EA031992B1 - Система анализа записей - Google Patents

Система анализа записей Download PDF

Info

Publication number
EA031992B1
EA031992B1 EA201691643A EA201691643A EA031992B1 EA 031992 B1 EA031992 B1 EA 031992B1 EA 201691643 A EA201691643 A EA 201691643A EA 201691643 A EA201691643 A EA 201691643A EA 031992 B1 EA031992 B1 EA 031992B1
Authority
EA
Eurasian Patent Office
Prior art keywords
processing
transmission
detection
unit
processing unit
Prior art date
Application number
EA201691643A
Other languages
English (en)
Other versions
EA201691643A1 (ru
Inventor
Хироси Фудзимото
Тосихиде Накама
Original Assignee
Лак Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Лак Ко., Лтд. filed Critical Лак Ко., Лтд.
Publication of EA201691643A1 publication Critical patent/EA201691643A1/ru
Publication of EA031992B1 publication Critical patent/EA031992B1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

Предложены система анализа записей для анализа записи обнаружения в системе, являющейся целью отслеживания, содержащая устройство получения для обнаружения процессов, являющихся целями обнаружения и выполняемых в системе, являющейся целью отслеживания, и для получения записи обнаружения для процессов, являющихся целями обнаружения, и устройство обработки для обработки записи обнаружения, полученной устройством получения. Устройство обработки содержит множество блоков обработки, которые последовательно выполняют обработку записи обнаружения. Устройство обработки выполняет обработку во время направления записи обнаружения по порядку от расположенного первым по ходу блока обработки до расположенных дальше по ходу блоков обработки. Расположенный последним по ходу блок обработки устройства обработки уведомляет расположенный первым по ходу блок обработки о том, что принята запись обнаружения. Для обрабатываемой записи обнаружения, для которой невозможно подтвердить достижение расположенного последним по ходу блока обработки в уведомлении, принятом от расположенного последним по ходу блока обработки устройства обработки, расположенный последним по ходу блок обработки устройства обработки повторно направляет запись обнаружения на расположенный дальше по ходу блок обработки.

Description

Область техники, к которой относится изобретение
Настоящее изобретение относится к системе анализа записей, выполненной для получения и анализа записей, сгенерированных в целевой системе.
Уровень техники
В разнообразных информационных системах, использующих сети передачи информации, такие как Интернет (здесь и далее называем просто сетью), имеет место передача и обработка большого объема данных. Тем не менее, могут присутствовать такие проблемы, как несанкционированный доступ к серверу или оборудованию, такому как различные конечные устройства, работающие в сети, несанкционированные утечки информации из сервера или подобные.
Например, предпочтительно отслеживать передачи данных в режиме реального времени, чтобы пресечь ущерб из-за несанкционированных передач без необходимости в расследовании передач после случившегося факта. Обычные технологии, реализующие указанное, описаны ранее. Например, в документе JP 2007-536646 описан сбор связанных с безопасностью событий от различных устройств отслеживания, сохранение связанных с безопасностью событий, предоставление управляющему лицу подмножества сохраненных связанных с безопасностью событий в виде потока событий и обеспечение того, что управляющее лицо обнаруживает один или несколько неизвестных шаблонов событий в потоке событий.
Обычно соответствующая обработка может быть выполнена путем отслеживания передач от сервера в сеть и обнаружения несанкционированного доступа или направления и приема данных. Отслеживание может быть выполнено в центральном узле, когда несколько серверов являются целями, подлежащими отслеживанию.
Сущность изобретения
При анализе большого объема записей и осуществлении обработки информации с целью извлечения процессов, обладающих конкретным качеством (таким как проблемные передачи), с целью осуществления отслеживания передач информации и подобного в описанной выше сети обычно количество данных в записях, полученных в качестве целей анализа, чрезвычайно велико. Тем не менее, может присутствовать только небольшое количество процессов, которые обладают конкретным качеством и которые нужно извлечь, и может присутствовать только небольшое количество записей, когда нужно осуществить такую обработку. Соответственно в широком спектре областей обработки информации, независимо от того, просматриваются ли передачи, требуется надлежащее сужение целей, подлежащих анализу, и осуществление анализа с хорошей эффективностью.
Задача настоящего изобретения заключается в том, чтобы предложить систему анализа записей, способную сузить записи для анализа и осуществить анализ записей с хорошей эффективностью.
Для выполнения указанной задачи система анализа записей, относящаяся к варианту осуществления настоящего изобретения, может анализировать запись обнаружения, обнаруженную в системе, являющейся целью отслеживания. Система анализа записей может быть снабжена устройством получения для обнаружения процессов, являющихся целями обнаружения и выполняемых в системе, являющейся целью отслеживания, и для получения записи обнаружения для процессов, являющихся целями обнаружения, и устройством обработки для обработки записи обнаружения, полученного устройством получения. Устройство обработки содержит множество блоков обработки, которые последовательно выполняют обработку записи обнаружения. Устройство обработки выполняет обработку во время направления записи обнаружения по порядку от первого блока обработки до расположенных дальше по ходу блоков обработки. Расположенный последним по ходу блок обработки устройства обработки уведомляет расположенный первым по ходу блок обработки о том, что принята запись обнаружения. Для обрабатываемой записи обнаружения, для которой невозможно подтвердить достижение расположенного последним по ходу блока обработки в уведомлении, принятом от расположенного последним по ходу блока обработки устройства обработки, расположенный последним по ходу блок обработки устройства обработки повторно направляет запись обнаружения на расположенный дальше по ходу блок обработки.
В описанной выше системе анализа записей расположенный первым по ходу блок обработки устройства обработки может остановить направление записи обнаружения в случаях, когда после повторного направления записи обнаружения заранее заданное количество раз невозможно подтвердить в уведомлении от расположенного последним по ходу блока обработки устройства обработки, что запись обнаружения достигла расположенного последним по ходу блока обработки.
В описанной выше системе анализа записей расположенный первым по ходу блок обработки устройства обработки также может добавить информацию в запись обнаружения, эту информацию возможно использовать для идентификации, была ли повторно направлена запись обнаружения.
В описанной выше системе анализа записей расположенный первым по ходу блок обработки устройства обработки также может добавить информацию в запись обнаружения, эта информация показывает количество раз передачи записи обнаружения.
Варианты осуществления настоящего изобретения также могут быть получены путем управления компьютером с целью реализации описанных выше функций устройства в качестве программы. Программа может быть предоставлена с помощью распространения копий, сохраненных на магнитном дис- 1 031992 ке, оптическом диске, полупроводниковой памяти или другом носителе информации, и также может быть предоставлена путем распространения по сети.
В соответствии с настоящим изобретением, во время анализа записей цели могут быть сужены и анализ может быть проведен с хорошей эффективностью.
Краткое описание чертежей
Фиг. 1 показывает пример структуры системы отслеживания безопасности, соответствующей рассматриваемому варианту осуществления изобретения.
Фиг. 2 - вид, показывающий пример функциональной структуры блока сбора, входящего в состав подсистемы отслеживания, которая показана на фиг. 1.
Фиг. 3 показана схема, иллюстрирующая пример структуры блока сбора, показанного на фиг. 2, состоящего из компонентов, являющихся элементарными блоками обработки.
Фиг. 4 - вид, показывающий пример функциональной структуры блока обнаружения, входящего в состав подсистемы отслеживания, показанной на фиг. 1.
Фиг. 5 - вид, показывающий пример структуры блока обнаружения, показанного на фиг. 4, состоящего из компонентов, являющихся элементарными блоками обработки.
Фиг. 6 - вид, показывающий пример функциональной структуры блока анализа, входящего в состав подсистемы отслеживания, показанной на фиг. 1.
Фиг. 7 - вид, показывающий идею корреляционного анализа в рассматриваемом варианте осуществления изобретения.
Фиг. 8А - вид, иллюстрирующий идею анализа приращений в рассматриваемом варианте осуществления изобретения и вид, показывающий пример структуры обнаруженного потенциального инцидента, который становится целью корреляционного анализа для определенного анализа.
Фиг. 8В - вид, иллюстрирующий идею анализа приращений в рассматриваемом варианте осуществления изобретения и вид, показывающий пример структуры того же обнаруженного потенциального инцидента для следующего анализа.
Фиг. 9 - вид, показывающий пример структуры блока анализа, показанного на фиг. 6 и состоящего из компонентов, являющихся элементарными блоками обработки, включающими в себя обрабатывающее устройство отдельного анализа, обрабатывающее устройство группировки событий, обрабатывающее устройство анализа корреляций и обрабатывающее устройство анализа приращений.
Фиг. 10 - вид, показывающий пример функциональной структуры блока ручного анализа подсистемы отслеживания, показанной на фиг. 1.
Фиг. 11 показывает схему, поясняющую способ перемещения файла записей передач в рассматриваемом варианте осуществления изобретения.
Фиг. 12 - вид, показывающий пример передачи файла записей передач в рассматриваемом варианте осуществления изобретения.
Фиг. 13 показывает другой пример передачи файла записей передач в рассматриваемом варианте осуществления изобретения.
Фиг. 14 показывает еще один пример передачи файла записей передач в рассматриваемом варианте осуществления изобретения.
Фиг. 15 - вид, показывающий пример функциональной структуры конечного устройства, показанного на фиг. 1.
Фиг. 16 показывает пример структуры экрана анализа в рассматриваемом варианте осуществления изобретения.
Фиг. 17 - вид, показывающий пример предпочтительной аппаратной структуры для реализации каждого сервера и конечного устройства в подсистеме отслеживания из рассматриваемого варианта осуществления изобретения.
Осуществление изобретения
Далее со ссылками на чертежи будут описаны варианты осуществления настоящего изобретения.
Система анализа записей рассматриваемого варианта осуществления изобретения для получения и анализа записи обработки, являющегося целью обнаружения (запись обнаружения) из системы, являющейся целью расследования, описана ниже в случае применения системы анализа записей к системе отслеживания безопасности, которая отслеживает передачи в сети и получает и анализирует запись передач в качестве записи обнаружения. Система отслеживания безопасности (центр службы безопасности, SOC) рассматриваемого варианта осуществления изобретения отслеживает передачи устройства обработки информации, которое является устройством, подлежащим отслеживанию, и извлекает передачи с проблемами, такими как внешний несанкционированный доступ, внутренние несанкционированные утечки информации или подобное, в качестве одной цели процесса обнаружения цели, обладающего необходимым для извлечения конкретным качеством.
Пример структуры системы.
На фиг. 1 показан пример структуры системы отслеживания безопасности, соответствующей рассматриваемому варианту осуществления изобретения.
Как показано на фиг. 1, система отслеживания безопасности, соответствующая рассматриваемому
- 2 031992 варианту осуществления изобретения, содержит устройство 110 обнаружения в качестве устройства получения для отслеживания передач в устройстве 100, являющемся целью отслеживания, и для получения записи передач, агент 121 получения записи и подсистему 120 устройства управления записями. Система отслеживания безопасности, соответствующая рассматриваемому варианту осуществления изобретения, также снабжена подсистемой 200 отслеживания в качестве устройства обработки, выполненного для обработки полученных записей передач и извлечения проблемных передач. Кроме того, система отслеживания безопасности, соответствующая рассматриваемому варианту осуществления изобретения, также снабжена конечным устройством 300, выполняющим роль устройства вывода, выполненного для вывода результатов обработки, выполненной подсистемой 200 отслеживания. В структуре, показанной на фиг. 1, устройство 110 обнаружения и агент 121 получения записи, установленный в устройстве 100, являющемся целью отслеживания, отделены от подсистемы 120 устройства управления записями, подсистемы 200 отслеживания и конечного устройства 300. Составные элементы, установленные в устройстве 100, являющемся целью отслеживания, могут быть названы системой стороны цели, а подсистема 120 устройства управления записями, подсистема 200 отслеживания и конечное устройство 300 могут быть названы системой стороны центра. Заметим, что хотя на фиг. 1 показано только одно устройство 100, являющееся целью отслеживания, в реальной системе в качестве цели отслеживания могут быть взяты передачи в нескольких устройствах 100, являющихся целями отслеживания.
Устройство 100, являющееся целью отслеживания, представляет собой цель, которую отслеживает система отслеживания безопасности, соответствующая рассматриваемому варианту осуществления изобретения, и представляет собой устройство, которое вырабатывает записи, полученные устройством 110 обнаружения и подсистемой 120 устройства управления записями. Устройство 100, являющееся целью отслеживания, в частности представляет собой сервер или подобное устройство, которое выполняет установленное программное обеспечение, такое как систему (IDS) обнаружения несанкционированного доступа, систему (IPS) предотвращения несанкционированного доступа или другую систему безопасности или программное обеспечение, такое как сетевой экран или антивирусное программное обеспечение.
Заметим, что в рассматриваемом варианте осуществления изобретения объяснен пример, в котором в качестве системы анализа записей взята система отслеживания безопасности, и система анализа записей получает запись передач в качестве цели отслеживания сетевых передач. Тем не менее, подходящие примеры рассматриваемого варианта осуществления изобретения не ограничены этим примером. Систему анализа записей рассматриваемого варианта осуществления изобретения также возможно применить для получения и исследования широкого спектра записей, выработанных разными процессами, отличающимися от передач информации.
Устройство 110 обнаружения состоит из датчика 111 и устройства 112 управления датчиком. Датчик 111 представляет собой блок цели отслеживания системы отслеживания безопасности в соответствии с рассматриваемым вариантом осуществления изобретения. Датчик 111 может быть получен, например, путем использования функции обнаружения передачи в устройстве 100, являющемся целью отслеживания. Датчик 111 в режиме реального времени получает данные, касающиеся передач. Устройство 112 управления датчиком может быть получено, например, путем использования некоторой функции устройства 100, являющегося целью отслеживания. Устройство 112 управления датчиком управляет датчиком 111. Т.е. датчик 111 и устройство 112 управления датчиком могут быть выполнены в широком спектре форм, таких как программное обеспечение, комбинация программного и аппаратного обеспечения, с использованием разнообразных функций системы безопасности, таких как IDS / IPS, сетевой экран, антивирусное программное обеспечение и подобное. В реальной системе могут быть использованы разнообразные типы датчиков 111 и устройств 112 управления датчиком в зависимости от спецификаций, использования и среды использования устройства 100, являющегося целью отслеживания и установленного в качестве подлежащей отслеживанию цели.
Агент 121 получения записи в режиме реального времени направляет данные, касающиеся передач и полученные датчиком 111, которым управляет устройство 112 управления датчиком, на подсистему
120 устройства управления записями в виде записи передач. В рассматриваемом варианте осуществления изобретения запись передач, направленная агентом 121 получения записи на подсистему 120 устройства управления записями, называется необработанной записью. Агент получения записи может быть выполнен, например, как компьютерная программа. Функция направления необработанной записи на подсистему 120 устройства управления записями может быть реализована путем установки и запуска агента
121 получения записи в устройстве 100, являющемся целью отслеживания. В качестве датчика 111 и устройства 112 управления датчиком, которые получают необработанную запись, как описано выше, могут быть использованы разнообразные датчики и устройства управления датчиками. Таким образом, содержимое и формат информации, содержащиеся в необработанной записи, могут быть различными в соответствии с типом датчика 111 и устройства 112 управления датчиком, которые получают необработанную запись.
Заметим, что в варианте осуществления изобретения, показанном на фиг. 1, используется структура, в которой агент 121 получения записи установлен в устройстве 100, являющемся целью отслеживания, как система стороны цели. Тем не менее, рассматриваемый вариант осуществления изобретения не
- 3 031992 ограничен этим типом структуры. Агент 121 получения записи также может быть выполнен как система стороны центра без установки в устройстве 100, являющемся целью отслеживания. В этом случае агент
121 получения записи может быть выполнен как независимый сервер или подобное устройство, соединенное с устройством 100, являющимся целью отслеживания, с помощью сети, и агент 121 получения записи также может быть получен как одна функция подсистемы 120 устройства управления записями.
Подсистема 120 устройства управления записями получает необработанную запись от агента 121 получения записи. Таким образом, необработанные записи получают для каждого агента 121 получения записи в подсистеме 120 устройства управления записями. Далее подсистема 120 устройства управления записями делит полученные необработанные записи на файлы записей передач для каждого датчика и в режиме реального времени направляет файлы записей передач на подсистему 200 отслеживания. Подсистема устройства управления записями может быть реализована с использованием, например, компьютера. Т.е. описанная выше функция может быть реализована с использованием CPU для исполнения программы, хранящейся в устройстве хранения компьютера. Необработанные записи, полученные от агента 121 получения записи, делят на файлы записей передач и направляют на подсистему 200 отслеживания.
Подсистема 200 отслеживания представляет собой блок обработки для выполнения обработки файлов записей передач, полученных от агента 120 получения записи. Подсистема 200 отслеживания содержит блок 210 сбора, блок 220 обнаружения, блок 230 анализа и блок 240 ручного анализа. Подсистема 200 отслеживания обрабатывает файлы записей передач, полученные от агента 120 получения записи, с использованием блоков 210, 220, 230 и 240 обработки в указанном порядке, извлекая проблемные передачи. Другими словами, подсистема 200 отслеживания делит передачи, выполненные устройством 100, являющимся целью отслеживания, и отображенные в файле записей передач, на передачи с проблемами и передачи, не содержащие проблем.
Возможно создать блоки 210, 220, 230 и 240 обработки в подсистеме 200 отслеживания с использованием нескольких серверов (аппаратное обеспечение). Несколько серверов могут совместно исполнить обработку, параллельно и асинхронно. В рассматриваемом варианте осуществления изобретения перемещение файлов записей передач между блоками 210, 220, 230, 240 обработки в подсистеме 200 отслеживания может быть выполнено с использованием асинхронных передач на основе, например, службы (JMS) сообщений Java или подобного. Подсистема 200 отслеживания может быть реализована с использованием, например, компьютера. То есть CPU может исполнять программу, хранящуюся в запоминающем устройстве компьютера и, таким образом, реализовывать функции каждого блока 210, 220, 230, 240 обработки. Подробности, касающиеся каждого блока 210, 220, 230, 240 обработки, а также передач между блоками обработки, приведены ниже.
Конечное устройство 300 является устройством для вывода результатов обработки, полученных в подсистеме 200 отслеживания. Конечное устройство 300 является устройством, которое использует пользователь (аналитик) при анализе передач в устройстве 100, являющемся целью отслеживания. Передачи в устройстве 100, являющемся целью отслеживания, делят на проблемные передачи и передачи, не содержащие проблем, и это предоставляют как результаты обработки подсистемой 200 отслеживания. Проблемные передачи содержат такие передачи, для которых ясно, что они были несанкционированными, и такие передачи, для которых существует возможность, что передача была несанкционированной. Являющийся аналитиком пользователь конечного устройства 300 может анализировать те передачи, которые могут быть несанкционированными, на основе результатов обработки подсистемой 200 отслеживания, поданных на конечное устройство 300, и далее может решать, является ли передача несанкционированной.
Конечное устройство 300 может быть реализовано с использованием, например, компьютера. Т.е. CPU может исполнять программу, хранящуюся в устройстве хранения компьютера и, таким образом, реализовывать каждую функцию конечного устройства 300. Конкретные функции конечного устройства 300 и подробности содержимого и формат информации, подаваемой на конечное устройство 300, описаны ниже.
Функции блока сбора.
На фиг. 2 показан пример функциональной структуры блока 210 сбора, входящего в состав подсистемы 200 отслеживания, которая показана на фиг. 1.
Блок 210 сбора, который является первым блоком обработки, выполняет настройку обработки файла записей передач, полученного из подсистемы 120 устройства управления записями для каждого типа устройства 110 обнаружения, которое получает основная запись передач (необработанная запись) файла записей передач. В настоящем документе тип устройства 110 обнаружения является типом продукта, таким как IDS/IPS, сетевой экран, антивирусное программное обеспечение или подобное, который обеспечивает функции датчика 111 и устройства 112 управления датчиком устройства 110 обнаружения. Заметим, что информация, которая указывает тип устройства 110 обнаружения (такая как идентификатор, название продукта или подобное) может содержаться, например, в файле записей передач.
Как показано на фиг. 2, блок 210 сбора рассматриваемого варианта осуществления изобретения выполняет следующие процессы с полученным файлом записи передач: обрабатывает с целью извлечения записи цели анализа, обрабатывает с целью нормализации записи передач, обрабатывает с целью распре- 4 031992 деления записи передач и фильтрует.
Во время обработки с целью извлечения записи цели анализа блок 210 сбора извлекает запись передач, которая становится целью для обработки (анализа) подсистемой 200 отслеживания, из записей передач, содержащихся в файле записей передач, полученном из подсистемы 120 устройства управления записями. Рабочие записи, когда датчик 111 устройства обнаружения работал или был остановлен (записи, которые не нужно анализировать), содержатся в файле записей передач (необработанная запись), полученном от подсистемы 120 устройства управления записями. Блок 210 сбора извлекает только информацию, которая становится заранее определенной целью обработки (целью анализа) для подсистемы 200 отслеживания и удаляет другую информацию.
Блок 210 сбора нормализует извлеченную запись передач, являющуюся целью анализа, на основе заранее заданного правила в ходе обработки по нормализации записи передач. Более конкретно блок 210 сбора берет информацию, такую как дата и время, номер протокола, адрес (IP адрес) отправителя для интернет-протокола, порт отправителя, IP адрес назначения, порт назначения и подобное, в записи передач и подготавливает в общем формате. Например, блок 210 сбора стандартизует критерии (западный стиль, японский стиль и подобное) и формат для описания даты и времени и стандартизует систему представления (система обозначений) для IP адресов.
В зависимости от типа устройства 110 обнаружения могут быть моменты, когда отсутствует часть информации в полученной записи передач, подлежащей процессу нормализации. Для работы с такими случаями блок 210 сбора может выполнить такой процесс как ввод заранее заданного значения по умолчанию в качестве замены, замена значения (Null), которое указывает отсутствие данных, выполнение анализа без дополнения информации или подобное. Более конкретно используемый способ определяют в соответствии с типом неполной информации. Заметим, что для случаев, когда формат записи передач не соответствует спецификациям продукта для устройства 110 обнаружения, которое получает запись передач, и для случаев, когда значения в полученной записи передач не являются нормальными, блок 210 сбора определяет, что полученная запись передач является поврежденной записью передач, удаляет запись передач из целей анализа и сохраняет поврежденную запись передач в базе данных для хранения. Не являющиеся нормальными значения в полученной записи передач могут объясняться, например, информацией о дате, которая является датой в будущем.
Обработка по распределению записи передач является обработкой, когда нормализованную запись передач делят на записи передач по целям отслеживания, определенным контрактом или подобным, для случаев, когда устройство 110 обнаружения является моделью центра данных, которая берет в качестве целей передачи в нескольких устройствах 100, являющихся целями отслеживания. Например, когда реализуют службу, предоставляемую устройством 110 обнаружения, установленным в сети в среде, где используют зарегистрированное устройство 100, являющееся целью отслеживания, возможно, что устройство 110 обнаружения обнаружит передачи от нескольких устройств 100, являющихся целями отслеживания. В этом случае записи передач от нескольких устройств 100, являющихся целями отслеживания, содержатся в файле записей передач, полученном устройством 110 обнаружения. Для выполнения анализа записи передач для отдельных клиентов в рассматриваемом варианте осуществления изобретения блок 210 сбора делит запись передач по устройству 100, являющемуся целью отслеживания. Следовательно, обработка по распределению записи передач не обязательна для случаев, когда не используют вариант осуществления изобретения в виде модели центра данных и для каждой цели отслеживания обеспечивают отдельное устройство 110 обнаружения. Это объясняется тем, что запись передач уже заранее распределена.
Распределение записи передач может быть выполнено, например, на основе информации о диапазоне IP адресов. Более конкретно ниже объяснен возможный пример. Т.е. диапазон IP адресов, обрабатываемый устройством 110 обнаружения, может быть от [х.х.х.1] до [х.х.х.30], где х является числом от 0 до 255. IP адреса, выделенные клиентом А устройству, являющемуся целью отслеживания, могут быть от [х.х.х.1] до [х.х.х.10]. IP адреса, выделенные клиентом В устройству, являющемуся целью отслеживания, могут быть от [х.х.х. 11] до [х.х.х. 12]. IP адреса, выделенные клиентом С устройству, являющемуся целью отслеживания, могут быть от [х.х.х.13] до [х.х.х.30]. Благодаря тому, что в этом примере IP адрес для каждого устройства 100, являющегося целью отслеживания, заранее зарегистрирован в блоке 210 сбора, блок 210 сбора может определить, к какому устройству 100, являющемуся целью отслеживания, относится запись передач, и далее выполняют распределение.
Во время фильтрации блок 210 сбора определяет, являются ли записи передач, распределенные в ходе описанного выше процесса распределения, целями анализа, что делают на основе отдельных условий и правил, установленных в соответствии с отдельными клиентами. Элементы, подлежащие определению во время фильтрации, включают в себя IP адрес назначения, порт назначения, IP адрес отправителя, порт отправителя и подобное. Т.е. для случаев, когда IP адрес назначения в определенной записи передач представляет собой определенное значение, блок 210 сбора может выполнить такую обработку как удаление записи передач из цели анализа. Далее, когда дата и время обнаружения установлены в качестве элемента определения, блок 210 сбора может выполнить обработку так, что в цели анализа входят только передачи, которые имели место в определенную дату и время и после них.
- 5 031992
Таким образом, блок 210 сбора извлекает записи передач целей обработки из файлов записей передач в необработанной записи, полученной из подсистемы 120 устройства управления записями, и выполняют нормализацию. Далее блок 210 сбора направляет записи передач, прошедшие обработку, в расположенный дальше по ходу блок 220 обнаружения.
В рассматриваемом варианте осуществления изобретения блок исполнения для выполнения описанных выше процессов может быть выполнен из отдельных компонентов для каждого малого блока обработки. Путем объединения элементарных блоков (здесь и далее элементарный блок обработки), входящих в состав блоков обработки, состоящих из компонентов, становится возможным легко формировать процессы, соответствующие широкому спектру устройств 110 обнаружения. Содержание обработки (блоки обработки), исполняемое отдельными элементарными блоками обработки, ничем не ограничено. Содержание может быть установлено для того, чтобы сделать возможным работать с широким спектром устройств 110 обнаружения путем изменения конфигурации элементарных блоков обработки.
На фиг. 3 показана схема, иллюстрирующая пример структуры блока сбора, показанного на фиг. 2, состоящего из компонентов, являющихся элементарными блоками обработки.
Как показано на фиг. 3, множество элементарных блоков 211 обработки содержит блок 211а получения начальной информации, блок 211b получения счетчика принятых случаев, блок 211с регистрации принятых файлов, блок 211d редактирования элементов, блок 211е регистрации информации о несоответствиях форматов в записях, блок 211f редактирования общих элементов записей и блок 211g разделения клиентов. Блок 221а получения начальной информации является элементарным блоком обработки для выполнения процесса получения начальной информации. Блок 211b получения счетчика принятых случаев является элементарным блоком обработки для выполнения процесса получения количества принятых случаев. Блок 211с регистрации принятых файлов является элементарным блоком обработки для выполнения процесса регистрации принятых файлов. Блок 211d редактирования элементов является элементарным блоком обработки для выполнения процесса редактирования элементов. Блок 211е регистрации информации о несоответствиях форматов в записях является элементарным блоком обработки для выполнения процесса регистрации информации о несоответствия в записях. Блок 211f редактирования общих элементов записей является элементарным блоком обработки для выполнения процесса редактирования общих элементов записей. Блок 211g разделения клиентов является элементарным блоком обработки для выполнения процесса разделения клиентов. Элементарные блоки 211 обработки объединены с целью формирования блока 210 сбора. Заметим, что только часть элементарных блоков 211 обработки, которые составляют блок 210 сбора, показаны на фиг. 3. Например, такие элементарные блоки 211 обработки как блок 221а получения начальной информации, блок 211b получения счетчика принятых случаев и блок 211с регистрации принятых файлов выполняют обработку по извлечению записи цели анализа, показанную на фиг. 2. Такие элементарные блоки 211 обработки как блок 211d редактирования элементов, блок 211е регистрации информации о несоответствиях форматов в записях и блок 211f редактирования общих элементов записей выполняют процесс нормализации, показанный на фиг. 2. Такие элементарные блоки 211 обработки как блок 211g разделения клиентов, выполняют процесс распределения, показанный на фиг. 2.
В рассматриваемом варианте осуществления изобретения тип и последовательность применимых элементарных блоков 211 обработки установлены в соответствии с типом устройства 110 обнаружения (такие типы продукта как IDS/IPS, сетевой экран, антивирусное программное обеспечение и подобное). Т.е. применимую последовательность элементарных блоков 211 обработки подготавливают для каждого типа устройства 110 обнаружения устройства 100, являющегося целью отслеживания и установленного в качестве отслеживаемой цели. Далее выполняют обработку в каждом элементарном блоке 211 обработки путем применения последовательности, установленной с целью выполнения обработки файла записей передач в соответствии с типом устройства 110 обнаружения, которое получает файл записей передач, являющийся целью обработки.
Результаты обработки, выполненной каждым элементарным блоком 211 обработки блока 210 обнаружения, могут быть временно сохранены в памяти компьютера, которая, например, входит в состав блока 210 сбора. Далее, когда обработка блока 210 сбора завершена, результаты вместе с записью передач направляют на расположенный дальше по ходу блок 220 обнаружения.
Функции блока обнаружения.
На фиг. 4 показан пример функциональной структуры блока 220 обнаружения, входящего в состав подсистемы 200 отслеживания.
Блок 220 обнаружения, который является вторым блоком обработки, выполняет процессы обработки записей передач, которые получены из расположенного раньше по ходу блока 210 сбора. Процессы обработки установлены в соответствии с типом устройства 110 обнаружения, которое получает основная запись передач (необработанная запись) файла записей передач. В настоящем документе тип устройства обнаружения является категорией службы безопасности (IDS/IPS, сетевой экран и подобное) для обеспечения функций датчика 111 и устройства 112 управления датчиком устройства 110 обнаружения. Заметим, что информация, которая указывает тип устройства обнаружения, такая как идентификатор, название оборудования, может содержаться, например, в файле записей передач.
- 6 031992
Как показано на фиг. 4, блок 220 обнаружения рассматриваемого варианта осуществления изобретения выполняет обработку по добавлению общей информации и обработку по группировке записей (созданию событий) для записи передач, обработанного блоком 210 сбора.
В ходе обработки по добавлению общей информации блок 220 обнаружения добавляет общую информацию, используемую при анализе записи передач. Общая информация является информацией, касающейся общих элементов в каждой записи передач. В рассматриваемом варианте осуществления изобретения следующие пять элементов установлены как общая информация: информация о шаблоне атаки (идентификатор исходной подписи), классификация направления передачи, информация о действии по правилам, номер или название протокола и код страны.
Информация о шаблоне атаки представляет собой информацию, добавленную в записи передач подсистемой 200 отслеживания для указания шаблона атаки. Когда устройство 110 обнаружения обнаруживает некоторый тип атаки в записи (необработанная запись) передач, оно добавляет в запись передач информацию, указывающую обнаруженную атаку (информация о производителе или подписи). Тем не менее, формат этой информации различен в зависимости от типа устройства 100, являющегося целью отслеживания, и типа устройства 110 обнаружения. Соответственно в рассматриваемом варианте осуществления изобретения блок 220 обнаружения добавляет исходную информацию (информацию о шаблоне атаки) в запись передач.
Классификация направления передачи представляет собой информацию, которая показывает, является ли передача, отображенная в записи передач, передачей, выполненной из внешней сети во внутреннюю сеть, с точки зрения устройства 100, являющегося целью отслеживания, или является передачей, выполненной в противоположном направлении, из внутренней сети, через устройство 100, являющееся целью отслеживания, по направлению к внешней сети. В области сетевой безопасности последствия и важность передач сильно меняется в зависимости от того, является ли источник передачи внутренней сетью или внешней сетью. В качестве конкретного примера описан случай записи передач для передач, выполненных зараженным компьютерным вирусом устройством обработки информации. В этом случае обработка информации, зараженной компьютерным вирусом, имеет место во внешней сети, так что не существует особых проблем в случае, когда передачу выполняют из внешней сети. С другой стороны, когда передачу направляют из внутренней сети, когда устройство обработки информации устройства 100, являющегося целью отслеживания, зараженное компьютерным вирусом, присутствует во внутренней сети, которая является целью, подлежащей защите, такую ситуацию нужно обработать. В рассматриваемом варианте осуществления изобретения блок 220 обнаружения добавляет в запись передач информацию о классификации направления передачи, показывающую направление передач. Информация о классификации направления передачи может быть получена, например, путем ссылки на сетевой адрес и частный адрес устройства 100, являющегося целью отслеживания, и определения, принадлежит ли IP адрес отправителя или IP адрес назначения внутренней сети устройства 100, являющегося целью отслеживания, или внешней сети.
Информация о действии по правилам представляет собой информацию, показывающую действие, выполненное устройством 110 обнаружения в ответ на передачу, когда в устройстве 100, являющемся целью отслеживания, обнаружена передача. Для случаев, когда в качестве устройства 110 обнаружения используют устройство защиты, такое как IDS или IPS, устройство сообщает, что обнаружена опасная передача или останавливает передачу путем непредоставления разрешения на основе функциональных возможностей устройства. Блок 220 обнаружения добавляет информацию, показывающую тип выполненного действия. Существуют случаи, когда информацию о действии по правилам добавляют в запись передач в зависимости от устройства защиты, используемого в качестве устройства 110 обнаружения. Тем не менее, даже для одинаковых действий название, используемое для действия, может быть разным в зависимости от типа используемого устройства защиты. Следовательно, блок 220 обнаружения подсистемы 200 отслеживания добавляет стандартизованные названия.
Номер или название протокола представляет собой информацию, показывающую тип протокола передачи, используемого в передачах, отображенных в записи передач. Существует несколько типов протоколов, такие как TCP, UDT, и, следовательно, блок 220 обнаружения добавляет информацию для классификации протоколов. В рассматриваемом варианте осуществления изобретения информация, показывающая типы протокола передачи, может быть установлена, например, на основе определений Администрации адресного пространства Интернет (IANA).
Код страны представляет собой информацию, показывающую страну отправителя и страну назначения для передач, отображенных в записи передач. Страны определяют на основе IP адреса отправителя и IP адреса назначения из записи передач. Коды стран, в основном, используют в качестве статистической информации. Также коды стран могут быть использованы при анализе записи передач при учете различий в уровнях опасности передач на основе того, является ли страна отправителя или страна назначения страной с большим количеством атак с несанкционированными передачами и приходят ли несанкционированные передачи из страны, где расположен блок 220 обнаружения.
Таким образом, блок 220 обнаружения добавляет информацию в записи передач как информацию общего формата. Эта информация имеет большую ценность при анализе записей передач.
- 7 031992
Блок 220 обнаружения рассматривает записи передач на основе необходимости и во время обработки по группировке записей вырабатывает события, которые являются информацией блока анализа. Степень детализации информации записей передач различается в зависимости от типа устройства защиты, используемого в качестве устройства 110 обнаружения. Например, когда устройство 110 обнаружения является сетевым экраном и найдена передача, подлежащая обнаружению, датчик 111 немедленно обнаруживает передачу. Если устройство 110 обнаружения является IDS или подобным, датчик 111 может посчитать передачу опасной в соответствии с заранее заданным правилом на основе множества случаев имевших место опасных передач. Для случаев, когда устройство 110 обнаружения является антивирусным программным обеспечением, датчик 111 обнаруживает заражение, когда являющееся целью устройство обработки информации заражено компьютерным вирусом. Следовательно, вес информации в одной записи передач различается в соответствии с типом устройства 110 обнаружения. В рассматриваемом варианте осуществления изобретения блок 220 обнаружения группирует множество записей передач, создает события и выравнивает степень детализации информации, которая зависит от типа устройства обнаружения. Т.е. блок 220 обнаружения создает одно событие с очень малым количеством записей передач, когда одна запись передач, полученная устройством 110 обнаружения, содержит большой объем информации. С другой стороны, блок 220 обнаружения создает одно событие с достаточно большим количеством записей передач, когда одна запись передач, полученная устройством 110 обнаружения, содержит небольшой объем информации.
В качестве одного примера в рассматриваемом варианте осуществления изобретения обработка по созданию событий различна в случаях, когда устройство 110 обнаружения является сетевым экраном и когда устройство 110 обнаружения является устройством другого типа. Более конкретно, если устройство 110 обнаружения является сетевым экраном, то, как описано выше, в записях передач (датчик 111 обнаружил одну передачу) присутствует небольшой объем информации. Следовательно, блок 220 обнаружения вырабатывает событие путем группирования полученных записей передач в соответствии с заранее заданным правилом. Записи передач, полученные тогда, когда устройство обнаружения является устройством, отличным от сетевого экрана, содержат сравнительно большой объем информации в каждой записи передач по сравнению со случаем сетевого экрана (передачи и подобное, обнаруженное датчиком 111, подразумевают множество передач). Таким образом, в этом случае блок 220 обнаружения создает одно событие для одной записи.
Когда устройство 110 обнаружения является сетевым экраном, обработку по выработке событий выполняют следующим образом. Сначала блок 220 обнаружения собирает вместе записи передач, соответствующие заранее заданному правилу группировки, и создает событие на основе информации, содержащейся в записях передач, и общей информации, добавленной в записи передач в ходе описанной выше обработки по добавлению общей информации. Более конкретно блок 220 обнаружения может взять записи передач в качестве целей, когда общими являются следующие элементы для принятия решения: идентификатор клиента, дата обнаружения, IP адрес отправителя, номер порта отправителя, IP адрес назначения или номер порта назначения, содержащиеся в записях передач, и классификацию направления передачи, действие по правилам и номер (название) протокола, которые являются общей информацией. Блок 220 обнаружения собирает вместе подходящие записи передач и создает одно событие, когда количество записей передач с общими элементами для принятия решения больше или равно заранее заданному пороговому значению.
Далее выполняют определение с помощью группировки на основе сканирования хостов для записей передач, определенных как не соответствующие, что делают на основе описанных выше правил группировки. Более конкретно блок 220 обнаружения может взять записи передач в качестве целей, когда общими являются следующие элементы для принятия решения: идентификатор клиента, дата обнаружения, IP адрес отправителя, номер порта отправителя, номер порта назначения, содержащиеся в записях передач, и общая информация, содержащая классификацию направления передачи, действие по правилам и номер (название) протокола. Блок 220 обнаружения собирает вместе подходящие записи передач и создает одно событие, когда количество записей передач с определенным IP адресом назначения из записей передач с общими элементами для принятия решения больше или равно заранее заданному пороговому значению.
Далее выполняют определение с помощью группировки на основе сканирования портов для записей передач, определенных как не соответствующие, что делают на основе описанной выше группировки на основе сканирования хостов. Более конкретно блок 220 обнаружения может взять записи передач в качестве целей, когда общими являются следующие элементы для принятия решения: идентификатор клиента, дата обнаружения, IP адрес отправителя, номер порта отправителя, IP адрес назначения, содержащиеся в записях передач, и общая информация, содержащая классификацию направления передачи, действие по правилам и номер (название) протокола. Блок 220 обнаружения собирает вместе подходящие записи передач и создает одно событие, когда количество записей передач с определенным номером порта назначения из записей передач с общими элементами для принятия решения больше или равно заранее заданному пороговому значению.
Блок 220 обнаружения собирает вместе подходящие записи передач и создает одно событие по за
- 8 031992 ранее заданному количеству записей передач для не соответствующих записей передач, определенных в ходе группировки на основе сканирования портов. Таким образом, блок 220 обнаружения группирует записи передач, полученные устройством 110 обнаружения, являющимся сетевым экраном, с малой степенью детализации информации. Степень детализации информации приближается к степени детализации информации записей передач (событий), полученных другими устройствами 110 обнаружения. Далее блок 220 сбора направляет события с выровненной степенью детализации информации в расположенный дальше по ходу блок 230 анализа.
В рассматриваемом варианте осуществления изобретения блок исполнения для выполнения процессов, аналогичных описанным выше, выполнен путем разделения на компоненты, которые являются небольшими блоками обработки. Путем объединения являющихся компонентами элементарных блоков обработки (здесь и далее элементарные блоки обработки) может быть спроектировано содержание обработки, выполняемой блоком 220 обнаружения (например, тип и последовательность отдельных блоков обработки). Таким образом, становится возможным легко формировать процессы обработки, соответствующие широкому спектру устройств 100, являющихся целями отслеживания. На содержание обработки (блоки обработки), выполняемой отдельными элементарными блоками обработки, не накладывают конкретных ограничений. Содержание устанавливают таким образом, чтобы было возможно работать с разнообразными устройствами 100, являющимися целями отслеживания, путем объединения элементарных блоков обработки.
На фиг. 5 показан пример структуры блока 220 обнаружения, состоящего из компонентов, являющихся элементарными блоками обработки.
В примере, показанном на фиг. 5, множество элементарных блоков 211 обработки содержит блок 221а добавления уникальной идентификационной информации, блок 221b добавления классификаций направления передачи, блок 221с добавления действий по правилам, блок 221d добавления номеров и названий протоколов, блок 221e добавления кодов стран, блок 221f определения правил группировки, блок 221g группировки на основе сканирования хостов и блок 221h группировки на основе сканирования портов. Блок 221а добавления уникальной идентификационной информации является элементарным блоком обработки для добавления уникальной идентификационной информации. Блок 221b добавления классификаций направления передачи является элементарным блоком обработки для добавления классификаций направления передачи.
Блок 221с добавления действий по правилам является элементарным блоком обработки для добавления действий по правилам. Блок 221d добавления номеров и названий протоколов является элементарным блоком обработки для добавления номеров и названий протоколов. Блок 221e добавления кодов стран является элементарным блоком обработки для добавления кодов стран. Блок 221f определения правил группировки является элементарным блоком обработки для определения правил группировки. Блок 221g группировки на основе сканирования хостов является элементарным блоком обработки для группировки на основе сканирования хостов. Блок 221h группировки на основе сканирования портов является элементарным блоком обработки для группировки на основе сканирования портов. Объединение элементарных блоков 221 обработки образует блок 220 обнаружения. Заметим, что только часть элементарных блоков 221 обработки, которые составляют блок 220 обнаружения, показаны на фиг. 5. Например, элементарные блоки 221 обработки, такие как блок 221а добавления уникальной идентификационной информации, блок 221b добавления классификаций направления передачи, блок 221с добавления действий по правилам, блок 221d добавления номеров и названий протоколов и блок 221e добавления кодов стран, выполняют обработку по добавлению общей информации, показанную на фиг. 4. Такие элементарные блоки 221 обработки, как блок 221f определения правил группировки, блок 221g группировки на основе сканирования хостов и блок 221h группировки на основе сканирования портов, выполняют обработку по группировке записей (созданию событий), показанную на фиг. 4.
В рассматриваемом варианте осуществления изобретения тип и последовательность применимых элементарных блоков 221 обработки установлены в зависимости от типа устройства 100, являющегося целью отслеживания (классификация устройств защиты). Т.е. применимую последовательность элементарных блоков 221 обработки подготавливают для каждого типа устройства 100, являющегося целью отслеживания и установленного в качестве отслеживаемой цели. Далее выполняют обработку в каждом элементарном блоке 221 обработки путем применения последовательности, установленной с целью выполнения обработки файла записей передач в соответствии с типом устройства 100, которое является целью отслеживания и которое получает файл записей передач, являющийся целью обработки.
Результаты обработки, выполненной каждым элементарным блоком 221 обработки блока 220 обнаружения, могут быть временно сохранены в памяти компьютера, которая, например, входит в состав блока 220 сбора. Далее, когда обработка блоком 220 обнаружения завершена, результаты вместе с записью передач направляют на расположенный дальше по ходу блок 230 анализа.
Функции блока анализа.
На фиг. 6 показан пример функциональной структуры блока 230 анализа, входящего в состав подсистемы 200 отслеживания.
В примере структуры, показанном на фиг. 6, блок 230 анализа, который является третьим блоком
- 9 031992 обработки, выполнен из обрабатывающего устройства 230а отдельного анализа, обрабатывающего устройства 230b группировки событий, обрабатывающего устройства 230с анализа корреляций и обрабатывающего устройства 230d анализа приращений.
Обрабатывающее устройство 230а отдельного анализа определяет, существует или нет проблема в отдельных событиях, выработанных блоком 220 обнаружения. Более конкретно обрабатывающее устройство 230а отдельного анализа проверяет события (выполняет соотнесение) и списки (черные списки), касающиеся несанкционированных передач, и определяет, что передача, отображенная в конкретном событии, является несанкционированной передачей, когда найдено соответствие. IP адреса, касающиеся проблемных передач, могут быть, например, записаны в список несанкционированных передач. Далее обрабатывающее устройство 230а отдельного анализа определяет, что передача является несанкционированной передачей, когда или IP адрес отправителя, или IP адрес назначения для передачи, отображенной в событии, соответствует IP адресу, записанному в списке.
Более того, обрабатывающее устройство 230а отдельного анализа определяет, выполнять или нет обработку на основе корреляции между событиями, когда благодаря соответствию со списком проблемных передач определено, что существует проблемная передача. Т.е. обрабатывающее устройство 230а отдельного анализа функционирует как блок классификации (классификатор) для классификации событий на события, для которых анализ выполнен на основе корреляции, и события, для которых не выполнен корреляционный анализ на основе корреляции. Определение, является ли событие целью для анализа на основе корреляции, может быть выполнено, например, следующим образом: выполняют определение с помощью общей информации (такой как информация о шаблоне атаки, информация о направлении передачи и подобная информация), добавленной к записи передач блоком 220 обнаружения в ходе обработки по добавлению общей информации на основе конкретного содержания передачи. Для событий, для которых определено, что они являются целями, для которых должен быть выполнен анализ на основе корреляции, далее обрабатывающее устройство 230b группировки событий выполняет обработку, направленную на группировку. С другой стороны, для событий, для которых определено, что не нужно выполнять анализ на основе корреляции, блок 230 анализа направляет событие на блок 240 ручного анализа без дальнейшего выполнения анализа (т.е. в качестве цели, для которой не нужно выполнять корреляционный анализ или анализ приращений).
Обрабатывающее устройство 230b группировки событий группирует события, которые обрабатывающее устройство 230а отдельного анализа определило как цели анализа на основе корреляции. События группируют на основе заранее заданного правила. Обрабатывающее устройство 230b группировки событий также генерирует список событий (цепочку событий) из одного или нескольких событий. Кроме того, обрабатывающее устройство 230b группировки событий группирует цепочки событий на основе заранее заданного правила и генерирует потенциальный инцидент из одной или более цепочек событий. Потенциальный инцидент становится целью обнаружения в ходе анализа (называется обнаруженным потенциальным инцидентом). Т.е. устройство 230b группировки событий функционирует как блок группировки (устройство группировки) для группировки событий и выработки обнаруженных потенциальных инцидентов. Более конкретно обрабатывающее устройство 230b группировки событий может делать следующее для атак, осуществленных с помощью несанкционированного доступа с сервера или подобного устройства, присутствующего во внешней сети. Например, обрабатывающее устройство 230b группировки событий может, например, извлекать передачу с предполагаемым наличием атак от одного и того же нападающего лица (доступ) с использованием одного и того же элемента атаки (способ доступа), с одной и той же целью атаки или подобного и может собирать извлеченные передачи как обнаруженные потенциальные инциденты. Извлечение передач с предполагаемым наличием атак от одного и того же нападающего лица с использованием одного и того же элемента атаки, с одной и той же целью атаки или подобным может быть выполнено на основе такой информации как, например, IP адрес отправителя, классификация направления передачи, дата обнаружения или подобной.
Получение записи передач устройством 110 обнаружения и подсистемой 120 устройства управления записями и обработку блоком 210 сбора и блоком 220 обнаружения подсистемы 200 отслеживания выполняют по необходимости. Таким образом, события вырабатывают одно за другим с разделением во времени. Когда обрабатывающее устройство 230b группировки событий определило целевое событие, содержащееся в конкретном обнаруженном потенциальном инциденте, новое выработанное событие вставляют в обнаруженный потенциальный инцидент. Следовательно, обнаруженный потенциальный инцидент становится целью для обработки в обрабатывающем устройстве 230с анализа корреляций и обрабатывающем устройстве 230d анализа приращений для каждого вновь добавленного события.
Благодаря выполнению определения вставки шаблона атаки и определению случаев превышения порогового значения, обрабатывающее устройство 230с (блок анализа, устройство анализа) анализа корреляций определяет, является ли обнаруженный потенциальный инцидент, который представляет собой объединение множества событий, проблемной передачей.
Во время определения объединения шаблона атаки обрабатывающее устройство 230с анализа корреляций определяет, является ли передача, указанная обнаруженным потенциальным инцидентом, проблемной передачей. Определение выполняют с использованием конкретного типа передачи на основе
- 10 031992 направления передачи, IP адресов (диапазонов) отправителя и назначения, отправителя и назначения, действий по правилам, кодов стран отправителя и назначения, данных сессии и подобного и на основе информация о шаблоне атаки (идентификатор исходной подписи). Т.е. обрабатывающее устройство 230с анализа корреляций определяет, соответствует или нет содержание передачи, указанное обнаруженным потенциальным инцидентом, шаблону атаки, указанному в информации о шаблоне атаки. Заметим, что обрабатывающее устройство 230с анализа корреляций определяет, существует ли высокая вероятность выполнения реальной атаки (использование информации, удаление или подобное) в соответствии с этой информацией.
Во время определения случаев превышения порогового значения обрабатывающее устройство 230с анализа корреляций определяет, является ли передача, указанная обнаруженным потенциальным инцидентом, проблемной передачей. Определение выполняют на основе информации о количестве случаев направления передачи, IP адресов (диапазонов) отправителя и назначения, отправителя и назначения, действий по правилам, кодов стран отправителя и назначения и подобного из записей передач, содержащихся в обнаруженном потенциальном инциденте. Обрабатывающее устройство 230с анализа корреляций определяет, возросло ли значительно количество передач, указанных в обнаруженном потенциальном инциденте, по сравнению с обычным количеством.
На фиг. 7 показана схема, иллюстрирующая идею корреляционного анализа.
Обрабатывающее устройство 230b группировки событий блока 230 анализа группирует события, которые стали целями группирующей обработки, вырабатывает последовательность событий и, кроме того, вырабатывает обнаруженный потенциальный инцидент из событий, полученных из блока 220 обнаружения. Далее обрабатывающее устройство 230b группировки событий осуществляет определение объединения шаблонов атак и определение случаев превышения порогового значения для каждого обнаруженного потенциального инцидента, что делают на основе последовательности событий, содержащейся в каждом обнаруженном потенциальном инциденте, и корреляции между событиями.
Обрабатывающее устройство 230d анализа приращений определяет, является ли обнаруженный потенциальный инцидент, который представляет собой объединение множества событий, проблемной передачей, что делают путем выполнения определения изменения инцидента, определения увеличения элемента атаки, определения увеличения случаев атак и определения увеличения назначений атак. Например, для атак с сервера или подобного устройства, существующего во внешней сети, атака может быть не единичным инцидентом, а одна и та же атака может постоянно повторяться, содержание атаки может изменяться или может увеличиваться количество назначений атаки. Обрабатывающее устройство 230d анализа приращений определяет, испытывают ли проблемные передачи предполагаемые изменения инцидентов, что делают на основе записи передач, содержащейся в обнаруженном потенциальном инциденте.
Далее приведено объяснение для указанных определений. Например, обрабатывающее устройство 230d анализа приращений может определить подходящие изменения правил анализа (правила для определения объединения шаблонов атак или определения случаев превышения порогового значения), используемых при анализе каждого обнаруженного потенциального события на основе результатов анализа для фиксированного периода времени (например, один день) из обрабатывающего устройства 230с анализа корреляций.
Определение изменения инцидента может быть использовано для случаев применения правил, отличных от правил предыдущего анализа (другой инцидент). Обрабатывающее устройство 230d анализа приращений определяет, что передача, содержащаяся в являющемся целью определения обнаруженном потенциальном инциденте, представляет собой проблемную передачу.
Определение увеличения элемента атаки может быть использовано для случаев, когда применяют правила, совпадающие с правилами предыдущего анализа, но увеличилось количество информации о шаблоне атаки, являющей целью подтверждения (увеличилась цель подтверждения элемента атаки). Обрабатывающее устройство 230d анализа приращений определяет, что передача, содержащаяся в являющемся целью определения обнаруженном потенциальном инциденте, представляет собой проблемную передачу.
Определение увеличения случаев атак может быть использовано для случаев, когда передачи обладают совпадающей информацией о шаблоне атаки, являющейся целью подтверждения (совпадающий элемент атаки), для случаев, когда передачи продолжаются от одного и того же нападающего лица, и для случаев, когда из-за таких передач увеличилось количество событий на единицу времени. Обрабатывающее устройство 230d анализа приращений определяет, что передача, содержащаяся в являющемся целью определения обнаруженном потенциальном инциденте, представляет собой проблемную передачу.
Определение увеличения назначений атак может быть использовано для случаев увеличения назначений атак или назначений соединений. Обрабатывающее устройство 230d анализа приращений определяет, что передача, содержащаяся в являющемся целью определения обнаруженном потенциальном инциденте, представляет собой проблемную передачу.
На фиг. 8А и фиг. 8В показаны схемы, иллюстрирующие идею анализа приращений в рассматри- 11 031992 ваемом варианте осуществления изобретения. На фиг. 8А показан пример структуры одного обнаруженного потенциального инцидента, который становится целью корреляционного анализа для определенного анализа. На фиг. 8В показан пример структуры того же обнаруженного потенциального инцидента для следующего анализа.
Предыдущую структуру анализа (как показано на фиг. 8А) и текущую структуру анализа (как показано на фиг. 8В), которые относятся к одному и тому же обнаруженному потенциальному инциденту, сравнивают в настоящем документе. С текущей структурой анализа последовательность событий (затемненная последовательность событий на фиг. 8В), не содержащаяся в предыдущем анализе, присутствует в текущей структуре анализа. Соответственно определяют, что обнаруженный потенциальный инцидент является проблемной передачей в любом из описанных выше процессов: определение изменения инцидента, определение увеличения элемента атаки, определение увеличения случаев атаки или определение увеличения назначений атак.
После выполнения определения каждого типа блок 230 анализа направляет результаты анализа для каждого определенного потенциального инцидента на блок 240 ручного анализа со связью с являющимися целью анализа обнаруженными потенциальным инцидентами. Результаты анализа из блока 230 анализа показывают, что каждый обнаруженный потенциальный инцидент представляет собой несанкционированную передачу, проблемную передачу (передачу, которая возможно является несанкционированной передачей) или не является несанкционированной передачей.
В рассматриваемом варианте осуществления изобретения обрабатывающее устройство 230а отдельного анализа, обрабатывающее устройство 230b группировки событий, обрабатывающее устройство 230с анализа корреляций и обрабатывающее устройство 230d анализа приращений, которые выполняют описанные выше процессы обработки, выполнены как состоящие из компонентов, которые являются элементарными блоками обработки. Путем объединения являющихся компонентами элементарных блоков обработки (здесь и далее элементарные блоки обработки) может быть спроектировано содержание обработки, выполняемой каждым из обрабатывающих устройств 230а-230d (такое как тип и последовательность отдельных блоков обработки). И, таким образом, возможно легко отвечать, когда обнаружены атаки, использующие до сих пор неизвестные способы атаки. Это может быть выполнено путем увеличения количества элементарных блоков обработки для подходящей обработки с целью определения того, что передача подверглась такой атаке.
На фиг. 9 показана схема, иллюстрирующая пример структуры блока 230 анализа, который состоит из компонентов, являющихся элементарными блоками обработки, содержащими обрабатывающее устройство 230а отдельного анализа, обрабатывающее устройство 230b объединения событий, обрабатывающее устройство 230с анализа корреляций и обрабатывающее устройство 230d анализа приращений.
В примере структуры, показанном на фиг. 9, множество элементарных блоков 231 обработки содержит блок 231а списочных запросов, блок 232b группировки событий, блок 231с группировки последовательностей событий, блок 231d определения объединения шаблонов атак, блок 231е определения случаев превышения порогового значения, блок 231f определения изменения инцидентов, блок 231g определения увеличения элемента атаки и блок, блок 231h определения скорости увеличения случаев и блок 231i определения увеличения IP адресов назначения. Блок 231а списочных запросов является элементарным блоком обработки для выполнения списочных запросов. Блок 232b группировки событий является элементарным блоком обработки для выполнения группировки событий. Блок 231с группировки последовательностей событий является элементарным блоком обработки для выполнения группировки последовательностей событий. Блок 231d определения объединения шаблонов атак является элементарным блоком обработки для выполнения обработки по определению объединения шаблонов атак. Блок 231е определения случаев превышения порогового значения является элементарным блоком обработки для выполнения определения того, что количество случаев превысило пороговое значение. Блок 231f определения изменения инцидентов является элементарным блоком обработки для выполнения определения, изменился ли инцидент. Блок 231g определения увеличения элемента атаки является элементарным блоком обработки для выполнения обработки с целью определения того, что присутствует увеличение элемента атаки. Блок 231h определения скорости увеличения количества случаев является элементарным блоком обработки для выполнения определения скорости увеличения количества случаев. Блок 231i определения увеличения количества IP адресов назначения является элементарным блоком обработки для выполнения определения, присутствует ли увеличение количества IP адресов назначения. Объединение элементарных блоков 211 обработки образует каждое обрабатывающее устройство 230а-230d блока 230 анализа. Заметим, что только часть элементарных блоков 231 обработки, которые составляют блок 230 анализа, показаны на фиг. 9. Например, элементарные блоки 231 обработки, такие как блок 231а списочных запросов, обрабатывают запросы из списка проблемных передач с помощью обрабатывающего устройства 230а отдельного анализа. Элементарные блоки 231 обработки, такие как блок 232b группировки событий и блок 231с группировки последовательностей событий, выполняют выработку последовательностей событий и обнаруженных потенциальных инцидентов с помощью обрабатывающего устройства 230b группировки событий. Элементарные блоки 231 обработки, такие как блок 231d определения объединения шаблонов атак и блок 231е определения случаев превышения порогового значения,
- 12 031992 выполняют анализ с помощью обрабатывающего устройства 230с анализа корреляций. Элементарные блоки 231 обработки, такие как блок 231f определения изменения инцидентов, блок 231g определения увеличения элемента атаки, блок 231h определения скорости увеличения количества случаев и блок 231i определения увеличения количества IP адресов назначения, выполняют анализ с помощью обрабатывающего устройства 230d анализа приращений. Примеры элементарных блоков 231 обработки содержат обрабатывающее устройство 230а отдельного анализа, обрабатывающее устройство 230b группировки событий, обрабатывающее устройство 230с анализа корреляций и обрабатывающее устройство 230d анализа приращений. Обрабатывающее устройство 230а отдельного анализа, обрабатывающее устройство 230b группировки событий, обрабатывающее устройство 230с анализа корреляций и обрабатывающее устройство 230d анализа приращений могут быть подготовлены, и каждое может выполнять обработку параллельно или асинхронно.
Результаты обработки по отдельному анализу, обработки по группировке событий, обработки по анализу корреляций и обработки по анализу приращений, которые выполнены каждым из элементарных блоков 231 обработки блока 230 анализа, могут быть временно сохранены в памяти компьютера, которая, например, входит в состав блока 230 анализа. Далее результаты направляют на расположенный дальше по ходу блок 240 ручного анализа вместе с инцидентами, которые являются целями обнаружения и для которых завершена обработка по анализу каждого типа, и с событиями, не взятыми как цели группировки во время обработки по отдельному анализу.
Функции блока ручного анализа.
На фиг. 10 показана схема, иллюстрирующая функциональную структуру блока 240 ручного анализа подсистемы 200 отслеживания.
Блок 240 ручного анализа, который является четвертым блоком обработки, управляет и сохраняет события, последовательности событий и информацию об обнаруженных потенциальных инцидентах, полученную в ходе каждого из упомянутых выше процессов обработки, выполненных блоком 220 обнаружения и блоком 230 анализа, в устройстве 241 хранения вместе с результатами из блока 230 анализа. Далее блок 240 ручного анализа направляет события, последовательности событий, информацию об обнаруженных потенциальных инцидентах и результаты анализа из блока 230 анализа, сохраненные в устройстве 241 хранения, на конечное устройство 300 с использованием устройства 242 направления и приема, что делают в ответ на запрос от конечного устройства 300. Кроме того, блок 240 ручного анализа получает информацию этого типа в конечном устройстве 300 из устройства 242 направления и приема, связывает полученную информацию с сохраненной информацией и управляет полученной информацией.
Передачи между блоками обработки подсистемы отслеживания.
Система отслеживания безопасности, соответствующая рассматриваемому варианту осуществления изобретения, отслеживает передачи в устройстве 100, являющемся целью отслеживания, и обнаруживает проблемные передачи в режиме реального времени. Т.е. система отслеживания безопасности не является системой, которая анализирует сохраненные файлы записей передач и обнаруживает проблемные передачи после их осуществления. Таким образом, предпочтительно насколько возможно быстро передавать файлы записей между каждым блоком обработки в подсистеме 200 отслеживания, чтобы обнаружить проблемные передачи из записей передач. Например, выполняют передачи без установления соединения вместо использования передач с соединением, таких как протокол (TCP) управления передачей. Таким образом, в рассматриваемом варианте осуществления изобретения выполняют передачи без установления соединения.
Для случаев, когда передачу записей передач выполняют в ходе связи без установления соединения, не выполняют определение того, осуществлена или нет нормально каждая отдельная передача между блоками обработки в подсистеме 200 отслеживания, в отличие от передач с установлением соединения. Следовательно, невозможно подтвердить тот факт, что передачи выполнены нормально, даже если файл записей передач, являющийся целью обработки, потерян во время передачи между блоками обработки. Таким образом, необходимо применять механизм для обнаружения, когда передачи не были выполнены нормально, для случаев, когда файл записей передач, являющийся целью обработки, был потерян во время обработки подсистемой 200 отслеживания.
На фиг. 11 показана схема, поясняющая способ перемещения файла записей передач в рассматриваемом варианте осуществления изобретения.
На фиг. 11 показаны примеры блоков обработки, входящих в состав подсистемы 200 отслеживания (пример подсистемы 200 отслеживания, состоящей из блока 210 сбора, блока 220 обнаружения, блока 230 анализа и блока 240 ручного анализа). В рассматриваемом варианте осуществления изобретения структура для обеспечения обратной связи для первого блока обработки применяется в примере блока обработки, который показан на фиг. 11. Структура обратной связи подтверждает, что была нормально выполнена передача записей передач от первого блока обработки (блока 210 сбора) к конечному блоку обработки (блок 240 ручного анализа).
Т.е. блок 240 ручного анализа, который является последним блоком обработки в подсистеме 200 отслеживания, принимает событие или информацию об обнаруженных потенциальных инцидентах из блока 230 анализа, уведомляет блок 210 сбора, который является первым блоком обработки, что принята
- 13 031992 запись передач, содержащая событие или информацию об обнаруженных потенциальных инцидентах. Таким образом, первый блок 210 сбора подтверждает, что файл записей передач, являющийся целью обработки, достиг последнего блока обработки (блок 240 ручного анализа), не потерявшись и пройдя через все блоки обработки. После направления файла записей передач на блок 220 обнаружения, который является расположенным дальше по ходу блоком, блок 210 сбора повторно направляет тот же файл записей передач, например, фиксированное количество раз, до тех пор, пока не будет выполнено заранее заданное условие остановки повторного направления.
Примером условия остановки повторного направления может быть прием в течение фиксированного промежутка времени от момента предыдущего направления от блока 240 ручного анализа уведомления, показывающего, что получен файл записей передач. Для случаев, когда условие остановки повторного направления установлено таким образом, и файл записей передач, являющийся целью обработки, потерян по какой-то причине и не достиг блока 240 ручного анализа, уведомление от блока 240 ручного анализа в блок 210 сбора не направляют (не выполняется условие остановки повторного направления). Следовательно, идентичный файл записей передач повторно направляют от блока 210 сбора по прошествии фиксированного промежутка времени.
Условие, когда тот же файл записей передач направляют заранее заданное количество раз, также может быть установлено как другой пример условия остановки повторного направления. Кроме того, заранее заданный промежуток времени, проходящий от первой передачи, также может быть установлен как еще одно условие остановки повторного направления. Благодаря такой установке условия остановки повторного направления может быть определен ущерб для подсистемы 200 отслеживания без потери изза спецификаций передач без установления соединения для случаев, когда файл записей передач нормально не передан при повторении передачи заранее заданное количество раз. В этом случае оператора системы уведомляют, что установлено повторное направление файла записей передач и что имеет место ущерб для подсистемы 200 отслеживания. Заметим, что подсчет количества направлений одного и того же файла записей передач может быть осуществлен путем подсчета количества раз, которое блок 210 сбора, например, направляет файл записей передач и сохранения подсчитанного количества раз.
При способе передачи, который выполнен описанным выше образом, тот факт, что файл записей передач был потерян на некотором этапе во время передачи файла записей передач между блоками обработки, может быть осознан в случаях, когда файл записей передач, являющийся целью обработки, не достиг блока 240 ручного анализа. С другой стороны, невозможна идентификация, когда потерян файл записей передач. Тем не менее, в рассматриваемом варианте осуществления изобретения процессы обработки (анализ) для файла записей передач не завершены, если файл записей передач не достиг блока 240 ручного анализа. Блок 240 ручного анализа, который расположен в конце последовательности блоков обработки подсистемы 200 отслеживания, таким образом, выбран в качестве позиции поиска.
Для описанного выше способа передачи файл записей передач передают снова от первого блока 210 сбора до последнего блока 240 ручного анализа, даже если файл записей передач потерян где-то между блоками обработки во время его передач. Соответственно если файл записей передач потерян, например, между блоком 230 анализа и блоком 240 ручного анализа, то тот же файл записей передач снова передают даже через процессы обработки, выполненные блоком 220 обнаружения и блоком 230 анализа, до завершения файла записей передач.
Тем не менее, в рассматриваемом варианте осуществления изобретения, если файл записей передач не достиг блока 240 ручного анализа, результаты обработки от каждого блока обработки не сохраняют в устройстве 241 хранения блока 240 ручного анализа и результаты теряются вместе с файлом записей передач. Следовательно, каждый из блоков обработки выполняет обработку повторно направленного файла записей передач, независимо от того, был ли уже обработан файл записей передач во время его предыдущего направления.
На фиг. 12 показан пример перемещения файла записей передач в рассматриваемом варианте осуществления изобретения.
На фиг. 12 символ х означает, что файл записей передач был потерян, а о означает, что файл записей передач достиг блока 240 ручного анализа. Стрелка Ta1 указывает направление в первый раз, стрелка Ta2 указывает направление во второй раз и стрелка Ta3 указывает направление в третий раз.
В примере, показанном на фиг. 12, при направлении в первый раз определенный файл записей передач направляют из блока 210 сбора в блок 220 обнаружения. После обработки в блоке 220 обнаружения файл записей передач направляют из блока 220 обнаружения в блок 230 анализа. Файл записей передач не доходит до блока анализа и теряется (см. стрелку Ta1). В этом случае блок 240 ручного анализа не уведомляет блок 210 сбора о получении файла записей передач. Следовательно, блок 210 сбора повторно направляет файл записей передач. Т.е. блок 210 сбора направляет файл записей передач во второй раз.
Результаты обработки из блока 220 обнаружения, выполненные для файла записей передач, при его первом направлении теряются вместе с файлом записей передач, направленным первый раз. Следовательно, блок 220 обнаружения выполняет обработку для повторно направленного файла записей передач.
В примере, показанном на фиг. 12, при направлении во второй раз файл записей передач направляют из блока 230 анализа в блок 240 ручного анализа после прохождения обработки в блоке 230 анализа.
- 14 031992
Файл записей передач теряется и не доходит до блока 240 ручного анализа (см. стрелку Ta2). В этом случае также блок 240 ручного анализа не уведомляет блок 210 сбора о получении файла записей передач.
Следовательно, блок 210 сбора повторно направляет файл записей передач. Т.е. блок 210 сбора направляет файл записей передач в третий раз.
Результаты обработки из блока 230 анализа, выполненные для файла записей передач при его втором направлении теряются вместе с файлом записей передач, направленным второй раз. Следовательно, блок 220 обнаружения и блок 230 анализа выполняют обработку для повторно направленного файла записей передач.
В примере, показанном на фиг. 12, при направлении в третий раз файл записей передач достигает блока 240 ручного анализа, и его сохраняют в устройстве 241 хранения (см. стрелку Ta3). Далее блок 240 ручного анализа уведомляет блок 210 сбора о получении файла записей передач. Таким образом, останавливают повторное направление файла записей передач.
При использовании способа передачи, аналогичного описанному выше, файл записей передач может быть повторно направлен даже в случае, когда он не потерян. Более конкретно могут присутствовать моменты времени, когда обработка промежуточными блоками обработки требует определенного количества времени, и до направления уведомления от блока 240 ручного анализа может истечь время для блока 210 сбора для повторного направления файла записей передач. В этом случае существует возможность, что один и тот же файл записей передач (обнаруженный потенциальный инцидент) и результаты обработки для него дойдут до блока 240 ручного анализа несколько раз и их сохранят в устройстве 241 хранения. Для ситуаций этого типа в качестве достоверных данных используют последний направленный из блока 210 сбора файл записей передач и результаты обработки для него. Заметим, что ниже рассмотрен термин достоверные данные, представляющий собой данные, которые направляют на конечное устройство 300 и отображают на дисплее 330 (см. фиг. 15).
На фиг. 13 показан другой пример передачи файла записей передач в рассматриваемом варианте осуществления изобретения.
На фиг. 13 символ х означает, что файл записей передач был потерян, а о означает, что файл записей передач достиг блока 240 ручного анализа. Стрелка Tb1 указывает направление в первый раз, стрелка Tb2 указывает направление во второй раз и стрелка Tb3 указывает направление в третий раз. В примере, показанном на фиг. 13, файл записей передач, направленный во второй раз, доходит до блока 230 анализа после того, как файл записей передач, направленный в третий раз, доходит до блока 230 анализа, как будет описано ниже.
В примере, показанном на фиг. 13, при направлении в первый раз файл записей передач не доходит до блока 230 анализа после обработки блоком 220 обнаружения и теряется (см. стрелку Tb1). При направлении во второй раз файл записей передач, не потерявшись, достигает блока 240 ручного анализа (см. стрелку Tb2). Тем не менее, для промежуточных процессов обработки требуется время при втором направлении файла записей передач. Следовательно, до того, как блок 240 ручного анализа уведомит блок 210 сбора, файл записей передач направляют в третий раз (см. стрелку Tb3). Кроме того, время нужно для обработки файла записей передач, направленного во второй раз. Таким образом, файл записей передач, направленный в третий раз, доходит до блока 240 ручного анализа до файла записей передач, направленного во второй раз. В этом случае результаты обработки файла записей передач, направленного в третий раз (последний раз), рассматриваются как достоверные данные, независимо от порядка доставки результатов в блок 240 ручного анализа.
Заметим, что для случаев, аналогичных описанным выше, дублированные данные, касающиеся одного и того же файла записей передач, могут дойти до блока 240 ручного анализа и могут быть сохранены в устройстве 241 хранения. Данные, отличные от достоверных данных (в примере, показанном на фиг. 13, достоверные данные представляют собой данные, относящиеся к файлу записей передач, направленному во второй раз), могут быть удалены или могут остаться сохраненными в устройстве 241 хранения.
На фиг. 14 показан еще один пример передачи файла записей передач в рассматриваемом варианте осуществления изобретения.
На фиг. 14 символ х означает, что файл записей передач был потерян, а о означает, что файл записей передач достиг блока 240 ручного анализа. Стрелка Tc1 указывает направление в первый раз, стрелка Тс2 указывает направление во второй раз и стрелка Tc3 указывает направление в третий раз.
Как в примере, показанном на фиг. 13, присутствуют моменты времени, когда файл записей передач направляют повторно до того, как ранее направленный файл записей передач достигает блока 240 ручного анализа. В таких случаях последний направленный файл записей передач может потеряться в пути. В примере, показанном на фиг. 14, файл записей передач направляют повторно (направляют в третий раз) до того, как такой же файл записей передач, направленный во второй раз, достигает блока 240 ручного анализа. Тем не менее, файл записей передач, направленный в третий раз, теряется и не достигает блока 240 ручного анализа. В этом случае только файл записей передач, направленный во второй раз, доходит до блока 240 ручного анализа, и его сохраняют в устройстве 241 хранения. Таким образом, данные, ка- 15 031992 сающиеся файла записей передач, направленного во второй раз, рассматриваются как достоверные данные.
Заметим, что операции, выполненные описанными выше блоками обработки, являются только примерами операций, выполненных для повторного направленного файла записей передач. Не существует ограничений на операции, которые могут быть выполнены с файлом записей передач. Например, в рассматриваемом варианте осуществления изобретения результаты обработки для каждого блока обработки сохраняют на временной основе в компьютерной памяти, входящей в состав каждого блока обработки. Тем не менее, рассматриваемый вариант осуществления изобретения не ограничен этим типом структуры. В качестве отдельного примера рассматриваемого варианта осуществления изобретения также может быть использована структура, в которой результаты обработки от каждого блока обработки сохраняют в базе данных и ими управляют с помощью базы данных. В этом случае результаты обработки для уже завершенных процессов обработки остаются в базе данных, даже если файл записей передач потерян при перемещении между блоками обработки. В этом случае, если блок обработки выполняет повторную обработку для повторно направленного файла записей передач, это влияет на точность обнаружения проблемных передач. Необходимо позволить оставлять дублирующиеся результаты обработки.
В качестве примера, когда повторно направленный файл записей передач является файлом, который уже был обработан в определенном блоке обработки, информация о существующих в текущий момент результатах обработки может быть заменена информацией о текущих результатах обработки. Т.е. выбрасываются предыдущие результаты обработки, касающиеся файла записей передач. Далее в качестве отдельного примера, когда повторно направленный файл записей передач является файлом, который уже был обработан в определенном блоке обработки, может быть пропущена обработка того же повторно направленного файла записей передач, и файл записей передач может быть направлен на расположенный дальше по ходу блок обработки.
Данные в виде флага или подобные, которые показывают, что файл записей передач направлен повторно, также могут быть добавлены к файлу записей передач в виде информации для различения передач, направленных в первый раз, и передач, направленных повторно. Также может быть добавлена информация, указывающая количество повторных направлений файла записей передач. Если информацию, указывающую количество повторных направлений файла записей передач, добавляют к уведомлению, направляемому из блока 240 ручного анализа до блока 210 сбора, количество направлений одного и того же файла записей передач может быть подтверждено на основе уведомления из блока 240 ручного анализа без подсчета количества направлений файла записей передач, выполненных блоком 210 сбора.
Функции конечного устройства.
На фиг. 15 показан пример функциональной структуры конечного устройства 300. В примере, показанном на фиг. 15, конечное устройство 300 содержит устройство 310 направления и приема и процессор 320 обработки данных. Далее конечное устройство 300 содержит дисплей 330, являющийся жидкокристаллическим дисплеем или подобным, и рабочий участок 340, выполненный с использованием устройства ввода, такого как клавиатура, мышь или подобного.
Устройство 310 направления и приема является интерфейсом для осуществления связи с блоком 240 ручного анализа подсистемы 200 отслеживания. Устройство 310 направления и приема принимает от блока 240 ручного анализа события, последовательности событий и информацию об обнаруженных потенциальных инцидентах. Информацию получают путем обработки, выполненной блоком 220 обнаружения и блоком 230 анализа. Устройство 310 направления и приема также принимает результаты анализа, выполненного блоком 230 анализа. Далее устройство 310 направления и приема направляет в блок 240 ручного анализа подсистемы 200 отслеживания информацию, введенную с помощью операций, выполненных в рабочем участке 340. Кроме того, когда в результате анализа передач устройства 100, являющегося целью отслеживания, обнаружена проблемная передача, устройство 310 направления и приема направляет на конечное устройство (не показано), управляемое оператором устройства 100, являющегося целью отслеживания, информацию, указывающую, что обнаружена проблемная передача.
Процессор 320 обработки данных вырабатывает экран анализа на основе события, последовательности событий и информации об обнаруженных потенциальных инцидентах, полученных устройством 310 направления и приема из блока 240 ручного анализа подсистемы 200 отслеживания, и результатов анализа из блока 230 анализа. Далее процессор 320 обработки данных отображает на дисплее 330 сгенерированный экран анализа.
На фиг. 16 показан пример структуры экрана анализа в рассматриваемом варианте осуществления изобретения.
В примере, показанном на фиг. 16, экран анализа, показываемый на дисплее 330, состоит из шести областей показа: область 331 показа условий поиска, область 332 показа обнаруженных потенциальных инцидентов, область 333 показа последовательностей событий, область 334 показа событий, область 335 показа комментариев и область 336 показа уровней важности.
Обнаруженные потенциальные инциденты и подобное показывают в области 332 показа обнаруженных потенциальных инцидентов. Их условия поиска показывают в области 331 показа условий поиска. Изначально условия поиска могут быть установлены, например, равными произвольным условиям.
- 16 031992
Далее условия поиска также могут быть установлены аналитиком, который вводит нужные условия поиска с помощью рабочего участка 340. Заметим, что обнаруженные потенциальные инциденты, обладающие одной последовательностью событий или обладающие только одним событием, также включаются в состав обнаруженных потенциальных инцидентов, которые становятся целями поиска. Далее единичные события, удаленные без выполнения анализа на основе условных взаимоотношений, найденных обрабатывающим устройством 230а отдельного анализа блока 230 анализа, могут быть установлены как цели поиска. А именно, как обнаруженные потенциальные инциденты, сформированные из одного события.
Обнаруженные потенциальные инциденты, которые искали в условиях поиска, показанных в области 331 показа условий поиска, и результаты их обработки блоком 230 анализа подсистемы 200 отслеживания, показывают в области 332 показа обнаруженных потенциальных инцидентов.
Последовательности событий, содержащиеся в обнаруженных потенциальных инцидентах, показанных в области 332 показа обнаруженных потенциальных инцидентов (т.е. те, которые искали в условиях поиска, указанных в области 331 показа условий поиска) и результаты их обработки блоком 230 анализа подсистемы 200 отслеживания, показывают в области 333 показа последовательностей событий.
События, содержащиеся в обнаруженных потенциальных инцидентах, показанных в области 332 показа обнаруженных потенциальных инцидентов (т.е. те, которые искали в условиях поиска, указанных в области 331 показа условий поиска), и результаты их обработки блоком 230 анализа подсистемы 200 отслеживания показывают в области 334 показа событий.
Комментарии, введенные аналитиком, работающим с рабочим участком 340, показывают в области 335 показа комментариев. Более конкретно может быть введена, например, оценка аналитика или другой комментарий, касающийся передачи устройства 100, являющегося целью отслеживания.
Уровни оценки для выполнения оценки обнаруженных потенциальных инцидентов, показанных в области 332 показа обнаруженных потенциальных инцидентов (т.е. те, которые искали в условиях поиска, указанных в области 331 показа условий поиска), показывают в области 336 показа уровней важности. Оценка срока представляет собой значение важности, определенное заранее в зависимости от необходимых ответов на передачи, указанные в обнаруженных потенциальных инцидентах. Например, должен ли быть предпринят немедленный ответ, необходимо или нет непрерывное обнаружение и оценка аналогичных передач и подобное. Область 336 показа уровней важности становится интерфейсом ввода для приема выбора аналитиком уровня важности. Аналитик выполняет оценку найденного обнаруженного потенциального инцидента путем выбора одного уровня важности, показываемого в области 336 показа уровней важности.
Аналитик оценивает (анализирует вручную) передачи устройства 100, являющегося целью отслеживания, на основе обнаруженных потенциальных инцидентов, последовательностей событий и событий. Обнаруженные потенциальные инциденты, последовательности событий и события ищут на основе условий поиска, изначально показываемых в области 331 показа условий поиска дисплея 330, или на основе условий поиска, введенных аналитиком, работающим с рабочим участком 340. Когда обнаружена проблемная передача, оператор работает с рабочим участком 340 с целью ввода комментария и уровня важности в зависимости от содержания передачи (содержания проблемы). Оператора устройства 100, являющегося целью отслеживания, уведомляют с помощью устройства направления и устройства 310 приема.
Заметим, что передачи, которые определили как несанкционированные передачи (такие как атаки или несанкционированные утечки информации) путем сопоставления со списком в блоке 230 анализа, и передачи, анализ которых в блоке 230 анализа подтвердил, что они являются несанкционированными передачами, также могут быть целями для уведомления оператора устройства 100, являющегося целью отслеживания. Не обязательно, чтобы аналитик проводил оценку.
Пример аппаратной структуры.
На фиг. 17 показан пример применимой аппаратной структуры (компьютер) для реализации каждого блока обработки подсистемы 200 отслеживания и конечного устройства 300 рассматриваемого варианта осуществления изобретения.
Компьютер, показанный на фиг. 17, содержит CPU 10а (центральный процессор), который является блоком вычислений, и память 10с, которая является основным блоком памяти. Далее компьютер, показанный на фиг. 17, содержит устройство 10g с магнитным диском (накопитель с жестким диском, HDD), сетевой интерфейс 10f, механизм 10d отображения, содержащий устройство показа, и устройство 10i ввода, такое как клавиатура, мышь или подобное в качестве внешних устройств.
В примере структуры, показанном на фиг. 17, память 10с и механизм 10d отображения соединены с CPU 10а с помощью контроллера 10b системы. Далее сетевой интерфейс 10f, устройство 10g с магнитным диском и устройство 10i ввода соединены с контроллером 10b системы с помощью контроллера 10е ввода/вывода. Каждый составляющий элемент соединен шиной, такой как системная шина, шина ввода или подобной.
Фиг. 17 является только иллюстративным примером предпочтительной компьютерной аппаратной структуры для применения рассматриваемого варианта осуществления изобретения. Рассматриваемый
- 17 031992 вариант осуществления изобретения может быть широко использован в устройствах обработки информации, способных обнаруживать несанкционированные передачи или проблемные передачи путем получения и обработки в режиме реального времени файла записей передач от устройства 100, являющегося целью отслеживания. Т.е. структуры для реализации рассматриваемого варианта осуществления изобретения не ограничены структурой, показанной на фиг. 17.
Операционная система и прикладная программа хранятся на устройстве 10g с магнитным диском с фиг. 17. Путем чтения программ в память 10с и исполнения программ в CPU 10а реализуют каждый из блоков 210-240 обработки подсистемы 200 отслеживания и каждую функцию конечного устройства 300 в рассматриваемом варианте осуществления изобретения.
Промышленная применимость
Настоящее изобретение может быть применено в системе анализа записей.
Описание ссылочных позиций.
100 Устройство, являющееся целью отслеживания.
110 Устройство обнаружения.
111 Датчик.
112 Устройство управления датчиком.
120 Подсистема устройства управления записями.
121 Агент получения записи.
200 Подсистема отслеживания.
210 Блок сбора.
220 Блок обнаружения.
230 Блок анализа.
240 Блок ручного анализа.
300 Конечное устройство.

Claims (4)

  1. ФОРМУЛА ИЗОБРЕТЕНИЯ
    1. Система анализа журнала регистрации событий для анализа записей обнаружения, обнаруженных в системе, являющейся целью отслеживания, содержащая устройство получения, выполненное с возможностью обнаружения процессов, являющихся целями обнаружения, выполняемых в системе, являющейся целью отслеживания, и для получения записей обнаружения, при этом записи обнаружения представляют собой записи, сгенерированные процессами, являющимися целями обнаружения;
    по меньшей мере одно процессорное устройство, выполненное с возможностью обработки записей обнаружения, полученных устройством получения, при этом по меньшей мере одно процессорное устройство содержит множество блоков обработки, выполненных с возможностью последовательного выполнения обработки записей обнаружения, причем множество блоков обработки выполнены с возможностью обработки во время направления записей обнаружения по порядку от расположенного первым по ходу блока обработки до расположенных дальше по ходу блоков обработки из множества блоков обработки, при этом расположенный последним по ходу блок обработки устройства обработки выполнен с возможностью уведомления расположенного первым по ходу блока обработки о том, что расположенный последним по ходу блок обработки принял запись обнаружения, множество блоков обработки дополнительно содержат один или более расположенных промежуточно по ходу блоков обработки расположенных после расположенного первым по ходу блока и перед расположенным последним по ходу блоком обработки, при этом расположенные промежуточно по ходу блоки обработки выполнены с возможностью не уведомления расположенного первым по ходу блока обработки о том, что расположенным промежуточно по ходу блоком обработки получена запись обнаружения, кроме того, расположенные промежуточно по ходу блоки обработки выполнены с возможностью не уведомления соседних блоков обработки о том, что расположенным промежуточно по ходу блоком обработки получена запись обнаружения, а расположенный первым по ходу блок обработки выполнен с возможностью повторного направления на расположенные дальше по ходу блоки обработки запись обнаружения, прием которой не подтвержден расположенным последним по ходу блоком обработки, на основе уведомления от расположенного последним по ходу блока обработки.
  2. 2. Система анализа записей по п.1, в которой расположенный первым по ходу блок обработки выполнен с возможностью остановки повторного направления записи обнаружения, когда после направления записи обнаружения заданное количество раз расположенный первым по ходу блок обработки не подтвердил то, что расположенный последним по ходу блок обработки принял запись обнаружения, на основе уведомления от расположенного последним по ходу блока обработки.
  3. 3. Система анализа записей по п.1, в которой расположенный первым по ходу блок обработки выполнен с возможностью добавления записи обнаружения с идентификационной информацией для иден-
    - 18 031992 тификации, подлежит ли повторному направлению запись обнаружения до направления записи обнаружения с идентификационной информацией на расположенные дальше по ходу блоки обработки.
  4. 4. Система анализа записей по п.1, в которой расположенный первым по ходу блок обработки выполнен с возможностью добавления записи обнаружения с информацией, указывающей количество направлений записи обнаружения, до направления записи обнаружения с указанной информацией на расположенные дальше по ходу блоки обработки.
EA201691643A 2014-03-31 2015-02-26 Система анализа записей EA031992B1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2014074607A JP5640167B1 (ja) 2014-03-31 2014-03-31 ログ分析システム
PCT/JP2015/055618 WO2015151668A1 (ja) 2014-03-31 2015-02-26 ログ分析システム

Publications (2)

Publication Number Publication Date
EA201691643A1 EA201691643A1 (ru) 2017-04-28
EA031992B1 true EA031992B1 (ru) 2019-03-29

Family

ID=52145717

Family Applications (1)

Application Number Title Priority Date Filing Date
EA201691643A EA031992B1 (ru) 2014-03-31 2015-02-26 Система анализа записей

Country Status (9)

Country Link
US (1) US10104108B2 (ru)
EP (1) EP3128433B1 (ru)
JP (1) JP5640167B1 (ru)
KR (1) KR101811973B1 (ru)
CN (1) CN106104556B (ru)
CA (1) CA2942529C (ru)
EA (1) EA031992B1 (ru)
SG (1) SG11201602110SA (ru)
WO (1) WO2015151668A1 (ru)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015141640A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
US10516685B2 (en) 2015-07-30 2019-12-24 Nippon Telegraph And Telephone Corporation Analysis method, analysis device and analysis program
JP5966076B1 (ja) * 2015-12-25 2016-08-10 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6007308B1 (ja) * 2015-12-25 2016-10-12 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6105792B1 (ja) * 2016-07-04 2017-03-29 株式会社ラック 情報処理装置、情報処理方法及びプログラム
US10866972B2 (en) * 2016-08-15 2020-12-15 Sumo Logic Systems and methods for trie-based automated discovery of patterns in computer logs
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
EP3361405B1 (en) * 2017-02-13 2020-12-30 Nokia Solutions and Networks Oy Enhancement of intrusion detection systems
CN107291872A (zh) * 2017-06-16 2017-10-24 郑州云海信息技术有限公司 一种基于大量数据的平台日志搜索呈现方法
JP6563578B1 (ja) * 2018-09-26 2019-08-21 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム
CN110990729B (zh) * 2019-12-05 2023-11-03 秒针信息技术有限公司 职住分析方法、装置、电子设备及可读存储介质
CN113381883A (zh) * 2021-05-31 2021-09-10 北京网藤科技有限公司 一种基于工业网络安全事件日志监测的系统
CN114422536A (zh) * 2022-01-17 2022-04-29 中国电信股份有限公司 分布式服务器的部署方法、装置、电子设备和可读介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2009020812A (ja) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd 操作検知システム
JP2011076483A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd データ管理装置およびデータ管理プログラム
JP2014006771A (ja) * 2012-06-26 2014-01-16 Nec Corp リモートバックアップ装置、リモートバックアップシステム、方法およびプログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3537356B2 (ja) * 1998-12-09 2004-06-14 株式会社日立製作所 ジョブシステムにおける遅延要因解析方法
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
US7484097B2 (en) * 2002-04-04 2009-01-27 Symantec Corporation Method and system for communicating data to and from network security devices
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
US20050114706A1 (en) * 2003-11-26 2005-05-26 Destefano Jason Michael System and method for the collection and transmission of log data over a wide area network
US20050114707A1 (en) * 2003-11-26 2005-05-26 Destefano Jason Michael Method for processing log data from local and remote log-producing devices
US20050114505A1 (en) * 2003-11-26 2005-05-26 Destefano Jason M. Method and apparatus for retrieving and combining summarized log data in a distributed log data processing system
US7599939B2 (en) * 2003-11-26 2009-10-06 Loglogic, Inc. System and method for storing raw log data
US7779021B1 (en) * 2004-03-09 2010-08-17 Versata Development Group, Inc. Session-based processing method and system
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
GB0412943D0 (en) * 2004-06-10 2004-07-14 Ibm A system for logging diagnostic information
US7891001B1 (en) * 2005-08-26 2011-02-15 Perimeter Internetworking Corporation Methods and apparatus providing security within a network
KR100748246B1 (ko) * 2006-03-29 2007-08-10 한국전자통신연구원 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
JP4983805B2 (ja) * 2006-12-14 2012-07-25 富士通株式会社 実行ログ生成プログラム、実行ログ生成装置および実行ログ生成方法
US8300535B2 (en) * 2009-02-24 2012-10-30 Canon Kabushiki Kaisha Information processing apparatus, method thereof, and storage medium
CN102045214B (zh) * 2009-10-20 2013-06-26 成都市华为赛门铁克科技有限公司 僵尸网络检测方法、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2009020812A (ja) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd 操作検知システム
JP2011076483A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd データ管理装置およびデータ管理プログラム
JP2014006771A (ja) * 2012-06-26 2014-01-16 Nec Corp リモートバックアップ装置、リモートバックアップシステム、方法およびプログラム

Also Published As

Publication number Publication date
KR101811973B1 (ko) 2017-12-22
CA2942529A1 (en) 2015-10-08
EP3128433B1 (en) 2019-08-21
JP2015197749A (ja) 2015-11-09
CN106104556A (zh) 2016-11-09
KR20160134676A (ko) 2016-11-23
WO2015151668A1 (ja) 2015-10-08
US10104108B2 (en) 2018-10-16
EP3128433A4 (en) 2017-09-13
SG11201602110SA (en) 2016-04-28
US20160197952A1 (en) 2016-07-07
CA2942529C (en) 2019-03-19
JP5640167B1 (ja) 2014-12-10
CN106104556B (zh) 2019-04-09
EP3128433A1 (en) 2017-02-08
EA201691643A1 (ru) 2017-04-28

Similar Documents

Publication Publication Date Title
EA031992B1 (ru) Система анализа записей
KR101827197B1 (ko) 로그 분석 시스템
US20210037029A1 (en) Detection of adversary lateral movement in multi-domain iiot environments
US9712554B2 (en) Event correlation across heterogeneous operations
US9742788B2 (en) Event correlation across heterogeneous operations
US11882135B2 (en) Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
KR101712462B1 (ko) Ip 위험군 탐지 시스템
JP7081953B2 (ja) アラート通知装置およびアラート通知方法
JP5927330B2 (ja) 情報分析システム、情報分析方法およびプログラム
US11914461B1 (en) Organization segmentation for anomaly detection
JP6035445B2 (ja) 情報処理システム、情報処理方法およびプログラム
JP2015198455A (ja) 処理システム、処理装置、処理方法およびプログラム
JP5797827B1 (ja) 情報分析システム、情報分析方法およびプログラム
CN117897702A (zh) 用于自动评估网络流量签名的质量的系统和方法
JP2016001493A (ja) 情報分析システム、情報分析方法およびプログラム

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM AZ BY KZ KG TJ TM

MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): RU