ISSN 0021-3454 (печатная версия)
ISSN 2500-0381 (онлайн версия)
Меню

4
Содержание
том 63 / Апрель, 2020
СТАТЬЯ

DOI 10.17586/0021-3454-2018-61-11-997-1004

УДК 004.056

АНАЛИЗ СВОЙСТВ СОБЫТИЙ БЕЗОПАСНОСТИ ДЛЯ ОБНАРУЖЕНИЯ ИНФОРМАЦИОННЫХ ОБЪЕКТОВ И ИХ ТИПОВ В НЕОПРЕДЕЛЕННЫХ ИНФРАСТРУКТУРАХ

Федорченко А. В.
СПИИРАН, лаборатория проблем компьютерной безопасности; мл. научный сотрудник


Читать статью полностью 

Аннотация. Исследуется область корреляции событий для систем управления информацией и событиями безопасности. Цель исследований заключается в определении типов информационных объектов с помощью анализа журнала событий безопасности целевой инфраструктуры. Предлагаемый механизм корреляции событий основан на определении связей между эквивалентными свойствами событий по признаку взаимной используемости. Результатом исследования полученных связей является определение анализируемой инфраструктуры в виде типов высокоуровневых объектов. Описываются результаты эксперимента по структурному анализу событий журнала безопасности ОС Windows, а также случаи нестабильности предлагаемого механизма и их возможные причины. Приводится оценка и интерпретация полученных результатов, свидетельствующих о возможности применения представленного подхода на практике
Ключевые слова: события безопасности, корреляция событий, структурный анализ данных, мониторинг безопасности, SIEM-системы

Список литературы:
  1. Kotenko I. V., Chechulin A. A. A Cyber attack modeling and impact assessment framework // Proc. of 5th Intern. Conf. on Cyber Conflict (CyCon 2013). 2013. P. 119—142.
  2. Kotenko I. V., Polubelova O. V., Saenko I. B. The ontological approach for siem data repository implementation // Proc. IEEE Intern. Conf. on Green Computing and Communications, Conference on Internet of Things, and Conference on Cyber, Physical and Social Computing. 2012. P. 761—766.
  3. Дойникова Е. В., Котенко И. В. Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности // Информационно-управляющие системы. 2016. № 5. С. 54—65.
  4. Котенко И. В., Дойникова Е. В. Методика выбора контрмер на основе комплексной системы показателей защищенности в системах управления информацией и событиями безопасности // Информационно-управляющие системы. 2015. № 3. С. 60—69.
  5. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation: Challenges and Solutions. Springer, 2004.
  6. Федорченко А. В., Левшун Д. С., Чечулин А. А., Котенко И. В. Анализ методов корреляции событий безопасности в SIEM-системах. Ч. 1 // Тр. СПИИРАН. 2016. Вып. 47. C. 5—27.
  7. Muller A. Event Correlation Engine: Master`s Thesis / Swiss Federal Institute of Technology. Zurich. 2009. 165 p.
  8. Limmer T., Dressler F. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems: Tech. report / University of Erlangen, Germany. 2008. 37 p.
  9. Федорченко А. В., Левшун Д. С., Чечулин А. А., Котенко И. В. Анализ методов корреляции событий безопасности в SIEM-системах. Ч. 2 // Тр. СПИИРАН. 2016. Вып. 49. С. 208—225.
  10. Sadoddin R., Ghorbani A. Alert correlation survey: framework and techniques // Proc. of the Intern. Conf. on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06). 2006. Art. no. 37.
  11. Ning P., Xu D. Correlation analysis of intrusion alerts // Intrusion Detection Systems: Ser. Advances in Information Security. 2008. Vol. 38. P. 65—92.
  12. Ghorbani A. A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention. Springer, 2010. 224 p.
  13. Hasan M. A. Conceptual framework for network management event correlation and filtering systems // Proc. of the 6th IFIP/IEEE Intern. Symp. on Integrated Network Management. 1999. P. 233—246.
  14. Zurutuza U., Uribeetxeberria R. Intrusion detection alarm correlation: A survey // Proc. of IADAT Intern. Conf. on Telecommunications and Computer Networks. 2004. P. 1—3.
  15. Guerer D. W., Khan I., Ogler R., Keffer R. An Artificial Intelligence Approach to Network Fault Management / SRI International, CA, USA. 1996. 10 p.
  16. Elshoush H. T., Osman I. M. Alert correlation in collaborative intelligent intrusion detection systems — a survey // Applied Soft Computing. 2011. P. 4349—4365.
  17. Windows Security Log Events [Электронный ресурс]: , 30.05.2018.