THE METHODS OF DETECTION UNAUTHORIZED COMPUTER PROCESSES OF INFORMATION AND TELECOMMUNICATION SYSTEMS
DOI:
https://doi.org/10.26906/SUNZ.2021.2.132Keywords:
APT, SIEM, key logger, information and telecommunication systemAbstract
The article proposes a method for detecting unauthorized computational processes of information and telecommunication systems. Existing APT attack detection technologies are based on multi-level analysis procedures for a large array of data on various current events in ITS. This data is collected in electronic event logs. Obviously, the APT attack model should be able to link events in time and space. Complexes of programs that fill journals with information and implement automated technologies for their analysis are known as SIEM systems. In turn, automated event analysis technologies are based on attack models. An APT attack pattern is a set of interrelated events. Comparison of such a template and current events is the essence of the evaluation process within SIEM. The main task of the methodology is to automate the process of detecting unauthorized actions, deciding on the presence of an APT attack, and implementing methods of protection against it. The basis of the APT attack is a set of actions that are implemented in various components of ITS over a long period of time. From the standpoint of security policy, such events may be legal in nature. Software and hardware designed for covert surveillance of users of information and telecommunications systems are considered. Authorized monitoring software products are used by security administrators of information and telecommunication systems to ensure monitoring. The application for covert monitoring of active processes of information and telecommunication systems is considered in detail. It is proposed to use software and hardware keyloggers as an example of an unauthorized computational process. Methods of protection against them are described in detail. The obtained results should be used to improve methods for detecting unauthorized computing processes of information and telecommunications systems.Downloads
References
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. // Департамент спеціальних телекомунікаційних системі захисту інформації Служби безпеки України. Київ, 1999/
“2001 AMA Survey: WorkplaceMonitoring & Surveillance: Summary of Key Findings” American Management Association. http://www.amanet.org/research/pdfs/ems_short2001.pdp
“Computer And Internet Surveillance in the Workplace:Rough Notes”. Andrew Schulman, Chief Researcher, Privacy Foundation, US, 2001-2002http://www.sonic.net/~undoc/survtech.htm
“The Extent of Systematic Monitoring of Employee E-mail and InternetUse” AndrewSchulman, ChiefResearcher, PrivacyFoundation, US, 2001-2002. http://www.sonic.net/~undoc/extent.htm
Н.Д. Красноступ, Д.В. Кудин. Шпионские программы и новейшие методы защиты от них. http://bozza.ru/art-75/html.
Яковів І.Б., Дорошенко Д.В. Аналіз моделей APT-атак та методів їх застосування. Безпека інформації в інформаціно-телекомунікаційних системах: матеріали ХХ МНПК, 22-24 травня 2018 р. Київ, 2018. С. 74-75.
Яковів І.Б., “Кібернетична модель АРТ атаки”, Information Technology and Security, vol. 6, iss. 1, pp. 46-58, 2018.
Дорошенко Д.В. Методика визначення та реєстрації актуальних обчислювальних процесів персонального комп’ютера на базі ОС Windows. Інформаційно-телекомунікаційні системи і технології та кібербезпека: нові виклики, нові завдання: матеріали НПК, 19-20 листопада 2019 р. : тези доповіді. Київ, 2019. С. 58-59
Яковів І.Б.. Базова модель інформаційних процесів та поведінки системи кіберзахисту. Information Technology and Security. 2019. Vol. 7, Iss. 2 (13). P. 183–196.
