АССОЦИАТИВНО-МАЖОРИТАРНАЯ МОДЕЛЬ СИСТЕМЫ КОНТРОЛЯ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЯ НА ОСНОВЕ ТЕОРИИ АВТОМАТОВ

Проблема защиты информации от несанкционированного доступа (НСД) на сегодняшний день является достаточно актуальной. Согласно статистике [3] НСД является одной из самых распространённых угроз информационной безопасности. При этом реализация ряда угроз становится возможной по причине того, что существующие методы защиты информации от НСД не в полной мере учитывают особенности поведение пользователя в компьютерной системой (КС).

В научной и технической литературе известен ряд публикаций, посвященных задаче контроля поведения пользователя [1-6]. Но в большинстве из них контроль сводится к анализу отдельных операций пользователя, а не последовательности его действий. Такой подход является недостаточно эффективным для обеспечения требуемого уровня защиты от НСД. Для описания поведения пользователя, как сложно формализуемого процесса, в работе [1] использована модель цифрового автомата, позволяющая на основе алгоритмизации технологических операций пользователя, с использованием соответствующих сигнатур, определить правомочность как отдельных действий пользователя в КС, так и их совокупности.

Но метод [1] имеет архитектуру, основанную на модели сравнения эталонов, которая в сравнении с ассоциативно-мажоритарной моделью имеет более низкую производительность и достоверность распознавания. Поэтому разработаем систему мониторинга поведения пользователя с применением ассоциативно-мажоритарной модели.

Целью данной работы является повышение быстродействия и достоверности принятия решений при мониторинге поведения пользователя.

Для достижения данной цели решены следующие задачи:

- с использованием положений теории автоматов формализовано поведение пользователя (ПП);

- представлено кодирование состояний ЦА и схема алгоритма действий пользователя;

- построена ассоциативно-мажоритарная модель контроля действий пользователя;

- разработано ПО анализирующие действия пользователя при игре в шахматы и изучении английских слов;

- исследованы достоинства и недостатки разработанного метода.

В выражении (1) представлена обобщенная модель ПП как цифрового автомата А: 

А={S,s₀,X,Y, δ, λ}                                             (1)

где  S – множество состояний системы, обусловленное действиями пользователя;

s₀ – начальное состояние системы;

X – множество входных воздействий пользователя;

Y – множество реакций системы на действия пользователя;

δ(s,х) – функция перехода состояний КС;

λ(s,х) – функция выходов КС.

Состояние пользователя сложно точно описать, как состояние цифрового автомата, ввиду невозможности формализации состояний человеческого мозга и всех факторов оказывающих на него воздействия для принятие того или иного решения. Поэтому в данной работе рассматриваются состояния цифрового автомата, достаточно полно отображающие действие пользователя в целом. Коды состояний используются системой мониторинга в качестве сигнатур, для контроля поведения пользователя.

Для выполнения определенной операции в компьютерной системе пользователь выполняет некоторый алгоритм действий (совершение операций, ввод данных, выполнение условий, вывод данных), данный алгоритм описан согласно теории автоматов и представлен на рисунке 1 в виде обобщенной схемы управляющего цифрового автомата, отображающего действия пользователя. 

Рисунок 1. Схема алгоритма действий пользователя

Для мониторинга поведения пользователя использована ассоциативно-мажоритарную модель, так на рисунке 2 представлена структурная схема данной модели, которая состоит и 3 основных блоков: «Ассоциативная память», «Схема сравнения» и «Блок логических элементов И». В ассоциативной памяти осуществляется хранение и построение новых сигнатур путем сложения по порядку всех сигнатур действий пользователя, поэтому последняя сигнатура будет включать в себя совокупность всех предыдущих сигнатур.

Код операции пользователя Х поступает на вход блоков сравнения и ассоциативной памяти. В блоке ассоциативной памяти, вызывается соответствующая сигнатура, которая сравнивается с кодом операции и по результату сравнения определяется правильность вводимой команды, далее определяется код следующей сигнатуры действия пользователя. В блоке сравнения, осуществляется выявление ошибок, путем сравнения входного и выходного значений из блока ассоциативной памяти, в случае обнаружения ошибки подается соответствующий сигнал, в противном случае в блоке И формируется выходной вектор Y санкционированных действий пользователя.

Рисунок 2. Структурная схема ассоциативно-мажоритарной модели

На основе данной модели было разработано программное средство «Имитационная модель контроля поведения пользователя в РИВС, которое в отличие от программного средства [7] наглядно отображает принцип работы модели, демонстрирует его работу на примере игры в шахматы и изучению новых слов английского языка.

 На рисунке 3 представлен пример анализа действий пользователя при игре в шахматы, при этом для наглядности работы метода рассматривается задача «Мат в 3 хода» [8], где пользователю разрешено выполнять только выигрышную комбинацию ходов, в случае отклонения пользователь оповещается сообщением и возвращается на предыдущий шаг для выполнения правильного хода, так на представленном рисунке выигрышным ходом будет Фd4-f4, после которого любой ход соперника ведёт к ухудшению его позиции (цугцванг).   

Рисунок 3. Контроль действий пользователя для достижения мата в 3 хода

На рисунке 4 представлен пример обучения пользователя английскому языку на примере контроля изучения счета от одного до десяти. Пользователю необходимо указать в правильной последовательности английский слова от 1 до 10, путем нажатия на соответствующие слова в необходимой последовательности. В случае если пользователь ошибается в последовательности, то пользователю выдается рекомендация выбрать правильное слово из заданной заранее совокупности слов, до тех пор, пока пользователь не составит верную последовательность слов.   

Рисунок 4. Обучению счету на английском языке  

На примере анализа игры в шахматы и обучению английского языка пользователем представлен алгоритм работы метода, который аналогичным образом функционирует при контроле действий пользователя при работе с КС.

Предложенная модель позволяет снизить вероятность несанкционированного доступа за счет повышения достоверности и точности распознавания. В отличие от ранее представленных систем модель позволяет пользователю полностью выполнить свою задачу, так как в случае ошибки пользователь будет перенаправлен на предыдущий шаг для выбора правильной операции. Также модель позволяет контролировать последовательности команд пользователя, как на этапе его, так и в режиме реального доступа к КС.

Данный метод может быть использован в банковских системах контроля проведения транзакций, при попытках несанкционированного доступа к персональным данным и в других системах защиты информации.

Список литературы:

1.  Аралбаев Т.З., Каскинов И.И. Сигнатурный метод к контролю поведения пользователя на основе теории автоматов //Наука и мир – 2017. - № 41. – С. 27-30.
2.  Галатенко А.В. Автоматные модели защиты компьютерных систем // Интеллектуальные системы Т. 4. Вып. 3-4. Москва, 2015. С.214-271
3.  Збицкий П.В. Функциональная сигнатура компьютерных вирусов/ Наука и образование.–Москва: научное издание МГТУ им. Н.Э. Баумана, 2013. - 297 с.
4.  Машечкин И.В., Петровский М.И., Трошин С.В. Система мониторинга и анализа поведения пользователей компьютерной системы // Программные системы и инструменты. — 2006. — № 7. — С. 95–113.
5.  Мигаль В.П., Мигаль Г.В. Сигнатурный подход к анализу и обеспечению безопасности системы «человек-машина» //Открытые информационные и компьютерные интегрированные технологии. – 2014. - № 65. – С. 152-159.
6. Пат.2012156444 Российская Федерация, МПК G06F21/50, G06F21/62, G06Q90/00. Система и способ адаптивного управления и контроля действий пользователя на основе поведения пользователя/ Леденев Александр Вячеславович (RU), Колотинский Евгений Борисович (RU),Игнатьев Константин Сергеевич (RU); заявитель и патентообладатель Закрытое акционерное общество "Лаборатория Касперского" (RU). - 2012156444/08; заявл. 25.12.2012; опубл.27.06.2014
7.  Свидетельство № 1121 Прикладная программа «Имитационная модель контроля поведения пользователя в компьютерной системе» / И.И. Каскинов, Т.З. Аралбаев; Федер. агентство по образованию, Гос. координац. центр информац. технологий, Отраслевой фонд алгоритмов и программ ; Оренбург. гос. ун-т. - № 11362; заявл. 15.05.2015; зарегистр. 29.05.15
8.  Шахматная задача №14454 [Электронный ресурс]. - Режим доступа: http://chessproblem.ru/id14454 (дата обращения 20.04.17)