Методика обнаружения аномального взаимодействия пользователей с информационными активами для выявления инсайдерской деятельности

Выявление инсайдеров и инсайдерской деятельности в организации - актуальное направление обеспечения информационной безопасности, так как высокий уровень развития программных и аппаратных средств защиты информации выводит на первый план злоумышленные действия легитимных пользователей. В данной статье рассматривается методика, позволяющая выявлять аномалии во взаимодействии работников организации с информационными активами, и оценивается ее применимость в условиях проведения работ по обнаружению злонамеренной деятельности инсайдеров.

инсайдер, аномальное взаимодействие, инсайдерские угрозы, косинусное сходство, статистическая мера IDF, информационная безопасность

1. Insider Threat Report: Out of sight should never be out of mind // Verizon Threat Research Advisory Center. URL: https://enterprise.verizon.com/resources/reports/verizon-threat-research-advisory-center (дата обращения: 12.01.2020)

2. Информационная безопасность на практике // Код Безопасности. URL: https://www.securitycode.ru/documents/ analytics/informatsionnaya-bezopasnost-na-praktike (дата обращения: 12.08.2019)

3. Insider Threat Report: 2018 - CA Technologies // CA Technologies. URL: https://www.ca.com/content/dam/ca/us/ files/ ebook/insider-threat-report.pdf (дата обращения: 18.07.2018)

4. Буйневич М.В., Васильева И.Н., Воробьев Т.М., Гниденко И.Г., Егорова И.В., Еникеева Л.А. и др. Защита информации в компьютерных системах. СПб.: Изд-во Санкт-Петербургский государственный экономический университет, 2017. 163 с.

5. Homoliak I., Toffalini F., Guarnizo J., Elovici Y., Ochoa M. Insight into Insiders and IT: A Survey of Insider Threat Taxonomies, Analysis, Modeling, and Countermeasures // ACM Computing Surveys. 2019. Vol. 52. Iss. 2. DOI:10.1145/3303771

6. Chen Y., Steve Nyemba, Zhang W., Malin B. Specializing network analysis to detect anomalous insider actions // Security Informatics. 2012. Vol. 1. Iss. 5. DOI:10.1186/2190-8532-1-5

7. Kumar S. Classification and detection of computer intrusions. PhD Thesis. West Lafayette: Purdue University Publ., 1995.

8. Zeadally S., Yu B., Jeong D.H., Liang L. Detecting Insider Threats Solutions and Trends // Information Security Journal: A Global Perspective. 2012. Vol. 4. Iss. 21. PP. 183-192. DOI:10.1080/19393555.2011.654318

9. Eberle W., Holder L. Insider Threat Detection Using Graph-Based Approaches // Proceedings of Conference for Homeland Security. Cybersecurity Applications & Technology (CATCH’ 09). 2009. PP. 237-241. DOI:10.1109/CATCH.2009.7

10. Красов А.В., Петрив Р.Б., Сахаров Д.В., Сторожук Н.Л., Ушаков И.А. Масштабируемое Honeypot-решение для обеспечения безопасности в корпоративных сетях // Труды учебных заведений связи. 2019. Т. 5. № 3. С. 86-97. DOI:10.31854/1813-324X-2019-5-3-86-97

11. Chen Y, Malin B: Detection of anomalous insiders in collaborative environments via relational analysis of access logs // Proceedings of the 1th ACM Conference on Data and Application Security and Privacy (CODASPY'11, San Antonio, USA, February 2011). New York: Association for Computing Machinery Publ., 2011. PP. 63-74. DOI:10.1145/1943513.1943524

12. Белов В.В., Воробьев Е.М., Шаталов В.Е. Теория графов. М.: Высшая школа, 1976. С. 392.

13. Емеличев В.А., Мельников О.И., Сарванов В.И., Тышкевич Р.И. Лекции по теории графов. М.: Наука, 1990. 384 с.

14. Sarwar B., Karypis G., Konstan J., Riedl J. Item-based collaborative filtering recommendation algorithms // Proceedings of the 10th International Conference on World Wide Web (WWW’ 2001, Hong Kong, Chinese, April 2001). New York: ACM Publ., 2001. PP. 285-295. DOI:10.1145/371920.372071

15. Daniel J., James H.M. Speech and Language Processing. An Introduction to Natural Language Processing, Computational Linguistics, and Speech Recognition. Upper Saddle River, New Jersey: Prentice Hall, 2008. 1024 p.

16. Поляничко М.А. Формирование понятийного аппарата в области противодействия инсайдерской деятельности // Современная наука: Актуальная проблемы теории и практики. Серия: Естественные и технические науки. 2019. № 6-2. С. 94-97.

17. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018. №9(123). 2018. С. 152-154.

18. Поляничко М.А., Пунанова К.В. Оценивание актуальности инсайдерских угроз на основе нечеткого метода анализа иерархий // Вестник Воронежского института МВД России. 2019. № 3. С. 88-98.