Содержание к диссертации
Введение
Глава 1. Анализ состояния систем развития современных методов идентификации пользователя в сети Интернет. 12
1.1. Современное состояние информационных систем и методы обеспечения информационной безопасности 12
1.2. Анализ нормативно-методической документации 30
1.2.1 Приказ ФСТЭК от 11 февраля 2013 г. №17 31
1.2.2 Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 32
1.2.3. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации 32
1.2.4. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения» 33
1.2.5. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 33
1.2.6. ГОСТ Р ИСО/МЭК 17799-2005 33
1.2.7. ISO/IEC 27002 34
Глава 2. Разработка метода идентификации пользователей в сети Интернет с использованием компонентного профиля 36
2.1. Анализ среды сеанса пользователя и способ формирования признакового пространства 36
2.2. Идентификация пользователя на различных уровнях модели OSI . 49
2.3. Сбор статистических данных по пространству признаков и анализ статистических закономерностей. 51
2.4. Анализ условий и ограничений применения. 59
2.5. Определение возможных подходов, моделей и методов формирования компонентных профилей пользователя и их сравнения с имеющимися данными 60
Глава 3. Проведение вычислительного эксперимента 72
3.1. Систематизация и оценка результатов эксперимента 72
3.2. Анализ способов идентификации пользователя 75
3.3. Выработка рекомендаций, направления дальнейших исследований и разработок и предполагаемое использование результатов в качестве вспомогательного метода в системах защиты информации. 81
Заключение 90
Список использованной литературы: 92
- Анализ нормативно-методической документации
- Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения»
- Идентификация пользователя на различных уровнях модели OSI
- Выработка рекомендаций, направления дальнейших исследований и разработок и предполагаемое использование результатов в качестве вспомогательного метода в системах защиты информации.
Введение к работе
Актуальность. Одной из важных задач в теории
защиты информации является задача идентификации
пользователя в сети Интернет. Идентификация является
одной из процедур разграничения доступа в
автоматизированных системах. В современных
автоматизированных системах, основанных на компьютерных технологиях, известны методы идентификации, построенные на хранении ІР-адресов компьютеров и записи на компьютер пользователя данных cookie.
Достоинством первого из указанных методов является глобальная уникальность адреса. К недостаткам данного метода относится широкая распространенность динамических ІР-адресов, выделяемых из пула провайдера в момент подключения пользователя, а также возможность использования в сети прокси-серверов, анонимайзеров и механизма NAT, что снижает степень достоверности идентификации пользователя.
Механизм cookie стал применяться на более поздних этапах и представляет собой совокупность данных в определенном формате, которые сервер оставляет на компьютере пользователя. Достоинством данного метода является повышение удобства использования сайта за счет отслеживания состояния сессии доступа и включения в cookie настроек профиля. Недостатки данного метода основаны на привязке cookie к конкретному браузеру, что снижает достоверность идентификации при использовании нескольких браузеров. Низкая степень достоверности идентификации, основанной на технологиях cookie, обусловлена также возможностью подмены и/или уничтожения cookie либо отключением самого механизма.
Также известен способ идентификации, основанный на семантико-синтаксическом анализе. Результаты, основанные на данном методе, имеют высокую степень достоверности, однако он имеет ряд недостатков, таких как трудоёмкость, высокие временные и экономические затраты, необходимость поддерживать и актуализировать лингвистические базы данных.
Таким образом, для распространенных методов
идентификации общим недостатком является низкая степень
достоверности идентификации либо необходимость создания
специализированных семантико-синтаксических и
морфологических анализаторов. Указанные недостатки привели к появлению технологий идентификации, основанных на анализе рабочей среды пользователя во время сеанса обмена данными между браузерами и web-сервером. Идентификатором в данном случае является служебная информация, которая, с одной стороны, представляет злоумышленнику меньше возможностей для искажений и/или подмены, а, с другой стороны, обладает меньшей уникальностью по сравнению с механизмами cookie и IP, что приводит к уменьшению степени достоверности идентификации. Поэтому задача разработки метода идентификации с использованием компонентного профиля, представляющего собой кортеж наиболее информативных данных о рабочей среде пользователя, является актуальной.
Целью работы является повышение степени достоверности идентификации пользователя в сети Интернет.
Научная задача состоит в разработке научно-методического аппарата, позволяющего идентифицировать пользователя в сети Интернет посредством анализа служебной информации, получаемой в процесс взаимодействия с web-сервером.
Для достижения поставленной цели в работе решены следующие частные задачи:
-
Провести анализ предметной области, изучить существующие подходы к идентификации пользователя, выявить перспективные направления.
-
Определить пространство доступных признаков из состава служебной информации, характеризующей рабочую среду пользователя.
-
Определить наиболее информативные признаки для формирования компонентного профиля пользователя.
-
Обосновать метод идентификации, обеспечивающий наиболее высокие показатели качества.
-
Провести вычислительный эксперимент.
В соответствии с заявленными целями и задачами работы объектом исследования является идентификация пользователя в сети Интернет, а предметом исследования — способы идентификации пользователя в сети Интернет.
На защиту выносятся следующие основные результаты.
-
Метод формирования компонентного профиля пользователя, обладающего наиболее информативными признаками из состава доступной служебной информации.
-
Метод идентификации, позволяющий обеспечивать степень достоверности большую, чем у известных методов.
-
Способ использования компонентного профиля пользователя в качестве вспомогательного метода в системах защиты информации, что позволит ввести дополнительную процедуру настройки уровня политики безопасности.
Научную новизну диссертации составляют:
-
Оригинальный метод выявления наиболее информативных признаков, характеризующих среду пользователя, состоящий в применении статистически значимых коэффициентов при кортеже служебных данных.
-
Обоснован метод идентификации, отличающийся наиболее высокими показателями качества идентификации.
-
Впервые предложен способ, позволяющий осуществлять предварительную настройку уровня безопасности систем защиты информации на основании выявления пользователей с различными степенями доверия.
Обоснованность и достоверность полученных результатов достигается использованием апробированного математического аппарата; системным анализом описания объекта исследований, учетом сложившихся практик и опыта в области ИБ; проведением сравнительного анализа с существующими методами, результатами экспериментов.
Подтверждается непротиворечивостью полученных результатов моделирования современными теоретическими положениями; практической апробацией в деятельности научно-производственных организаций и одобрением на научно-технических конференциях.
Практическая значимость работы состоит в
следующих аспектах: результаты исследований могут быть
использованы для усовершенствования систем
информационной безопасности путем выставления адаптивного порога проверки при обнаружении объекта, который был ассоциирован с нарушителем.
Методологическую основу исследования составляют работы в области информатики и информационной теории идентификации: труды К.Шеннона, Я.З.Цыпкина, а также
проекты Panopticlick и TOR, направленные на вопросы идентификации пользователей в сети Интернет.
При решении частных задач использовались
теоретические положения теории вероятности,
математической статистики, теории ИБ и методов защиты информации.
Использованы энциклопедическая и справочная литература, материалы периодической печати, Интернет-ресурсы.
Реализация результатов. Полученные модели и методы реализованы в рамках НИР и ОКР, выполняемых НИУ ИТМО по заказу предприятий промышленности и Министерства образования и науки, а также в рамках программы «Инфотекс Академия 2011».
Апробация работы.
Основные результаты работы представлялись на следующих конференциях:
VIII Всероссийская межвузовская конференция молодых ученых;
I Межвузовская научно-практическая конференция «Актуальные проблемы организации и технологии защиты информации»,
Юбилейная XIII Санкт-Петербургская международная конференция «Региональная информатика (РИ-2012)»
XLII научная и учебно-методическая конференция НИУ ИТМО
Публикации.
По результатам диссертационного исследования опубликовано 6 работ, из них статей в журналах, рекомендованных ВАК РФ - 2.
Структура и объем работы. Диссертационная работа содержит введение, 3 раздела, заключение, список литературы.
Анализ нормативно-методической документации
Быстрое развитие информационных технологий и глобальной сети Интернет привело к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Автоматизированные системы становятся сегодня важнейшим средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес. Электронный бизнес использует глобальную сеть Интернет и современные информационные технологии для повышения эффективности всех сторон деятельности компаний, включая производство, маркетинг, продажи, платежи, финансовый анализ, поиск сотрудников, поддержку клиентов и партнерских отношений [19].
Однако стремительный рост популярности Интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т. д.
Каждый день злоумышленники подвергают угрозам сетевые информационные ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки становятся все более изощрёнными по воздействию и несложными в исполнении. Этому способствуют два основных фактора.
Во-первых, это повсеместное проникновение Интернета. Сегодня к этой сети подключено большое количество компьютеров. Многие компьютеры будут подключены к Интернету в ближайшем будущем, поэтому вероятность доступа злоумышленников к уязвимым компьютерам и компьютерным сетям постоянно возрастает. Кроме того, широкое распространение Интернета позволяет злоумышленникам обмениваться информацией в глобальном масштабе. Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает требования к уровню знаний злоумышленника. Раньше от злоумышленника требовались хорошие знания и навыки программирования, чтобы создавать и распространять вредоносные программы. Теперь, для того чтобы получить доступ к «хакерскому» средству, нужно просто знать IР-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышью.
Например, на рисунке 1.1 представлено окно программы sqlmap [22], позволяющей осуществить атаку sql-injection для получения доступа к серверу [23]. Злоумышленнику необходимо указать адрес уязвимого узла (target), а также некоторые параметры атаки. Программа сама сформирует команду (query to sqlmap), после чего нажатием кнопки start поможет получить необходимый злоумышленнику результат:
Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и из-за атак на корпоративные сети, имеющие выход в общедоступные/сети передачи данных.
Сетевые атаки столь же разнообразны, как и системы, против которых они направлены [24]. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный оператор, даже не предполагающий, какие последствия может иметь его деятельность.
На практике IР-сети уязвимы для ряда способов несанкционированного вторжений в процесс обмена данными. По мере развития компьютерных и сетевых технологий (например, с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IР-сети постоянно расширяется. К наиболее распространенным относятся такие виды сетевых атак, как подслушивание (сниффинг), перехват пароля, изменение данных, подмена доверенного субъекта, перехват сеанса, отказ в обслуживании и парольные атаки и т.д. [19].
Например, на рисунке 1.2 показано, как при помощи сниффера [25], анализирующего содержимое пакета и служебную информацию, выглядит перехват содержащихся в незашифрованном виде логина и пароля пользователя.
Поэтому важным условием для ИС является информационная безопасность, под которой понимается защищенность корпоративной информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий, которые могут нанести ущерб владельцам или пользователям информации. Ущерб от нарушения информационной безопасности может привести к крупным финансовым потерям [26], и даже к полному закрытию компании. системы, при котором: система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз; функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы. Задача обеспечения безопасности корпоративных информационных систем решается путем построения комплексной системы информационной безопасности. Существует два подхода к проблеме обеспечения безопасности информационных систем и сетей: фрагментарный и комплексный [27]. Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства, управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.
Достоинствам такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов ИС только от конкретной угрозы. Даже, небольшое видоизменение: угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в ИС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды, обработки информации позволяет гарантировать, определенный уровень безопасности ИС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения»
CSS используется создателями веб-страниц для задания цветов, шрифтов, расположения отдельных блоков и других аспектов представления внешнего вида этих веб-страниц. Основной целью разработки CSS являлось разделение описания логической структуры веб-страницы от описания внешнего вида этой вебстраницы. Такое разделение может увеличить доступность документа, предоставить большую гибкость и возможность управления его представлением, а также уменьшить сложность и повторяемость в структурном содержимом.
Технология Cascading Style Sheets (CSS) позволяет получить данные об экране пользователя, а также запросить информацию о посещенных пользователем ссылках, что также может способствовать идентификации. Достоинством CSS является ее распространенность — по умолчанию включена у всех пользователей, однако требует дополнительных запросов на сервер, что увеличивает время загрузки сайта и снижает степень удобства пользователя.
Данный код, часть которого должна быть подключена в виде CSS-файла, а часть выполнена в виде javascript-файла, позволяет проверить, посещал ли пользователь определенные ссылки из ранее заданного набора.
Таким образом, указанные недостатки современных методов идентификации привели к появлению технологий идентификации, основанных на анализе рабочей среды пользователя во время сеанса обмена данными между браузерами и web-сервером. Идентификатором в данном случае является служебная информация, которая, с одной стороны, представляет злоумышленнику меньше возможностей для искажений и/или подмены, а, с другой стороны, обладает меньшей уникальностью по сравнению с механизмами cookie и IP, что приводит к уменьшению степени достоверности идентификации.
Сетевая модель OSI (англ. Open systems interconnection basic reference model — базовая эталонная модель взаимодействия открытых систем, сокр. ЭМВОС; 1978 г) — сетевая модель стека сетевых протоколов OSI/ISO [54], созданная для унификации средств сопряжения систем. Открытая система взаимодействует с другими системами на основе единых общедоступных стандартов и спецификаций.
Любой протокол модели OSI должен взаимодействовать либо с протоколами своего уровня, либо с протоколами на единицу выше и/или ниже своего уровня. Взаимодействия с протоколами своего уровня называются горизонтальными, а с уровнями на единицу выше или ниже — вертикальными. Любой протокол модели OSI может выполнять только функции своего уровня и не может выполнять функций другого уровня, что не выполняется в протоколах альтернативных моделей.
Технологии, позволяющие идентифицировать пользователя в сети Интернет, функционируют на прикладном, транспортном и сетевом уровнях.
Прикладной уровень, или уровень приложений — это в действительности просто набор разнообразных протоколов, с помощью которых пользователи получают доступ к разделяемым ресурсам, а также организуют совместную работу, например, по протоколу электронной почты [55].
Протокол прикладного уровня HTTP (англ. Hyper Text Transfer Protocol — «протокол передачи гипертекста») позволяет получить такие признаки, как cookieи ETag. Технология User-Agent - текстовая строка, являющаяся частью HTTP запроса – также функционирует на этом уровне и позволяет получить данные об операционной системе пользователя, его браузере, используемом языке и кодировке.
Такие технологии, как Javascript,Silverlight, ActiveX, CSS работают с веб-браузером и помогают получить через него такие признаки, как плагины, шрифты, параметры экрана и язык. Кроме того, с помощью технологии Java, которая функционирует на уровне приложений, можно получить MAC-адрес пользователя, который идентифицирует пользователя на канальном уровне.
Транспортный уровень (англ. Transport layer) обеспечивает для приложений или верхних уровней стека передачу данных с той степенью надежности, которая им требуется [55]. При этом уровень надёжности может варьироваться в широких пределах. Существует множество классов протоколов транспортного уровня, начиная от протоколов, предоставляющих только основные транспортные функции (например, функции передачи данных без подтверждения приема), и заканчивая протоколами, которые гарантируют доставку в пункт назначения нескольких пакетов данных в надлежащей последовательности, мультиплексируют несколько потоков данных, обеспечивают механизм управления потоками данных и гарантируют достоверность принятых данных. Например, UDP ограничивается контролем целостности данных в рамках одной датаграммы и не исключает возможности потери пакета целиком или дублирования пакетов, нарушения порядка получения пакетов данных; TCP обеспечивает надёжную непрерывную передачу данных, исключающую потерю данных или нарушение порядка их поступления или дублирования, может перераспределять данные, разбивая большие порции данных на фрагменты и, наоборот, склеивая фрагменты в один пакет.
Идентификация пользователя на различных уровнях модели OSI
Таким образом, для агрессивной среды более подходящим для использования является предложенный метод, так как он показал более высокую степень достоверности. рекомендаций, направления дальнейших исследований и разработок и предполагаемое использование результатов в качестве вспомогательного метода в системах защиты информации. Результаты исследований могут быть использованы для выявления потенциального злоумышленника в сети Интернет при помощи ресурса Honeypot, а также подсистемах управления идентификацией и доступом IAM (Identity and Access Management).
Для практической реализации приводится способ применения результатов работы в качестве вспомогательного механизма в подсистемах сбора данных ресурса Honeypot. Honeypot (на примере ПО «Honeypot Manager») представляет собой проактивное средство обнаружения хакерских вторжений и несанкционированного доступа к информации, основанное на имитации данных и анализе обращений пользователей к имитируемым прикладным программам и сетевым сервисам [68].
Общая структура Honeypot Manager приведена на рисунке 3.5. Как видно из рисунка, система состоит из сенсора, подсистемы мониторинга, подсистемы сбора данных, базы данных и генератора отчетов, а так же консоли администратора.
Сенсор представляет собой непосредственно имитационную систему (ловушку). Сенсор — это заранее подготовленная виртуальная машина под управлением VMWare Player 2.5.1 с настроенной ОС Linux Debian 4.0 и установленным имитируемым ПО — Oracle 10g R2 Express Edition в качестве СУБД или Samba 3.4 в качестве файлового сервера. Количество сенсоров ограничено производительностью сервера, на который установлена система Honeypot Manager, а также приобретенной лицензией.
В локальной сети (например, при проверке сканирующими программами, подобными Nmap) сенсор Oracle определяется как обычный сервер Oracle, а файловый сенсор — как Samba файл-сервер на неопределяемой Unix-системе. Вы можете задать для виртуальной машины MAC-адрес, имитирующий принадлежность к различным фирмам-производителям, например Sun или HP. Также на сенсоре Oracle открыт порт для подключения к БД. На файловом сенсоре открыты порты для доступа к сетевым ресурсам. Нарушителю сенсор покажется таким же привлекательным для взлома, как и настоящий сервер.
Manager и его компонентов в журнале событий Windows; реализация оповещения ответственных лиц о фактах НСД (с указанием информации о компьютере и учетной записи потенциального нарушителя, времени и характере доступа) и событиях, связанных с работоспособностью системы, по электронной почте или протоколу SNMP.
Подсистема сбора данных обеспечивает сбор данных аудита с сенсоров и сохранение их в БД Honeypot Manager.
БД и генератор отчетов устанавливается на локальный компьютер (где установлена Консоль администратора) и содержит всю информацию о работе системы — о событиях, произошедших на сенсорах, срабатывании правил, работе самой системы Honeypot Manager и т. д. Таким образом, записи аудита доступны для последующего анализа даже в случае порчи сенсора нарушителем или краха системы. Для хранения данных аудита с сенсоров и данных о срабатывании правил используется СУБД Microsoft SQL Server 2005 с установленным сервером отчетов SQL Server Reporting Services.
Встроенный генератор отчетов предоставляет возможность формировать отчеты о работе системы Honeypot Manager. Отчеты доступны как локально, так и удаленно.
Консоль администратора – это основной инструмент управления системой. Консоль предназначена для настройки системы и выполнения таких функций, как: создание и настройка имитационных систем (сенсоров); резервное копирование и восстановление сенсоров; настройка правил реагирования.
На данный момент идентификация потенциального нарушителя, находящегося вне локальной сети производится по IP-адресу, что снижает степень достоверности идентификации. Модуль идентификация потенциального злоумышленника на основе использования компонентного профиля пользователя может быть реализован в подсистеме генерации отчетов. В дальнейшем информация, полученная системой генерации отчетов при помощи модуля идентификации, может быть использована для дополнительной настройки уровня политики безопасности в реальной системе, то есть вне ресурса Honeypot. При использовании имитационной системы Honeypot накапливается база данных кортежей потенциальных злоумышленников. Далее, для того, чтобы настроить уровень политики безопасности на реальном ресурсе, предлагается использовать следующую модель.
Допустим, что из анализа функционирования сайтов известно, что надежных источников – а%, ненадежных источников – b%. Для того, чтобы отнести запрос к первой группе (доверенные источники), необходимо выбрать критерий в соответствии с которым будет принято решение об отнесении источника к той или иной группе. Например, для интернет-магазинов, надежным источником можно считать пользователей, которые регулярно делают покупки. Для социальных сетей: ненадежным источником можно учетную запись пользователя, которая попадает в «бан» (черный список) по причине подозрительной деятельности (например, рассылки спама).
Выработка рекомендаций, направления дальнейших исследований и разработок и предполагаемое использование результатов в качестве вспомогательного метода в системах защиты информации.
Далее необходимо выделить совпадение либо несовпадение признаков у запросов из надежных и ненадежных источников с кортежем, полученным при сборе статистических данных системы Honeypot. Каждый запрос имеет признаки, входящие в кортеж: : ETag, Supercookie, Cookie, MAC, IP, шрифты черезFlash, плагины, шрифты черезActiveX. Пример: кортеж признаков случайного пользователя. – априорная вероятность того, что источник надежен, полученная как отношение количества надежных источников к полному количеству источников; – соответственно, что источник ненадежен. – априорная вероятность того, что j-ый признак совпадает с honeypot кортежем у ненадежного источника. Соответственно, - у надежного. В качестве примера рассмотрим следующие численные значения вероятностей (Таблица 3.3): вектор наблюдаемых значений, которые показывают изменение признаков. Используем формулу Байеса для двухклассовой классификации: – потери от ошибочной классификации: пользователя из класса надежного источника отнесли к классу ненадежных (false positive). – потери от ошибочной классификации: пользователя из класса ненадежного источника отнесли к классу надежных (false negative).
Величина в правой части выражения является постоянной и может быть вычислена один раз для конкретной системы. Для примера: = 20 =100 Вычислим правую часть (пороговую величину):
Определим вероятность надежности источника, если у него совпадают c кортежем, полученным при помощи ресурса Honeypot, 1,3,5 признаки: Таким образом, вероятность составила 0,53. Поскольку вычисленная вероятность не превосходит порог, можем отнести источник к надежному.
Анализируя статистические данные, мы можем сделать вывод о возрастании или убывании вероятности того, что источник надежен. Это позволит оптимизировать время работы системы, так как можно будет варьировать степень проверки нового запроса в зависимости от выставляемого уровня безопасности.
. В данном разделе для проверки полученных показателей информативности был проведен вычислительный эксперимент. По результатам эксперимента сделан вывод о наиболее информативных признаках. Их одновременное удаление из кортежа резко снижает степень достоверности идентификации.
Для подтверждения достижения цели диссертации был проведен сравнительный анализ разработанного метода идентификации с методом, используемым Electronic Frontier Foundation, который также основан на анализе служебной информации. Предложенный в диссертации метод показал более высокую степень достоверности.
Приведены рекомендации и предполагаемое использование результатов в системах защиты информации. Приводится способ применения результатов работы в качестве вспомогательного механизма в подсистемах сбора данных ресурса Honeypot, что позволит оптимизировать время работы системы, так как можно будет варьировать степень проверки нового запроса в зависимости от выставляемого уровня безопасности. Заключение
Применение приведенных методов позволяет увеличить степень достоверности идентификации пользователя в сети Интернет, что дает возможность использовать результаты для автоматизированной оптимизации систем обнаружения вторжений при выставлении адаптивного порога проверки, а также для выявления потенциального злоумышленника в сети Интернет.
1. Исследованы технологии, позволяющие собирать информацию, характеризующую рабочую среду пользователей, рассмотрена возможность их применения для решения задачи идентификации пользователей.
2. Описан сбор экспериментальных данных с целью получения статистических характеристик признаков.
3. Проанализированы условия и ограничения применения для каждой из технологий.
4. Приведен анализ методов для сбора и обработки статистических данных и вычисления информативности признаков.
5. Выбран метод выявления наиболее информативных признаков, характеризующих среду пользователя, отличающийся от известных использованием линейной регрессионной модели на признаковом пространстве. С помощью применения данного метода были выбраны наиболее информативные признаки, характеризующие рабочую среду пользователя.
6. Обоснован метод сравнения компонентных профилей с имеющимися данными, отличающийся наиболее высокими показателями качества идентификации (быстродействием и надежностью) за счет алгоритма прямого сравнения с эталоном. 7. Приведен сравнительный анализ разработанного метода идентификации с методом, используемым Electronic Frontier Foundation, который также основан на анализе служебной информации.
8. Получены временные характеристики работы двух кортежей, а также зависимость количества идентифицированных пользователей от уровня шума для обоих кортежей.
9. Сформулированы полученные результаты и приведены основные направления, где они могут быть использованы. Даны рекомендации по практическому применению метода идентификации пользователя на основе анализа служебной информации в системах защиты информации.