Jump to ContentJump to Main Navigation
Show Summary Details
More options …

Information Technology and Management Science

The Journal of Riga Technical University

1 Issue per year

Open Access
Online
ISSN
2255-9094
See all formats and pricing
More options …

Approaches to the Construction of Behavioural Patterns of Information System Users

Pavels Osipovs / Arkady Borisov
Published Online: 2013-01-31 | DOI: https://doi.org/10.2478/v10313-012-0028-1

Abstract

The paper describes the methodology of constructing models of typical user behaviour in a distributed information system, which may operate with sensitive data. The model is designed for the detection of abnormal behaviour occurring during the invasion of an intruder in the system. Also, the paper deals with the general approach to the implementation of the model infrastructure and algorithms of the main modules. Moreover, two possible methods for implementing the model in the target system are described.

Rakstā aprakstīta metodoloģija anomālas lietotāju uzvedības noteikšanas moduļa izveidei un tā ieviešanai sadalītā informācijas sistēmā. Šāda moduļa izveides iemesls bija nepieciešamība atklāt tādas ielaušanās, kad leģitīma lietotāja kontu izmanto cits cilvēks. Mērķa sistēmas svarīga īpatnība ir tās sadalītais raksturs, kā arī datu bāzē eksistējoši sensitīvi dati. Ir aprakstītas mērķa sistēmā izmantojamas tipveida pieejas, kas izmantotas vispārējās drošības nodrošināšanai, kā arī galvenās izmantojamās metodes un protokoli, un prasības pret papildus specifiskiem drošības moduļiem. Ir parādītas stingras prasības, kuras uzstāda mērķa sistēma katras lietotāja transakcijas apstrādes ātrumam. Tā kā drošības sistēma analizē katru lietotāja pieprasījumu reālā laika režīmā, laiks tās slēdziena izdošanai tiek pieskaitīts kopējam pieprasījuma apkalpošanas laikam. Parādīta izstrādātā risinājuma moduļveida struktūra. Katrai moduļa sastāvdaļai sniegts tās uzdevumu un iespēju apraksts. Aprakstīti divi moduļa pamatdarbības veidi: apmācība un analīze. Apmācības režīmā modulis atjauno vienu vai vairākus modeļus, balstoties uz atjauninātiem lietotāju sistēmas izmantošanas statistikas datiem. Katram no apmācības procesa posmiem ir sniegtas izmantoto algoritmu blokshēmas. Analīzes režīmā modelis uzrāda slēdzienu par anomālijas esamību katrai no lietotāja transakcijām. Slēdziens tiek atgriezts kā metrikas vērtība - ar frakcionētu skaitli starp 0 un 1, kur 1 ir pazīme visanomālākajai uzvedībai. Katram no transakcijas analīzes procesa posmiem tāpat ir sniegta izmantojamo algoritmu blokshēma. Ir aprakstīti divi iespējamie varianti moduļa iebūvēšanai mērķa sistēmas infrastruktūrā, katram ir uzrādītas priekšrocībās un trūkumi. Pirmais variants saņem neapstrādātu XML paziņojumu plūsmu, bet otrs izmanto jau apstrādātu atribūtu iekšējo bāzi, kas tiek izmantota audita veikšanai. Pieejas izvēle ir argumentēta. Noslēgumā īsumā aprakstītas Python programmēšanas valodas kā pamata platformas moduļu izstrādei, pielietošanas īpatnības.

Статья описывает методологию создания модуля обнаружения аномального поведения пользователей и внедрения его в распределённую информационную систему. Причиной создания такого модуля послужила потребность обнаружения такого типа вторжений, когда учётной записью легитимного пользователя пользуется другой человек. Важными особенностями целевой системы является её распределённый характер, а также наличие в базе данных сенситивных данных. Описаны типовые используемые в целевой системе подходы к обеспечению общей безопасности, основные используемые методы и протоколы, а также требования, предъявляемые к дополнительным специфическим модулям безопасности. Показаны жёсткие требования, предъявляемые целевой системой к скорости обработки каждой транзакции пользователя. Так как система безопасности анализирует каждый запрос пользователя в режиме реального времени, то время на выдачу её заключения добавляется к общему времени обслуживания запроса. Показана модульная структура разработанного решения. Для каждого составляющего модуля дано описание его задач и возможностей. Описаны два основных режима работы модуля: обучение и анализ. В режиме обучения модуль обновляет одну или несколько моделей на основе обновившихся данных статистики использования пользователями системы. Для каждого из этапов процесса обучения приведены блок-схемы использованных алгоритмов. В режиме анализа модель даёт заключение о наличии аномальности для каждой транзакции пользователя. Заключение возвращается в виде значения метрики - дробного числа в диапазоне от 0 до 1, где 1 это признак наиболее аномального поведения. Для каждого из этапов процесса анализа транзакции также приведены блок-схемы использованных алгоритмов. Описаны два возможных варианта встраивания модуля в инфраструктуру целевой системы, для каждого приведены достоинства и недостатки. Первый вариант получает необработанный поток XML сообщений, второй использует внутреннюю базу уже обработанных атрибутов, используемую для проведения аудита. Обоснован выбор использованного подхода. В заключении кратко описаны особенности применения языка программирования Python как основной платформы для создания модуля.

Keywords : distributed information system; anomaly detection; user behaviour model; Python; e-Health; HL7; SOAP

  • [1] Della Mea, Vincenzo. "What is e-Health: The death of telemedicine?". Journal of Medical Internet Research (Jmir.org) 3 (2): e22. doi:10.2196/jmir.3.2.e22. PMC 1761900. PMID 11720964. Retrieved 2012-04-15.CrossrefGoogle Scholar

  • [2] Jack Koftikian; Simple Object Access Protocol (SOAP); Technical University Hamburg-Harburg;Google Scholar

  • [3] Roi Saltzman; Active Man in the Middle Attacks. A SECURITYADVISORY; A whitepaper from IBM Rational Application Security Group. February 27, 2009.Google Scholar

  • [4] WS-Secure specification description [Online]. Available: http://en.wikipedia.org/wiki/WS-SecureConversation, [Accessed: Sept. 01, 2012]Google Scholar

  • [5] Web Services Policy Framework (WS-Policy); [Online]. Available: http://specs.xmlsoap.org/ws/2004/09/policy/ws-policy.pdf, [Accessed: Sept. 01, 2012]Google Scholar

  • [6] P. Osipovs, A. Borisovs; Abnormal action detection based on Markovmodels; Automatic Control and Computer Sciences; Volume 41 / 2007 - Volume 45 / 2011; ISSN 0146-4116 (Print) 1558-108X (Online); May 05, 2011.Google Scholar

  • [7] P. Osipovs, A. Borisovs; Using the Deferred Approach in ScientificApplications; Scientific Journal of Riga Technical University, Series 5, Computer Science, Vol. 49, Information Technology and Management Science, pp. 139-144, 2011.Google Scholar

  • [8] Prof. Walter Kriha; Lecture: „Selected Topics on Software-TechnologyUltra-Large Scale Sites”; University Hochschule der Medien, Stuttgart, 2010. [Online]. Available: www.christof-strauch.de/nosqldbs.pdf [Accessed: Sept. 23, 2012]Google Scholar

  • [9] Samek M. (2008), Event-Driven Programming for Embedded Systems, Newnes 2008. ISBN-10: 0750687061; ISBN-13: 978-0750687065.Google Scholar

  • [10] Markov, A. A. (1954). Theory of Algorithms. [Translated by Jacques J. Schorr-Kon and PST staff] Imprint Moscow, Academy of Sciences of the USSR, 1954 [Jerusalem, Israel Program for Scientific Translations, 1961; available from Office of Technical Services, United States Department of Commerce] Added t.p. in Russian Translation of Works of the Mathematical Institute, Academy of Sciences of the USSR, v. 42. Original title: Teoriya algorifmov. [QA248.M2943 Dartmouth College library. U.S. Dept. of Commerce, Office of Technical Services, number OTS 60-51085.]Google Scholar

About the article

Pavels Osipovs

Pavel Osipov Mg.Sc.Comp., Doctoral Student of the Institute of Information Technology, Riga Technical University. He received his Master Degree from Transport and Telecommunication Institute, Latvia. His research interests include web data mining, machine learning and knowledge extraction. Research activities are mainly focused on different aspects of user behaviour modelling. A new area of interests is related to the exploration of application of Python programming language to all steps of scientific research.

Arkady Borisov

Arkady Borisov holds a degree of Doctor of Technical Sciences in Control of Technical Systems and a habilitation degree in Computer Science. He is Professor of Computer Science at the Faculty of Computer Science and Information Technology, Riga Technical University (Latvia). His research interests include fuzzy sets, fuzzy logic and computational intelligence. He has 220 publications in the fields of computer science and information technology. He has supervised a number of national research grants and participated in the European research project ECLIPS


Published Online: 2013-01-31

Published in Print: 2012-12-01


Citation Information: Information Technology and Management Science, Volume 15, Issue 1, Pages 176–182, ISSN (Online) 2255-9094, ISSN (Print) 2255-9086, DOI: https://doi.org/10.2478/v10313-012-0028-1.

Export Citation

This content is open access.

Comments (0)

Please log in or register to comment.
Log in