Details

Целью работы является автоматизация анализа журналов транзакций, содержащих сложные виды транзакций, при расследовании инцидентов информационной безопасности. Задачи, решаемые в ходе исследования: 1. Проанализировать атаки на СУБД с точки зрения их отображения в журнале транзакций. 2. Проанализировать модели транзакций в СУБД и их отображение в журналах PostgreSQL. 3. Разработать способ и программный прототип для представления транзакций разных типов на основе данных журнала. 4. Разработать программные компоненты для расследования инцидентов информационной безопасности и провести тестирование. В ходе работы были проведен анализ типовых атак на СУБД и выделены оставляющие характерные следы в WAL. Для более глубокого понимания поведения транзакций и механизмов их фиксации в журнале проанализированы современные модели транзакций. Предложен способ выявления инцидентов информационной безопасности, основанный на структурной обработке WAL-записей с последующим объединением их в логически целостные транзакции и построением их иерархической структуры и анализом совокупности признаков, указывающих на аномальную активность. Для достижения результатов было разработано программное средство с графическим интерфейсом на базе библиотеки tkinter языка Python, взаимодействующее с подсистемой журналирования PostgreSQL для получения, обработки и визуализации транзакционной активности.

The purpose of the study is automating the analysis of transaction logs containing complex transaction types during the investigation of information security incidents. The object of the work is the use of logs of complex transaction models to investigate. The research set the following goals: 1. Analyze attacks on DBMS in terms of their representation in the transaction log. 2. Analyze transaction models in DBMS and their representation in PostgreSQL logs. 3. Develop a software prototype for representing transactions of various types based on log data. 4. Develop and test software components for investigating information security incidents. During the work, typical attacks on DBMS were analyzed, and those leaving identifiable traces in the WAL were highlighted. To better understand the behavior of transactions and the mechanisms of their fixation in the log, modern transaction models were examined. A method for detecting information security incidents was proposed, based on structural processing of WAL records, their aggregation into logically complete transactions, construction of hierarchical structures and analysis of characteristic anomaly indicators. To achieve these results, a software tool was developed with a graphical interface based on the tkinter library in Python, interacting with the PostgreSQL logging subsystem for retrieving, processing and visualizing transactional activity.