RU166348U1 - INFORMATION SECURITY EVENT CORRELATION DEVICE - Google Patents

INFORMATION SECURITY EVENT CORRELATION DEVICE Download PDF

Info

Publication number
RU166348U1
RU166348U1 RU2016131447/08U RU2016131447U RU166348U1 RU 166348 U1 RU166348 U1 RU 166348U1 RU 2016131447/08 U RU2016131447/08 U RU 2016131447/08U RU 2016131447 U RU2016131447 U RU 2016131447U RU 166348 U1 RU166348 U1 RU 166348U1
Authority
RU
Russia
Prior art keywords
information security
rule
directive
input
information
Prior art date
Application number
RU2016131447/08U
Other languages
Russian (ru)
Inventor
Алексей Сергеевич Марков
Валентин Леонидович Цирлов
Андрей Анатольевич Фадин
Алексей Владимирович Титов
Георгий Алексеевич Марков
Original Assignee
Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" filed Critical Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон"
Priority to RU2016131447/08U priority Critical patent/RU166348U1/en
Application granted granted Critical
Publication of RU166348U1 publication Critical patent/RU166348U1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

Устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.An information security event correlation device comprising an information security event receiver, the output of which is connected to the first input of the information security event comparison unit with the rule of the first level correlation directive and with the first input of the information security event comparison unit with the rule of the second level correlation directive, the output of the information event comparison unit security rule of the first level correlation directive is connected to the timer input and to the second input of the compare the information security event with the rule of the second level correlation directive, the output of the information security event comparison unit with the rule of the second level correlation directive is connected to the first input of the event counter, the second input of which is connected to the first timer output, and the output to the alarm generation unit, the output of which is connected to the second input of the information security event comparison unit with the rule of the first level correlation directive, the third input of which is connected to the second output of the timer.

Description

Полезная модель относится к области информационной безопасности (ИБ), а более конкретно к обнаружению атак на информационные системы с использованием SIEM-систем.The utility model relates to the field of information security (IS), and more specifically to the detection of attacks on information systems using SIEM systems.

Своевременное реагирование имеет решающее значение для ликвидации компьютерных атак на информационные системы с минимально возможными потерями. В связи с этим возрастают требования к оперативности мониторинга, контроля и реагирования персонала на события в информационной системе [1].Timely response is critical to eliminating computer attacks on information systems with the least possible loss. In this regard, there are increasing requirements for the efficiency of monitoring, control and response of personnel to events in the information system [1].

Инфраструктура крупных организаций все более и более усложняется, поэтому уследить за огромным потоком сведений о нарушениях ИБ и оценить значимость каждого из них бывает очень трудоемко. Это приводит к росту требований к квалификации и качеству работы персонала информационных систем.The infrastructure of large organizations is becoming more and more complicated, so keeping track of the huge flow of information about IS violations and assessing the significance of each of them can be very difficult. This leads to an increase in the requirements for qualifications and quality of work of information systems personnel.

Решением обозначенных выше проблем является использованием так называемых SIEM-систем. (Security Information and Event Management).The solution to the above problems is the use of so-called SIEM systems. (Security Information and Event Management).

Под SIEM-системой понимается класс решений в области ИБ, ориентированных на поддержку процессов управления, как безопасностью, так и всей IT-инфраструктурой предприятия. Решение SIEM позволяет проводить [2]:A SIEM system is a class of information security solutions focused on supporting management processes, both security and the entire IT infrastructure of an enterprise. SIEM solution allows to carry out [2]:

- централизованный сбор и анализ данных журналов событий средств защиты информации, рабочих станций серверов и сетевого оборудования;- centralized collection and analysis of data from event logs of information protection tools, server workstations and network equipment;

- удаленный контроль параметров конфигурации и работы автоматизированных рабочих мест;- remote control of configuration parameters and work of workstations;

- оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;- prompt notification and response to internal and external threats to the security of the automated system;

- контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности информационной системы в любые моменты времени.- monitoring the implementation of specified requirements for information security, collecting statistics and building reports on the security of the information system at any time.

В состав SIEM-системы, как правило, входят:The SIEM system, as a rule, includes:

средства сбора и передачи информации, передающие данные о событиях ИБ от источников событий в ядро SIEM системы;means for collecting and transmitting information transmitting data on IS events from event sources to the SIEM core of the system;

ядро SIEM-системы, состоящее из:The core of the SIEM system, consisting of:

средств приема данных о событиях ИБ и их агрегации в журналах;means for receiving data on IS events and their aggregation in magazines;

журналов данных о событиях ИБ;IS event data logs

сенсора-модуля, нормализующий и передающий данные в базу данных (БД) SIEM-системы;sensor module, normalizing and transmitting data to the database (DB) of the SIEM system;

БД SIEM-системы, в которой хранятся архивы событий ИБ, данные об инцидентах ИБ и информация о настройках системы;DB SIEM-system, which stores archives of IS events, information about IS incidents and information about system settings;

устройства корреляции, с помощью которого выявляются инциденты ИБ;correlation devices with which information security incidents are detected;

а также средство взаимодействия администратора безопасности с SIEM системой, например, веб-интерфейс.as well as a means of interaction between the security administrator and the SIEM system, for example, a web interface.

Устройство корреляции является базовым модулем ядра SIEM системы, от реализации которого во многом зависит эффективность обнаружения компьютерных атак и, в результате, общая защищенность информационной системы.The correlation device is the basic module of the SIEM system core, the implementation of which largely determines the effectiveness of detection of computer attacks and, as a result, the overall security of the information system.

Из уровня техники известна система генерации тревог информационной безопасности [3], основанных на оценке риска, в которой устройство управления событиями получает запрос к доступу к корпоративной сети с клиентского устройства, в ответ на запрос отправляет веб-страницу для аутентификации клиента, содержащую программу для извлечения параметров профиля клиентского устройства, далее устройство управления событиями получает информацию о событии аутентификации с клиентского устройства и информацию об оценки риска с блока оценки риска, при этом информация об оценке риска основана на параметрах профиля клиентского устройства, после этого устройство управления событиями производит корреляцию аутентификационной информации и информации об оценки риска, если результат корреляции соответствует аутентификационной атаке, то устройством управления событиями генерируется тревога (SIEM тревога), имеющая приоритет, основанный на оценке риска.The prior art system for generating information security alarms [3], based on risk assessment, in which an event management device receives a request to access the corporate network from a client device, in response to a request, sends a web page for client authentication containing a program for extracting profile settings of the client device, then the event management device receives information about the authentication event from the client device and information about the risk assessment from the risk assessment unit, etc. The risk assessment information is based on the profile parameters of the client device, after which the event management device correlates the authentication information and the risk assessment information, if the correlation result corresponds to an authentication attack, the event management device generates an alarm (SIEM alarm), which has priority based on risk assessment.

Недостатком данной системы является ее узконаправленость, так как она позволяет обнаруживать атаки только на системы аутентификации.The disadvantage of this system is its narrow focus, since it allows you to detect attacks only on authentication systems.

Из уровня техники также известна SIEM система [4], которая получает событие безопасности, рассчитывает уровень риска события безопасности, основываясь на корреляции события безопасности с атрибутами актива сети, управляемого SIEM системой; если уровень риска соответствует заранее установленному, SIEM система оповещает системного администратора об этом.The SIEM system [4], which receives a security event, calculates the risk level of a security event, based on the correlation of the security event with the attributes of the network asset managed by the SIEM system, is also known from the prior art; if the risk level corresponds to the predefined one, the SIEM system notifies the system administrator about this.

Недостатком данной системы является недостаточная безопасность информационной системы, в которой используется данная SIEM система, так как ее устройство корреляции обнаруживает атаки с недостаточно высокой вероятностью.The disadvantage of this system is the inadequate security of the information system that uses this SIEM system, since its correlation device detects attacks with a low probability.

Техническим результатом, на достижение которого направлено заявляемое устройство, является повышение вероятности обнаружения атак на информационные системы, что в свою очередь приводит к повышению безопасности информационных систем.The technical result, the achievement of which the claimed device is aimed, is to increase the likelihood of detecting attacks on information systems, which in turn leads to increased security of information systems.

Технический результат достигается за счет того, что устройство корреляции событий информационной безопасности включает в себя приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.The technical result is achieved due to the fact that the information security event correlation device includes an information security event receiver, the output of which is connected to the first input of the information security event comparison unit with the rule of the first level correlation directive and with the first input of the information security event comparison unit with the rule of the directive second-level correlation, output of the information security event comparison unit with the rule of the first-level correlation directive connected to the timer input and to the second input of the information security event comparison unit with the rule of the second level correlation directive, the output of the information security event comparison unit with the second level correlation directive rule is connected to the first input of the event counter, the second input of which is connected to the first timer output, and the output with an alarm generation unit, the output of which is connected to the second input of the information security event comparison unit with the rule of the first level correlation directive, the third input for which it is connected to the second output of the timer.

Устройство корреляции событий информационной безопасности выполняет автоматический анализ собранных данных и обеспечивает выявление инцидентов ИБ с последующей генерацией тревог с помощью набора директив корреляции, представляющих собой последовательность правил корреляции разного уровня. Правила корреляции формируются на основе шаблонов сетевых угроз информационной безопасности и используются для сравнения с поступающими событиями информационной безопасности в блоках сравнения с правилами директив корреляции.The information security event correlation device automatically analyzes the collected data and ensures the detection of IS incidents followed by the generation of alarms using a set of correlation directives, which are a sequence of correlation rules of different levels. Correlation rules are generated on the basis of information security network threat patterns and are used for comparison with incoming information security events in comparison blocks with the rules of correlation directives.

На фигуре 1 показано устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности (1), блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня (2), блок сравнения события информационной безопасности с правилом директивы корреляции второго уровня (3), таймер (4), счетчик событий (5), блок генерации тревоги (6).The figure 1 shows a device for correlating information security events, containing a receiver of information security events (1), a unit for comparing information security events with the rule of the first level correlation directive (2), a unit for comparing information security events with the rule of the second level correlation directive (3), a timer (4), event counter (5), alarm generation unit (6).

Приемник событий информационной безопасности (1) принимает события безопасности от базы данных SIEM или от внешних источников. События безопасности могут быть следующие: загрузка операционной системы, успешная или неуспешная попытка входа в операционную систему, событие от системы обнаружения вторжений, межсетевого экрана, события копирования данных, печати документа и т.д.The information security event receiver (1) receives security events from the SIEM database or from external sources. Security events can be the following: loading of the operating system, successful or unsuccessful attempt to enter the operating system, an event from an intrusion detection system, a firewall, an event of copying data, printing a document, etc.

Первое событие безопасности поступает на первый вход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня (2), и если оно удовлетворяет правилу директивы корреляции первого уровня, то на выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня поступает сигнал, разрешающий запись последующих событий информационных безопасности в блок сравнения события информационной безопасности с правилом директивы корреляции второго уровня (3) и запускающий таймер (4).The first security event is fed to the first input of the information security event comparison unit with the rule of the first level correlation directive (2), and if it satisfies the rule of the first level correlation directive, then a signal is issued to the output of the information security event comparison unit with the rule of the first level correlation directive recording subsequent information security events in the unit for comparing information security events with the rule of the second level correlation directive (3) and triggering conductive timer (4).

При этом блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня перестает обрабатывать последующие события информационной безопасности до поступления разрешающего сигнала на его второй или третий вход.In this case, the unit for comparing information security events with the rule of the first level correlation directive ceases to process subsequent information security events until an enabling signal arrives at its second or third input.

Последующие события информационной безопасности сравниваются с правилом директивы корреляции второго уровня в блоке сравнения события информационной безопасности с правилом директивы корреляции второго уровня. Количество событий информационной безопасности, удовлетворяющих правилу директивы корреляции второго уровня, подсчитывается в счетчике событий (5), и при достижении определенного (наперед заданного) количества таких событий счетчик подает на вход блока генерации тревог (6) сигнал, сигнализирующей об атаке на информационную систему.Subsequent information security events are compared with the rule of the second level correlation directive in the block for comparing information security events with the rule of the second level correlation directive. The number of information security events that satisfy the rule of the second level correlation directive is calculated in the event counter (5), and when a certain (previously set) number of such events is reached, the counter sends a signal to the input of the alarm generation block (6) signaling an attack on the information system.

Однако счетчик может быть обнулен сигналом от таймера, если за время, установленное в таймере, количество событий информационной безопасности, удовлетворяющих правилу директивы корреляции второго уровня, не успевает достигнуть определенного (наперед заданного) значения в счетчике событий. В дополнение к сигналу обнуления счетчика, таймер также вырабатывает разрешающий сигнал, переводящий блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня в рабочее состояние.However, the counter can be reset by a signal from the timer, if during the time set in the timer, the number of information security events that satisfy the rule of the second level correlation directive does not manage to reach a certain (predefined) value in the event counter. In addition to the counter zeroing signal, the timer also generates an enable signal that translates the information security event comparison unit with the rule of the first level correlation directive to the operational state.

При генерации тревоги блок генерации тревоги выдает сообщение о тревоге, которое может поступать на выход экрана монитора, а также может быть отправлено администратору информационной безопасности на его электронную почту, или любым другим способом может быть использовано для оповещения об атаке.When an alarm is generated, the alarm generation unit generates an alarm message that can be sent to the monitor screen output, and can also be sent to the information security administrator by e-mail, or it can be used in any other way to notify of an attack.

Кроме того, блок генерации тревоги выдает разрешающий сигнал, поступающий на второй вход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня.In addition, the alarm generation unit gives an enable signal to the second input of the information security event comparison unit with the rule of the first level correlation directive.

После получения разрешающего сигнала блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня переводится в рабочее состояние и готов обрабатывать следующее событие информационной безопасности, поступающее от приемника событий информационной безопасности.After receiving the enabling signal, the information security event comparison unit with the rule of the first level correlation directive is put into operation and is ready to process the next information security event from the information security event receiver.

В качества примера рассмотрим следующую директиву корреляции.As an example, consider the following correlation directive.

Пусть на первом уровне директивы корреляции задано правило: «Запуск операционной системы на любом из компьютеров сети».Let the rule be set at the first level of the correlation directive: "Launch the operating system on any of the computers on the network."

На втором уровне директивы корреляции задано правило: «Неверный логин или пароль».At the second level of the correlation directive, the rule is set: "Invalid username or password."

В таймере установлено значение «5 минут».The timer is set to "5 minutes".

Счетчик событий считает до 2х.The event counter counts up to 2x.

Таким образом, при поступлении трех событий информационной безопасности за 5 минут, удовлетворяющих правилу: «Неверный логин или пароль», счетчик вырабатывает сигнал переноса, который дает команду блоку генерации тревог сгенерировать сигнал тревоги.Thus, when three information security events arrive in 5 minutes that satisfy the rule: “Invalid username or password”, the counter generates a carry signal, which instructs the alarm generation unit to generate an alarm.

Таким образом, если на одном из компьютеров сети запускается операционная система, событие об этом попадает в приемник событий информационной безопасности, а далее сравнивается в блоке сравнения события информационной безопасности с правилом директивы корреляции первого уровня с правилом «Запуск операционной системы на любом из компьютеров сети». После этого пользователь начинает вводить логин и пароль для доступа к загружаемой операционной системе. События о введенных логине и пароле попадают также в приемник событий. И в случае, если пользователь вводит неправильный логин и пароль 3 раза в течение 5 минут, блок генерации тревоги сигнализирует обнаружение компьютерной атаки.Thus, if an operating system is launched on one of the computers on the network, the event falls into the receiver of information security events, and then it is compared in the comparison block of the information security event with the rule of the first level correlation directive with the rule "Run the operating system on any of the network computers" . After that, the user begins to enter a username and password to access the bootable operating system. Events about the entered login and password also fall into the event receiver. And in case the user enters the wrong login and password 3 times within 5 minutes, the alarm generation unit signals the detection of a computer attack.

Список источниковList of sources

1. Марков А., Фадин А. Конвергенция средств защиты информации // Защита информации. Инсайд. 2013. №4 (52). С. 80-81.1. Markov A., Fadin A. Convergence of information security tools // Information Protection. Insider. 2013. No4 (52). S. 80-81.

2. Фадин А.А., Авезова Я.Э. SIEM-решения по управлению и консолидации средств защиты информации // Автоматика и информатика. 2015. №1 (36). С. 27-33.2. Fadin A.A., Avezova I.E. SIEM-solutions for the management and consolidation of information security tools // Automation and Informatics. 2015. No1 (36). S. 27-33.

3. US 9282114 B1, EMC Corporation, Generation of alerts in an event management system based upon risk, G06F 21/55, 08.03.20163. US 9282114 B1, EMC Corporation, Generation of alerts in an event management system based upon risk, G06F 21/55, 08/08/2016

4. US 20150106867 A1, Fortinet, Inc., Security information and event management, H04L 29/06, 16.04.20154. US 20150106867 A1, Fortinet, Inc., Security information and event management, H04L 29/06, 04/16/2015

Claims (1)

Устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.
Figure 00000001
An information security event correlation device comprising an information security event receiver, the output of which is connected to the first input of the information security event comparison unit with the rule of the first level correlation directive and with the first input of the information security event comparison unit with the rule of the second level correlation directive, the output of the information event comparison unit security rule of the first level correlation directive is connected to the timer input and to the second input of the compare the information security event with the rule of the second level correlation directive, the output of the information security event comparison unit with the rule of the second level correlation directive is connected to the first input of the event counter, the second input of which is connected to the first timer output, and the output to the alarm generation unit, the output of which is connected to the second input of the information security event comparison unit with the rule of the first level correlation directive, the third input of which is connected to the second output of the timer.
Figure 00000001
RU2016131447/08U 2016-08-01 2016-08-01 INFORMATION SECURITY EVENT CORRELATION DEVICE RU166348U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016131447/08U RU166348U1 (en) 2016-08-01 2016-08-01 INFORMATION SECURITY EVENT CORRELATION DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016131447/08U RU166348U1 (en) 2016-08-01 2016-08-01 INFORMATION SECURITY EVENT CORRELATION DEVICE

Publications (1)

Publication Number Publication Date
RU166348U1 true RU166348U1 (en) 2016-11-20

Family

ID=57792806

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016131447/08U RU166348U1 (en) 2016-08-01 2016-08-01 INFORMATION SECURITY EVENT CORRELATION DEVICE

Country Status (1)

Country Link
RU (1) RU166348U1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU178282U1 (en) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Device for monitoring the state of security of military-grade automated control systems
RU193101U1 (en) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации System for analytical processing of information security events
RU2739864C1 (en) * 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" System and method of correlating events for detecting information security incident

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU178282U1 (en) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Device for monitoring the state of security of military-grade automated control systems
RU193101U1 (en) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации System for analytical processing of information security events
RU2739864C1 (en) * 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" System and method of correlating events for detecting information security incident

Similar Documents

Publication Publication Date Title
CN109962891B (en) Method, device and equipment for monitoring cloud security and computer storage medium
US20210126938A1 (en) Systems and methods for cyber security alert triage
US10721245B2 (en) Method and device for automatically verifying security event
EP4154143A1 (en) Cyber security for instant messaging across platforms
JP2018530066A (en) Security incident detection due to unreliable security events
CN112926048B (en) Abnormal information detection method and device
WO2023216641A1 (en) Security protection method and system for power terminal
US11258825B1 (en) Computer network monitoring with event prediction
JP7311350B2 (en) MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM
US20220224721A1 (en) Ordering security incidents using alert diversity
RU166348U1 (en) INFORMATION SECURITY EVENT CORRELATION DEVICE
Apruzzese et al. Identifying malicious hosts involved in periodic communications
EP3343421A1 (en) System to detect machine-initiated events in time series data
CN117614745B (en) Cooperative defense method and system for processor network protection
CN111859374B (en) Method, device and system for detecting social engineering attack event
Wang et al. A centralized HIDS framework for private cloud
WO2019220363A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
CN107294971B (en) Method for ranking threat degree of server attack source
Chakir et al. An efficient method for evaluating alerts of Intrusion Detection Systems
CN113672912A (en) Network security monitoring system based on computer hardware indication and behavior analysis
US20210303682A1 (en) Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios
KR102311997B1 (en) Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis
CN110618977B (en) Login anomaly detection method, device, storage medium and computer equipment
CN113691498B (en) Electric power internet of things terminal safety state evaluation method and device and storage medium
CN108351940B (en) System and method for high frequency heuristic data acquisition and analysis of information security events