Approaches to the Construction of Behavioural Patterns of Information System Users

Open access

Abstract

The paper describes the methodology of constructing models of typical user behaviour in a distributed information system, which may operate with sensitive data. The model is designed for the detection of abnormal behaviour occurring during the invasion of an intruder in the system. Also, the paper deals with the general approach to the implementation of the model infrastructure and algorithms of the main modules. Moreover, two possible methods for implementing the model in the target system are described.

Rakstā aprakstīta metodoloģija anomālas lietotāju uzvedības noteikšanas moduļa izveidei un tā ieviešanai sadalītā informācijas sistēmā. Šāda moduļa izveides iemesls bija nepieciešamība atklāt tādas ielaušanās, kad leģitīma lietotāja kontu izmanto cits cilvēks. Mērķa sistēmas svarīga īpatnība ir tās sadalītais raksturs, kā arī datu bāzē eksistējoši sensitīvi dati. Ir aprakstītas mērķa sistēmā izmantojamas tipveida pieejas, kas izmantotas vispārējās drošības nodrošināšanai, kā arī galvenās izmantojamās metodes un protokoli, un prasības pret papildus specifiskiem drošības moduļiem. Ir parādītas stingras prasības, kuras uzstāda mērķa sistēma katras lietotāja transakcijas apstrādes ātrumam. Tā kā drošības sistēma analizē katru lietotāja pieprasījumu reālā laika režīmā, laiks tās slēdziena izdošanai tiek pieskaitīts kopējam pieprasījuma apkalpošanas laikam. Parādīta izstrādātā risinājuma moduļveida struktūra. Katrai moduļa sastāvdaļai sniegts tās uzdevumu un iespēju apraksts. Aprakstīti divi moduļa pamatdarbības veidi: apmācība un analīze. Apmācības režīmā modulis atjauno vienu vai vairākus modeļus, balstoties uz atjauninātiem lietotāju sistēmas izmantošanas statistikas datiem. Katram no apmācības procesa posmiem ir sniegtas izmantoto algoritmu blokshēmas. Analīzes režīmā modelis uzrāda slēdzienu par anomālijas esamību katrai no lietotāja transakcijām. Slēdziens tiek atgriezts kā metrikas vērtība - ar frakcionētu skaitli starp 0 un 1, kur 1 ir pazīme visanomālākajai uzvedībai. Katram no transakcijas analīzes procesa posmiem tāpat ir sniegta izmantojamo algoritmu blokshēma. Ir aprakstīti divi iespējamie varianti moduļa iebūvēšanai mērķa sistēmas infrastruktūrā, katram ir uzrādītas priekšrocībās un trūkumi. Pirmais variants saņem neapstrādātu XML paziņojumu plūsmu, bet otrs izmanto jau apstrādātu atribūtu iekšējo bāzi, kas tiek izmantota audita veikšanai. Pieejas izvēle ir argumentēta. Noslēgumā īsumā aprakstītas Python programmēšanas valodas kā pamata platformas moduļu izstrādei, pielietošanas īpatnības.

Статья описывает методологию создания модуля обнаружения аномального поведения пользователей и внедрения его в распределённую информационную систему. Причиной создания такого модуля послужила потребность обнаружения такого типа вторжений, когда учётной записью легитимного пользователя пользуется другой человек. Важными особенностями целевой системы является её распределённый характер, а также наличие в базе данных сенситивных данных. Описаны типовые используемые в целевой системе подходы к обеспечению общей безопасности, основные используемые методы и протоколы, а также требования, предъявляемые к дополнительным специфическим модулям безопасности. Показаны жёсткие требования, предъявляемые целевой системой к скорости обработки каждой транзакции пользователя. Так как система безопасности анализирует каждый запрос пользователя в режиме реального времени, то время на выдачу её заключения добавляется к общему времени обслуживания запроса. Показана модульная структура разработанного решения. Для каждого составляющего модуля дано описание его задач и возможностей. Описаны два основных режима работы модуля: обучение и анализ. В режиме обучения модуль обновляет одну или несколько моделей на основе обновившихся данных статистики использования пользователями системы. Для каждого из этапов процесса обучения приведены блок-схемы использованных алгоритмов. В режиме анализа модель даёт заключение о наличии аномальности для каждой транзакции пользователя. Заключение возвращается в виде значения метрики - дробного числа в диапазоне от 0 до 1, где 1 это признак наиболее аномального поведения. Для каждого из этапов процесса анализа транзакции также приведены блок-схемы использованных алгоритмов. Описаны два возможных варианта встраивания модуля в инфраструктуру целевой системы, для каждого приведены достоинства и недостатки. Первый вариант получает необработанный поток XML сообщений, второй использует внутреннюю базу уже обработанных атрибутов, используемую для проведения аудита. Обоснован выбор использованного подхода. В заключении кратко описаны особенности применения языка программирования Python как основной платформы для создания модуля.

References
  • [1] Della Mea, Vincenzo. "What is e-Health: The death of telemedicine?". Journal of Medical Internet Research (Jmir.org) 3 (2): e22. doi:10.2196/jmir.3.2.e22. PMC 1761900. PMID 11720964. Retrieved 2012-04-15.

  • [2] Jack Koftikian; Simple Object Access Protocol (SOAP); Technical University Hamburg-Harburg;

  • [3] Roi Saltzman; Active Man in the Middle Attacks. A SECURITYADVISORY; A whitepaper from IBM Rational Application Security Group. February 27, 2009.

  • [4] WS-Secure specification description [Online]. Available: http://en.wikipedia.org/wiki/WS-SecureConversation, [Accessed: Sept. 01, 2012]

  • [5] Web Services Policy Framework (WS-Policy); [Online]. Available: http://specs.xmlsoap.org/ws/2004/09/policy/ws-policy.pdf, [Accessed: Sept. 01, 2012]

  • [6] P. Osipovs, A. Borisovs; Abnormal action detection based on Markovmodels; Automatic Control and Computer Sciences; Volume 41 / 2007 - Volume 45 / 2011; ISSN 0146-4116 (Print) 1558-108X (Online); May 05, 2011.

  • [7] P. Osipovs, A. Borisovs; Using the Deferred Approach in ScientificApplications; Scientific Journal of Riga Technical University, Series 5, Computer Science, Vol. 49, Information Technology and Management Science, pp. 139-144, 2011.

  • [8] Prof. Walter Kriha; Lecture: „Selected Topics on Software-TechnologyUltra-Large Scale Sites”; University Hochschule der Medien, Stuttgart, 2010. [Online]. Available: www.christof-strauch.de/nosqldbs.pdf [Accessed: Sept. 23, 2012]

  • [9] Samek M. (2008), Event-Driven Programming for Embedded Systems, Newnes 2008. ISBN-10: 0750687061; ISBN-13: 978-0750687065.

  • [10] Markov, A. A. (1954). Theory of Algorithms. [Translated by Jacques J. Schorr-Kon and PST staff] Imprint Moscow, Academy of Sciences of the USSR, 1954 [Jerusalem, Israel Program for Scientific Translations, 1961; available from Office of Technical Services, United States Department of Commerce] Added t.p. in Russian Translation of Works of the Mathematical Institute, Academy of Sciences of the USSR, v. 42. Original title: Teoriya algorifmov. [QA248.M2943 Dartmouth College library. U.S. Dept. of Commerce, Office of Technical Services, number OTS 60-51085.]

Information Technology and Management Science

The Journal of Riga Technical University

Journal Information

Metrics

All Time Past Year Past 30 Days
Abstract Views 0 0 0
Full Text Views 11 11 11
PDF Downloads 1 1 1