СПОСОБ ИССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ НА ОСНОВЕ КЛАСТЕРИЗАЦИИ АТРИБУТОВ

Игорь С. Пантюхин, Никита К. Дружинин, Лев С. Титов, Александр А. Капитонов, Алиса А. Воробьева

Аннотация


При проведении внутреннего аудита средств вычислительной техники важной задачей является снижение объемов хранимой и обрабатываемой информации. Требуется выделять группы схожих по некоторым параметрам информационных объектов и анализировать их отдельно. Подходящим инструментом для этого является оптимальная кластеризация данных. В данной работе представлен способ группирования файлов на жестком диске, основанный на алгоритме иерархической кластеризации Ланса-Вильямса. Файлы, относящиеся к одному компьютерному инциденту, будут находиться в одном и том же кластере. Данное утверждение основано на предположении, что на исследуемом устройстве пользователь совершал ряд связанных между собой действий по времени или по другому внешнему атрибуту или группе атрибутов (например, просмотр подряд некоторого числа изображений, составление и затем отправка электронного письма). В результате кластеризации эти данные сгруппируются в один кластер, в дальнейшем их можно будет представлять компьютерному криминалисту как потенциально совершенный компьютерный инцидент. Для апробации представленного способа был проведен эксперимент, в ходе которого были получены результаты, показывающие, что на тестовой системе файлы, созданные и просмотренные в один и тот же промежуток времени, оказались в одном кластере как при большом числе кластеров выходных данных способа, так и при малом.


Ключевые слова


кластеризация, внутренний аудит, компьютерная криминалистика, компьютерный инцидент, информационная безопасность.

Полный текст:

PDF

Литература


1. Mohay, G., Anderson, A., Collie, B., De Vel, O., McKemmish, R., Computer and intrusion forensics, Boston: Artech House, 2003

2. Caloyannides, M., Privacy protection and computer forensics, Boston: Artech House, 2001

3. Nelson B., Phillips A., Steuart C., Guide to Computer Forensics and
Investigations, Boston: Cengage Learning, 2015

4. Пантюхин И.С., Зикратов И.А. Методика проведения постинцидентного внутреннего аудита средств вычислительной техники. Научно-технический вестник информационных технологий, механики и оптики. 2017. Т. 17. № 3. С.467–474.

5. Anderberg MR Cluster Analysis for Applications. Academic Press, New York, 1973.

6. Gavriel Yarmish, Philip Listowsky, Simon Dexter Distributed Lance-William Clustering Algorithm. 2017

7. Garg, A., Mangla, A., Gupta, N., & Bhatnagar, V. PBIRCH: A scalable parallel clustering algorithm for incremental data. In Database Engineering and Applications Symposium, 2006. IDEAS’06. 10th International (pp. 315–316).

8. Olson C.F. Parallel Algorithms for Hierarchical Clustering, Computer Science Division University of California at Berkeley Berkeley, 1993

9. Murtagh F., Contreras P. Methods of Hierarchical Clustering, 2011

10. Contreras P., Murtagh F. Fast hierarchical clustering from the Baire distance. In Classification as a Tool for Research, eds. H. Hocarek-Junge and C. Weihs, Springer, Berlin, 235–243, 2010.

11. Day W. H. E., Edelsbrunner H. Efficient algorithms for agglomerative hierarchical clustering methods Journal of Classification, 1984, 1: pp. 7–24

12. Gan G, Ma C., Wu J. Data Clustering Theory, Algorithms, and Applications Society for Industrial and Applied Mathematics. SIAM, 2007.

13. I. Pantiukhin, I. Zikratov, A. Sizykh and A. C. C. Nii, "Testing of the hypothesis in the research of computer incidents on the basis of the analysis of attributes and their values," 2017 20th Conference of Open Innovations Association (FRUCT), St. Petersburg, 2017, pp. 352-357. doi: 10.23919/FRUCT.2017.8071333

14. Пантюхин, И.С. Основы компьютерно-технической экспертизы / И.С. Пантюхин, Д.Н. Шидакова // Вестник полиции. - 2016. - № 1(7). - С. 20-29




DOI: http://dx.doi.org/10.26583/bit.2018.3.04

Ссылки

  • На текущий момент ссылки отсутствуют.


Лицензия Creative Commons
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.