RU148692U1 - COMPUTER SECURITY EVENTS MONITORING SYSTEM - Google Patents

COMPUTER SECURITY EVENTS MONITORING SYSTEM Download PDF

Info

Publication number
RU148692U1
RU148692U1 RU2014130506/08U RU2014130506U RU148692U1 RU 148692 U1 RU148692 U1 RU 148692U1 RU 2014130506/08 U RU2014130506/08 U RU 2014130506/08U RU 2014130506 U RU2014130506 U RU 2014130506U RU 148692 U1 RU148692 U1 RU 148692U1
Authority
RU
Russia
Prior art keywords
events
security
noise
module
data
Prior art date
Application number
RU2014130506/08U
Other languages
Russian (ru)
Inventor
Илья Валентинович Заводцев
Артур Евгеньевич Гайнов
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2014130506/08U priority Critical patent/RU148692U1/en
Application granted granted Critical
Publication of RU148692U1 publication Critical patent/RU148692U1/en

Links

Images

Abstract

1. Система мониторинга событий компьютерной безопасности, содержащая средства сбора событий, поиска решений, регистрации инцидента и анализа событий, отличающаяся тем, что дополнительно введен блок управления данными, включающий: модуль нормализации с отбором, обеспечивающий сведение всех признаков событий к единому диапазону значений; модуль классификации и кластеризации событий, обеспечивающий на первом этапе анализ входного потока событий в компьютерной системе с последующим выделением в каждом событии ключевого признака, позволяющий отнести его к определенному кластеру при использовании метода фильтрации помех и шумов; а затем, на основе предварительного обучения по алгоритму Ланса-Уильямса с расстоянием Уорда, обеспечивающий выделение из всего потока таких событий, которые существенно деструктивно влияют на безопасность информационных ресурсов организации.2. Система по п. 1, отличающаяся тем, что в модуле классификации и кластеризации обеспечивается дополнительная фильтрация помех и шумов, отбрасывающая заданный процент шума.1. A computer security event monitoring system containing means for collecting events, finding solutions, registering an incident and analyzing events, characterized in that an additional data management unit is introduced, including: a normalization module with selection that ensures that all signs of events are reduced to a single range of values; a module for classifying and clustering events, which, at the first stage, provides an analysis of the input stream of events in a computer system with the subsequent selection of a key feature in each event, which allows it to be assigned to a specific cluster using the filtering method of interference and noise; and then, based on preliminary training using the Lance-Williams algorithm with the Ward distance, which ensures the isolation from the whole stream of events that significantly destructively affect the security of the organization’s information resources. 2. The system according to claim 1, characterized in that the classification and clustering module provides additional filtering of interference and noise, rejecting a given percentage of noise.

Description

Область техники, к которой относится полезная модельThe technical field to which the utility model relates.

Полезная модель относится к системам обеспечения информационной безопасности и может быть использована для обнаружения и идентификации деструктивных событий компьютерной безопасности в режиме реального времени.The utility model relates to information security systems and can be used to detect and identify destructive computer security events in real time.

Уровень техникиState of the art

а) Описание аналогов a ) Description of analogues

В заявке US 20040260947 A1 (система выявления инцидентов безопасности) описывается система выявления инцидентов безопасности, которая осуществляет сбор информации в несколько этапов: первичный сбор и дополнительный. После того как собрана необходимая информация о сети и ее компонентах, производится анализ и определяется наличие деструктивного события.In the application US 20040260947 A1 (security incident detection system) describes a security incident detection system, which collects information in several stages: initial collection and additional. After the necessary information about the network and its components is collected, the analysis is performed and the presence of a destructive event is determined.

Однако данная система не позволяет определить причины и источник опасности.However, this system does not allow to determine the causes and source of danger.

В патенте US 7159237 описана система мониторинга безопасности компьютерной сети.US Pat. No. 7,159,237 describes a computer network security monitoring system.

Данная система не способна вырабатывать решения автоматически без участия аналитика, что сильно замедляет реакцию на инцидент.This system is not able to generate solutions automatically without the participation of an analyst, which greatly slows down the response to the incident.

б) Описание прототипаb) Description of the prototype

Наиболее близким по технической сущности к заявленному и принятым за прототип является система автоматического расследования инцидентов безопасности (пат. 2481633 Российская Федерация, МПК G06F 21/55. Система и способ автоматического расследования инцидентов безопасности [Текст] / Зайцев О.В.: заявитель и патентообладатель Закрытое акционерное общество «Лаборатория Касперского». - №2011132618/08: заявл. 04.08.2011; опубл. 10.05.2013. - 3 с.: ил.), которая выполнена в виде сервера администрирования со средствами сбора данных, регистрации инцидентов, анализатором инцидентов и средством поиска решений. Система автоматического расследования инцидентов безопасности принимает решение на изменение политики безопасности или на обновление программного обеспечения на основе регистрации одного из событий: нарушение политики безопасности, обнаружение вредоносной программы, некорректная работа средства защиты.The closest in technical essence to the claimed and adopted as a prototype is a system for the automatic investigation of security incidents (Pat. 2481633 Russian Federation, IPC G06F 21/55. System and method for the automatic investigation of security incidents [Text] / Zaitsev OV: applicant and patent holder Kaspersky Lab Closed Joint-Stock Company. - No. 20111132618/08: announced 04.08.2011; published May 10, 2013. - 3 pp .: ill.), Which is implemented as an administration server with data collection, incident registration, analyzer in cidents and a means of finding solutions. The system for the automatic investigation of security incidents makes a decision to change the security policy or to update the software based on the registration of one of the events: violation of the security policy, malware detection, incorrect operation of the protection tool.

В качестве недостатков прототипа следует отметить:The disadvantages of the prototype should be noted:

Наличие только блока анализатора событий в системе автоматического расследования инцидентов безопасности, предназначенного для поиска событий, предшествующих зарегистрированному инциденту безопасности, не позволяет выполнять в режиме реального времени обнаружение распределенных по времени и месту компьютерных атак. В то же время многие из сетевых вторжений представляют собой цепочку событий, каждое из которых в отдельности может и не нести опасных последствий, но представлять таковые в совокупности.The presence of only an event analyzer unit in the automatic security incident investigation system, designed to search for events preceding a registered security incident, does not allow real-time detection of computer attacks distributed by time and place. At the same time, many of the network intrusions are a chain of events, each of which individually may not carry dangerous consequences, but represent those in aggregate.

Раскрытие полезной моделиUtility Model Disclosure

а) Технический результат, на достижение которого направлена полезная модель a ) The technical result, to which the utility model is directed

Целью заявленной полезной модели является увеличение количества выявляемых инцидентов информационной безопасности в режиме реального времени.The purpose of the claimed utility model is to increase the number of detected information security incidents in real time.

б) Совокупность существенных признаковb) the Set of essential features

Указанный технический результат достигается тем, что в известную систему автоматического расследования инцидентов безопасности (пат. 2481633 Российская Федерация, МПК G06F 21/55. Система и способ автоматического расследования инцидентов безопасности [Текст] / Зайцев О.В.: заявитель и патентообладатель Закрытое акционерное общество «Лаборатория Касперского». - №2011132618/08: заявл. 04.08.2011; опубл. 10.05.2013. - 3 с.: ил.), содержащей блоки: сбора данных о событиях безопасности (1), поиска решений (2), регистрации инцидента (4) и анализа событий (3), и дополнительно введен в полезную модель блок управления данными (6).The specified technical result is achieved by the fact that in the known system for the automatic investigation of security incidents (Pat. 2481633 Russian Federation, IPC G06F 21/55. System and method for the automatic investigation of security incidents [Text] / Zaitsev OV: applicant and patentee Closed Joint-Stock Company Kaspersky Lab. - No. 20111132618/08: announced 04.08.2011; publ. 05/10/2013. - 3 pp., Ill.), Containing the blocks: collect data on security events (1), search for solutions (2), incident registration (4) and event analysis (3), and additionally entering The data control block is inserted into a utility model (6).

Это позволяет расширить спектр обнаруживаемых инцидентов безопасности путем проведения обобщенного качественного анализа событий безопасности за всю информационную систему в режиме близком к реальному времени.This allows you to expand the range of detected security incidents by conducting a generalized qualitative analysis of security events for the entire information system in near real-time mode.

Блоки 1, 2, 3, 4, 6 могут быть выполнены в виде участков памяти вычислительного устройства, и характеризуют своей логической схемой и обеспечивающих выполнение заданных функций блока. Блок управления данными (6) может быть выполнен функционально самостоятельным.Blocks 1, 2, 3, 4, 6 can be made in the form of sections of memory of a computing device, and are characterized by their logical circuit and providing the execution of the specified functions of the block. The data control unit (6) can be functionally independent.

Таким образом, введенный блок управления данными (6), включающий модули: нормализации (7), классификации (10) и корреляции (9) соответствуют признакам «существенные отличия» и обеспечивает достижение положительного эффекта.Thus, the introduced data control unit (6), which includes the following modules: normalization (7), classification (10), and correlation (9), corresponds to the “significant differences” signs and ensures the achievement of a positive effect.

в) Причинно-следственная связь между признаками и техническим результатамc) Causal relationship between the features and technical results

Благодаря новой совокупности существенных признаков: введения дополнительных уровней обработки событий безопасности в блоке управления данными (6), включающих модули: нормализации (7), классификации (10) и корреляции (9), система мониторинга событий компьютерной безопасности позволяет находить не только одиночные деструктивные события, но выявлять совокупность таких событий, специально разносимых злоумышленником по времени и узлам информационной системы. Этим обеспечивается более качественный анализ событий безопасности и достигается возможность увеличения количества выявляемых деструктивных событий в информационной системе.Thanks to a new set of essential features: introducing additional levels of processing security events in the data management unit (6), including modules: normalization (7), classification (10) and correlation (9), the computer security event monitoring system allows finding not only single destructive events , but to reveal the totality of such events, specially distributed by the attacker in time and nodes of the information system. This provides a better analysis of security events and the possibility of increasing the number of detected destructive events in the information system is achieved.

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленной полезной модели на достижение указанного технического результата. Следовательно, заявленная полезная модель соответствует условию патентоспособности «изобретательский уровень».Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the influence provided by the essential features of the claimed utility model to achieve the specified technical result. Therefore, the claimed utility model meets the condition of patentability "inventive step".

Краткое описание чертежейBrief Description of the Drawings

Заявленная система мониторинга событий компьютерной безопасности поясняется чертежами:The claimed system for monitoring computer security events is illustrated by the drawings:

Фиг. 1 отображает принятую структурную схему автоматического расследования инцидентов безопасности.FIG. 1 shows an adopted block diagram of an automatic investigation of security incidents.

Фиг. 2 показывает структурную схему системы выявления событий компьютерной безопасности.FIG. 2 shows a block diagram of a computer security event detection system.

Фиг. 3 демонстрирует работу средства управления данными.FIG. 3 shows the operation of a data management tool.

Осуществление полезной моделиUtility Model Implementation

а) Технические средства осуществления полезной модели с реализацией указанного в заявке назначения a ) Technical means of implementing the utility model with the implementation of the destination specified in the application

Система мониторинга событий компьютерной безопасности, показанная на фиг. 2, состоит из блока сбора данных (1) о событиях безопасности, блока управления данными (6), блока анализа данных (3), блока представления решений (2) и блока регистрации инцидента (4).The computer security event monitoring system shown in FIG. 2, consists of a data collection unit (1) about security events, a data management unit (6), a data analysis unit (3), a decision submission unit (2), and an incident registration unit (4).

Блоки 1, 2, 3, 4, 6 могут быть выполнены в виде участков памяти вычислительного устройства, и характеризуют своей логической схемой и обеспечивающих выполнение заданных функций блока.Blocks 1, 2, 3, 4, 6 can be made in the form of sections of memory of a computing device, and are characterized by their logical circuit and providing the execution of the specified functions of the block.

Блок сбора данных (1) о событиях безопасности (фиг. 3) обеспечивает получение потока данных от источников (агентов) (5), в качестве которых могут выступать: файловые серверы, серверы баз данных, межсетевые экраны (МСЭ), автоматизированные рабочие места, системы обнаружения сетевых атак (вторжений), системы разграничения доступа, системы обеспечения и контроля целостности, антивирусные программы и т.д.The data collection unit (1) on security events (Fig. 3) provides a stream of data from sources (agents) (5), which can be: file servers, database servers, firewalls (ITUs), workstations, systems for detecting network attacks (intrusions), access control systems, systems for ensuring and monitoring integrity, anti-virus programs, etc.

При этом могут использоваться два основных метода: прямой (Pull) и обратной связи (Push). В первом случае - источник сам посылает данные записи своих журналов в блок (1), во втором - блок (1) самостоятельно осуществляет процесс получения данных о событиях безопасности (5) из log-журналов.In this case, two main methods can be used: direct (Pull) and feedback (Push). In the first case, the source itself sends the data of its logs to block (1), in the second - block (1) independently carries out the process of obtaining data about security events (5) from log-logs.

Блок управления (6) данными (фиг. 3), обеспечивает: обработку данных специальными модулями нормализации (7), фильтрации (8), корреляции (9) и классификации (10). Модуль классификации и кластеризации (10), анализирующий весь входной поток событий (5), присваивает каждому событию определенный признак. Затем с использованием обучающей выборки по алгоритму Ланса-Уильямса с расстоянием Уорда относит событие к определенному кластеру. При классификации и кластеризации возможно использование модуля фильтрации помех и шумов (8), отбрасывающего определенный процент шума, а также использование алгоритма нормализации и отбора (7), позволяющего свести все признаки событий к единому числовому значению в сегменте от 0 до 1, используя при этом заранее заданные веса каждого признака;The data control unit (6) (Fig. 3) provides: data processing with special modules of normalization (7), filtering (8), correlation (9) and classification (10). The classification and clustering module (10), which analyzes the entire input stream of events (5), assigns a specific attribute to each event. Then, using the Lans-Williams training sample with the Ward distance, the event is assigned to a specific cluster. When classifying and clustering, it is possible to use the interference and noise filtering module (8), which discards a certain percentage of noise, as well as the use of the normalization and selection algorithm (7), which allows reducing all signs of events to a single numerical value in a segment from 0 to 1, using predefined weights of each feature;

хранение данных в отфильтрованном и нормализованном виде, путем помещения их в репозиторий (11), который основан как хранилище триплетов (специально созданная база данных, оптимизированная для хранения и поиска утверждений вида «субъект - предикат - объект»);storing data in a filtered and normalized form by placing them in a repository (11), which is based as a triplet repository (a specially created database optimized for storing and searching for statements of the form “subject - predicate - object”);

Блока анализа событий (4) (фиг. 3), обеспечивает: агрегацию, приоритезацию и анализ инцидентов и их последствий. В общем случае, анализ данных может основываться на качественных и количественных оценках. Количественная оценка является более точной, но требует заметно больше времени, что не всегда допустимо. Чаще всего бывает достаточно быстрого качественного анализа, задача которого заключается в распределении факторов риска по группам.The event analysis block (4) (Fig. 3) provides: aggregation, prioritization and analysis of incidents and their consequences. In general, data analysis can be based on qualitative and quantitative estimates. Quantification is more accurate, but requires significantly more time, which is not always acceptable. Most often, there is a fairly quick qualitative analysis, the task of which is to distribute risk factors into groups.

Блок поиска решений (2) (фиг. 3) обеспечивает: поддержку и принятие решений на отражение компьютерных вторжений.Block search solutions (2) (Fig. 3) provides: support and decision-making to repel computer intrusions.

Блок регистрации инцидента (4) (фиг. 3), обеспечивает: визуализацию текущей ситуации, а также генерацию отчетов и предупреждений о компьютерных атаках.The incident registration unit (4) (Fig. 3) provides: visualization of the current situation, as well as generation of reports and warnings about computer attacks.

б) возможность получения указанного заявителем технического результатаb) the possibility of obtaining the technical result indicated by the applicant

Система мониторинга событий компьютерной безопасности работает следующим образом.The computer security event monitoring system operates as follows.

Система мониторинга событий компьютерной безопасности, как правило, содержит центральную часть, называемую сервером безопасности (СБ), к которой подключены агенты (датчики) (5) ПК пользователей. При этом топология сети не имеет значения.A computer security event monitoring system, as a rule, contains a central part called a security server (SB), to which agents (sensors) are connected (5) to users' PCs. Moreover, the network topology does not matter.

Когда в локальной вычислительной сети происходят некоторые события, влияющие на безопасность всей информационной системы или ее частей, специализированные источники (5) передают данные об этих событиях на сервер безопасности в средство сбора данных о событиях безопасности.When some events occur in the local area network that affect the security of the entire information system or its parts, specialized sources (5) transmit data about these events to the security server in a means of collecting data about security events.

Основным назначением блока сбора данных о событиях безопасности (1) является загрузка данных о системных событиях с устройств пользователей, подключенных к серверу безопасности. Загружаемыми данными являются записи программных и системных журналов и отчетов, которые ведут записи действий пользователей, запросы программ, сетевые запросы и т.д. Загрузка данных может производиться в несколько этапов: сначала могут быть загружены события высокого уровня, а затем, если есть необходимость, события низкого уровня. К событиям высоко уровня относятся такие действия, как действие с файлами, изменение прав доступа, запуск программ. К событиям низкого уровня относятся команды программ и передаваемые сетевые пакеты, например обращение к памяти процесса, блокирование входящего пакета данных и т.д. При этом могут использоваться два основных метода: прямой (Pull) и обратной связи (Push). В первом случае - источник (5) сам посылает данные из записей своих журналов сбора данных о событиях безопасности, во втором - блок сбора данных о событиях безопасности (1) самостоятельно осуществляет процесс получения данных о событиях безопасности из журналов основных и прикладных программно-аппаратных средств информационной системы.The main purpose of the security event data collection unit (1) is to download data on system events from user devices connected to the security server. Downloadable data are records of program and system logs and reports that keep records of user actions, program requests, network requests, etc. Data can be loaded in several stages: first, high-level events can be loaded, and then, if necessary, low-level events. High-level events include actions such as actions with files, changing access rights, and launching programs. Low-level events include program commands and transmitted network packets, for example, accessing a process memory, blocking an incoming data packet, etc. In this case, two main methods can be used: direct (Pull) and feedback (Push). In the first case, the source (5) itself sends data from the records of its security event data collection logs, in the second case, the security event data collection unit (1) independently carries out the process of receiving data on security events from the logs of the main and applied software and hardware information system.

Данные о происшедших событиях безопасности поступают в средство управления данными (6), где весь входной поток проходит предварительную нормализацию и отбор (7) этих событий, с точки зрения оценки возможного риска для безопасности информационной системы.Data on the security events that have occurred is sent to the data management tool (6), where the entire input stream undergoes preliminary normalization and selection (7) of these events from the point of view of assessing the possible risk to the security of the information system.

Процедура нормализации входного потока о событиях обеспечивает выполнение требования о приведении данных к единому виду для последующей обработки модулями фильтрации (8), корреляции (9) и классификации (10). Это требование обусловлено наличием широкого спектра средств, применяемых для защиты информационных систем. При этом каждый вендор (производитель) использует свою собственную систему кодирования и описания событий в журналах регистрации. Таким образом, модуль нормализации (7) позволяет привести входной поток данных о событиях безопасности к единообразному виду для последующей централизованной обработки.The procedure for normalizing the input stream about events ensures that the data is reduced to a single form for subsequent processing by the filtration modules (8), correlation (9), and classification (10). This requirement is due to the presence of a wide range of tools used to protect information systems. In addition, each vendor (manufacturer) uses its own system of coding and description of events in the logs. Thus, the normalization module (7) allows you to bring the input data stream about security events to a uniform form for subsequent centralized processing.

Далее нормализованный поток данных обрабатывается модулем фильтрации (8), который обеспечивает требуемую полноту представления данных обо всех потенциальных критических событиях безопасности. Наиболее важным в фильтрации поступающего потока данных является обеспечение возможности исключения дублирующих событий, ошибочной и избыточной информации. Это позволяет снижать нагрузку, связанную с дальнейшей обработкой событий, и облегчает решение задач обнаружения инцидентов.Next, the normalized data stream is processed by the filtering module (8), which provides the required completeness of the presentation of data on all potential critical security events. The most important thing in filtering the incoming data stream is the ability to eliminate duplicate events, erroneous and redundant information. This allows you to reduce the burden associated with further processing of events, and facilitates the solution of problems of incident detection.

На следующем этапе поток данных о событиях безопасности проходит последовательно через модуль классификации и кластеризации (10), который обеспечивает выявление логических связей между анализируемыми событиями.At the next stage, the flow of data on security events passes sequentially through the classification and clustering module (10), which ensures the identification of logical connections between the analyzed events.

Одновременно отфильтрованные данные в нормализованном виде помещаются для хранения в репозиторий триплетов (11) для последующего использования при принятии решений. Репозиторий может быть создан на основе реляционной СУБД, XML-ориентированной СУБД или хранилища триплетов.At the same time, the filtered data in a normalized form is placed for storage in the triplet repository (11) for subsequent use in decision making. A repository can be created on the basis of a relational DBMS, an XML-oriented DBMS or a triple repository.

Модуль классификации и кластеризации (10) сначала обеспечивает присвоение каждому событию специального признака приоритета, определяющего степень (значимость) его угрозы. От значения приоритета, присвоенного событию, зависит то, насколько оперативно будет производиться его обработка, расследование и какие ресурсы будут задействованы. Данная процедура происходит на основании заложенных либо определяемых администратором информационной системы признаков.The classification and clustering module (10) first ensures that each event is assigned a special priority attribute that determines the degree (significance) of its threat. The priority assigned to the event determines how quickly it will be processed, investigated and what resources will be used. This procedure takes place on the basis of signs laid down or determined by the administrator of the information system.

Затем модуль классификации и кластеризации (10) обеспечивает разбиение множество событий безопасности на кластеры. Внутри каждой группы должны оказаться «похожие» события, а события разных группы должны быть отличны. Главная особенность выполняемой процедуры кластеризации состоит в том, что перечень групп четко не задан и определяется в процессе работы алгоритма. Границы различных категорий (кластеров) зачастую являются нечеткими, расплывчатыми, и обычно сама категория событий понимается не через формальное определение, а только в сравнении с другими категориями (кластерами).Then, the classification and clustering module (10) splits multiple security events into clusters. Within each group there should be “similar” events, and the events of different groups should be different. The main feature of the performed clustering procedure is that the list of groups is not clearly defined and is determined during the operation of the algorithm. The boundaries of various categories (clusters) are often fuzzy, vague, and usually the category of events is not understood through a formal definition, but only in comparison with other categories (clusters).

Задачей модуля классификации и кластеризации (11) является формирование обобщающих признаков в совокупности событий безопасности. При увеличении числа примеров событий несущественные, случайные признаки сглаживаются, а часто встречающиеся - усиливаются, при этом происходит постепенное уточнение границ категорий.The task of the classification and clustering module (11) is the formation of generalizing attributes in the aggregate of security events. With an increase in the number of examples of events, non-essential, random signs are smoothed out, and frequently occurring ones are amplified, while the category boundaries are gradually refined.

Модуль классификации и кластеризации (11) использует для своей работы иерархические алгоритмы, которые строят не одно разбиение выборки на непересекающиеся кластеры, а систему вложенных разбиений. Т.е. на выходе получается дерево кластеров, корнем которого является вся выборка, а листьями - наиболее мелкие кластера.The classification and clustering module (11) uses hierarchical algorithms for its work, which build not one partition of the sample into disjoint clusters, but a system of nested partitions. Those. the output is a tree of clusters, the root of which is the entire sample, and the leaves are the smallest clusters.

Наиболее подходящими для задачи разбиения множества событий безопасности на кластеры следует считать восходящие алгоритмы, в которых объекты (события безопасности) объединяются во все более и более крупные кластеры. Реализация этого подхода может быть представлена агломеративным алгоритмом Ланса-Вильямса, описанным в книге И.Д. Манделя «Кластерный анализ» (Мандель, И.Д. Кластерный анализ. [Текст] / И.Д. Мандель // М.: Финансы и статистика, 1988, с. 69-74). При этом расчет расстояний между кластерами предлагается вести на основе расстояния Уорда. (Мандель, И.Д. Кластерный анализ. [Текст] / И.Д. Мандель // М.: Финансы и статистика, 1988, с. 70).The most suitable for the task of splitting multiple security events into clusters should be considered upstream algorithms in which objects (security events) are combined into more and more large clusters. The implementation of this approach can be represented by the Lance-Williams agglomerative algorithm described in the book of I.D. Mandel “Cluster analysis” (Mandel, ID Cluster analysis. [Text] / ID Mandel // M .: Finance and Statistics, 1988, pp. 69-74). In this case, it is proposed to calculate the distances between the clusters based on the Ward distance. (Mandel, I. D. Cluster analysis. [Text] / I. D. Mandel // M .: Finance and statistics, 1988, p. 70).

Далее информация о полученных кластерах, их количестве и входящих в их состав событиях поступает в модуль корреляции (9), который обеспечивает выявление скрытых отношений между различными событиями безопасности, происходящими в разное время и на разных узлах информационной системы, что позволяет в режиме реального времени обнаруживать графы атак, включающие в себя распределенные события.Further, information about the obtained clusters, their number, and the events included in their composition goes to the correlation module (9), which ensures the identification of hidden relationships between various security events occurring at different times and at different nodes of the information system, which allows real-time detection attack graphs including distributed events.

Использование в качестве модуля корреляции (9) рекуррентных нейронные сетей Херольта-Джуттена, описанных в книге (Осовский, С. Нейронные сети для обработки информации [Текст] / С. Осовский // М.: Финансы и статистика, 2002) существенно повышает качество анализа главных компонентов (РСА), т.к. такие сети имеют адаптивную линейную структуру, обрабатывающую сигналы в режиме реального времени, и применяются именно в задачах с плохо структурированной информацией.Using correlation module (9) of recurrent neural networks of Herolt-Jutten described in the book (Osovsky, S. Neural networks for information processing [Text] / S. Osovsky // M .: Finance and Statistics, 2002) significantly improves the quality of analysis main components (SAR), as such networks have an adaptive linear structure that processes signals in real time, and are used precisely in problems with poorly structured information.

Блок анализа данных о событиях (3) обнаруживает или регистрирует факт возникновения инцидента, в том числе посредством моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов.The event data analysis unit (3) detects or records the occurrence of an incident, including by modeling events, attacks and their consequences, analyzing vulnerabilities and security of the system, determining the parameters of intruders, assessing risk, predicting events and incidents.

Блок анализа данных о событиях (3) обеспечивает приоритезацию, определяя значимость и критичность событий безопасности на основании правил, определенных в системе. Кроме того анализ событий, инцидентов и их последствий включает процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов.The event data analysis unit (3) provides prioritization, determining the significance and criticality of security events based on the rules defined in the system. In addition, the analysis of events, incidents and their consequences includes procedures for modeling events, attacks and their consequences, analysis of vulnerabilities and security of the system, determining the parameters of intruders, risk assessment, forecasting events and incidents.

Блок поиска решений (2) определяет выработку мер по реконфигурированию средств защиты с целью предотвращения атак или восстановления безопасности инфраструктуры, а также генерацию отчетов и предупреждений с формированием, передачей и отображением или печатью результатов своего функционирования.The decision search block (2) determines the development of measures for reconfiguring security tools to prevent attacks or restoring infrastructure security, as well as generating reports and warnings with the formation, transmission and display or printing of the results of its operation.

Блок регистрации инцидентов (4) обеспечивает визуализацию, т.е. представление в графическом виде данных, характеризующих результаты анализа событий безопасности и состояние защищаемой информационной системы и ее элементов.The incident registration unit (4) provides visualization, i.e. graphical presentation of data characterizing the results of the analysis of security events and the state of the protected information system and its elements.

Таким образом, использование в системе мониторинга событий компьютерной безопасности блока управления данными (6) улучшает ее конструкцию, позволяя при обнаружении атак использовать не только данные об отдельных событиях, а данные об инцидентах, распознаваемых с помощью корреляции различных событий. Это позволит эффективнее идентифицировать графы атак, включающих в себя распределенные события по времени и узлам информационной системы.Thus, the use of a data management unit in the computer security event monitoring system (6) improves its design, allowing for detection of attacks to use not only data about individual events, but also data about incidents recognized by correlation of various events. This will allow more efficient identification of attack graphs, which include distributed events by time and nodes of the information system.

Claims (2)

1. Система мониторинга событий компьютерной безопасности, содержащая средства сбора событий, поиска решений, регистрации инцидента и анализа событий, отличающаяся тем, что дополнительно введен блок управления данными, включающий: модуль нормализации с отбором, обеспечивающий сведение всех признаков событий к единому диапазону значений; модуль классификации и кластеризации событий, обеспечивающий на первом этапе анализ входного потока событий в компьютерной системе с последующим выделением в каждом событии ключевого признака, позволяющий отнести его к определенному кластеру при использовании метода фильтрации помех и шумов; а затем, на основе предварительного обучения по алгоритму Ланса-Уильямса с расстоянием Уорда, обеспечивающий выделение из всего потока таких событий, которые существенно деструктивно влияют на безопасность информационных ресурсов организации.1. A computer security event monitoring system containing means for collecting events, finding solutions, registering an incident and analyzing events, characterized in that an additional data management unit is introduced, including: a normalization module with selection that ensures that all signs of events are reduced to a single range of values; a module for classifying and clustering events, which, at the first stage, provides an analysis of the input stream of events in a computer system with the subsequent selection of a key feature in each event, which allows it to be assigned to a specific cluster using the filtering method of interference and noise; and then, on the basis of preliminary training using the Lance-Williams algorithm with Ward distance, which ensures the isolation from the entire stream of such events that significantly destructively affect the security of the organization’s information resources. 2. Система по п. 1, отличающаяся тем, что в модуле классификации и кластеризации обеспечивается дополнительная фильтрация помех и шумов, отбрасывающая заданный процент шума.
Figure 00000001
2. The system according to claim 1, characterized in that the classification and clustering module provides additional filtering of interference and noise, rejecting a given percentage of noise.
Figure 00000001
RU2014130506/08U 2014-07-22 2014-07-22 COMPUTER SECURITY EVENTS MONITORING SYSTEM RU148692U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014130506/08U RU148692U1 (en) 2014-07-22 2014-07-22 COMPUTER SECURITY EVENTS MONITORING SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014130506/08U RU148692U1 (en) 2014-07-22 2014-07-22 COMPUTER SECURITY EVENTS MONITORING SYSTEM

Publications (1)

Publication Number Publication Date
RU148692U1 true RU148692U1 (en) 2014-12-10

Family

ID=53291246

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014130506/08U RU148692U1 (en) 2014-07-22 2014-07-22 COMPUTER SECURITY EVENTS MONITORING SYSTEM

Country Status (1)

Country Link
RU (1) RU148692U1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2569568C1 (en) * 2014-12-12 2015-11-27 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТМО) Method of monitoring emergency situations based on integration of computer and information components of grid system
RU2610395C1 (en) * 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of computer security distributed events investigation
RU2639898C2 (en) * 2015-11-13 2017-12-25 Сяоми Инк. Method and device for monitoring file in system section
RU180789U1 (en) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
RU2742179C1 (en) * 2020-03-03 2021-02-03 Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации Method of constructing system for detecting information security incidents in automated control systems

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2569568C1 (en) * 2014-12-12 2015-11-27 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТМО) Method of monitoring emergency situations based on integration of computer and information components of grid system
RU2639898C2 (en) * 2015-11-13 2017-12-25 Сяоми Инк. Method and device for monitoring file in system section
RU2610395C1 (en) * 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of computer security distributed events investigation
RU180789U1 (en) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
RU2742179C1 (en) * 2020-03-03 2021-02-03 Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации Method of constructing system for detecting information security incidents in automated control systems

Similar Documents

Publication Publication Date Title
Asif et al. MapReduce based intelligent model for intrusion detection using machine learning technique
EP3528463B1 (en) An artificial intelligence cyber security analyst
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
EP3107026B1 (en) Event anomaly analysis and prediction
Gupta et al. Layered approach using conditional random fields for intrusion detection
RU148692U1 (en) COMPUTER SECURITY EVENTS MONITORING SYSTEM
US20190095618A1 (en) Quantitative unified analytic neural networks
WO2017152877A1 (en) Network threat event evaluation method and apparatus
Wang et al. Automatic multi-step attack pattern discovering
US20150358292A1 (en) Network security management
KR20200025043A (en) Method and system for security information and event management based on artificial intelligence
Aung et al. An analysis of K-means algorithm based network intrusion detection system
RU180789U1 (en) DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
Tang et al. Low-rate dos attack detection based on two-step cluster analysis
Angelini et al. An attack graph-based on-line multi-step attack detector
Kumar et al. A semantic machine learning algorithm for cyber threat detection and monitoring security
Lambert II Security analytics: Using deep learning to detect Cyber Attacks
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN115795330A (en) Medical information anomaly detection method and system based on AI algorithm
Wen et al. Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
Azhagiri et al. A novel approach to measure the quality of cluster and finding intrusions using intrusion unearthing and probability clomp algorithm
CN114039837A (en) Alarm data processing method, device, system, equipment and storage medium
Daihes et al. MORTON: detection of malicious routines in large-scale DNS traffic

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20160723