Безопасность информационного пространства — 2017

БЕЗОПАСНОСТЬ  
ИНФОРМАЦИОННОГО ПРОСТРАНСТВА — 2017
ХVI Всероссийская научно-практическая конференция  
студентов, аспирантов и молодых ученых

12 декабря 2017 года

Министерство образования и науки российской Федерации
уральский Федеральный университет 

иМени первого президента россии б. н. ельцина

Екатеринбург
Издательство Уральского университета
2018

УДК 004.056.5
ББК 681.3.067(063)
 
Б40

О р г к о м и т е т
Председатель
Князев Сергей Тихонович, д. т. н., доцент, проректор по учебной работе УрФУ
Заместитель председателя
Шабунин Сергей Николаевич, д. т. н., доцент, директор Института радиоэлектроники 
и информационных технологий — РТФ (ИРИТ–РТФ)
Члены оргкомитета:
Вострецова Елена Владимировна, к. т. н, доцент, советник проректора по учебной 
работе; Долгих Мария Петровна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ;  
Кужбанова Елена Александровна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ;  
Пономарева Ольга Алексеевна, старший преподаватель департамента 
информационных технологий и автоматики ИРИТ–РТФ

П р ог р а м м н ы й  ко м и т е т
Председатель
Поршнев Сергей Владимирович, д. т. н., профессор, директор Учебно-научного 
центра «Информационная безопасность» (УНЦ ИБ), ИРИТ–РТФ
Члены программного комитета
Бакланов В. В., к. т. н., доцент УНЦ ИБ; Голунова Н. Н., МРУ Росфинмониторинга 
УрФО; Коллеров А. С., к. т. н., доцент УНЦ ИБ; Лизовенко О. А., РУ ФСТЭК по УрФО; 
Лукин Н. А., к. т. н., доцент департамента информационных технологий и автоматики 
ИРИТ–РТФ; Мельников В. Г., РУ ФСТЭК по УрФО; Сафиуллин Н. Т., к. т. н., 
доцент департамента информационных технологий и автоматики ИРИТ–РТФ; 
Синадский Н. И., к. т. н., доцент УНЦ ИБ

Б40
Безопасность информационного пространства — 2017 : XVI Всерос. науч.практ. конф. студентов, аспирантов, молодых ученых. Екатеринбург, 11–15 декабря 2017 года. — Екатеринбург : Изд-во Урал. ун-та, 2018. — 304 с.

ISBN 978-5-7996-2404-0

В сборник вошли научные статьи молодых ученых, спирантов и студентов из Екатеринбурга, Кургана, Москвы, Магнитогорска, Томска, Тюмени, Челябинска, представленные 12 вузами Российской Федерации.
Адресовано студентам, обучающимся по специальностям и направлениям подготовки 
укрупненной группы специальностей 10.00.00 «Информационная безопасность», преподавателям, участвующим в реализации соответствующих образовательных программ, 
специалистам в области информационной безопасности.
УДК 004.056.5
ББК 681.3.067(063)

ISBN 978-5-7996-2404-0 
© Уральский федеральный университет, 2018

СЕКЦИЯ 1. 
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА  
ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ

УДК 004.056
Ю. М. Агафонов
Научный руководитель: ст. преп. Т. И. Паюсова
Тюменский государственный университет, Тюмень

ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЕЙ  
НА ОСНОВЕ ЦИФРОВЫХ ОТПЕЧАТКОВ БРАУЗЕРА

Аннотация. В данной работе рассматривается наиболее актуальный и перспективный с точки зрения законодательства Российской Федерации способ идентификации пользователей сети Интернет. Рассмотрены также основные моменты, связанные с разработкой серверного приложения для деанонимизации пользователей.

Ключевые слова: анонимизация; деанонимизация; VPN; цфировой отпечаток 
браузера; JavaScript; параметры браузера; серверное приложение; TLSH.

Необходимым условием для совершения безнаказанного преступления 
в киберпространстве является анонимность. Нарушители активно используют 
методы анонимизации для сокрытия следов своих преступлений: несанкционированного доступа и кражи данных, подделки платежных реквизитов, нарушения авторских прав, атак, направленных на отказ в обслуживании и других 
правонарушений. Среди основных методов анонимизации можно выделить 
web-анонимайзеры, механизмы так называемой «луковой» маршрутизации 
TOR, сети I2P, VPN-туннели. Деанонимизация пользователя, в частности для 

© Агафонов Ю. М., 2017

проведения следственных мероприятий или, например, для повышения качества сервиса, осуществима с помощью определения IP-адреса, MAC-адреса, 
цепочки DNS-серверов, GeoIP, cookie-файлов и прочих методов.
Современное отечественное законодательство стремится ограничить применение анонимайзеров для повышения общего уровня защищенности. В ноябре 
2017 года вступил в силу закон о запрете обхода блокировок через VPN-туннели и web-анонимайзеры. Ответственными за выявление анонимайзеров 
и VPN-сервисов назначены Федеральная служба безопасности и Министерство 
внутренних дел Российской Федерации. Роскомнадзор ответственен за определение провайдеров, через которые работают анонимайзеры. Стоит отметить, 
что деанонимизация пользователя должна осуществляться в рамках действующего законодательства и не должна нарушать прав пользователя в отношении его персональных данных. А также необходимо учитывать то, что с учетом 
использования наиболее популярных механизмов сокрытия сетевого трафика 
отследить пользователя по сетевому адресу в большинстве случаев практически не представляется возможным.
Одним из возможных и вполне надежных способов деанонимизации пользователей является распознавание цифровых отпечатков браузера — уникальных 
значений, отражающих настройки веб-обозревателя пользователя. При деанонимизации с помощью цифровых отпечатков браузера можно будет решить довольно много проблем. Представится возможным предотвращать распространение так называемого «пиратского» программного обеспечения. Можно будет 
привлечь к ответственности конкретного пользователя, который распространял 
нелегальный цифровой продукт. Появится больше возможностей по предотвращению экстремистской деятельности. Ведь если представится возможным однозначно установить личность того, кто, к примеру, периодически обращается 
с использованием механизмов сокрытия сетевого трафика к различным экстремистским ресурсам, то, вероятно, удастся предотвратить не одно преступление.
Основная сложность, связанная с деанонимизацией пользователей с помощью цифровых отпечатков браузера, связана с разработкой алгоритма создания уникального значения, однозначно характеризующего конкретный «портрет» браузера. В алгоритме должны быть продуманы изучаемые параметры 
браузера, должна быть определена используемая хеш-функция, также должно 
быть выбрано время «забывания» цифрового отпечатка сервером с целью снижения нагрузки на систему и оптимизации процесса использования вычислительных ресурсов.
В разрабатываемом серверном приложении для деанонимизации пользователей применяются в основном JavaScript-сценарии, позволяющие получить 
информацию о некоторых параметрах браузера пользователя. Помимо основных параметров, используются также не вполне очевидные техники и методи

ки для получения более подробного и информативного отпечатка. К числу наиболее специфичных техник относятся Canvas Fingerprinting, WebGL Clipping 
Planes, AudioContext, FontList (JS + CSS).
Все используемые для составления цифрового отпечатка характеристики 
и техники оцениваются с точки зрения энтропии, обнаруживаемости, доступности и постоянности. Этот квартет свойств позволяет определить, какие из 
полученных данных принесут наибольшую практическую пользу при формировании итогового отпечатка браузера [1].
Получив и оценив всю необходимую информацию о браузере пользователя, следующим шагом становится организация и хранение этой информации. 
В приложении используются свыше дюжины различных методик и параметров, половина из которых предоставляет очень большие объемы информации 
о браузере. Результирующая строка по итогу получается довольно большой, 
в среднем около тридцати тысяч символов для современных версий браузеров. 
Хранить такой объем данных в изначальном виде не имеет смысла. Поэтому 
наиболее разумно хешировать полученную строку данных. При этом обычные 
алгоритмы хеширования, вроде MD5 или SHA-1 не подойдут, так как при изменении хотя бы долей процента входных данных, в результате хеширования 
мы получим две совершенно разные строки. Поэтому было принято решение 
использовать один из алгоритмов нечеткого хеширования, которые нашли широкое применение при поиске похожих электронных писем и последующей 
блокировки спам-рассылок. Был выбран алгоритм TLSH (Trend Micro Locality 
Sensitive Hash). Результатом этого алгоритма является 70-значная шестнадцатеричная строка, первые 6 символов которой несут информацию о данных 
в целом (например, длина исходной строки), а остальные 64 символа уже используются для информации о содержимом данных [2].
Разработка приложения ведется на основании уже существующих проектов в области сбора идентификационной информации о пользователях сети 
Интернет. Среди них проекты Panopticlick, ClientJS, Am I Unique, BrowserLeaks 
и еще несколько менее известных проектов. При разработке учитываются их 
исследования в области энтропии и эффективности использования тех или 
иных методик и характеристик.

Список литературы
1. Doty N. Mitigating Browser Fingerprinting in Web Specifications // W3C: 
World Wide Web Consortium, 2017. URL: https://w3c.github.io/fingerprinting-guidance (дата обращения: 01.11.2017).
2. JavaScript port of TLSH (Trend Micro Locality Sensitive Hash) // GitHub: The 
world’s leading software development platform, 2017. URL: https://github.com/idealista/tlsh-js (дата обращения: 01.11.2017).

УДК 004.056.5
С. К. Алабугин
Научный руководитель: канд. тех. наук, доц. А. Н. Соколов
Южно-Уральский государственный университет, Челябинск

ПРИМЕНЕНИЕ МЕТОДОВ ОДНОКЛАССОВОЙ 
КЛАССИФИКАЦИИ В ЗАДАЧАХ  
ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Аннотация. Работа посвящена использованию алгоритмов классификации в задачах обнаружения вторжений. Описаны проблемы, возникающие при использовании алгоритмов классификации в задачах обнаружения вторжений. В качестве 
метода решения предложено применение алгоритмов одноклассовой классификации. Приведены примеры таких алгоритмов, сформулирован и описан оригинальный подход к применению методов одноклассовой классификации в задачах 
обнаружения вторжений.

Ключевые слова: обнаружение вторжений; выявление аномалий машинное  
обучение; одноклассовая классификация; анализ сетевого трафика; обучение с учителем.

Вместе с ростом роли компьютерных сетей в жизни современного общества увеличивается и число сетевых атак, направленных на нарушение целостности, конфиденциальности и доступности информации. При этом появляются 
новые, более комплексные, виды атак, в частности получили распространение 
целевые атаки (Advanced Persistent Threat).
Поэтому на сегодняшний день задачи обнаружения вторжений (в частности, сетевых атак) являются крайне актуальными. Классические методы, применяемые для анализа сетевого трафика, которые основаны на использовании сигнатур атак, не в состоянии обнаружить новую, до этого момента не 
известную атаку. В связи с этим большое количество исследований посвящено 
методам обнаружения вторжений через выявление аномалий сетевого трафика, в частности с помощью техник и методов машинного обучения. Стоит 
отметить, что данный подход обладает рядом недостатков по сравнению с использованием сигнатур атак (большее число ложных тревог, большие затраты 
вычислительных мощностей и др.).
Наибольшее число работ в данной области посвящены использованию классических алгоритмов классификации (метрические и линейные классификаторы, сети Байеса, деревья принятия решения, нейронные сети) для обнаружения 
атак в сетевом трафике. При этом используется традиционная методология ма
© Алабугин С. К., 2017

шинного обучения: сетевой трафик (чаще всего это отдельное сетевое соединение) описывается вектором признаков — длительность соединения, IP-адреса 
хостов, количество переданных пакетов и т. п. Каждый вектор признаков, маркируется как безопасный или атака соответственно, затем на основе множества 
таких векторов (обучающая выборка) происходит обучение алгоритма. Однако 
при таком подходе приходится решать две основные проблемы.
Первая, более фундаментальная, заключается в том, что классические алгоритмы классификации по сути своей не приспособлены для нахождения 
новых атак. Так, алгоритмы, обученные на выборке, состоящей из объектов 
представляющих нормальный трафик и какие-то виды сетевых атак, вполне 
могут классифицировать объект, представляющий новую для него атаку как 
нормальный трафик.
Вторая, более практическая, происходит от того факта, что в каждой компьютерной сети существует свое понятие нормального трафика (это объясняется тем, что сети отличаются друг от друга топологией, используемыми техническими средствами и работающими в рамках сети приложениями). Таким 
образом, чтобы обучить алгоритм в рамках конкретной сети, нужен не только 
нормальный трафик, но и трафик, представляющий различные виды сетевых 
атак. Чтобы получить его, приходится либо самостоятельно проводить атаки 
в рамках своей сети, либо программно генерировать дампы сетевого трафика, 
который будет содержать реализации тех или иных атак.
Одним из подходов, который может использоваться для решения вышеописанных проблем, является одноклассовая классификация. В рамках этой 
техники обучение происходит на объектах лишь одного класса, а обученный 
алгоритм должен давать ответ, принадлежит ли новый объект этому классу 
или нет. Данная задача является более трудной, чем многоклассовая классификация, поэтому алгоритмов, решающих ее в рамках машинного обучения, 
существенно меньше. Для примера упомянем два алгоритма.
Модификация алгоритма K ближайших соседей основана на вычислении 
отношения расстояний между объектами в пространстве признаков. Пусть z — 
объект, который нужно классифицировать, y — его ближайший сосед (наиболее 
близкий объект согласно некоторой метрике, введенной в пространстве признаков) из обучающей выборки, NN(y) — ближайший сосед y из обучающей 
выборки, d — метрика в пространстве признаков, тогда сравнение

d z y
d y NN y
( , )
,
( )
определяет ответ алгоритма: в случае, если данное отношение меньше порога 
µ, то считается, что объект принадлежит классу.

Машина опорных векторов для одноклассовой классификации представляет обычную машину опорных векторов, однако гиперплоскость в пространстве признаков, которая строится алгоритмом, не разделяет объекты нескольких 
классов, но выделяет границы одного класса.
На начальном этапе исследований нами был сформулирован и реализован 
свой алгоритм одноклассовой классификации, основанный на оценке плотности распределения объектов и построении решающей границы класса методом 
выпуклой оболочки. Выпуклой оболочкой множества Х называют наименьшее выпуклое множество, содержащее Х. В частности, если Х — множество 
точек на плоскости, то его выпуклой оболочкой будет замкнутая линия, проведенная через граничные элементы Х. Основная идея предложенного нами 
подхода заключается в том, чтобы построить выпуклую оболочку в пространстве признаков относительно объектов, соответствующих нормальным соединениям. Классификация новых объектов осуществляется путем проверки 
вхождения их в эту замкнутую оболочку. Вообще говоря, выпуклая оболочка 
может быть построена в пространстве любой размерности, однако чем больше 
размерность, тем больше времени будет требоваться для построения оболочки 
и проверки вхождения в нее объекта. По этой причине, а также для большей 
наглядности было решено понизить размерность пространства признаков до 
двух с помощью метода главных компонент. Следующим шагом является построение выпуклой оболочки относительно нормальных объектов. Для того 
чтобы определить область наибольшего скопления этих объектов в пространстве признаков, была использована ядерная оценка плотности вероятности. 
Посчитав таким образом плотность вероятности для всех рассматриваемых 
объектов, мы можем определить те, что лежат в области наибольшей плотности и использовать их для построения выпуклой оболочки в первую очередь. 
В качестве настраиваемого параметра алгоритма мы вводим долю объектов 
выборки, которые будут использоваться для построения выпуклой оболочки. 
С увеличением параметра классификатор обнаруживает меньше атак и считает больше объектов нормальными. В ходе экспериментов на классическом 
наборе данных NSL KDD удалось добиться точности классификации 0.83. Для 
увеличения точности данного алгоритма стоит исследовать выбор признакового описания объектов, чтобы найти признаки, обеспечивающие лучшее 
разделение нормального сетевого трафика и аномалий.
Таким образом, применение алгоритмов одноклассовой классификации 
в задаче обнаружения вторжений позволяет обойти некоторые проблемы, возникающие при использовании многоклассовых классификаторов. Однако пока 
не существует алгоритмов, которые бы качественно выявляли атаки на основе 
анализа сетевого трафика.

УДК 004.048
Г. Д. Асяев
Научный руководитель: канд. тех. наук, А. Н. Рагозин
Южно-Уральский государственный университет, Челябинск

АУТЕНТИФИКАЦИЯ ПО КЛАВИАТУРНОМУ ПОЧЕРКУ 
С ИСПОЛЬЗОВАНИЕМ НЕЙРОННОЙ СЕТИ

Аннотация. В данной работе проведено исследование применения разновидностей нейронной сети для распознавания образов. Выявлена основная методика 
обучения нейронной сети. Были проведены эксперименты, в ходе которого была 
определена наиболее эффективная модель нейронной сети, которая с наименьшим 
количеством ошибок выполняла аутентификацию по клавиатурному почерку.

Ключевые слова: информация; аутентификация; нейронная сеть; клавиатурный 
почерк; биометрическая характеристика.

Отождествление пользователя ЭВМ является первостепенной задачей при 
обеспечении информационной безопасности. Это сделать можно как при помощи традиционной парольной защиты, так и про помощи проверки психофизических параметров человека. В данной статье рассмотрена биометрическая система аутентификации, анализирующая динамический образ, который 
в свою очередь построен на анализе клавиатурного почерка. Клавиатурный 
почерк — динамическая биометрическая характеристика, которую описывают динамика ввода, скорость ввода, частота возникновение ошибки. В ходе 
выполнения исследования было разработано программное обеспечение, которое регистрирует все характеристики, описанные выше. В качестве парольной 
фразы могут быть как несвязные по смыслу буквы (20–42), так и произвольно 
генерируемый текст.
В ходе исследования рассматривались следующие типы нейронной сети: 
нейронная сеть с прямым распространением сигнала и обратным распространением ошибки, иерархическая сеть, нейронная сеть Кохонена и нейронная 
сеть, у которой количество входных слоев прямо пропорционально количеству 
выходных. Для корректного обучения требовалось не менее 10–15 выборок 
временного интервала для каждого пользователя. Для того чтобы обучить сеть, 
нужно подготовить обучающие данные. В нашем случае тренировочные данные состоят из входных параметров — временного интервала каждого пользователя и желаемого результата (порядковый номер пользователя). В качестве 
данных для проверки предоставлялись три временных интервала между нажатиями клавиш для каждого из пользователей.

© Асяев Г. Д., 2017