Методика проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Смирнов Станислав Игоревич

ВВЕДЕНИЕ

Актуальность темы диссертации. Последние геополитические события серьезно переформатировали 1Т-отрасль. С конца февраля этого года российские организации подвергаются беспрецедентным по своему размаху и интенсивности компьютерным атакам. Киберпреступность наносит большой материальный и репутационный ущерб государственным и коммерческим организациям вне зависимости от их величины и сферы деятельности [1-3].

В настоящее время именно целевые таргетированные атаки (АРТ-атаки), которые бурно развиваются в течение последних пяти лет, представляют собой наибольшую угрозу для информационных систем [4].

Например, согласно отчету компании Огоир1В [5] количество кибератак в 2021 году на российские организации увеличилось более чем на 200%.

Наибольшую популярность получил факт применения злоумышленниками при таргетированных атаках вирусов-шифровальщиков [6] с целью получения прибыли и нарушения работоспособности государственных и коммерческих организаций.

Компьютерные криминалисты отмечают, что одним из главных ресурсов при проведении расследования и реагирования на киберинциденты является время. В связи с этим для компьютерных криминалистов вырастает роль эффективного анализа журналов событий в домене при выявлении первых признаков АРТ-атаки. От правильных и своевременных действий криминалистов при расследовании и определении фактов компрометации злоумышленником серверов и рабочих станций ИС напрямую зависит степень нанесенного ущерба для компании.

Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 [7] при обнаружении первых признаков инцидента ИБ перед компьютерными криминалистами

появляется задача определения их причин. В связи с этим производится сбор артефактов компрометации, основными источниками которых являются: копии жестких дисков, дампы оперативной памяти, журналы событий безопасности, а также трафик сетевых устройств.

В настоящее время не существует единого подхода расследования киберинцидентов при целевых атаках. Также автором в открытом доступе не найдена какая-либо методика проведения расследования инцидента от целевых атак на государственном уровне. Существующие методики расследований киберинцидентов являются внутренними документами организаций, которые не подлежат хранению в свободном доступе в сети Интернет.

В руководстве сотрудниками Лаборатории Касперского [8] описаны действия специалистов по реагированию на инциденты ИБ. Данный документ не является универсальной инструкцией по реагированию на всевозможные инциденты ИБ. В нем описаны основные инструменты для: первоначального реагирования, сбора данных, анализа потенциальных угроз и их удаления. Использование интеллектуального анализа событий безопасности авторами в нем не предлагается.

Сотрудники компании Group-IB разработали инструкцию [9], связанную с системами ДБО. Недостатком данного документа является возможность его использования только в информационных системах (ИС) кредитно-финансовых организаций.

В проекте ГОСТ Р по планированию и подготовке к реагированию на инциденты [10] приведено только организационное описание действий подразделений управления киберинцидентами.

В диссертационном исследовании отдельно рассмотрен этап жизненного цикла таргетированной атаки - это «горизонтальное перемещение» злоумышленника по сети. Вредоносная аутентификационная активность пользователей в домене является одним из главных показателей наличия злоумышленника в ИС.

В настоящее время научные подходы и практические решения компьютерных криминалистов не позволяют в короткий промежуток времени провести автоматизированный анализ большого количества событий безопасности в домене ИС при расследовании киберинцидента и добиться требуемого уровня полноты выявления способов «горизонтального перемещения» в домене.

Существующие программные средства анализа событий безопасности являются лишь их отображением. Также стоит отметить, что далеко не все организации имеют IDS и SIEM-системы, которые помогают выявлять действия злоумышленников на раннем этапе атаки.

Не предлагают способов решения ряда научно-технических задач, в частности:

- оценки современных способов и инструментов, которые используют злоумышленники в реализации «горизонтального перемещения» внутри ИС;

- разработки моделей представления аутентификационных действий злоумышленника в домене с учетом способов и инструментов «горизонтального перемещения»;

- разработки метода выявления аномального поведения пользователя домена;

- разработки методики проведения расследования киберинцидента, применяемой компьютерными криминалистами при целевых атаках.

В качестве путей решения противоречий в диссертационной работе решалась задача разработки методики проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена.

Таким образом, данное исследование, направленное на решение указанных выше задач, является востребованным и актуальным.

Полученные результаты могут быть использованы в практической сфере при расследовании современных целевых атак.

Степень разработанности темы исследования. Проблеме разработки и обоснования моделей, методов и методик проведения киберинцидента посвящено большое количество работ как отечественных ученых (М.А. Еремеев, П.Д. Зегжда, Д.П. Зегжда, И.В. Котенко, И.Б. Саенко, С.А. Петренко, А.Г. Ломако, А.П. Глухов, В.А. Овчаров), так и зарубежных (Prasanta Kumar Sahoo, R.K. Chottray, S.Pattnaiak, Julius Barath, Mart Meijerink, Tim Niklas Witte, Anirudh Kondaveeti и др.). Однако предложенные ими подходы недостаточно ориентированы на использование автоматизированного анализа событий безопасности в домене.

Научная работа Овчарова В.А. и Петренко С.А. [11] направлена на расследование ИБ-инцидентов с использованием профилирования поведения динамических сетевых объектов.

В работе [12] приведен процесс управления динамической инфраструктуры сложных систем в условиях целенаправленных атак.

Работа [13] посвящена расследованию компьютерных инцидентов на основе идентификации дискретных событий ИБ и обратного анализа по конечным исходам.

В работе Саенко И.Б. и др. [14] описана модель угроз ресурсам ИС как ключевому активу критически важного объекта инфраструктуры.

В зарубежной статье [15] представлен подход к обнаружению кибератак на основе APT в реальном времени для SIEM-систем, основанный на причинно-следственном анализе и сопоставлении сгенерированных предупреждений датчиками безопасности.

В диссертации [16] французских исследователей описано применение нейронных сетей для обнаружения APT-атак.

Работа [17] посвящена современным методам обнаружения вредоносных программ при APT-атаках.

Анализ текущего состояния выявления вредоносных воздействий злоумышленника при проведении расследования киберинцидентов

показывает, что возможности существующих научных и программных решений не удовлетворяют требованиям практики.

Вышеуказанные факты позволили сформулировать проблемную ситуацию между необходимостью повышения оперативности и полноты выявления вредоносной аутентификационной активности злоумышленника в домене и несовершенством научно-методического аппарата, используемого в процессе автоматизированного анализа событий безопасности при расследовании киберинцидентов, связанных с целевыми атаками.

Принципиальной особенностью современных расследований киберинцидентов является факт быстроменяющейся активности злоумышленника при «горизонтальном перемещении» в домене ИС и сложностью его выявления.

Цель и задачи диссертационной работы.

Целью диссертационного исследования является повышение оперативности и полноты выявления вредоносных аутентификационных действий злоумышленника на основе разработки научно-методического аппарата автоматизированного анализа событий безопасности домена.

Для достижения указанной цели в работе сформулированы и решены следующие задачи:

1. Анализ моделей и методов выявления вредоносной активности пользователя при расследовании киберинцидента .

2. Разработка моделей аутентификационных действий злоумышленника в домене.

3. Разработка метода обнаружения аномального поведения пользователя домена с использованием модифицированной модели авторегрессии.

4. Разработка методики проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена.

5. Разработка программного комплекса обнаружения вредоносной аутентификационной активности пользователя и экспериментальная апробация методики.

Объектом исследования являются процессы выявления вредоносной активности злоумышленника в домене ИС.

Предметом исследования являются модели, методы и методикивыявления вредоносной аутентификационной активности злоумышленника и анализа событий безопасности в домене ИС.

Разработка метода обнаружения аномального поведения пользователя домена и методики проведения расследования киберинцидента, основанной на автоматизированном анализе событий безопасности домена, с целью эффективного выявления вредоносных действий злоумышленника определяет научную задачу исследования.

Теоретическая значимость работы заключается в разработке новых элементов научно-методического аппарата, применяемых при расследовании киберинцидента в составе теории ИБ, а именно теоретико-множественной модели ассоциированного представления аутентификационных действий злоумышленника в домене, скрытой марковской модели выявления аутентификационных действий злоумышленника, метода обнаружения аномального поведения пользователя домена и методики проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности.

Практическая значимость работы заключается в возможности применения скрытой марковской модели выявления аутентификационных действий злоумышленника, учитывающей современные способы аутентификации злоумышленника при его «горизонтальном перемещении» в домене: удаленное исполнение кода, нестандартные способы аутентификации пользователей, графические методы удаленного доступа, атака типа перебора паролей. Метод обнаружения аномального поведения пользователя домена позволил повысить полноту использования злоумышленником способов и инструментов при его «горизонтальном перемещении» в домене на 30%. Методика проведения расследования киберинцидента на основе автоматизированного анализа событий

безопасности позволила повысить эффективность выявления вредоносной активности злоумышленника.

Методология и методы исследования

При выполнении диссертационного исследования использовались методы теории множеств, теории эффективности, теории защиты информации, скрытая марковская модель и модель авторегрессии временных рядов.

При разработке программной реализации использовались методы объектно-ориентированного программирования языка Python.

Научная новизна полученных при решении поставленных задач результатов, заключается в следующем:

1. Скрытая марковская модель выявления аутентификационных действий злоумышленника позволяет определить вредоносные последовательности событий безопасности при «горизонтальном перемещении» в домене: удаленное исполнение кода, нестандартные способы аутентификации пользователей, графические методы удаленного доступа, атака типа перебора паролей.

2. Метод обнаружения аномального поведения пользователя домена отличается использованием в нем модифицированной модели авторегрессии для автоматизированного анализа событий безопасности.

3. Методика расследования киберинцидента на основе автоматизированного анализа событий безопасности домена отличается применением разработанного программного комплекса обнаружения вредоносной активности в ИС с алгоритмической реализацией предложенного метода обнаружения аномального поведения пользователя домена.

Положения, выносимые на защиту:

1. Скрытая марковская модель выявления аутентификационных действий злоумышленника.

2. Метод обнаружения аномального поведения пользователя домена с использованием модифицированной модели авторегрессии.

3. Методика проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена.

Научная специальность и отрасль науки, которым соответствует диссертация, является 2.3.6 - «Методы и системы защиты информации, информационная безопасность» - по пункту 6 паспорта специальности «Методы, модели и средства мониторинга, предупреждения, обнаружения и противодействия нарушениям и компьютерным атакам в компьютерных сетях», по пункту 12 «Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа» и по пункту 16 «Модели, методы и средства обеспечения аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности, и расследования инцидентов информационной безопасности

в автоматизированных информационных системах».

Обоснованность и достоверность полученных результатов исследования подтверждается всесторонним анализом предшествующих научных работ в данной области, корректным использованием современного научного аппарата, апробацией результатов в научных публикациях и докладах на конференциях, их внутренней непротиворечивостью, а также полученными экспериментальными данными.

Апробация результатов работы. Основные результаты диссертационной работы и научных разработок обсуждались и были опубликованы в материалах следующих конференций: VIII Международная научно-практическая конференция «Информационные технологии и машиностроение» 1ТЕ (г. Москва, 2022), III Международный научный форум по компьютерным и энергетическим наукам '''СЕБ, (г. Алматы, Казахстан, 2022), Всероссийская научная школа - семинар «Современные тенденции развития методов технологий защиты информации» (г. Москва, 2021), Международная научно-техническая конференция (г. Саратов, 2021); Всероссийская научно-техническая конференция «Общество. Наука.

Инновации» (г. Киров, 2021); Научно-техническая конференция «Актуальные вопросы развития современной цифровой среды» (г. Волгоград, 2021).

Личный вклад. Результаты по положениям, выносимым на защиту, в диссертационной работе получены автором самостоятельно. Под руководством научного руководителя автор принимал личное участие в постановке задачи исследования, формулировке основных целей, разработке методики и научно обоснованных решений по достижению требуемых характеристик оперативности и полноты выявления вредоносной аутентификационной активности злоумышленника при расследовании киберинцидента.

Публикации. По представленным в диссертационной работе результатам опубликовано 6 статей в рецензируемых научных изданиях, в том числе 5 публикации в рецензируемых журналах из перечня ВАК, 1 публикация в изданиях из перечня Scopus. Получено 1 свидетельство государственной регистрации программы для ЭВМ.

Реализация результатов работы. Результаты научных исследований использованы при выполнении работ по гранту ИБ (при финансовой поддержке Минобрнауки России в рамках научного проекта №2 40469-19/2021-К), в учебном процессе Института кибербезопасности и цифровых технологий «МИРЭА - Российский технологический университет» (г. Москва) при организации учебной дисциплины «Компьютерная экспертиза» в виде методических рекомендаций по проведению лекционных, практических и лабораторных занятий (приложение А), а также при проведении расследований киберинцидентов в коммерческой организации ООО «Непрерывные технологии» (приложение Б).

Структура и объем диссертационной работы. Научно-квалификационная работа состоит из введения, четырех глав, заключения, списка литературы из 72 наименований, списка сокращений и условных обозначений, а также трех приложений.

Общий объем работы составляет 124 страницы, в том числе 31 рисунок и 14 таблиц.

Краткое содержание работы

Во введении обоснована актуальность темы исследования, поставлена цель и определены основные задачи. Раскрыта научная новизна, теоретическая и практическая значимость полученных результатов. Сформулированы основные научные результаты исследований и положения, выносимые на защиту. Приведена краткая аннотация содержания диссертации по главам.

В первой главе приведены результаты анализа исследуемой области. Проведен анализ современных киберинцидентов и их последствий. Описаны источники данных, используемые в ходе расследования киберинцидента. Проведен анализ существующих моделей и методов выявления вредоносной аутентификационной активности злоумышленника. Рассмотрены современные программные средства анализа аутентификационной активности в домене ИС. Приведена постановка задачи исследования со структурно-логической схемой.

Во второй главе описана модель ассоциированного представления аутентификационных действий злоумышленника при «горизонтальном перемещении» в домене на основе теории множеств. Приведенная схема модели содержит аутентификационные действия злоумышленника, представленные множествами типов учетных записей домена, способов «горизонтального перемещения», серверов и рабочих станций в домене, журналов событий ОС Windows. Описан жизненный цикл и признаки целевых атак. Проведено описание современных способов и инструментов злоумышленника при «горизонтальном перемещении» в домене. Описаны основные методы нестандартной аутентификации пользователей в домене. Приведено описание предложеннойскрытой марковской модели выявления аутентификационных действий злоумышленника. В результате данной модели получены знания о вредоносных последовательностях событий безопасности различных.

В третьей главе описан метод обнаружения аномального поведения пользователя домена с ориентацией на его применение для автоматизированного анализа событий безопасности ОС Windows. Приведено описание факторов, влияющих на выявление коэффициента «аномальности» в поведении пользователей домена. Данный коэффициент применен в алгоритме ChangeFinder, который применяется

в модифицированной модели авторегрессии. Проведен расчет коэффициента полноты выявления аутентификационных действий злоумышленником при «горизонтальном перемещении» в домене на основе существующей международной классификации по матрице MITRE ATT&CK.

В четвертой главе описана методика проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности, состоящая из восьми этапов: сбора журналов событий в домене, выявление пользователей с аномальным поведением на основе разработанного автором метода, создания и анализа дампов ОП рабочих станций и серверов, создания и анализа копий жесткого диска С:\ рабочих станций и серверов, анализа вредоносного ПО, построения хронологии событий кибератаки, реагирование на киберинцидент и выработка рекомендаций с составлением отчета об инциденте. Описан разработанный программный комплекс обнаружения вредоносной активности злоумышленника в корпоративной сети. Представлена архитектура и пример его работы. Результаты исследования были апробированы на тестовом стенде, состоящего из контроллера домена, нескольких пользовательских машин, а также машины злоумышленника. Проведено оценивание показателей выявления вредоносной аутентификационной активности злоумышленника в домене ИС.

В заключении приведены основные результаты и выводы, полученные в ходе выполнения научно-квалификационной работы, а также определены перспективы дальнейших исследований.

ГЛАВА 1. АНАЛИЗ МОДЕЛЕЙ И МЕТОДОВ ВЫЯВЛЕНИЯ ВРЕДОНОСНОЙ АУТЕНТИФИКАЦИОННОЙ АКТИВНОСТИ ПОЛЬЗОВАТЕЛЯ ПРИ РАССЛЕДОВАНИИ КИБЕРИНЦИДЕНТА 1.1 Анализ современных киберинцидентов и их последствий

В последние годы количество компьютерных атак на корпоративные системы и сети организаций стремительно растет [19]. Под угрозой оказались крупные международные компании, банковская сфера, государственные организации (в том числе и медицинские организации), критическая инфраструктура промышленных предприятий (КИИ), а именно АСУ ТП.

В 2020 году была зафиксирована первая смерть человека из-за компьютерной атаки DoppelPaymer на клинику Дюссельдорфа с применением программ-вымогателей [20]. Вследствие действий оператора шифровальщика приемное отделение клиники перестало принимать пациентов, и машины скорой помощи были обязаны уезжать в другие больницы.

В современных ИС реализованы сложнейшие механизмы взаимодействия разнородных динамических систем, состоящих из большого числа компонентов различной степени автономности, в разноплановой программно-аппаратной конфигурации [21]. А также злоумышленники применяют ухищренные способы доставки и ручного управления над вредоносным программным обеспечением. Поэтому специалистам по ИБ данных систем становится сложнее обнаруживать и реагировать на целевые атаки.

Стандарт ФСБ России СТО.ФСБ.КК 1-2018 [22] определяет ВПО как компьютерную программу, предназначенную для нанесения вреда (ущерба) владельцу (пользователю) компьютерной информации, хранящейся на средствах вычислительной способы (СВТ), путем ее несанкционированного копирования, уничтожения, модификации, блокирования или нейтрализации используемых на СВТ средств защиты, или

для получения доступа к вычислительным ресурсам самого СВТ с целью их несанкционированного использования.

В соответствии со стандартом ГОСТ Р ИСО/МЭК ТО 18044-2007 под инцидентом ИБ будем понимать появление одного или нескольких нежелательных или неожиданных событий ИБ (ИБ), с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ [23].

Примерами киберинцидентов могут являться: утрата оборудования (устройств), ошибки пользователей системы, несоблюдение политики ИБ или рекомендаций, нарушение физических мер защиты, сбои программного обеспечения (отказы технических средств), системные сбои или перегрузки, нарушение правил доступа [24].

Согласно статистике [25] в I квартале 2022 г. количество кибератак увеличилось на 14,8% по сравнению с IV кварталом 2021 г. Основными отраслями, подвергшиеся кибератакам, были государственные, промышленные, медицинские, экономические и организации в сфере СМИ. Доля применения вирусов-шифровальщиков уменьшилась по сравнению с IV кварталом 2021 года - с 53% до 44%, но остается наиболее актуальной угрозой. Дополнительно выявлено, что атакующие активно распространяют шпионское ПО для кражи учетных данных пользователей. Также интерес представляет использование учетных данных VPN-сервисов, которые активно применяют организации для удаленного подключения сотрудников при активной фазе распространения коронавирусной инфекции.

При кибератаках наибольший интерес представляют компьютеры, серверы и сетевой оборудование. В последнее время набирают популярность атаки на мобильные устройства в особенности с ОС Android [26]. Все чаще ВПО попадает в официальные магазины мобильных приложений. Большинство из них являются банковскими троянами и загрузчиками.

Последствия кибератак разнообразны: от воздействия на одного человека или на нарушения функционирования какой-либо отрасли

отдельного региона или города (в том числе и технологических процессов) [25].

В I и II кварталах 2022 г. злоумышленников чаще всего интересовали конфиденциальные данные пользователей. Масштабная утечка данных ГИБДД, «Яндекс.Еды», Wildberries и СДЭК [27] коснулась миллионов российских граждан. В публичный доступ попали адреса проживания, номера телефонов, VIN-номера автомобилей и другие данные пользователей.

Февральская атака на телекоммуникационного оператора Vodafone [28] вызвала сбои в обслуживании по всей стране, в том числе в работе сетей 4G и 5G, а также при передаче SMS-сообщений и предоставлении телевизионных услуг.

На основе обзора современных киберинцидентов автором сделан вывод о повышенном интересе к расследованию именно целевых таргетированных атак.

1.2 Анализ источников данных, используемых в ходе расследования

киберинцидента

Журналы событий ОС Windows представляют собой подробные отчеты о системных уведомлениях, уведомлениях безопасности и приложений. В расследовании киберинцидента они выступают в роли основного источника доказательств, поскольку хранят все события, происходящие в системе.

Анализ журнала событий ОС Windows помогает специалисту по ИБ воссоздать хронологию событий, предопределяющих действия злоумышленника, на основе обнаруженных артефактов.

Журналы событий ОС Windows хранятся в системе в формате *.evtx, которые невозможно прочитать без использования специальных средств. Однако в клиентских и серверных системах ОС Windows существует встроенная утилита просмотра событий Event Viewer, которая преобразует их в читаемый формат. Журналы располагаются на жестком диске и являются

энергонезависимыми, что означает, что к ним можно получить доступ, даже если устройство выключено. В ОС Windows по умолчанию журналы событий хранятся в каталоге: %SystemRoot%\System32\Winevt\Logs\.

Каждое событие имеет несколько общих полей:

- имя журнала (журнал, в котором хранится событие);

Использование

1. альтернативных данных для аутентификации техникой Pass-the-Hash 0,1 1 0,3 0

2. Удаленное исполнение кода 0,15 1 0,2 0

утилитой psexec

Попытка удаленного

3. подключения к рабочей 0,09 1 0,13 1

станции в домене

по протоколу ^

Перебор паролей 0,16 1 0,5 0

4. пользователей по протоколу smb

к/ Треб> 3, kt треб< 0,75 — коэффициенты критерия пригодности по количеству

обнаруженных способов и затраченного на них времени

ка — полученный вектор

критерия пригодности

выявления вредоносной аутентификационной активности k1d < 0,5; 4 > k2d < 1,13; 1 >

злоумышленника

при «горизонтальном

перемещении» в домене

по результатам эксперимента

На основе полученных данных (рис. 4.15 и табл. 4.2) о временном интервале 1,13 часа и одной обнаруженного способа «горизонтального перемещения» злоумышленника (попытке удаленного подключения к рабочей станции в домене по протоколу rdp) без применения методики можно сделать вывод о том, что стандартными средствами просмотра событий ОС Windows не удалось достичь требуемого критерия пригодности выявления вредоносной аутентификационной активности злоумышленника.

Рисунок 4.15 - График полученных векторов критерия пригодности выявления вредоносных аутентификационной активности злоумышленника

при проведении эксперимента На основе полученных данных (рис. 4.15 и табл. 4.2) о временном интервале 0,5 часа (ось абсцисс) и четырех обнаруженных способов «горизонтального перемещения» злоумышленника (ось ординат): попытке удаленного подключения к рабочей станции в домене по протоколу rdp, использовании альтернативных данных для аутентификации техникой Pass-the-Hash, удаленного исполнения кода утилитой psexec, перебора паролей пользователей по протоколу smb, с применением методики можно сделать вывод о том, что благодаря новой методике проведения расследования

киберинцидента на основе автоматизированного анализа событий безопасности в домене удалось достичь требуемого критерия пригодности выявления вредоносной аутентификационной активности злоумышленника

(к/_треб > 3 < 0,75).

Выводы по главе 4

В четвертой главе описана методика проведения расследования киберинцидента, состоящая из восьми этапов: сбора журналов событий, выявления пользователей домена с аномальным поведением в домене, создания и анализа дампов оперативной памяти, создания и анализа копий жестких дисков рабочих станций, анализа вредоносного ПО, построение хронологии событий кибератаки, реагирования на киберинцидент и выработку рекомендаций с составлением отчета об инциденте ИБ.

На втором этапе методики применен программный комплекс обнаружения вредоносной аутентификационной активности пользователя в домене ИС, который позволил повысить полноту выявления аутентификационных действий злоумышленником при «горизонтальном перемещении» в домене на 30% и тем самым достичь требуемый уровень критерия пригодности выявления вредоносных аутентификационных действий злоумышленника при расследовании киберинцидента (к1а < 0,5; 4 > - полученный вектор критерия пригодности выявления вредоносной аутентификационной активности злоумышленника при «горизонтальном перемещении» в домене по результатам эксперимента с применением методики расследования).

Отдельно описана архитектура программного комплекса обнаружения вредоносной аутентификационной активности пользователя в домене ИС и представлен пример его работы.

Описан экспериментальный стенд, состоящий из нескольких рабочих станции, контроллера домена и машины злоумышленника. Эксперимент

заключается в проведении типовой целевой атаки на этапе «горизонтального перемещения» злоумышленника по домену, с применением следующих способов: перебор учетных записей пользователей по протоколу smb; подключение к удаленным рабочим столам пользователей; использование способы Pass-the-Hash (аутентификация с помощью ЭТЬМ-хеша пароля); удаленное исполнение кода утилитой psexec).

Представлены расчеты полученных коэффициентов критерия пригодности выявления вредоносных аутентификационных действий злоумышленника при «горизонтальном перемещении» в домене в виде векторов с применением и без применения методики.

ЗАКЛЮЧЕНИЕ

В диссертационной работе решена задача разработки метода обнаружения аномального поведения пользователя домена и методики проведения расследования киберинцидента, основанной

на автоматизированном анализе событий безопасности домена, с целью эффективного выявления вредоносных действий злоумышленника на основе модифицированной модели авторегрессии при расследовании киберинцидента.

В результате диссертационного исследования были получены следующие результаты:

1. Проведен анализ существующих моделей, методов и методик выявления вредоносной аутентификационной активности злоумышленника в домене и событий безопасности.

3. Разработана модель ассоциированного представления аутентификационных действий злоумышленника в домене

4. Разработана скрытая марковская модель выявления аутентификационных действий злоумышленника.

5. Разработан метод обнаружения аномального поведения пользователя домена с использованием модифицированной модели авторегрессии.

6. Разработана методика проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена.

7. Разработан программный комплекс обнаружения вредоносной аутентификационной активности пользователя в домене и проведена его экспериментальная апробация.

Научная новизна полученных при решении поставленных задач результатов, заключается в следующем:

1. Скрытая марковская модель выявления аутентификационных действий злоумышленника, позволяющая определить вредоносные последовательности событий безопасности при «горизонтальном перемещении» в домене: удаленное исполнение кода, нестандартные способы

аутентификации пользователей, графические методы удаленного доступа, атака типа перебора паролей.

2. Метод обнаружения аномального поведения пользователя домена отличается использованием в нем модифицированной модели авторегрессии для автоматизированного анализа событий безопасности.

3. Методика расследования киберинцидента на основе автоматизированного анализа событий безопасности отличается применением разработанного программного комплекса обнаружения вредоносной активности в корпоративной сети [18] с алгоритмической реализацией предложенного метода обнаружения аномального поведения пользователя домена.

Цель диссертационной работы достигнута благодаря решению поставленных задач. Представленный модельно-методический аппарат позволил повысить полноту выявления аутентификационных действий злоумышленником при «горизонтальном перемещении» в домене на 30% и достичь требуемого уровня показателей эффективности выявления вредоносных действий злоумышленника при расследовании киберинцидента.

Рекомендации по применению разработанного научно-методического аппарата при расследовании киберинцидента включают в себя разработанную модель ассоциированного представления аутентификационных действий злоумышленника в домене, скрытую марковскую модель выявления аутентификационных действий злоумышленника, метод обнаружения аномального поведения пользователя домена и методику проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности.

Полученные в диссертационной работе экспериментальные результаты исследования подтверждают целесообразность использования модифицированной модели авторегрессии для автоматизированного анализа событий безопасности в домене и данные рекомендаций могут быть

использованы для создания новых программных средств, а также правил корреляций событий безопасности в БШМ-системах.

Перспективы дальнейшей разработки темы заключается в расширении знаний современных способов «горизонтального перемещения» в домене и инструментов злоумышленника, которые порождают вредоносные цепочки событий безопасности, а также применении технологий искусственного интеллекта для анализа событий безопасности домена.

Полученные результаты соответствуют по пункту 6 паспорта специальности «Методы, модели и средства мониторинга, предупреждения, обнаружения и противодействия нарушениям и компьютерным атакам в компьютерных сетях», по пункту 12 «Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа» и по пункту 16 «Модели, методы и средства обеспечения аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности, и расследования инцидентов информационной безопасности

в автоматизированных информационных системах» специальности 2.3.6 «Методы и системы защиты информации, информационная безопасность».

СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ

АР - авторегрессия

АСУ ТП - автоматизированная система управления технологическими процессами

ВПО - вредоносное программное обеспечение

ДБО - дистанционное банковское обслуживание

ИБ - информационная безопасность

ИС - информационная система

ИКС - информационно-коммуникационная система

ИТКС - информационно-телекоммуникационная сеть

КИИ - критическая информационная инфраструктура

МСЭ - межсетевой экран

ОП - оперативная память

ОС - операционная система

ПО - программное обеспечение

ЭВМ - электронно-вычислительная способ

AD (англ. Active Directory) - активный каталог

APT (англ. Advanced Persistent Threat) - расширенная постоянная угроза ATT&CK (англ. Adversarial Tactics, Techniques & Common Knowledge) -боевые тактики, приемы и общие знания

DLP (англ. Data Loss Prevention) - предотвращение потери данных

DMZ (англ. Demilitarized Zone) - демилитаризованная зона

GUI (англ. Graphical User Interface) - графический пользовательский

интерфейс

IDS (англ. Intrusion Detection System) - система обнаружения вторжений IPS (англ. Intrusion Prevention System) - система предотвращения вторжений Lateral Movement - «горизонтальное перемещение»

NTLM (англ. New Technology Lan Manager) - новая технология управления локальной сетью

OtH (англ. Overpass-the Hash) - способ обхода хешей

PtH (англ. Pass-the-Hash) - способ хищения хешей PtT (англ. Pass-the-Ticket) - способ передачи билета

SIEM (англ. Security Information and Event Management) - информация

о безопасности и управление событиями

TGS (англ. Ticket Granting Service) - служба выдачи билетов

TGT (англ. Ticket Granting Ticket) - билет на выдачу билетов

WAF (англ. Web Application Firewall) - брандмауэр веб-приложений

XML (англ. Extensible Markup Language) - расширяемый язык разметки

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ АВТОРОМ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Анализ техник и инструментов, используемых злоумышленником при «горизонтальном перемещении» в корпоративной сети / С. И. Смирнов, М. А. Еремеев, И. Е. Горбачев [и др.] // Защита информации. Инсайд. - 2021. - № 1(97). - С. 58-61.

2. Свидетельство о государственной регистрации программы для ЭВМ № 2021614531 Российская Федерация. Программный комплекс обнаружения вредоносной активности в корпоративной сети: № 2021613300: заявл. 10.03.2021: опубл. 25.03.2021 / С. И. Смирнов, И. А. Прибылов, Ш. Г. Магомедов, Д. А. Изергин.

3. Смирнов С. И. Подход к обнаружению вредоносных действий злоумышленника на основе модели авторегрессии при расследовании киберинцидента / С. И. Смирнов, М. А. Еремеев, И. А. Прибылов // Проблемы ИБ. Компьютерные системы. - 2021. - № 2(46). - С. 41-47.

4. S.I. Smirnov, M.A. Eremeev, I.A. Pribylov / Detection of malicious actions of an attacker based on event logs when investigating an ongoing cyber incident // Инновационные аспекты развития науки и способы: Сборник статей VII Международной научно-практической конференции. - Саратов: НОО «Цифровая наука». - 2021. - С. 22-28.

5. Прибылов, И. А. Подход к интеллектуальному анализу аутентификационной активности пользователей домена / И. А. Прибылов, С. И. Смирнов // Актуальные вопросы развития современной цифровой среды: сборник статей по материалам научно-технической конференции молодых ученых, Москва, 14-16 апреля 2021 года. - Волгоград: ИП ЧЕРНЯЕВА ЮЛИЯ ИГОРЕВНА (Издательский дом "Сириус"), 2021. - С. 154-160.

6. Смирнов, С. И. Модель ассоциированного представления аутентификационных действий злоумышленника в домене / С. И. Смирнов, М. А. Еремеев // Защита информации. Инсайд. - 2022. - № 2(104). - С. 50-55. -EDN GPRLTS.

7. Смирнов, С. И. Метод обнаружения аномального поведения пользователя домена на основе автоматизированного анализа событий безопасности / С. И. Смирнов // Защита информации. Инсайд. - 2022. - № 3(105). - С. 56-63. - EDN GPRLTS.

8. Smirnov, S. I. Approach to Recognition of Malicious Behavior Based on Autoregression Model upon Investigation into Cyberincident / S. I. Smirnov, M. A. Eremeev, I. A. Pribylov // Automatic Control and Computer Sciences. - 2021. - Vol. 55. - No 8. - P. 1099-1103. - DOI 10.3103/S0146411621080290. - EDN UBWPAI.

9. Смирнов, С. И. Методика расследования киберинцидента, основанная на интеллектуальном анализе событий безопасности домена / С. И. Смирнов // Защита информации. Инсайд. - 2022. - № 4(106). - С. 60-69.

СПИСОК ЛИТЕРАТУРЫ

1. Потери организаций от киберпреступности. [Электронный ресурс]. -Режим доступа: https: //www.tadviser.ru/index.php/Статья: Потери_организаций _от_киберпреступности - (дата обращения 15.06.2021).

2. Киберпреступность в мире. [Электронный ресурс]. - Режим доступа: https://www.tadviser.ru/index.php/Статья:Киберпреступность_в_мире - (дата обращения 15.07.2021).

3. Киберпреступность в современной России: причины и условия. [Электронный ресурс]. - Режим доступа: https://zakon.ru/blog/2021/4/21/ kiberprestu pnost_v_sovremennoj_rossii_prichiny_i_usloviya - (дата обращения 22.04.2021)

4. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и способов. [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ ru-ru/research/analytics/apt-attacks-finance-2019/ - (дата обращения 25.08.2021).

5. Отчёт компании GroupIB «Программы-вымогатели 2020/2021». [Электронный ресурс]. - Режим доступа: https://www.group-ib.ru/resources/threat-research/ransomware-

2021 .html?utm_source=youtube&utm_medium=video+oleg&utm_content=ru (дата обращения: 25.12.2021)

6. The Guardian. Petya' Ransomware Attack: What is it and How can it be Stopped?. Accessed: May 1, 2019. [Online]. Available: https: //www.theguardian. com/technology/2017/j un/27/petya-ransomware -cyber-attack-who-what-why-how

7. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ. [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200068822 (дата обращения: 30.12.2021)

8. Руководство по реагированию на инциденты информационной безопасности / Управление технологических решений, 2017 [Электронный ресурс]. - Режим доступа: https://media.kasperskycontenthub.com/wp-

content/uploads/sites/43/2018/03/07172131/Incident_Response_Guide_rus.pdf) (дата обращения: 15.05.2022)

9. Инструкция по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания (Group-IB) [Электронный ресурс].

- Режим доступа: https://www.group-ib.ru/brochures/Group-IB_dbo_instruction.pdf?ysclid=l6ze84swtb309425999 (дата обращения: 15.08.2022)

10. ГОСТ Р (проект) Руководство по планированию и подготовке к реагированию на инциденты ISO/IEC 27035-2:2016, NEQ [Электронный ресурс]. - Режим доступа: https://fstec.ru/en/component/attachments/download/ 3038?ysclid=l6zeay0vuk583444003 (дата обращения: 18.05.2022)

11. Расследование ИБ-инцидентов с использованием профилирования поведения динамических сетевых объектов / В. Н. Калинин, А. Г. Ломако, В. А. Овчаров, С. А. Петренко // Защита информации. Инсайд. - 2018. - № 3(81).

- С. 58-67.

12. Зегжда, Д. П. Управление динамической инфраструктурой сложных систем в условиях целенаправленных кибератак / Д. П. Зегжда, Д. С. Лаврова, Е. Ю. Павленко // Известия Российской академии наук. Теория и системы управления. - 2020. - № 3. - С. 50-63. - DOI 10.31857/S0002338820020134.

13. Овчаров, В. А. Расследование компьютерных инцидентов на основе идентификации дискретных событий ИБ и обратного анализа по конечным исходам / В. А. Овчаров, П. А. Романов // Труды Военно-космической академии имени А.Ф.Можайского. - 2015. - № 648. - С. 84-89.

14. Модель угроз ресурсам ИС как ключевому активу критически важного объекта инфраструктуры / И. Б. Саенко, О. С. Лаута, М. А. Карпов, А. М. Крибель // Электросвязь. - 2021. - № 1. - С. 36-44. - DOI 10.34832/ELSV.2021.14.1.004.

15. M. Khosravi and B. T. Ladani, "Alerts Correlation and Causal Analysis for APT Based Cyber Attack Detection" // IEEE Access 8, September 2020. DOI: 10.1109/ACCESS.2020.3021499

16. G. Brogi and E. Di Bernardino, ''Hidden Markov models for advanced persistent threats,'' Ph.D. dissertation, Caen-Normandy Univ., Caen, Paris, 2017.

17. Tim Niklas Witte, Phantom Malware: Conceal Malicious Actions From Malware Detection Techniques by Imitating User Activity // IEEE Access 8, January 2020

18. Свид. 2021614531 Российская Федерация. Свидетельство о государственной регистрации программы для ЭВМ. Программный комплекс обнаружения вредоносной активности в корпоративной сети / Смирнов С.И., Прибылов И.А, Магомедов Ш.Г., Изергин Д.А., заявл. ,№ 2021613300 от 10.03.2021; опубл. 25.03.2021.

19. Отчёт компании Positive Technologies «Актуальные киберугрозы: итоги 2020 года». [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020/ (дата обращения: 10.01.2021)

20. ФБР: операторы DoppelPaymer угрожают своим жертвам и преследуют их. [Электронный ресурс]. - Режим доступа: https://xakep.ru/2020/12/17/doppelpaymer-threats/ - (дата обращения: 22.12.2021)

21. Ломако, А. Г. Метод расследования инцидентов безопасности на основе профилей поведения сетевых объектов / А. Г. Ломако, В. А. Овчаров, С. А. Петренко // Дистанционные образовательные технологии : Материалы III Всероссийской научно-практической конференции, Ялта, 17-22 сентября 2018 года / Ответственный редактор В.Н. Таран. - Ялта: Общество с ограниченной ответственностью «Издательство Типография «Ариал», 2018. - С. 366-373.

22. Федеральная служба безопасности Российской Федерации. Стандарт СТО.ФСБ.КК 1-2018 «Компьютерная экспертиза. Термины и определения», Москва, 12 ноября 2018 г. No 33. [Электронный ресурс]. - Режим доступа: https://www.fsb.ru/files/fsbdoc/normakt/standart_sto_2018. doc (дата обращения: 25.07.2019)

23. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ. [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200068822 (дата обращения: 30.10.2021)

24. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200048398 (дата обращения: 30.10.2021)

25. Отчет компании Positive Technologies «Актуальные киберугрозы: I квартал 2022 года. [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q1/#id2 (дата обращения: 25.05.2022)

26. Оценка уровня информационной безопасности мобильной операционной системы Android / Д. А. Изергин, М. А. Еремеев, Ш. Г. Магомедов, С. И. Смирнов // Российский технологический журнал. - 2019. -Т. 7. - № 6(32). - С. 44-55. - DOI 10.32362/2500-316X-2019-7-6-44-55. - EDN PNQQYI.

27. В сети появилась карта с утекшими данными ГИБДД, «Яндекс.Еды» и СДЭК. [Электронный ресурс]. - Режим доступа: https://www.forbes.ru/tekhnologii/465853-v-seti-poavilas-karta-s-uteksimi-dannymi-gibdd-andeks-edy-i-sdek (дата обращения: 25.07.2022)

28. Vodafone Portugal 4G and 5G services down after cyberattack. [Электронный ресурс]. - Режим доступа: https://www.bleepingcomputer.com/news/security/vodafone-portugal-4g-and-5g-services-down-after-cyberattack/ (дата обращения: 28.08.2022)

29. Быстров, И. С. Анализ моделей поведения пользователей для задачи обнаружения кибер-инсайдеров / И. С. Быстров, И. В. Котенко // Актуальные проблемы инфотелекоммуникаций в науке и образовании : сборник научных статей: в 4х томах, Санкт-Петербург, 24-25 февраля 2021 года / Санкт-

Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича. - Санкт-Петербург: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, 2021. - С. 139-143. - БЭК БО/УМА.

30. Авраменко, В. С. Нейросетевая модель диагностирования компьютерных инцидентов в инфокоммуникационных системах специального назначения / В. С. Авраменко, А. В. Маликов // Проблемы технического обеспечения войск в современных условиях : ТРУДЫ IV МЕЖВУЗОВСКОЙ НАУЧНО-ПРАКТИЧЕСКОЙ КОНФЕРЕНЦИИ, Санкт-Петербург, 06 февраля 2019 года. - Санкт-Петербург: ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ВОЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ ИМЕНИ МАРШАЛА СОВЕТСКОГО СОЮЗА С. М. БУДЕННОГО" МИНИСТЕРСТВА ОБОРОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, 2019. - С. 41-45. - БЭК БШМУИ.

31. Левшун, Д. С. Построение модели атакующего для современной киберфизической системы / Д. С. Левшун // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2020) : IX Международная научно-техническая и научно-методическая конференция : сборник научных статей, Санкт-Петербург, 26-27 февраля 2020 года. - Санкт-Петербург: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, 2020. - С. 679-682. - БЭК ККАБОЯ.

32. Никишова, А. В. Многоагентная модель оценки защищенности информационной системы / А. В. Никишова // Обозрение прикладной и промышленной математики. - 2008. - Т. 15. - № 4. - С. 672-673. - БЭК ТУООВБ.

33. Латыпов, И. Т. Многоуровневая модель компьютерной атаки на основе атрибутивных метаграфов / И. Т. Латыпов, М. А. Еремеев // Проблемы информационной безопасности. Компьютерные системы. - 2020. - № 2. - С. 23-28. - БЭК ВОЯБУБ.

34. Левкин, И. М. Агрегированная операционно-временная модель оценивания эффективности отражения информационных угроз в больших информационных системах / И. М. Левкин, А. А. Володина // Известия высших учебных заведений. Приборостроение. - 2016. - Т. 59. - № 5. - С. 335-341. -DOI 10.17586/0021-3454-2016-59-5-335-341. - EDN VYXEHZ.

35. Математическая модель процесса функционирования подсистемы реагирования системы обнаружения, предупреждения и ликвидации последствий компьютерных атак / А. М. Сухов, С. Ю. Герасимов, М. А. Еремеев, В. И. Якунин // Проблемы информационной безопасности. Компьютерные системы. - 2019. - № 2. - С. 56-64. - EDN JWCUVA.

36. Сидоров, М. В. А. И. Д. Обнаружение аномального поведения пользователя в операционной системе Windows на основе анализа работы с приложениями / М. В. А. И. Д. Сидоров // Известия ТРТУ. - 2003. - № 4(33). -С. 202-204.

37. Шелухин, О. И. Обнаружение аномальных вторжений в компьютерные сети статистическими методами / О. И. Шелухин, А. С. Филинова, А. В. Васина // T-Comm: Телекоммуникации и транспорт. - 2015. - Т. 9. - №2 10. - С. 42-49.

38. Григоров, А. С. Метод обнаружения аномалий в поведении пользователей на основе оценки результатов выполнения SQL-запросов / А. С. Григоров, В. В. Плашенков // Вестник компьютерных и информационных технологий. - 2013. - № 3(105). - С. 49-54.

39. Xiangyu Xi, Tong Zhang, Guoliang Zhao, Method and System for Detecting Anomalous User Behaviors: An Ensemble Approach, Conference: The 30th International Conference on Software Engineering and Knowledge Engineering, July 2018, DOI: 10.18293/SEKE2018-036

40. Отчет компании Positive Technologies «APT-атаки на топливно-энергетический комплекс России: обзор тактик и способов». [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/apt-attacks-energy-2019/ (дата обращения: 01.08.2021)

41. Программа Event Log Explorer. [Электронный ресурс]. - Режим доступа: https://eventlogxp.com/rus (дата обращения: 11.09.2021)

42. SIEM: ответы на часто задаваемые вопросы. [Электронный ресурс]. -Режим доступа: https://habr.com/ru/post/172389 (дата обращения: 13.09.2021)

43. Исследование компании Gartner. [Электронный ресурс]. - Режим доступа: https://logrhythm.com/gartner-magic-quadrant-siem-report-2020/ (дата обращения: 15.09.2021)

44. Цепочка Kill Chain: от моделирования до проектирования защищенного периметра. [Электронный ресурс]. - Режим доступа: https: //www.securitylab .ru/blog/personal/Informacionnaya_bezopasnost_v_detalya h/325123.php (дата обращения: 01.11.2021)

45. Матрица MITRE ATT&CK. [Электронный ресурс]. - Режим доступа: https://attack.mitre.org/ (дата обращения: 15.12.2021)

46. Анализ техник и инструментов, используемых злоумышленником при «горизонтальном перемещении» в корпоративной сети / С. И. Смирнов, М. А. Еремеев, И. Е. Горбачев [и др.] // Защита информации. Инсайд. - 2021. - № 1(97). - С. 58-61.

47. Служебная утилита sqlcmd. [Электронный ресурс]. - Режим доступа: https://docs.microsoft.com/ru-ru/sql/tools/sqlcmd-utility?view=sql-server-2017 (дата обращения: 25.07.2021)

48. Инструменты для Kali. Утилита mimikatz. [Электронный ресурс]. -Режим доступа: https://kali.tools/?p=5342 (дата обращения: 26.07.2021)

49. Impacket [Электронный ресурс]. - Режим доступа: https://github.com/SecureAuthCorp/impacket?ysclid=l6zef96vlh502993844 (дата обращения: 20.08.2022)

50. Артюхин Михаил и др. «Пентест. Секреты этичного взлома». - СПб.: БХВ-Петербург, 2022. - 160 с.: ил. - (Библиотека журнала «Хакер»)

51. Рабинер Л.Р. Скрытые Марковские модели и их применение в избранных приложениях при распознавании речи. Обзор.//ТИЭР - М: Наука, 1989. - Выпуск 2. - Том 77. - С. 86-102

52. Yamanishi, K., Takeuchi, J. I., Williams, G., & Milne, P. (2004). On-line unsupervised outlier detection using finite mixtures with discounting learning algorithms. Data Mining and Knowledge Discovery, 8(3), 275-300. https://doi.Org/10.1023/B:DAMI.0000023676.72185.7c

53. Fawcett, T., Provost, F.: Activity Monitoring: Noticing interesting changes in bahavior. In: The conference on Knowledge Discovery in Data, pp. 53-62 (1999)

54. Kitagawa and W. Gersch, Smoothness priors analysis of time series. Springer Science & Business Media, 2012, vol. 116.

55. Модели авторегрессии для прогнозирования временных рядов с помощью Python [Электронный ресурс]. - Режим доступа: https://machinelearningmastery.ru/autoregression-models-time-series-forecasting-python/?ysclid=l6zfjpetfe58615328 (дата обращения: 20.06.2021)

56. Обнаружение событий альфа-шпинделя во временных рядах ЭЭГ с использованием адаптивных авторегрессионных моделей [Электронный ресурс]. - Режим доступа: https://translated.turbopages.org/proxy_u/en-ru.ru.7623e3a0-62fe9240-6eebcbb3-74722d776562/https/bmcneurosci. biomedcentral.com/articles/10.1186/1471-2202-14-101 (дата обращения: 10.06.2021)

57. Смирнов, С. И. Метод обнаружения аномального поведения пользователя домена на основе интеллектуального анализа событий безопасности / С. И. Смирнов // Защита информации. Инсайд. - 2022. - № 3(105). - С. 56-63. - EDN PTAHCU.

58. Smirnov, S. I. Approach to Recognition of Malicious Behavior Based on Autoregression Model upon Investigation into Cyberincident / S. I. Smirnov, M. A. Eremeev, I. A. Pribylov // Automatic Control and Computer Sciences. - 2021. - Vol. 55. - No 8. - P. 1099-1103. - DOI 10.3103/S0146411621080290. - EDN UBWPAI.

59. Свидетельство о государственной регистрации программы для ЭВМ № 2022610611 Российская Федерация. Программный комплекс сбора артефактов ОС Linux : № 2021681579 : заявл. 19.12.2021 : опубл. 13.01.2022 / С. И. Смирнов, Д. А. Изергин, В. С. Нефедов [и др.]. - EDN DIEHWN.

60. Смирнов, С. И. Модель ассоциированного представления аутентификационных действий злоумышленника в домене / С. И. Смирнов, М. А. Еремеев // Защита информации. Инсайд. - 2022. - № 2(104). - С. 50-55. -EDN GPRLTS.

61. Алгоритм ChangeFinder [Электронный ресурс]. - Режим доступа: https://gist.github.com/shunsukeaihara/8080887 (дата обращения: 13.05.2022)

62. Прибылов, И. А. Подход к интеллектуальному анализу аутентификационной активности пользователей домена / И. А. Прибылов, С. И. Смирнов // Актуальные вопросы развития современной цифровой среды : сборник статей по материалам научно-технической конференции молодых ученых, Москва, 14-16 апреля 2021 года. - Волгоград: ИП ЧЕРНЯЕВА ЮЛИЯ ИГОРЕВНА (Издательский дом "Сириус"), 2021. - С. 154-160.

63. FTK Imager [Электронный ресурс]. - Режим доступа: https://accessdata.com/product-download/ftk-imager-version-4-5 (дата обращения: 07.06.2022)

64. Набор утилит Forensic Toolkit [Электронный ресурс]. - Режим доступа: https://github.com/clingeric/forensic-toolkit?ysclid=l6zgqfggp3626938100 (дата обращения: 17.06.2022)

65. Фреймворк Volatility [Электронный ресурс]. - Режим доступа: https://github.com/volatilityfoundation/volatility3?ysclid=l6zglofe4d490365523 (дата обращения: 17.06.2022)

66. Программа Rekall [Электронный ресурс]. - Режим доступа: https://github.com/google/rekall?ysclid=l6zgny1d90770669575 (дата обращения: 19.06.2022)

67. Онлайн-песочница AnyRun [Электронный ресурс]. - Режим доступа: https://app.any.run (дата обращения: 21.06.2022)

68. Онлайн-ресурс VirusTotal [Электронный ресурс]. - Режим доступа: https://virustotal.com (дата обращения: 21.06.2022)

69. Онлайн-ресурс Malware Configuration and Payload Extraction [Электронный ресурс]. - Режим доступа: https://cape.contextis.com (дата обращения: 23.06.2022)

70. Онлайн-ресурс Joe Sandbox [Электронный ресурс]. - Режим доступа: https://joesandbox.com (дата обращения: 24.06.2022)

71. Инструмент поиска угроз Yamato Security [Электронный ресурс]. -Режим доступа: https://github.com/Yamato-Security/hayabusa (дата обращения: 26.06.2022)

72. Парсер логов EvtxECmd [Электронный ресурс]. - Режим доступа: https://github.com/EricZimmerman/evtx (дата обращения: 09.06.2022)

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА — Российский технологический университет»

РТУ МИРЭА

просп Вернадского, д. 78, Москва. 119454 тел.: (499) 215 65 65 доб. 1140, факс: (495) 434 92 87 e-mail: mirea@mirea.ru, http://www.mirea.ru

о внедрении результатов диссертации на соискание ученой степени кандидата технических наук Смирнова Станислава Игоревича

Настоящим актом подтверждается, что основные результаты диссертационного исследования, выполненного Смирновым Станиславом Игоревичем, на тему «Методика проведения расследования киберинциденга на основе автоматизированного анализа событий безопасности домена» внедрены в учебный процесс кафедры КБ-4 «Интеллектуальные системы информационной безопасности» при изучении дисциплины «Компьютерная экспертиза», читаемой студентам по направлению подготовки (специальности) 10.05.05 «Безопасность информационных технологий в правоохранительной сфере».

Директор Института кибербезоиасности и цифровых технологий РТУ МИРЭА к.ю.н., д.и.н., доцент

Заведующий кафедрой КБ-4 ИКБ РТУ МИРЭА к.т.н., доцент

Справка

о внедрении результатов исследования

Результаты, полученные Смирновым Станиславом Игоревичем в ходе выполнения диссертационного исследования на тему: «Методика проведения расследования кнберннцнденга на основе автоматизированного анализа событий безопасности домена» по специальноеш 2.3.6 - «Методы и системы зашшы информации, информационная безопасность», были приняты к внедрению в ООО «Непрерывные технологии» с целью повышения качества обнаружения действий злоумышленника при проведении расследований инцидентов информационной безопасности.

Предлагаемая методика проведения расследования киберинцидента на основе интеллектуального анализа событий безопасности домена с применением программы для ЭВМ № 2021614531 от 25.03.2021 г. «Программный комплекс обнаружения вредоносной активности в корпоративной сети» позволила повысить качество обнаружения злоумышленника на этапе горизонтального перемещения в домене и снизить время проведения расследования.

Генеральный директор

ООО «Непрерывные технологии»

«25» августа 2022 г.