Обнаружение попыток несанкционированного доступа на основе выявления нестандартных поведенческих факторов

АННОТАЦИЯ

Систематизация поведенческих факторов пользователей веб-приложений для дальнейшего создания алгоритмов обнаружения попыток несанкционированного доступа на их основе.

ABSTRACT

Systematization of behavioral factors of web application users for further creation of algorithms for detecting unauthorized access attempts based on them.

Ключевые слова: несанкционированный доступ, поведенческие факторы, веб-приложения, информационная безопасность.

Keywords: unauthorized access, behavioral factors, web applications, information security.

Поведенческие факторы [1, с. 324] - это совокупность действий отдельного пользователя или группы пользователей, а также сопоставленная этим действиям информация об окружении, программном обеспечении

Поведенческие факторы используются повсеместно в интеллектуальных системах защиты инфраструктур [3, с. 298], а также для алгоритмов поискового ранжирования. В случае с поисковыми системами алгоритмы определяют заинтересованность пользователя в том или ином контенте, при этом в информационной безопасности алгоритмы определяют достоверность текущей сессии отдельного пользователя или группы пользователей.

Определим отслеживаемые факторы:

• точка(и) входа в приложение
• точка(и) выхода из приложения
• посещаемые разделы
• ip адрес, geoApi
• длительность сессии, время начала и окончания
• заголовки
• направление свайпов или движения мыши

1 Точки входа и выходы приложения

Параметры являющиеся в большой степени статичными при правильном построении бизнес логики веб-приложения. Точкой входа как правило, является страница авторизации, таким образом если сессия пользователя начинается не с этой страницы, то можно утверждать, что сессия была скомпрометирована.

Точка выхода из приложения тоже не мало важный фактор, т.к. рядовой пользователь самостоятельно сессию не завершает и из этого можно сделать следующие предположения:

• пользователь выполнял авторизацию не на своем устройстве
• сессия была скомпрометирована

Оба фактора тесно взаимосвязаны и должны анализироваться в совокупности.

2 Посещаемые разделы

Посещаемые разделы должны быть отфильтрованы на уровне системы ролей, в таком случае простой алгоритм сможет детектировать попытки получения доступа к закрытым директориям и функционалу. Данная логика должна быть в обязательном порядке продублирована как на клиентской части так и на серверной.

3 Ip адрес, GeoApi

Детектирование аномального поведения по данным факторам должно проводится по двум направлениям:

• проверка ip адреса клиента в спам базах
• сопоставления ip адреса и GeoApi с предыдущими сессиями

С учетом скорости цифровизации и наращиванием мощности систем информационной безопасности стали формироваться открытые базы ip адресов с которых происходят примитивные виды атак - как автоматизированные, так и в полу ручном режиме. Данные базы находятся в открытом доступе и позволяют быстро проверить клиентский ip адрес.

Сопоставление ip адресов крайне эффективный инструмент, т.к. набор данных адресов если и имеет определенный диапазон, то в большинстве случаев он статичен и отклонение из данного диапазона можно считать аномальным поведением. В редких случаях возможно проникновение в корпоративную или домашнюю сеть, поэтому детектирование аномального поведения должно производится по совокупности факторов.

4 Длительность сессии, время начала и окончания

Устойчивые факторы, обусловленные статичностью времени и периодов работы пользователей веб-приложений. Самый простой пример - пользователь начал сессию ночью.

Помимо алгоритмов отслеживания данного фактора можно принять и достаточно примитивные меры в виде запрета одновременных авторизаций, и ограничения во времени использования веб-приложения - например установить временные рамки при которых возможно авторизация.

5 Заголовки

Так как мы говорим о веб-приложениях то нам доступен для анализа заголовок, из любого запроса. Данные заголовков содержат в себе достаточно информации для анализа:

• устройство
• браузер
• операционная система
• откуда запрос (домен)
• и т.д.

Систематизируя и сохраняя данную информацию мы получаем мощный инструмент для анализа и детектирования аномального поведения.

6 Направление свайпов или движения мыши

Наиболее логически и статистически сложных механизм обнаружения аномалий, но при этом достаточной действенный. Смысл логирования и вычисления данных факторов заключается в некоторой статичности человеческих особенностей:

• в какой руке устройство
• частота перемещения курсора
• скорость перемещения курсора
• динна свайпов на мобильных устройствах

При анализе данных факторов стоит учитывать что пользователь может работать с веб-приложением на разных устройствах с разными параметрами, в том числе учитывая адаптивность человека данные факторы в долгосрочной перспективе могут менять свои показатели. В связи с этим основной упор следует делать на перманентное и качественно отличимое изменение показателей по каждому из факторов.

7 Обнаружение попыток несанкционированного доступа

Обнаружение попыток несанкционированного доступа на основе выявления аномалий [2, с. 16] в поведенческих факторах должно производится только по всей совокупности всех возможных факторов, для этого следует привести все факторы и динамику их изменений к некоторому значению и диапазону в пределах, которых поведение пользователя будет считаться нормальным. Такой подход применим к факторам, которые имеют крайне динамические свойства, факторы такие как ip адрес должны иметь жесткие правила и меры, применяемые при обнаружении несанкционированного доступа.

Список литературы:

1. Вержбалович, Д.И. // Кибервойна. Аспекты безопасности использования информационного пространства. ЛЕНАНД.: ISBN:978-985-11-0863-9, 2015 – 400с.
2. K. Ilgun, R.A. Kemmerer, P.A. Porras, // State Transition Analysis: A Rule-Based Intrusion Detection System. IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.
3. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. // A network security monitor. In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304.