Корреляция информации в SIEM-системах на основе графа связей типов событий


https://doi.org/10.15217/issnl684-8853.2018.1.58

Полный текст:


Аннотация

Постановка проблемы: в настоящее время системы управления информацией и событиями безопасности являются активно развивающимся и широко распространенным классом средств мониторинга безопасности различных инфраструктур. Неотъемлемым процессом, реализуемым системами данного класса, является корреляция информации для выявления предупреждений и инцидентов безопасности. С учетом роста различных видов источников исходных данных, а также их количества и сложности взаимосвязей между ними существующие подходы не в состоянии обеспечивать эффективное выполнение процесса корреляции. Цель исследования: разработка методики корреляции событий безопасности с автоматизированной адаптацией к анализируемой инфраструктуре, а также создание модели анализа событий безопасности на основе их типов. Результаты: разработана модель корреляции для выполнения структурного анализа входных данных, на основе которой производится построение графа типов событий с прямыми и косвенными связями между ними. Сформулированы требования к нормализации исходных данных по наличию равнозначных свойств в форматах типов событий, а также к полноте и временной синхронизации журналов. Приведен пример анализа журнала событий безопасности, а также полученный в результате граф связей типов событий. Практическая значимость: предлагаемый подход основан на учете различных свойств типов отношений и связей между ними и позволяет использовать ранее не применяемый метод ранговой корреляции наряду с другими методами интеллектуальной обработки информации, что обеспечивает выполнение процесса корреляции событий и информации безопасности с возможностью адаптации к инфраструктуре.

Об авторах

Андрей Владимирович Федорченко
Санкт-Петербургский институт информатики и автоматизации РАН; Университет ИТМО
Россия


Игорь Витальевич Котенко
Санкт-Петербургский институт информатики и автоматизации РАН; Университет ИТМО
Россия


Список литературы

1. Kotenko I. V., Chechulin A. A. A Cyber Attack Modeling and Impact Assessment Framework // Proc. of 5th Intern. Conf. on Cyber Conflict 2013 (CyCon 2013). 2013. P. 119-142.

2. Kotenko I. V., Polubelova O. V., Saenko I. B. The Ontological Approach for SIEM Data Repository Implementation // IEEE Intern. Conf. on Green Computing and Communications, Conference on Internet of Things, and Conference on Cyber, Physical and Social Computing. 2012. P. 761-766.

3. Дойникова Е. В., Котенко И. В. Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности // Информационно-управляющие системы. 2016. № 5. С. 54-65. doi:10.15217/ issn1684-8853.2016.5.54

4. Котенко И. В., Дойникова Е. В. Методика выбора контрмер на основе комплексной системы показателей защищенности в системах управления информацией и событиями безопасности // Информационно -управляющие системы. 2015. № 3. С. 6069. doi:10.15217/issn1684-8853.2015.3.60

5. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation. Challenges and Solutions. - Springer, 2004. - 118 p.

6. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proc. of 2006 Intern. Conf. on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST'06). 2006. Article no. 37.

7. Hanemann A., Marcu P. Algorithm Design and Application of Service-Oriented Event Correlation // 3rd IEEE/IFIP Intern. Workshop on Business-Driven IT Management: Proc. of Conf. BDIM 2008. 2008. P. 61-70.

8. Limmer T., Dressler F. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems: Tech report. - University of Erlangen, Dept. of Computer Science 7, 2008. - 37 p.

9. Muller A. Event Correlation Engine: Master's Thesis. - Swiss Federal Institute of Technology Zurich, 2009. - 165 p.

10. Ning P., Xu D. Correlation Analysis of Intrusion Alerts // Intrusion Detection Systems. Ser.: Advances in Information Security. Springer, 2008. Vol. 38. P. 65-92.

11. Ghorbani A. A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention. - Springer, 2010. - 224 p.

12. Hasan M. A Conceptual Framework for Network Management Event Correlation and Filtering Systems // Proc. of the Sixth IFIP/IEEE Intern. Symp. on Integrated Network Management. 1999. P. 233246.

13. Zurutuza U., Uribeetxeberria R. Intrusion Detection Alarm Correlation: A Survey // Proc. of IADAT Intern. Conf. on Telecommunications and Computer Networks. 2004. P. 1-3.

14. Guerer D. W., Khan I., Ogler R., Keffer R. An Artificial Intelligence Approach to Network Fault Management. - SRI International, 1996. - 10 p.

15. Tiffany M. A Survey of Event Correlation Techniques and Related Topics. http://www.tiffman.com/netman /netman.html (дата обращения: 14.02.2017).

16. Elshoush H. T., Osman I. M. Alert Correlation in Collaborative Intelligent Intrusion Detection Systems - a Survey // Applied Soft Computing. 2011. P. 43494365.

17. Охтилев М. Ю., Соколов Б. В., Юсупов Р. М. Интеллектуальные технологии мониторинга и управления структурной динамикой сложных технических объектов. - М.: Наука, 2006. - 410 с.

18. Splunk Security. https://www.splunk.com/en_us/ solutions/solution-areas/security-and-fraud.html (дата обращения: 21.06.2017).

19. Windows Security Log Events. https: //www.ultimatewindowssecurity.com/securitylog/ encyclopedia/Default.aspx (дата обращения: 21.06.2017).


Дополнительные файлы

Для цитирования: Федорченко А.В., Котенко И.В. Корреляция информации в SIEM-системах на основе графа связей типов событий. Информационно-управляющие системы. 2018;(1):58-67. https://doi.org/10.15217/issnl684-8853.2018.1.58

For citation: Fedorchenko A.V., Kotenko I.V. Correlation of Information in SIEM Systems based on Event Type Relation Graph. Information and Control Systems. 2018;(1):58-67. (In Russ.) https://doi.org/10.15217/issnl684-8853.2018.1.58

Просмотров: 97


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1684-8853 (Print)
ISSN 2541-8610 (Online)