переезде [Текст] / Н. Г. Ананьева // Омский научный вестник / Омский гос. техн. ун-т. - Омск. - 2010. - № 1 (87). -С.158 - 160.

2. Bouwmans, T. Handbook on «Background modeling and foreground detection for video surveillance: traditional and recent approaches, implementations, benchmarking and evaluation». CRC Press, Taylor and Francis Group. June 2014.

3. Фурман, Я. А. Введение в контурный анализ. Приложения к обработке изображений и сигналов [Текст] / Я. А. Фурман. - М.: Физматлит, 2003. - 592 с.

4. Brinkmann, R. The art and science of digital compositing // Morgan kaufmann. - 1999. -184 p.

5. Bradski, G. Learning OpenCV: Computer vision with the OpenCV library / O'Reilly Media. Inc., 2008.

6. Parker, J. R. Algorithms for image processing and computer vision // John Wiley & Sons, 2010.

References

1. Ananeva N. G. Reduction in specific energy consumption for traction in the implementation of monitoring devices situation at a railway crossing [Snizhenie udel'nogo rashoda jelektrojenergii na tjagu poezdov pri vnedrenii ustrojstv kontrolja situacii na zheleznodorozhnom pereezde]. Omsk: Omskii nauchnyi vestnik - Omsk Scientific Bulletin, 2010, pp. 158 - 160.

2. Bouwmans, T. Handbook on «Background modeling and foreground detection for video surveillance: traditional and recent approaches, implementations, benchmarking and evaluation», CRC Press, Taylor and Francis Group, June 2014.

3. Furman Ja. A. Vvedenie v konturnyj analiz. Prilozhenija k obrabotke izobrazhenij i signalov (Introduction to contour analysis and its applications to image and signal processing). Moscow: Fizmatlit, 2003, 592 p.

4. Brinkmann, R. The art and science of digital compositing. Morgan kaufmann. - 1999. -184 p.

5. Bradski, G. Learning OpenCV: Computer vision with the OpenCV library / O'Reilly Media, Inc., 2008.

6. Parker, J. R. Algorithms for image processing and computer vision. - John Wiley & Sons, 2010.

УДК 004.93

А. Е. Сулавко, А. В. Еременко, Е. А. Левитская

РАЗГРАНИЧЕНИЕ ДОСТУПА К ИНФОРМАЦИИ НА ОСНОВЕ СКРЫТОГО МОНИТОРИНГА ПОЛЬЗОВАТЕЛЕЙ КОМПЬЮТЕРНЫХ СИСТЕМ: ПОРТРЕТ НЕЛОЯЛЬНОГО СОТРУДНИКА1

Работа посвящена проверке истинности гипотезы о том, что информация о действиях пользователя в компьютерной системе, полученная на основе скрытого мониторинга стандартных периферийных устройств, позволит своевременно распознать нелояльное поведение и предотвратить реализацию внутрен-

1 Работа выполнена при финансовой поддержке РФФИ (грант №14-37-50536).

80 ИЗВЕСТИЯ Транссиба № 1(21) 2015

= = _

ней угрозы информационной безопасности, что актуально для информационных систем железнодорожного транспорта.

В настоящее время важной задачей обеспечения информационной безопасности является разработка средств защиты от утечек конфиденциальных данных [1]. Суммарный ущерб от утечек корпоративных секретов, нанесенный компаниям в мире за 2013 г. по данным Zecurion Analytics составил более 25 млрд долл., и с каждым годом оценки ущерба увеличиваются. По мнению многих экспертов, главной проблемой защиты информационных ресурсов от несанкционированного изъятия и использования стала проблема нейтрализации человеческого фактора. Примеров несанкционированного вхождения в информационно-вычислительную систему в литературе приводятся множество. Другая проблема: инсайдер, обладающий правами доступа к конфиденциальному документу, который может обойти защиту информации от утечек. Так, в 2010 г. на сайте Wikileaks были опубликованы сотни тысяч документов США о военных операциях в Афганистане, Ираке. В том же году были похищены данные о PIN-кодах 7 тысяч пластиковых банковских карт Альфа-банка. В январе 2013 г. Э. Сноуден раскрыл секретные данные Агентства национальной безопасности США (АНБ). Информация АНБ была защищена с помощью самых современных технологий, но предотвратить ее хищение не удалось.

В открытой литературе не удалось обнаружить оценок ущерба от хищений конфиденциальных данных из информационных и информационно-управляющих систем железнодорожного транспорта (ИСЖДТ и ИУСЖДТ). Тем не менее рассмотренные выше проблемы актуальны и для железнодорожной отрасли страны, в информационных системах которой в силу стратегического значения обрабатываются сведения, составляющие государственную тайну, например, сведения о воинских перевозках. В частности, такими системами являются автоматизированные системы управления перевозками грузов (АСОУП), автоматизированные системы управления пассажирскими перевозками (АСУ-ПП), комплексные автоматизированные информационно-справочные подсистемы АСУ-ПП (ЭКАСИС), система резервирования и продажи билетов («Экспресс-2»), единые центры диспетчерского управления (ЕЦДУ), система учета, контроля дислокации, анализа использования и регулирования вагонного парка (ДИСПАРК), автоматизированная система контроля за использованием и продвижением контейнеров (ДИСКОН), автоматизированная система фирменного транспортного обслуживания (АКС ФТО), автоматизированные системы управления сортировочными (АСУ СС), грузовыми (АСУ ГС) станциями и контейнерными пунктами (АСУ КП) и др.

На сегодняшний день важнейшей задачей является создание эффективной организационно-технической системы обеспечения требуемого уровня антитеррористической и антикриминальной безопасности железнодорожного транспорта. Для решения сформулированной задачи положениями «Стратегии развития железнодорожного транспорта», утвержденной распоряжением Правительства Российской Федерации от 17 июня 2008 г. № 877-р, предусмотрено оснащение системами мониторинга состояния защищенности всех критически важных и потенциально уязвимых объектов инфраструктуры железнодорожного транспорта от актов незаконного вмешательства. Это касается не только вокзалов и вокзальных комплексов, но и любых информационных и компьютерных систем, эксплуатируемых на объектах инфраструктуры железнодорожного транспорта. Существенным продвижением в этом направлении является создание сертифицированного ФАПСИ программно-аппаратного комплекса «Щит-почта Интернет», который позволит закрыть несанкционированный доступ в служебные сети ОАО «РЖД».

Следует отметить, что информационные технологии железнодорожного транспорта ориентированы на взаимодействие с системами других отраслей для сокращения задержек при транспортировке грузов. Поэтому утечка информации может происходить «за пределами» используемой ИСЖДТ или ИУСЖДТ. Требуется комплексный мониторинг любых информационных систем вне зависимости от их назначения. Любой оператор на объектах железнодорожного транспорта может оказаться злонамеренным инсайдером, имеющим доступ к соот-

ветствующей его компетенции информации, а также необходимым для обработки этой информации информационным системам и функциям. Таким образом, необходимым условием для построения эффективной защиты является комплексный подход к мониторингу действий сотрудников в локальных сетях инфраструктуры железнодорожного транспорта, который включает в себя их непрерывную идентификацию и автоматическое определение опасного с точки зрения информационной безопасности поведения в информационной системе. Сформировалось убеждение в том, что дальнейшее усовершенствование и модернизация сложившихся направлений защиты информации не исправит ситуацию, так как изменилась постановка задачи: создать защиту от того, кому разрешено все в соответствии со служебными обязанностями [2]. Современные биометрические системы разграничения доступа часто успешно справляются с задачами идентификации и аутентификации работника, однако не в состоянии распознать лояльность сотрудников по их поведению. На предыдущем этапе исследований был предложен и исследован подход к разграничению доступа к компьютерным ресурсам на основе результатов непрерывной идентификации пользователей информационной системы [3]. Работа [3] посвящена проверке истинности гипотезы о том, что информация о действиях пользователя в компьютерной системе, полученная на основе «скрытого» мониторинга стандартных периферийных устройств, в частности, особенности работы с оконными приложениями, используемые сочетания клавиш, характер работы с «мышью» и клавиатурой, позволит своевременно распознать нелояльное поведение и предотвратить реализацию внутренней угрозы информационной безопасности. В случае подтверждения этой гипотезы решение о предоставлении доступа к отдельным информационным ресурсам может быть принято на основании данных об особенностях работы пользователя с клавиатурой, мышью и оконными приложениями в процессе профессиональной деятельности. Если поведенческий портрет работника в информационной системе существенно отличается от эталонного, доступ к ресурсам компьютерной системы может быть ограничен.

Авторами были решены следующие задачи.

1. Произведена оценка информативности следующих категорий признаков для их использования в целях распознавания нелояльного поведения пользователей компьютерных систем: особенности работы с оконными приложениями, используемые сочетания клавиш, характер работы с мышью и клавиатурой, частота запуска определенных приложений, количество выполняемых операций чтения, изменение и удаление файлов.

2. Зафиксированы и проанализированы изменения клавиатурного почерка и особенностей работы с мышью, характеризующих пользователей компьютерной системы, до и после (во время) совершения противоправных действий с конфиденциальной информацией, что отражается на результатах идентификации субъектов.

По аналогии с описанием в работе [3] был проведен эксперимент, в ходе которого осуществлялся мониторинг деятельности субъектов в компьютерных системах без совершения нарушений режима доступа к информации и во время (после) совершения данных нарушений (в отличие от [3], где нарушений режима доступа не совершалось). Студентам вуза предложено пройти тест, в ходе которого необходимо в развернутом виде ответить на ряд вопросов и выполнить несколько заданий, используя клавиатурный ввод и ввод при помощи мыши, а также популярные офисные приложения. Использование любой литературы, Интернета и флеш-накопителей строго запрещалось. В качестве мотивации для участия в эксперименте первым трем студентам, выполнившим большинство заданий правильно, был поставлен зачет. Общее количество испытуемых было равным 30 (10 из которых принимали участие в предыдущем эксперименте [3]). Эксперимент длился в течение двух часов. По окончании эксперимента часть испытуемых совершила нарушения (12 человек), часть нет. Об этом свидетельствуют результаты анализа действий, совершенных испытуемыми (все действия в операционной системе регистрировались специально разработанным программным обеспечением). Также в аудитории велось открытое видеонаблюдение, поэтому удалось определить, кто из испытуемых пользовался справочной литературой и мобильными устрой-

82 ИЗВЕСТИЯ Транссиба № 1(21) 2015

= = _

ствами, однако сами испытуемые не знали целей эксперимента и не подозревали, что данные видеокамеры анализируются. В результате была сформирована база признаков нелояльных сотрудников (студенты, нарушившие режим доступа), а также лояльных сотрудников, находящихся в состоянии волнения, обусловленного выполнением заданий в условиях конкуренции (студенты, выполнившие тестовые задания честно, без нарушений). Таким образом, сопоставив полученные данные, можно определить, вызваны изменения в характере работы пользователей волнением или фактом нарушения режима доступа и имеются ли данные изменения вообще.

Анализировались следующие признаки: частота запуска приложений (по аналогии с [3]), частота нажатия «горячих» клавиш (по аналогии с [3]), количество производимых операций с файлами различных разрешений (чтение, изменение, удаление), время удержания клавиш при вводе текста на клавиатуре (по аналогии с [3]), паузы между нажатием клавиш при вводе текста на клавиатуре (по аналогии с [3]), средняя скорость перемещения курсора мыши от одного элемента интерфейса к другому (по аналогии с [3]), время задержки перед осуществлением перемещения курсора мыши от одного элемента интерфейса к другому в миллисекундах (по аналогии с [3]), максимальное и среднее отклонения в пикселях от кратчайшего пути перемещения курсора мыши от одного элемента интерфейса к другому (по аналогии с [3]).

Анализ динамики запуска программ не дал положительных результатов, как и в предыдущем случае [3]. Данные о частоте запуска программ носят нерегулярный характер у всех пользователей ПЭВМ, принимавших участие в эксперименте. Эти данные существенно зависят от выполняемых задач и не могут быть использованы для распознавания лояльности поведения сотрудника в реальном времени. Для принятия каких-либо классификационных решений требуется значительно больше статистической информации о работе пользователя ПЭВМ. Аналогичные заключения были сделаны относительно использования «горячих» клавиш и выполнения операций с файлами. Имеются незначительные отклонения в интенсивности использования некоторых сочетаний клавиш при работе разных пользователей, однако данные различия сложно использовать для того, чтобы распознать нелояльность субъекта, и для его идентификации [3]. Имеются случаи спонтанного многократного использования каких-либо сочетаний клавиш при общем низком количестве таких нажатий за длительный период времени. Проанализировав полученные признаки, можно сделать вывод о том, что их нельзя использовать для быстрой идентификации субъекта и для распознавания лояльности его действий в компьютерной системе за приемлемый промежуток времени вследствие низкой информативности, по крайней мере в отрыве от контекста выполняемых субъектом задач на компьютере. Количество статистической информации, полученной в рамках эксперимента, оказалось недостаточным для более содержательных выводов.

Для получения статистической информации за более длительный период времени были повторно проанализированы данные предыдущего эксперимента [3] (эксперимент проводился в течение 15 дней). На рисунках 1 и 2 можно видеть распределение количества событий, связанных с созданием файлов различных расширений по дням для двух испытуемых. На рисунке 3 изображено распределение события открытия файла формата хЬ в течение дня тех же испытуемых. По рисункам 1, 2 можно видеть, что поведение испытуемого 1 более прогнозируемо (неопределенность действий меньше, испытуемый совершает почти равное число операций за определенный период времени), чем поведение испытуемого 2. Степень неопределенности поведения пользователя компьютерной системы можно оценить исходя из дисперсии фактических показателей количества произошедших событий в определенное время суток от их среднего числа, полученного в результате многократных наблюдений в это же время суток. Таким образом, наряду с детерминированной составляющей поведения пользователя обязательно присутствует неопределенная (непредсказуемая) часть поведения, обусловленная изменением выполняемых задач (возможны дополнительные поручения руководства, пользователь может выполнять несколько разноплановых задач одновременно и т. д.). Неопределенная составляющая несет в себе опасность того, что пользователь является нару-

шителем и предпринимает атаки на систему. Злоумышленник, используя неопределенную составляющую поведения законного пользователя, может также производить атаки на информационную систему. Высокая дисперсия количества произошедших событий не означает, что действия пользователя ПЭВМ являются нелояльными, однако спонтанное повышение значения этой дисперсии за контролируемый промежуток времени может являться сигналом для тревоги. Тем не менее для определения нелояльности поведения информации только о запуске программ, использовании «горячих» клавиш и производимых операциях с файлами явно недостаточно.

Рисунок 1 - Распределение количества событий создания файлов с различными расширениями (испытуемый 1)

Рисунок 2 - Распределение количества событий создания файлов с различными расширениями (испытуемый 2)

Время

Рисунок 3 - Распределение количества событий открытия файлов с расширением х1б (два испытуемых)

Другие обозначенные признаки (временные характеристики нажатия клавиш и особенности работы субъектов с мышью) имеют распределение, близкое к нормальному, как уже

указывалось в рамках предыдущих работ [3]. Для испытуемых, совершивших нарушения в процессе прохождения теста, были созданы эталоны двух состояний - до совершения нарушений и после (во время). Для этого были вычислены оценки математических ожиданий и среднеквадратичных отклонений значений признаков по аналогии с тем, как это описано в источнике [3]. Учитывались только те признаки, количество реализаций значений которых превышало 25 для всех испытуемых в каждом состоянии. Это обусловлено тем, что выборка из 26 или более реализаций значений признака, сформированного клавиатурным почерком субъекта, является репрезентативной [4]. Аналогичные заключения были сделаны и относительно признаков, базирующихся на особенностях работы с мышью. Общее количество признаков, которое было использовано при создании эталона, составило 20. Это особенности использования мыши, время удержания некоторых клавиш (12 - «а», «в», «е», «и», «м», «н», «о», «п», «р», «с», «т», «пробел») и паузы между нажатием некоторых клавиш («т» и «о», «н» и «а», «с» и «т», «н» и «е»).

Для определения того, изменяется ли идентификационный потенциал клавиатурного почерка субъекта, и особенностей его работы с мышью при совершении субъектом нарушений прав доступа к информации был проведен вычислительный эксперимент. В ходе эксперимента на основе созданных эталонов при помощи метода Монте-Карло были сгенерированы по 1000 значений каждого из 20 выбранных признаков для обоих состояний каждого из эталонов 12 субъектов аналогично тому, как это было реализовано в [5] (в соответствии с параметрами распределения этих признаков). Таким образом, было сгенерировано по 1000 реализаций биометрических данных для каждого состояния каждого из 12 испытуемых (всего 24000 реализаций). Созданные реализации были использованы для проведения серии опытов по имитации прохождения испытуемыми процедуры идентификации до и после (во время) совершения нарушений установленного режима доступа к информации. В отличие от [3] на данном этапе исследований решено использовать классический вариант стратегии Байеса (без модификаций) в качестве алгоритма принятия решений, так как данный алгоритм показал наилучшие результаты при проведении вычислительных экспериментов по имитации систем распознавания образов в пространстве малоинформативных признаков [5]. Стратегия Байеса заключается в вычислении интегральных апостериорных вероятностей гипотез за несколько шагов, в зависимости от количества признаков при помощи формулы гипотез Байеса (1). Каждая гипотеза ассоциируется с эталоном определенного испытуемого в состоянии до совершения нарушений (т. е. каждая гипотеза состоит в том, что предъявляемые биометрические данные при идентификации принадлежат определенному испытуемому). На каждом шаге за априорную вероятность принимается апостериорная вероятность, вычисленная на предыдущем шаге. На первом шаге все гипотезы считаются равновероятными, т. е. Р0(Нг|А) = = 1/п, где п - количество гипотез (по аналогии с [3]).

„им,)- , (1)

2 „(Н\А)Р(А,\Н1)

1-1

где Р(А/ 1Н) - условная вероятность гипотезы Н\ о том, что предъявленные данные принадлежат эталону г-го испытуемого, равная плотности вероятности значения /-го признака (/ = = 1.. .20) А/, Р^Н^А) - апостериорная вероятность 1-й гипотезы на у-1-м шаге при поступлении значения/-го признака.

Таким образом, проведенный эксперимент состоял из следующих этапов.

1. Генерация реализаций биометрических данных при помощи имеющихся эталонных распределений методом Монте-Карло. От каждого эталона субъекта было получено по 1000 сгенерированных векторов значений признаков (далее - реализаций) в каждом состоянии. Общее количество реализаций для каждого состояния составило 12000.

2. Проведение серии из 12000 опытов по распознаванию субъектов в состоянии до совершения нарушений при помощи стратегии Байеса. В качестве эталонов использовались

распределения значений признаков, полученные в состоянии до совершения нарушений и реализации в этом же состоянии. За верную гипотезу на каждом шаге принимается та, апостериорная вероятность которой является максимальной на данном шаге. В каждом опыте при помощи стратегии Байеса вычисляется совокупность из 20 апостериорных вероятностей (для каждого шага стратегии Байеса) каждой из гипотез для определенной сгенерированной реализации.

3. Проведение серии из 12000 опытов по распознаванию субъектов в состоянии после (во время) совершения нарушений при помощи стратегии Байеса. В качестве эталонов использовались распределения значений признаков, полученные в состоянии до совершения нарушений, но реализации в состоянии после (во время) совершения нарушений. За верную гипотезу на каждом шаге принимается та, апостериорная вероятность которой является максимальной на данном шаге. В каждом опыте при помощи стратегии Байеса вычисляется совокупность из 20 апостериорных вероятностей (для каждого шага стратегии Байеса) каждой из гипотез для определенной сгенерированной реализации.

4. Подсчитывается вероятность ошибок идентификации субъекта в каждом состоянии на каждом шаге (за исключением первого, т. е. для любого количества использованных для идентификации признаков от 2 до 20) как соотношение числа ошибочных решений к общему количеству опытов в определенном состоянии.

Опыты проводились с использованием эталонов и реализаций 3, 6, 9 и 12 субъектов (т. е. количество идентифицируемых субъектов в каждом состоянии изменялось с шагом 3). Результаты эксперимента показаны на рисунках 4 - 7.

| - до нарушений. - после (во время) нарушений

0,5 0,46 0,4 0,35 0,3 0,25 0,2 0,15 0,1 0,05

0,45

0,39

0.33

о.?в

0,25 0,26

0,1 Ь

12

Рисунок 4 - Вероятность ошибки Q идентификации субъектов по клавиатурному почерку на последнем шаге стратегии Байеса в различных состояниях при различном количестве эталонов п

| - до нарушений; - после (во время) нарушений

0,45 0,4

0,35 0,3

0,25 0,2

0,15 0,1

0,05

0,39

0,34

0,14

0.09

1 1

6

12

Рисунок 5 - Вероятность ошибки Q идентификации субъектов по клавиатурному почерку и особенностям работы с мышью на последнем шаге стратегии Байеса в различных состояниях при различном количестве эталонов п

Прежде всего отметим, что за счет использования предложенных особенностей работы с мышью в качестве идентифицирующих признаков общее количество ошибочных решений удалось снизить в среднем на 9 % (по сравнению с использованием только клавиатурного

№ 1(21) 2015

почерка). По результатам эксперимента количество ошибок идентификации субъектов в состоянии после (во время) совершения нарушений режима доступа к информации увеличилось в среднем на 26 % (см. рисунки 6 и 7). Таким образом, информативность клавиатурного почерка и особенностей работы с мышью для задач непрерывной идентификации субъекта снижается при реализации им противоправных действий по отношению к информационным ресурсам. Обратимся к графикам плотностей вероятности значений используемых признаков (рисунок 8), которые были построены по полученным в рамках проведенных экспериментов данным о клавиатурном почерке пользователей. При выполнении заданий в условиях конкуренции (при имеющейся мотивации выполнить задание первым) степень неопределенности значений признаков клавиатурного почерка возрастает. При совершении нарушений режима доступа неопределенность значительно возрастает у большинства испытуемых (у 9 из 12). Вероятно, это вызвано волнением. Чем больше субъект взволнован, тем более нестабилен клавиатурный почерк субъекта. Логично, что при совершении правонарушений волнение значительно усиливается, что отражается на динамических биометрических признаках субъекта. Однако это характерно не для всех испытуемых. Аналогичные заключения сделаны относительно особенностей работы испытуемых с мышью.

о.

0,7 0,6 0,5 0,4 0,3 0,2 0,1 0

| - до нарушений; - после (во время) нарушений

0,58

0,51 0,49

П 47 ___ 0,43 0,42

0,34

0 77

12

Рисунок 6 - Среднее значение вероятности ошибки Qm идентификации субъектов по клавиатурному почерку в различных состояниях при различном количестве эталонов п

Рисунок 7 - Среднее значение вероятности ошибки Qm идентификации субъектов по клавиатурному почерку и особенностям работы с мышью в различных состояниях при различном количестве эталонов п

С учетом приведенной выше информации были сделаны следующие выводы:

1. Чем выше дисперсия фактических показателей количества произошедших событий безопасности (операции с файлами, запуск программ, использование «горячих» клавиш) в определенное время суток от их среднего числа, полученного в результате многократных наблюдений в это же время суток, тем выше степень неопределенности действий пользователя. Спонтанное существенное изменение данной дисперсии может свидетельствовать о реализации атаки или изменении характера выполняемых задач.

2. При реализации субъектом нарушений режима доступа к информации увеличивается нестабильность его клавиатурного почерка и особенностей работы с мышью. Увеличение дисперсии регистрируемых значений признаков за длительный промежуток времени (порядка 5 - 10 мин) может указывать на реализацию атаки, но это может свидетельствовать и о том, что за компьютером находится другой человек.

№ 1(21) 2015

3. Данных, получаемых только от стандартных устройств, для реализации процедуры определения нелояльности поведения недостаточно. Целесообразно учитывать психоэмоциональное состояние субъекта, которое можно оценить при помощи дополнительного оборудования [6]. Следовательно, гипотеза, обозначенная в начале статьи, отклоняется.

22 20

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

=

£ ю

о

О ? а

О

:

□ 0,01 0,02 0,03 0,04 0,05 0,06 0,07 0,08 0,09 0,1 0,11 0,12 0,13 0,14 0,15 0.16 0.17 0.13

Значение признака

Рисунок 8 - Изменение нестабильности (среднеквадратичного отклонения 8х) временных задержек удержания клавиши «а» в процессе ввода текста на клавиатуре одного из испытуемых в трех состояниях: 1 - при решении задач без возможности совершения нарушений (построено исходя из данных предыдущего эксперимента из работы [5]), 2 - при решении задач в условиях конкуренции до совершения нарушений, 3 - при решении задач в условиях конкуренции после (во время) совершения нарушений

Таким образом, требуется изменить подход к проведению дальнейших исследований: необходимо комплексировать полученные в рамках данного исследования наработки (анализ клавиатурного почерка, особенностей работы с мышью и событий безопасности) с методом определения психоэмоционального (или психофизиологического) состояния. Для разработки методики определения нелояльности пользователя необходимо провести длительные эксперименты по скрытому мониторингу субъектов компьютерных систем в реальных условиях с использованием не только стандартного периферийного оборудования, но и видеокамеры и тепловизора. При анализе полученных данных следует учитывать характер решаемых пользователем задач и использовать методику дистанционного определения психофизиологического состояния субъекта [7].

Список литературы

1. Сулавко, А. Е. Технологии защиты от внутренних угроз информационной безопасности [Текст] / А. Е. Сулавко // Вестник Сибирской гос. автомобильно-дорожной акад. / Сибирская гос. автомобильно-дорожная акад. - Омск. - 2011. - № 1 (19). - С. 45 - 51.

2. Эффект Сноудена. Методы и технологии противодействия XVmatic // Специальная техника. - 2013. - № 5. - С. 62, 63.

3. Разграничение доступа к информации на основе скрытого мониторинга действий пользователей в информационных системах: скрытая идентификация [Текст] / А. В. Еременко, Е. А. Левитская и др. // Вестник Сибирской гос. автомобильно-дорожной акад. / Сибирская гос. автомобильно-дорожная акад. - Омск. - 2014. - № 6 (40). - С. 92 - 102.

4. Сулавко, А. Е. Метод сжатия собственных областей классов образов в пространстве малоинформативных признаков [Текст] / А. Е. Сулавко, А. В. Еременко // Искусственный интеллект и принятие решений / Ин-т системного анализа Российской акад. наук. - М. -2014. - № 2. - С. 95 - 102.

5. Епифанцев, Б. Н. Сравнение алгоритмов комплексирования признаков в задачах распознавания образов [Текст] / Б. Н. Епифанцев, П. С. Ложников, А. Е. Сулавко // Вопросы защиты информации / Всероссийский научно-исследовательский институт межотраслевой информации - федеральный информационно-аналитический центр оборонной промышленности. - М. - 2012. - № 1. - С. 60 - 66.

88 ИЗВЕСТИЯ Транссиба № 1(21) 2015

—— = 1 V

6. Ковальчук, А. С. Дистанционная идентификация психофизиологического состояния человека [Текст] / А. С. Ковальчук // Академический журнал Западной Сибири / Ин-т геологии и геохимии. Уральское отделение Российской акад. наук. - Екатеринбург. - 2013. -Т. 9. - № 4. - С. 74, 75.

7. Епифанцев, Б. Н. Скрытая идентификация водителя и его психофизиологического состояния в процессе управления транспортным средством по вариабельности сердечного ритма [Текст] / Б. Н. Епифанцев, А. С. Ковальчук // Биотехносфера. - СПб: Политехника, 2014. -№ 5 (35). - С. 54 - 59.

References

1. Sulavko A. E. Technologies of protection against internal threats to information security [Tehnologii zashhity ot vnutrennih ugroz informacionnoj bezopasnosti]. Vestnik Siberian State Automobile and Highway Academy - SibADI. - Omsk, 2011, no. 1 (19). - pp. 45 - 51.

2. Effect Snowden. Methods and technologies to counter XVmatic [effect Snoudena. Metodi i tehnologii protivodeistviyz XVmatic]. Special equipment, 2013, no. 5, pp. 62 - 63.

3. Eremenko A. V., Levitskaya E. A., Sulavko A. E., Samotuga A. E. Concurrent access to information on the basis of a hidden monitoring user activity in information systems: Identification of latent [Razgranicheniye dostupa k informatsii na osnove skrytogo monitoringa deystviy pol'zovate-ley v informatsionnykh sistemakh: skrytaya identifikatsiya]. Bulletin of Siberian State Automobile and Highway Academy - SibADI. - Omsk, 2014, no. 6, pp. 92 - 102.

4. Sulavko A. E., Eremenko A. V. Compression Method own areas of classes in the space of images uninformative signs [Metod sjatiya sobstvennih oblastey klassov obrazov v prostranstve maloinformativnih priznakov]. Artificial intelligence and decision-making. - Moscow, 2014, no. 2, pp. 95 - 102.

5. Epifantsev B. N., Lozhnikov P. S., Sulavko A. E. Comparison of algorithms for aggregation features in pattern recognition problems [Sravnenie algoritmov komplecsirovaniya priznakov v zadachah raspoznaviniya obrazov]. Questions of information security - FSUE «VIMI». - Moscow,

2012, no. 1, pp. 60 - 66.

6. Kovalchuk A. S. Remote identification of psychophysiological state [Distancionnaya identif-ikaciya pcihofiziologicheskogo sostoyaniya cheloveka]. Academic Journal of Western Siberia,

2013, vol. 9, no. 4, pp. 74 - 75.

7. Epifantsev B. N., Kovalchuk A. S. Hidden identification of the driver and his psychophysio-logical state during driving on heart rate variability [Skritaya identifakaciaya voditelya i ego pcihofiziologicheskogo sostoyaniya v processe upravleniya transpirtnim sredstvom po variabelnosti serdechnogo ritma]. Biotechnosphere, 2014, no. 5 (35), pp. 54 - 59.

УДК 004.083

В. Г. Шахов, А. В. Морозов, А. П. Тиунов, А. Н. Громов

ИГРОВЫЕ И ТОПОЛОГИЧЕСКИЕ МОДЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В статье изложены принципы количественного оценивания информационной безопасности с позиций теории игр. Введены определения игровой матрицы и ее количественной интерпретации. Представлены практически реализуемые методики анализа, планирования и проектирования информационной безопасности на основе предложенных моделей.

Автором работы [1] предлагались модели описания информационных систем с использованием теории графов и матричного представления графов. В предлагаемой статье описаны последующие исследования применительно к информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.