Введение
1. Проблема обнаружения файлов, представляющих собой РРСП 11
1.1 Анализ данных при расследовании инцидентов ИБ 11
1.2 Конкретизация поставленной задачи 14
1.3 Сравнительный анализ существующих способов обнаружения файлов,
представляющих собой РРСП 16
1.3.1 Классификация существующих способов обнаружения файлов, представляющих собой РРСП 16
1.3.2 Сигнатурный анализ 16
1.3.3 Статистический анализ 18
1.4 Средства обнаружения файлов, представляющих собой РРСП 27
1.5 Выводы 27
2. Теоретические и экспериментальные предпосылки обнаружения файлов, представляющих собой РРСП 30
2.1 Построение плоскости распределения 30
2.2 Статистические свойства распределения значений плотностей в столбце 33
2.3 Статистические свойства последовательности плотностей для РРСП 34
2.4 Предпосылки наличия неоднородностей в файлах, отличных от РРСП 39
2.5 Выявление неоднородностей данных в файлах сжатых форматов 42
2.6 Способ локализации отклонений в последовательности плотностей от значений, характерных для РРСП 44
2.7 Статистические свойства вейвлет-коэффициента как случайной величины для РРСП 53
2.8 Необходимое условие выявления отклонений в последовательности плотностей 55
2.9 Выводы 57
3. Разработка метода обнаружения файлов, представляющих собой РРСП, и архитектуры средства обнаружения таких файлов на основе метода 59
3.1 Метод обнаружения файлов, представляющих собой РРСП 59
3.1.1 Локализация отклонений в последовательности плотностей на основании выбора размера скользящего окна 59
3.1.2 Предлагаемый способ выбора размера скользящего окна для файлов разных размеров 60
3.1.3 Локализация отклонений в последовательности плотностей на основании выбора параметра масштаба 62
3.1.4 Предлагаемый способ выбора параметра масштаба 63
3.1.5 Предлагаемый метод обнаружения файлов, представляющих собой РРСП 63
3.2 Архитектура и реализация средства обнаружения файлов, представляющих собой
РРСП 68
3.2.1 Состав и архитектура средства обнаружения з
3.2.2 Подсистема взаимодействия с пользователем 70
3.2.3 Подсистема работы с физическим носителем информации 72
3.2.4 Подсистема построения последовательности плотностей 75
3.2.5 Подсистема анализа и подсистема принятия решения 75
3.2.6 Подсистема графического представления 76
3.2.7 Система выработки порогового значения 78
3.2.8 Анализ свободной области файловой системы и неразмеченной области электронного носителя информации 80
3.3. Выводы 80
4. Тестирование и внедрение результатов работы 83
4.1 Тестирование средства обнаружения файлов, представляющих собой РРСП 83
4.1.1 Подготовка к тестированию 83
4.1.2 Результаты тестирования средства обнаружения 84
4.1.3 Результаты тестирования набора тестов NIST 88
4.1.4 Результаты тестирования средства обнаружения на областях, перезаписанных ПО «Eraser», «wipe» 91
4.2 Внедрение метода обнаружения файлов, представляющих собой РРСП 93
4.2.1 Использование разработанного средства обнаружения для проведения судебных компьютерных экспертиз в отделе ЭКЦ ГУ МВД России по г. Москве 94
4.2.2 Использование разработанного средства обнаружения для проведения судебных компьютерных экспертиз и реагирования на инциденты ИБ экспертами Лаборатории компьютерной криминалистики и исследования вредоносного кода ООО «Группа информационной безопасности» 95
4.2.3 Использование результатов диссертационной работы специалистами ООО «ТРАСТ» 96
4.2.4 Разработка дополнения для курса «Криптографические средства обеспечения информационной безопасности» кафедры «Криптология и дискретная математика» НИЯУ
МИФИ 97
4.3 Выводы 97
Заключение 99
Список сокращений и условных обозначений 101
Список используемых источников 102
