Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе

Авторы патента:

Полезная модель относится к области вычислительной техники, в частности, к системе сбора и анализа параметров работы пользователей компьютерных сетей с информационными и вычислительными ресурсами локальной сети. Техническим результатом является сбор и консолидация описаний действий пользователей, а так же обнаружение отдельных аномальных действий пользователей, направленных на использование ресурсов, а так же обнаружение изменений состава используемых ресурсов и статистики их использования. Технический результат достигается тем, что система содержит масштабируемый набор модулей 1 сбора параметров работы пользователей с ресурсами сети, позволяющих представить работу пользователей в виде набора описаний законченных действий пользователей по работе с ресурсами, каждое из которых представимо набором типизированных атрибутов, среди которых обязательными являются имя пользователя, имя компьютера и время действия. Модуль 2 хранения построенных описаний работы пользователей, модуль 3 построения моделей поведения пользователей, описывающий статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил для значений атрибутов описаний работы пользователей, модуль 4 оценки аномальности атрибутов описаний работы пользователей на основе построенных моделей поведения и модуль 5 вычисления на основе значений атрибутов описаний работы пользователей статистики работы и представления статистики в виде OLAP куба и сравнения гистограмм, описывающих параметры работы пользователей, полученных на основе OLAP куба.

Описание полезной модели

Полезная модель относится к области вычислительной техники, в частности, к системе сбора и анализа параметров работы пользователей с информационными и вычислительными ресурсами корпоративной компьютерной сети.

Система предназначена для использования при мониторинге за работой пользователей компьютерных сетей в качестве инструмента для решения задач раннего обнаружения внутренних вторжений, нецелевого, непрофессионального использования ресурсов пользователями и других задач.

Отличительной особенностью системы является реализация технологии мультиагентного сбора и консолидации описаний действия пользователей, с возможностью расширения набора собираемых типов действий пользователей, масштабирования набора наблюдаемых систем и планирования нагрузки на вычислительные и информационные ресурсы компьютерной сети. Отличительной особенностью является моделирование работы пользователей с целью сравнения текущей работы пользователей с построенными моделями типичного поведения, что позволяет обнаруживать отдельные аномальные действия пользователей и изменения статистики работы пользователей с ресурсами. Найденные аномалии в свою очередь могут сигнализировать о подготовке внутренних вторжений, нецелевом или нетипичном для пользователя использовании ресурсов.

Модель типичного поведения пользователя состоит из двух частей:

- описание статистических зависимостей и корреляций между атрибутами описаний действий пользователей, например, в виде ассоциативных правил, описывающих связи значений атрибутов, и позволяющих находить аномалии в работе. Примером аномалий могут быть отдельные аномальные действия пользователей, найденные, например, путем оценки степени аномальности каждого атрибута описания работы пользователя при условии фиксации значений остальных атрибутов, или аномальные подмножества или цепочки действий пользователей;

- профилей работы пользователей (OLAP кубы), описывающие статистику использования ресурсов на необходимом уровне детализации, и позволяющие находить изменения состава используемых пользователем ресурсов и параметров их использования.

Известен подход, который может быть использован для раннего обнаружения внутренних вторжений [1]. Подход [1] опирается на задание приоритетов действий пользователей, границ и ограничений на разрешенные действия пользователей, и вычисление меры угрозы от выходов за заданные условия и границы с учетом заданных приоритетов. Информация о действиях пользователей собирается из подсистемы аудита, в случае «серьезного» нарушения или совокупного нарушения нескольких границ, генерируется оповещение. В то же время в предлагаемой системе на потенциальную угрозу со стороны пользователя указывает аномальное поведение пользователя относительно типичной активности пользователя или группы пользователей.

В результате поиска по базам данных Федеральной службы по интеллектуальной собственности, патентам и товарным знакам (Роспатента) российских патентов по заданной тематике не обнаружено.

Целью изобретения является решение задачи мониторинга работы пользователей с информационными и вычислительными ресурсами локальной сети с целью решения задач моделирования поведения пользователей, поиска аномалий в текущей работе пользователей на основе построенных моделей, и поиска изменений состава используемых ресурсов и параметров их использования.

Поставленная цель достигается путем создания системы мониторинга. Сущность изобретения поясняется чертежами, где на фиг.1 представлена структурная схема системы, на фиг.2 представлена общая структурная схема работы модуля сбора исходных данных, на фиг.3 приведена блок-схема алгоритма работы модуля построения моделей поведения для примера построения ассоциативных правил, на фиг.4 показан алгоритм работы модуля оценки аномальности атрибутов описания действий пользователей для примера модели на основе ассоциативных правил, на фиг.5 приведена схема функционирования модуля вычисления и сравнения статистики работы.

Система (фиг.1) содержит расширяемый набор модулей 1 сбора параметров работы пользователей с ресурсами сети, позволяющих представить работу пользователей в виде набора описаний законченных действий пользователей по работе с ресурсами, каждое из которых представимо набором типизированных атрибутов, среди которых обязательными являются имя пользователя, имя компьютера и время действия. Модуль 2 хранения построенных описаний работы пользователей, модуль 3 построения моделей поведения, описывающих статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил для значений атрибутов описаний работы пользователей, модуль 4 оценки аномальности атрибутов описаний работы на основе построенных моделей и модуль 5 вычисления и сравнения статистики работы пользователей на основе значений атрибутов описаний работы пользователей с использованием технологии OLAP.

На фиг.1 показан набор из К информационных входов системы и_1-и_К, набор из К настроечных входов системы, первый 1 и второй 2 настроечные входы системы, а так же информационные 13 и 14 выходы системы.

Модули 1 (фиг.1) сбора параметров работы пользователей могут быть представлены в системе в произвольном количестве экземпляров и выполнены в виде вычислительного блока, алгоритм функционирования которого представлен на фиг.2. На чертеже показаны информационные и настроечные входы модуля (и_1-и_К, н_1-н_К), а так же информационные выходы модулей, соединенные с информационным входом модуля хранения описаний работы пользователей.

Модуль 2 (фиг.1) хранения построенных описаний работы пользователей выполнен в виде носителя информации. На чертеже показаны информационный 3 вход модуля и настроечный 5 вход модуля, соединенный с синхронизирующим входом 1 системы, а так же информационные 6, 7 и 8 выходы модуля.

Модуль 3 (фиг.1) построения моделей, описывающих статистические зависимости и корреляции между атрибутами, реализован в виде вычислительного блока, алгоритм функционирования которого для примера построения модели в виде ассоциативных правил приведен на фиг.2. На чертеже показаны информационный вход и выход модуля.

Модуль 4 (фиг.1) оценки аномальности атрибутов описания действий пользователей реализован в виде вычислительного блока, алгоритм функционирования которого, для примера поиска аномалий на основе модели в виде набора ассоциативных правил приведен на фиг.3. На чертеже показаны информационные 9 и 10 вход и информационный выход 13 модуля.

Модуль 5 (фиг.1) вычисления и сравнения статистики работы выполнен в виде вычислительного блока, алгоритм функционирования которого приведен на фиг.4. На чертеже показ информационный 11 вход, настроечный 12 вход модуля, и информационный 14 выход модуля.

Система осуществляет поиск аномалий в действиях пользователей по работе с вычислительными и информационными ресурсами локальной сети. Аномалии вычисляются за счет построения моделей, описывающих типичную активность пользователей и сравнении текущей активности с построенными моделями, а так же за счет определения различий в статистике использования ресурсов и изменений в составе используемых ресурсов. Описание активности (действий) пользователей строятся системой на основе журналируемых событий, получаемых из различных источников.

Управляющими параметрами системы являются: множество источников журналируемых событий, множество типов событий в источниках, правила выделения требуемых событий и правила построения на основе множеств событий описаний действий пользователей, условия на действия пользователей, описывающие типичную активность и участвующие для построения модели поведения, условия на описания действий пользователей, для которых будет оцениваться степень аномальности.

Система работает следующим образом. На информационные входы и_1-и_К поступают и заносятся в модули 1 записи журналов регистрации операционных систем, прикладного программного обеспечения и журналируемые события о работе пользователей, полученные из специализированных источников. Каждое журналируемое событие состоит из набора атрибутов - типизированных именованных значений.

Модули 1 на основе условий на значения атрибутов журналируемых событий и описаний цепочек событий, поступающих на настроечные входы н_1-н_К, проводят фильтрацию и агрегацию журналируемых событий с целью построения необходимых описаний действий пользователей с ресурсами. Так же настроечными параметрами модулей 1 являются максимальные интервалы между передачей построенных описаний на информационный выход и максимальное количество описаний, которые могут храниться в модуле перед отправкой на информационный выход.

Построенные описания действий пользователей с ресурсами передаются на информационных вход 3 модуля 2 хранения описаний действий пользователей. На основе управляющих сигналов, подающихся на вход системы 1 и, соответственно, на настроечный вход 5 модуля 2, описывающих подмножества описаний действий пользователей и их атрибутов, на информационный 6, 7 или 8ой выход модуля 2 подается подмножество хранимых в модуле 2 описаний действий пользователей, содержащих подмножество атрибутов. Настроечными параметрами модуля 2, подающимися на вход 5 являются: выход модуля, куда будут переданы описания действий пользователей; условия на значения атрибутов описаний действий пользователей, которые будут переданы на соответствующий информационных выход; список атрибутов описаний действий пользователей, которые будут включены в описания, отправленные на соответствующий информационный выход.

На основе подмножества описаний действий пользователей, переданных с информационного выхода 6 модуля 2 на информационный вход модуля 3, модуль 3 производит построение модели поведения. Построенные модулем 3 модели поведения поступают на информационный выход модуля 3.

Модуль 4 на основе моделей поведения, полученных на информационный вход 9 с информационного выхода модуля 3 и на основе набора описаний действий пользователей, полученных на информационный вход 10 с информационного выхода 7 модуля 2, производит оценку аномальности описания действий пользователей, полученных на информационный вход 10. Описания действий пользователей, где некоторым атрибутам сопоставлено число от 0 до 1, указывающее на степень аномальности соответствующего атрибута, а так же описания множеств и цепочек аномальных действий подаются на информационный выход модуля 10, который так же является информационным выходом системы.

Модуль 5 на основе набора описаний действий пользователей, поступающих на информационный вход 11 модуля с информационного выхода 8 модуля 2, строит модель поведения пользователей в виде профиля работы пользователей с ресурсами (OLAP-куба). На основе построенных профилей работы пользователей с ресурсами и настроек, поступающих на настроечный вход 12 модуля 5, формируются диаграммы использования ресурсов. Построенные диаграммы и результаты сравнения диаграмм поступают на информационный выход модуля 5, который связан с информационным выходом 14 системы. Настроечными параметрами модуля 5 являются имена атрибутов описаний действий пользователей, значения которых будут использованы в качестве измерений и меры построенных гистограмм, имена агрегационных функций из списка функций, поддерживаемых модулем 5 для расчета мер гистограмм.

Таким образом, использование модуля 3 построения моделей действий пользователей, и применение модуля 4 оценки степени аномальности действий пользователей позволило решить задачу поиска отдельных аномальных действий пользователей, аномальных множеств и цепочек действий пользователей. Использование модуля 5 построения профиля работы пользователей в виде OLAP куба, использования построенного куба для создания гистограмм, описывающих распределения параметров использования ресурсов и применения механизма сравнения гистограмм, позволило решить задачу обнаружения изменения параметров работы пользователей с ресурсами и состава используемых ресурсов.

Источники информации, принятые во внимание при составлении описания заявки:

1. Патент US 6839850 В1

Система сбора и анализа параметров работы пользователей корпоративных компьютерных сетей с информационными и вычислительными ресурсами сети, содержащая расширяемый набор модулей сбора исходных параметров, каждый из которых содержит информационный вход для приема набора событий, зафиксированных на одной из наблюдаемых систем, каждое из которых описывается набором атрибутов, где каждый атрибут представляет собой типизированное значение, и информационный вход для параметров, описывающих правила формирования по собранным событиям описаний работы пользователей с ресурсами, каждое из которых состоит из набора типизированных атрибутов, среди которых обязательно представлены атрибуты, описывающие имя компьютера в сети, имя пользователя и время, и модуля хранения построенных описаний работы пользователей с ресурсами, входы которого соединены с выходами модулей сбора исходных параметров, содержащего также информационный вход, куда поступают параметры выбора хранимых описаний работы пользователей, на основе которых будут строиться модели, описывающие статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил, и которые будут переданы на вход модуля построения моделей поведения, для которых будет оцениваться степень аномальности и которые будут переданы на вход модуля оценки степени аномальности и тех, для которых будет вычисляться статистика работы и которые будут переданы на первый вход модуля построения и сравнения статистики работы пользователей, модуля построения моделей поведения, вход которого соединен с первым выходом модуля хранения описаний работы, на вход которому подается набор описаний работы пользователей, по которым строятся модели, описывающие статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил, описывающих связь значений атрибутов описаний работы пользователей, модуля оценки степени аномальности описаний работы пользователей, первый вход которого соединен с выходом модуля построения моделей поведения, и на вход подается набор построенных моделей поведения, второй вход которого соединен со вторым выходом модуля хранения описаний работы, на вход которому подается множество описаний работы, содержащий один информационный выход, являющийся первым выходом системы, куда передаются описания работы, и вычисленные на основе поданных на первый вход модуля моделей поведения степени аномальности описаний работы и каждого из атрибутов описаний работы, поданных на второй вход модуля, и модуля вычисления статистики работы и поиска изменения в статистике работы, построенного на основе технологии OLAP и содержащего два входа, первый из которых соединен с третьим выходом модуля хранения описаний работы, на вход которому поступает набор описаний работы пользователей, второй из которых является информационным входом системы, на который передаются параметры сравнения статистики работы, и содержащего один информационный выход, являющийся вторым выходом системы, куда передаются построенные модулем диаграммы зависимости агрегированных значений числовых атрибутов описаний работы пользователей от текстовых атрибутов описаний и найденные модулем изменения построенных диаграмм.

Устройство предназначено для сбора данных о состоянии технологического оборудования АЭС. Состоит из трех крейтов, один из которых служит для установки служебных блоков (источники питания, блок контроля напряжения, сетевые устройства), а второй и третий служат для установки функциональных блоков, обеспечивающих сбор аналоговых сигналов.

Интегрированная система управления судоходной компанией ("суб новошип") // 115942

Автоматизированная система мониторинга и управления запорно-регулирующей арматурой газораспределительной сети // 109211

Пахово-мошоночный бандаж на жестком поясе // 91850

Унифицированная система управления информационными потоками предприятия // 123562

Система мониторинга состояния объектов // 129284

Информационная система мониторинга информационного развития региона // 118777

Автоматизированная система управления данными экологического мониторинга // 99196

Навигационно-информационная система мониторинга морских и речных судов и бортовой навигационно-связной комплекс // 117196

Полезная модель относится к области навигации и подвижной связи и может быть использована в задачах мониторинга рыбопромысловых и иных морских и речных судов

Схема блока индикации и управления, включающая устройство для организации систем информационной безопасности на предприятии // 137144

Газопровод низкого давления // 25569

Информационно-аналитическая система мониторинга остаточного ресурса линейной части магистрального газопровода // 115527

Система формирования правил политик безопасности, реализующих модели безопасности на основе состояний информационных систем // 105486

Модель построения защищенного интернета // 91494

Многофункциональная система мониторинга и охраны // 138987

Полезная модель относится к системам мониторинга и охраны подвижных объектов и может быть использована в составе противоугонных комплексов и как самостоятельное устройство, позволяющее предотвратить несанкционированное использование транспортного средства (объекта), и принять своевременные меры по его поиску и возврату

Устройство дистанционного контроля активности мобильного телефона // 95934

Система электронного документооборота при оказании гражданам государственных услуг в электронном виде // 99211

Система мониторинга и управления инженерными системами зданий и сооружений (смис) // 86763

Автоматизированная система "монитор руководителя" информационной и аналитической поддержки принятия решений в сфере авиаперевозок // 133632

Полезная модель относится к области информационно-аналитических систем, предназначенных для сбора, обработки, анализа, структурирования и визуализации информации из разнородных источников

Система оптимальной бизнес-компании продвижения на рынок объектов интеллектуальной собственности // 62258

Информационная система автомобиля и блок обработки информации // 67527