RU105042U1 - Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе - Google Patents

Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе Download PDF

Info

Publication number
RU105042U1
RU105042U1 RU2010147572/08U RU2010147572U RU105042U1 RU 105042 U1 RU105042 U1 RU 105042U1 RU 2010147572/08 U RU2010147572/08 U RU 2010147572/08U RU 2010147572 U RU2010147572 U RU 2010147572U RU 105042 U1 RU105042 U1 RU 105042U1
Authority
RU
Russia
Prior art keywords
module
input
descriptions
work
attributes
Prior art date
Application number
RU2010147572/08U
Other languages
English (en)
Inventor
Игорь Валерьевич Машечкин
Михаил Игоревич Петровский
Original Assignee
Игорь Валерьевич Машечкин
Михаил Игоревич Петровский
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Игорь Валерьевич Машечкин, Михаил Игоревич Петровский filed Critical Игорь Валерьевич Машечкин
Priority to RU2010147572/08U priority Critical patent/RU105042U1/ru
Application granted granted Critical
Publication of RU105042U1 publication Critical patent/RU105042U1/ru

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

Система сбора и анализа параметров работы пользователей корпоративных компьютерных сетей с информационными и вычислительными ресурсами сети, содержащая расширяемый набор модулей сбора исходных параметров, каждый из которых содержит информационный вход для приема набора событий, зафиксированных на одной из наблюдаемых систем, каждое из которых описывается набором атрибутов, где каждый атрибут представляет собой типизированное значение, и информационный вход для параметров, описывающих правила формирования по собранным событиям описаний работы пользователей с ресурсами, каждое из которых состоит из набора типизированных атрибутов, среди которых обязательно представлены атрибуты, описывающие имя компьютера в сети, имя пользователя и время, и модуля хранения построенных описаний работы пользователей с ресурсами, входы которого соединены с выходами модулей сбора исходных параметров, содержащего также информационный вход, куда поступают параметры выбора хранимых описаний работы пользователей, на основе которых будут строиться модели, описывающие статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил, и которые будут переданы на вход модуля построения моделей поведения, для которых будет оцениваться степень аномальности и которые будут переданы на вход модуля оценки степени аномальности и тех, для которых будет вычисляться статистика работы и которые будут переданы на первый вход модуля построения и сравнения статистики работы пользователей, модуля построения моделей поведения, вход которого соединен с первым выходом модуля хранения описаний работы, на

Description

Описание полезной модели
Полезная модель относится к области вычислительной техники, в частности, к системе сбора и анализа параметров работы пользователей с информационными и вычислительными ресурсами корпоративной компьютерной сети.
Система предназначена для использования при мониторинге за работой пользователей компьютерных сетей в качестве инструмента для решения задач раннего обнаружения внутренних вторжений, нецелевого, непрофессионального использования ресурсов пользователями и других задач.
Отличительной особенностью системы является реализация технологии мультиагентного сбора и консолидации описаний действия пользователей, с возможностью расширения набора собираемых типов действий пользователей, масштабирования набора наблюдаемых систем и планирования нагрузки на вычислительные и информационные ресурсы компьютерной сети. Отличительной особенностью является моделирование работы пользователей с целью сравнения текущей работы пользователей с построенными моделями типичного поведения, что позволяет обнаруживать отдельные аномальные действия пользователей и изменения статистики работы пользователей с ресурсами. Найденные аномалии в свою очередь могут сигнализировать о подготовке внутренних вторжений, нецелевом или нетипичном для пользователя использовании ресурсов.
Модель типичного поведения пользователя состоит из двух частей:
- описание статистических зависимостей и корреляций между атрибутами описаний действий пользователей, например, в виде ассоциативных правил, описывающих связи значений атрибутов, и позволяющих находить аномалии в работе. Примером аномалий могут быть отдельные аномальные действия пользователей, найденные, например, путем оценки степени аномальности каждого атрибута описания работы пользователя при условии фиксации значений остальных атрибутов, или аномальные подмножества или цепочки действий пользователей;
- профилей работы пользователей (OLAP кубы), описывающие статистику использования ресурсов на необходимом уровне детализации, и позволяющие находить изменения состава используемых пользователем ресурсов и параметров их использования.
Известен подход, который может быть использован для раннего обнаружения внутренних вторжений [1]. Подход [1] опирается на задание приоритетов действий пользователей, границ и ограничений на разрешенные действия пользователей, и вычисление меры угрозы от выходов за заданные условия и границы с учетом заданных приоритетов. Информация о действиях пользователей собирается из подсистемы аудита, в случае «серьезного» нарушения или совокупного нарушения нескольких границ, генерируется оповещение. В то же время в предлагаемой системе на потенциальную угрозу со стороны пользователя указывает аномальное поведение пользователя относительно типичной активности пользователя или группы пользователей.
В результате поиска по базам данных Федеральной службы по интеллектуальной собственности, патентам и товарным знакам (Роспатента) российских патентов по заданной тематике не обнаружено.
Целью изобретения является решение задачи мониторинга работы пользователей с информационными и вычислительными ресурсами локальной сети с целью решения задач моделирования поведения пользователей, поиска аномалий в текущей работе пользователей на основе построенных моделей, и поиска изменений состава используемых ресурсов и параметров их использования.
Поставленная цель достигается путем создания системы мониторинга. Сущность изобретения поясняется чертежами, где на фиг.1 представлена структурная схема системы, на фиг.2 представлена общая структурная схема работы модуля сбора исходных данных, на фиг.3 приведена блок-схема алгоритма работы модуля построения моделей поведения для примера построения ассоциативных правил, на фиг.4 показан алгоритм работы модуля оценки аномальности атрибутов описания действий пользователей для примера модели на основе ассоциативных правил, на фиг.5 приведена схема функционирования модуля вычисления и сравнения статистики работы.
Система (фиг.1) содержит расширяемый набор модулей 1 сбора параметров работы пользователей с ресурсами сети, позволяющих представить работу пользователей в виде набора описаний законченных действий пользователей по работе с ресурсами, каждое из которых представимо набором типизированных атрибутов, среди которых обязательными являются имя пользователя, имя компьютера и время действия. Модуль 2 хранения построенных описаний работы пользователей, модуль 3 построения моделей поведения, описывающих статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил для значений атрибутов описаний работы пользователей, модуль 4 оценки аномальности атрибутов описаний работы на основе построенных моделей и модуль 5 вычисления и сравнения статистики работы пользователей на основе значений атрибутов описаний работы пользователей с использованием технологии OLAP.
На фиг.1 показан набор из К информационных входов системы и_1-и_К, набор из К настроечных входов системы, первый 1 и второй 2 настроечные входы системы, а так же информационные 13 и 14 выходы системы.
Модули 1 (фиг.1) сбора параметров работы пользователей могут быть представлены в системе в произвольном количестве экземпляров и выполнены в виде вычислительного блока, алгоритм функционирования которого представлен на фиг.2. На чертеже показаны информационные и настроечные входы модуля (и_1-и_К, н_1-н_К), а так же информационные выходы модулей, соединенные с информационным входом модуля хранения описаний работы пользователей.
Модуль 2 (фиг.1) хранения построенных описаний работы пользователей выполнен в виде носителя информации. На чертеже показаны информационный 3 вход модуля и настроечный 5 вход модуля, соединенный с синхронизирующим входом 1 системы, а так же информационные 6, 7 и 8 выходы модуля.
Модуль 3 (фиг.1) построения моделей, описывающих статистические зависимости и корреляции между атрибутами, реализован в виде вычислительного блока, алгоритм функционирования которого для примера построения модели в виде ассоциативных правил приведен на фиг.2. На чертеже показаны информационный вход и выход модуля.
Модуль 4 (фиг.1) оценки аномальности атрибутов описания действий пользователей реализован в виде вычислительного блока, алгоритм функционирования которого, для примера поиска аномалий на основе модели в виде набора ассоциативных правил приведен на фиг.3. На чертеже показаны информационные 9 и 10 вход и информационный выход 13 модуля.
Модуль 5 (фиг.1) вычисления и сравнения статистики работы выполнен в виде вычислительного блока, алгоритм функционирования которого приведен на фиг.4. На чертеже показ информационный 11 вход, настроечный 12 вход модуля, и информационный 14 выход модуля.
Система осуществляет поиск аномалий в действиях пользователей по работе с вычислительными и информационными ресурсами локальной сети. Аномалии вычисляются за счет построения моделей, описывающих типичную активность пользователей и сравнении текущей активности с построенными моделями, а так же за счет определения различий в статистике использования ресурсов и изменений в составе используемых ресурсов. Описание активности (действий) пользователей строятся системой на основе журналируемых событий, получаемых из различных источников.
Управляющими параметрами системы являются: множество источников журналируемых событий, множество типов событий в источниках, правила выделения требуемых событий и правила построения на основе множеств событий описаний действий пользователей, условия на действия пользователей, описывающие типичную активность и участвующие для построения модели поведения, условия на описания действий пользователей, для которых будет оцениваться степень аномальности.
Система работает следующим образом. На информационные входы и_1-и_К поступают и заносятся в модули 1 записи журналов регистрации операционных систем, прикладного программного обеспечения и журналируемые события о работе пользователей, полученные из специализированных источников. Каждое журналируемое событие состоит из набора атрибутов - типизированных именованных значений.
Модули 1 на основе условий на значения атрибутов журналируемых событий и описаний цепочек событий, поступающих на настроечные входы н_1-н_К, проводят фильтрацию и агрегацию журналируемых событий с целью построения необходимых описаний действий пользователей с ресурсами. Так же настроечными параметрами модулей 1 являются максимальные интервалы между передачей построенных описаний на информационный выход и максимальное количество описаний, которые могут храниться в модуле перед отправкой на информационный выход.
Построенные описания действий пользователей с ресурсами передаются на информационных вход 3 модуля 2 хранения описаний действий пользователей. На основе управляющих сигналов, подающихся на вход системы 1 и, соответственно, на настроечный вход 5 модуля 2, описывающих подмножества описаний действий пользователей и их атрибутов, на информационный 6, 7 или 8ой выход модуля 2 подается подмножество хранимых в модуле 2 описаний действий пользователей, содержащих подмножество атрибутов. Настроечными параметрами модуля 2, подающимися на вход 5 являются: выход модуля, куда будут переданы описания действий пользователей; условия на значения атрибутов описаний действий пользователей, которые будут переданы на соответствующий информационных выход; список атрибутов описаний действий пользователей, которые будут включены в описания, отправленные на соответствующий информационный выход.
На основе подмножества описаний действий пользователей, переданных с информационного выхода 6 модуля 2 на информационный вход модуля 3, модуль 3 производит построение модели поведения. Построенные модулем 3 модели поведения поступают на информационный выход модуля 3.
Модуль 4 на основе моделей поведения, полученных на информационный вход 9 с информационного выхода модуля 3 и на основе набора описаний действий пользователей, полученных на информационный вход 10 с информационного выхода 7 модуля 2, производит оценку аномальности описания действий пользователей, полученных на информационный вход 10. Описания действий пользователей, где некоторым атрибутам сопоставлено число от 0 до 1, указывающее на степень аномальности соответствующего атрибута, а так же описания множеств и цепочек аномальных действий подаются на информационный выход модуля 10, который так же является информационным выходом системы.
Модуль 5 на основе набора описаний действий пользователей, поступающих на информационный вход 11 модуля с информационного выхода 8 модуля 2, строит модель поведения пользователей в виде профиля работы пользователей с ресурсами (OLAP-куба). На основе построенных профилей работы пользователей с ресурсами и настроек, поступающих на настроечный вход 12 модуля 5, формируются диаграммы использования ресурсов. Построенные диаграммы и результаты сравнения диаграмм поступают на информационный выход модуля 5, который связан с информационным выходом 14 системы. Настроечными параметрами модуля 5 являются имена атрибутов описаний действий пользователей, значения которых будут использованы в качестве измерений и меры построенных гистограмм, имена агрегационных функций из списка функций, поддерживаемых модулем 5 для расчета мер гистограмм.
Таким образом, использование модуля 3 построения моделей действий пользователей, и применение модуля 4 оценки степени аномальности действий пользователей позволило решить задачу поиска отдельных аномальных действий пользователей, аномальных множеств и цепочек действий пользователей. Использование модуля 5 построения профиля работы пользователей в виде OLAP куба, использования построенного куба для создания гистограмм, описывающих распределения параметров использования ресурсов и применения механизма сравнения гистограмм, позволило решить задачу обнаружения изменения параметров работы пользователей с ресурсами и состава используемых ресурсов.
Источники информации, принятые во внимание при составлении описания заявки:
1. Патент US №6839850 В1

Claims (1)

  1. Система сбора и анализа параметров работы пользователей корпоративных компьютерных сетей с информационными и вычислительными ресурсами сети, содержащая расширяемый набор модулей сбора исходных параметров, каждый из которых содержит информационный вход для приема набора событий, зафиксированных на одной из наблюдаемых систем, каждое из которых описывается набором атрибутов, где каждый атрибут представляет собой типизированное значение, и информационный вход для параметров, описывающих правила формирования по собранным событиям описаний работы пользователей с ресурсами, каждое из которых состоит из набора типизированных атрибутов, среди которых обязательно представлены атрибуты, описывающие имя компьютера в сети, имя пользователя и время, и модуля хранения построенных описаний работы пользователей с ресурсами, входы которого соединены с выходами модулей сбора исходных параметров, содержащего также информационный вход, куда поступают параметры выбора хранимых описаний работы пользователей, на основе которых будут строиться модели, описывающие статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил, и которые будут переданы на вход модуля построения моделей поведения, для которых будет оцениваться степень аномальности и которые будут переданы на вход модуля оценки степени аномальности и тех, для которых будет вычисляться статистика работы и которые будут переданы на первый вход модуля построения и сравнения статистики работы пользователей, модуля построения моделей поведения, вход которого соединен с первым выходом модуля хранения описаний работы, на вход которому подается набор описаний работы пользователей, по которым строятся модели, описывающие статистические зависимости и корреляции между атрибутами, например, в виде ассоциативных правил, описывающих связь значений атрибутов описаний работы пользователей, модуля оценки степени аномальности описаний работы пользователей, первый вход которого соединен с выходом модуля построения моделей поведения, и на вход подается набор построенных моделей поведения, второй вход которого соединен со вторым выходом модуля хранения описаний работы, на вход которому подается множество описаний работы, содержащий один информационный выход, являющийся первым выходом системы, куда передаются описания работы, и вычисленные на основе поданных на первый вход модуля моделей поведения степени аномальности описаний работы и каждого из атрибутов описаний работы, поданных на второй вход модуля, и модуля вычисления статистики работы и поиска изменения в статистике работы, построенного на основе технологии OLAP и содержащего два входа, первый из которых соединен с третьим выходом модуля хранения описаний работы, на вход которому поступает набор описаний работы пользователей, второй из которых является информационным входом системы, на который передаются параметры сравнения статистики работы, и содержащего один информационный выход, являющийся вторым выходом системы, куда передаются построенные модулем диаграммы зависимости агрегированных значений числовых атрибутов описаний работы пользователей от текстовых атрибутов описаний и найденные модулем изменения построенных диаграмм.
    Figure 00000001
RU2010147572/08U 2010-11-23 2010-11-23 Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе RU105042U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010147572/08U RU105042U1 (ru) 2010-11-23 2010-11-23 Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010147572/08U RU105042U1 (ru) 2010-11-23 2010-11-23 Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе

Publications (1)

Publication Number Publication Date
RU105042U1 true RU105042U1 (ru) 2011-05-27

Family

ID=44735274

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010147572/08U RU105042U1 (ru) 2010-11-23 2010-11-23 Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе

Country Status (1)

Country Link
RU (1) RU105042U1 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2580432C1 (ru) * 2014-10-31 2016-04-10 Общество С Ограниченной Ответственностью "Яндекс" Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
US9900318B2 (en) 2014-10-31 2018-02-20 Yandex Europe Ag Method of and system for processing an unauthorized user access to a resource
RU2739873C2 (ru) * 2019-02-07 2020-12-29 Акционерное общество "Лаборатория Касперского" Способ поиска пользователей, соответствующих требованиям

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2580432C1 (ru) * 2014-10-31 2016-04-10 Общество С Ограниченной Ответственностью "Яндекс" Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем
US9871813B2 (en) 2014-10-31 2018-01-16 Yandex Europe Ag Method of and system for processing an unauthorized user access to a resource
US9900318B2 (en) 2014-10-31 2018-02-20 Yandex Europe Ag Method of and system for processing an unauthorized user access to a resource
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
RU2739873C2 (ru) * 2019-02-07 2020-12-29 Акционерное общество "Лаборатория Касперского" Способ поиска пользователей, соответствующих требованиям

Similar Documents

Publication Publication Date Title
Zhong et al. A cyber security data triage operation retrieval system
Wu et al. A decentralized approach for mining event correlations in distributed system monitoring
US8930757B2 (en) Operations management apparatus, operations management method and program
US20150205691A1 (en) Event prediction using historical time series observations of a computer application
US20150205693A1 (en) Visualization of behavior clustering of computer applications
CN105871634A (zh) 检测集群异常的方法及应用、管理集群的系统
RU105042U1 (ru) Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе
CN101984415A (zh) 一种设定监控指标阈值的方法和装置
CN105354092A (zh) 一种应用性能风险预测方法、装置和系统
CN112882911A (zh) 异常性能行为检测方法、系统、装置及存储介质
CN115441456A (zh) 一种电网调度支持系统故障诊断方法及装置
WO2015110873A1 (en) Computer performance prediction using search technologies
CN113409016A (zh) 应用于大数据云办公的信息处理方法、服务器及介质
CN117093407B (zh) 基于改进s-学习器的流程异常级联根因分析方法与系统
Gomes et al. CALDS: context-aware learning from data streams
Jang et al. A proactive alarm reduction method and its human factors validation test for a main control room for SMART
Liu et al. Discrete interactions in decentralized multiagent coordination: A probabilistic perspective
CN115564410A (zh) 一种继电保护设备的状态监测方法及装置
CN115658635A (zh) 日志分析方法及装置
Xia et al. Cost-effective and adaptive clustering algorithm for stream processing on cloud system
Dong Deployment cost optimal for composite event detection in heterogeneous wireless sensor networks
Xu et al. An algorithm for predicting customer churn via BP neural network based on rough set
Draghici et al. Prediction of distributed systems state based on monitoring data
He et al. GTrust: a distributed trust model in multi-agent systems based on grey system theory
US11899555B2 (en) System for application engagement composite index

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20121124

NF1K Reinstatement of utility model

Effective date: 20131027

MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20141124

BF1K Cancelling a publication of earlier date [utility models]

Free format text: PUBLICATION IN JOURNAL SHOULD BE CANCELLED

MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20171124