Обзор алгоритмов корреляции событий безопасности для обеспечения безопасности облачных вычислительных сред


https://doi.org/10.15217/issn1684-8853.2017.5.95

Полный текст:


Аннотация

Постановка проблемы: повышение сложности атак на облачные системы влечет за собой необходимость разработки механизмов защиты, способных анализировать события безопасности, в том числе разнесенные во времени. Кроме того, возникает необходимость в осуществлении проверки достоверности генерируемых событий безопасности, а также сопоставления критичности событий безопасности с уровнем критичности контролируемых ресурсов. В связи с этим необходимо в системе управления информационной безопасностью облачной инфраструктуры использовать модуль корреляции событий безопасности от разных сенсоров безопасности и сетевых устройств инфраструктуры в качестве ключевого компонента системы. Цель: анализ подходов к корреляции событий безопасности для обеспечения безопасности в облачных инфраструктурах. Результаты: анализ основных алгоритмов корреляции событий, а также существующего программного обеспечения, выполняющего корреляцию событий безопасности, показал, что можно выделить три основных подхода к их построению: на основе подобия событий безопасности, на основе знаний и вероятностные. Определены следующие критерии оценки эффективности разработанных методик: возможность анализа данных от разных сенсоров безопасности, требования к наличию предварительных знаний для функционирования модели корреляции, точность корреляции, обнаружение многошаговых и новых типов атак. Представлен сравнительный анализ рассмотренных подходов к корреляции событий безопасности. Практическая значимость: результаты исследований полезны при разработке механизмов защиты облачных вычислительных сред от сетевых атак, в том числе устойчивых целенаправленных угроз. Использование корреляции событий безопасности позволит средствам защиты более точно расставлять приоритеты событиям безопасности и своевременно реагировать на них.

Об авторах

Евгения Сергеевна Новикова
Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В. И. Ульянова (Ленина); Санкт-Петербургский институт информатики и автоматизации РАН
Россия


Яна Андреевна Бекенева
Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В. И. Ульянова (Ленина)
Россия


Андрей Владимирович Шоров
Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В. И. Ульянова (Ленина)
Россия


Евгений Станиславович Федотов
Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В. И. Ульянова (Ленина)
Россия


Список литературы

1. Mirheidari S. A., Arshad S., Jalili R. Alert Correlation Algorithms: A Survey and Taxonomy // Proc. of 5th Intern. Symp. on Cyberspace Safety and Security (CSS 2013), Zhangjiajie, China, Nov. 13-15, 2013. LNCS, 2013. Vol. 8300. P. 183-197.

2. Valdes A., Skinner K. An Approach to Sensor Correlation // Proc. of the Recent Advances in Intrusion Detection (RAID-2000), Touluse, 2000. https://www. researchgate.net/profile/Alfonso_Valdes/publica-tion/228523518_An_approach_to_sensor_correla-tion/links/56d4437d08ae868628b24ba8.pdf (дата обращения: 27.06.2017).

3. Mueller A. Event Correlation Engine. https://www. open.ch/_pdf/internships/EventCorrelationEngine_ AndreasMueller.pdf (дата обращения: 27.06.2017).

4. Kang D., Na J. A Rule Based Event Correlation Approach for Physical and Logical Security Convergence // IJCSNS Intern. Journal of Computer Science and Network Security. 2012. Vol. 12. N 1. P. 28-32.

5. Elshoush H. T., Osman I. M. Intrusion Alert Correlation Framework: An Innovative Approach // IAENG Transactions on Engineering Technologies. 2013. Vol. 229. P. 405-420.

6. Klinger S., Yemini S., Yemini Y., Ohsie D., Stolfo S. A Coding Approach to Event Correlation // Proc. of the Fourth Intern. Symp. on Integrated Network Management IV/ Adarshpal S. Sethi, Yves Raynaud, and Fabienne Faure-Vincent (Eds.). London: Chapman & Hall, 1995. P. 266-277.

7. Dwivedi N., Tripathi A. Event Correlation for Intrusion Detection Systems // Computational Intelligence & Communication Technology (CICT): 2015 IEEE Intern. Conf. IEEE, 2015. P. 133-139.

8. Kidmose E., Stevanovic M., Pedersen J. M. Correlating Intrusion Detection Alerts on Bot Malware Infections using Neural Network //Cyber Security and Protection of Digital Services (Cyber Security): 2016 Intern. Conf. IEEE, 2016. P. 1-8.

9. Xuewei F., et al. An Approach of Discovering Causal Knowledge for Alert Correlating Based on Data Mining //Dependable, Autonomic and Secure Computing (DASC): 2014 IEEE 12th Intern. Conf. IEEE, 2014. P. 57-62.

10. Wang C., Chiou Y. Alert Correlation System with Automatic Extraction of Attack Strategies by Using Dynamic Feature Weights // Intern. Journal of Computer and Communication Engineering. 2016. Vol. 5. N 1. P. 1-10.

11. Kotenko I., Doynikova E. Evaluation of Computer Network Security based on Attack Graphs and Security Event Processing // Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications. 2014. Vol. 5. N 3. P. 14-29.

12. Katz G., Elovici Y., Shapira B. CoBAn: A Context Based Model for Data Leakage Prevention // Information Sciences. 2014. Vol. 262. P. 137-158.

13. Morin B., Me L., Debar H., Ducasse M. A Logic-Based Model to Support Alert Correlation in Intrusion Detection // Information Fusion. 2009. Vol. 10. N 4. P. 285-299.

14. Eckmann S. T., Vigna G., Kemmerer R. A. An Attack Language for State-Based Intrusion Detection // Journal of Computer Security. 2002. N 10 (1-2). P. 71.

15. Totel E., Vivinis B. A Language Driven Intrusion Detection System for Event and Alert Correlation // Security and Protection in Information Processing Systems. 2004. Vol. 147. P. 208-224.

16. Viinikka J., Debar H., Me L., Lehikoinen A., Tarvainen M. Processing Intrusion Detection Alert Aggregates with Time Series Modelling // Information Fusion. 2009. Vol. 10. N 4. P. 312-324.

17. Treinen J., Thurimella R. A Framework for the Application of Association Rule Mining in Large Intrusion Detection Infrastructures // Recent Advances in Intrusion Detection (RAID). 2006. Vol. 4219. P. 1-18.

18. Jakobson G. Mission Resilience // Cyber Defense and Situational Awareness. - Springer International Publishing, 2014. - P. 297-322.

19. Gao J., Jiang G., Chen H., and Han J. Modeling Probabilistic Measurement Correlations for Problem Determination in Large-Scale Distributed Systems // Proc. IEEE, Montreal, Canada, June 22-26, 2009. P. 623-630.

20. Naukudkar K. B., Ambawade D. D., Bakal J. W. Enhancing Performance of Security Log Analysis using Correlation-Prediction Technique // Proc. of Intern. Conf. on ICT for Sustainable Development, Singapore, Feb. 26, 2016. Springer, 2016. Vol. 409. P. 635-643.

21. Schutte J., Rieke R., Winkelvos T. Model-based Security Event Management // Proc. of the 6th Intern. Conf. on Mathematical Methods, Models and Architectures for Computer Network Security: Computer Network Security (MMM-ACNS’12). Springer-Verlag, Berlin, Heidelberg, 2012. P. 181-190.

22. HPE ArcSight ESM. https://saas.hpe.com/ru-ru/ software/siem-security-information-event-management (дата обращения: 25.06.2017).

23. Splunk Enterprise Security. https://www.splunk. com/en_us/products/premium-solutions/splunk-en-terprise-security.html (дата обращения: 25.06.2017).

24. IBM QRadar SIEM. http://www-03.ibm.com/soft-ware/products/ru/qradar-siem (дата обращения: 25.06.2017).

25. Walton S., Maguire E., Chen M. A Visual Analytics Loop for Supporting Model Development //Proc. of 2015 IEEE Symp. on Visualization for Cyber Security (VizSec), Chicago, IL, 2015. P. 1-8.

26. Котенко И. В., Новикова Е. С. Визуальный анализ защищенности компьютерных сетей // Информационно-управляющие системы. 2013. № 3. С. 56-61.

27. Шелестова O. Корреляция SIEM - это просто. Сигнатурные методы. http://www.securitylab.ru/ analytics/431459.php (дата обращения: 26.06.2017).

28. Borealis Distributed Stream Processing Engine. http://cs.brown.edu/research/borealis/public/ (дата обращения: 10.12.2016).

29. SEC - simple event correlator. https://simple-evcorr. github.io/ (дата обращения: 10.12.2016).

30. Esper: Event Processing for Java. http://www.espe-rtech.com/products/esper.php (дата обращения: 10.12.2016).


Дополнительные файлы

Для цитирования: Новикова Е.С., Бекенева Я.А., Шоров А.В., Федотов Е.С. Обзор алгоритмов корреляции событий безопасности для обеспечения безопасности облачных вычислительных сред. Информационно-управляющие системы. 2017;90(5):95-104. https://doi.org/10.15217/issn1684-8853.2017.5.95

For citation: Novikova E.S., Bekeneva Y.A., Shorov A.V., Fedotov E.S. A Survey of Security Event Correlation Techniques for Cloud Computing Environment Security. Information and Control Systems. 2017;90(5):95-104. (In Russ.) https://doi.org/10.15217/issn1684-8853.2017.5.95

Просмотров: 52


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1684-8853 (Print)
ISSN 2541-8610 (Online)