RU193101U1 - System for analytical processing of information security events - Google Patents

System for analytical processing of information security events Download PDF

Info

Publication number
RU193101U1
RU193101U1 RU2019114527U RU2019114527U RU193101U1 RU 193101 U1 RU193101 U1 RU 193101U1 RU 2019114527 U RU2019114527 U RU 2019114527U RU 2019114527 U RU2019114527 U RU 2019114527U RU 193101 U1 RU193101 U1 RU 193101U1
Authority
RU
Russia
Prior art keywords
information security
unit
nib
label
input
Prior art date
Application number
RU2019114527U
Other languages
Russian (ru)
Inventor
Игорь Дмитриевич Королев
Владимир Игоревич Попов
Сергей Александрович Коноваленко
Роман Иванович Захарченко
Александр Николаевич Стадник
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2019114527U priority Critical patent/RU193101U1/en
Application granted granted Critical
Publication of RU193101U1 publication Critical patent/RU193101U1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Система аналитической обработки событий информационной безопасности (СИБ) предназначена для обнаружения инцидентов информационной безопасности (ИИБ) на основе ретроспективного анализа СИБ, распределенных во времени, а также своевременного предупреждения о возможном наступлении ИИБ за счет прогнозирования его появления. Техническим результатом является повышение вероятности обнаружения ИИБ в информационных системах (ИС), что в свою очередь приводит к повышению ее безопасности. Указанный технический результат достигается тем, что оператор посредством блока интерфейса устанавливает параметры работы системы (временные, количественные, качественные и комбинированные). Блок приема СИБ передает поступившие СИБ в модуль хранения и присвоения меток СИБ и ИИБ, в котором им присваиваются уникальные метки. Затем в блоках сравнения меток СИБ проводится обработка текущих меток СИБ по правилам директивы корреляции первого и второго уровней, при выполнении которых производится подсчет текущих меток СИБ в счетчике меток СИБ до достижения их максимального количества за выделенный временной интервал с последующим формированием сигнала тревоги в блок генерации тревоги, а также их хранение в блоке буферизации текущих меток СИБ и подсчет значения показателя вероятности наступления ИИБ в блоке подсчета вероятности наступления ИИБ. При условии, что значение текущей метки СИБ не удовлетворяет правилам директивы корреляции первого и второго уровней, производится их перемещение в блок задержки меток СИБ, который во взаимодействии с блоком подсчета вероятности наступления ИИБ и с блоком хранения меток ИИБ проверяет соответствие значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ. Блок предупреждения тревоги принимает от блока задержки меток СИБ незавершенные цепочки меток СИБ, по которым достигнуты заданные значения показателя вероятности наступления ИИБ, и передает их в блок прогнозирования ИИБ, осуществляющего их анализ с метками СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, не являющихся последующими элементами задержанных цепочек меток СИБ в блоке задержки меток СИБ и поступающих от блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Оператор на основе результатов функционирования блока прогнозирования ИИБ и сигналов, поступающих от модуля оповещения, посредством блока интерфейса приминает решение о состоянии ИС и обнаружении нового ИИБ, который посредством блока обновления меток ИИБ поступает в блок хранения меток ИИБ. 4 ил.The information security event analytic processing system (ISS) is designed to detect information security incidents (ISS) based on a retrospective analysis of ISSs distributed over time, as well as timely warning of a possible ISS occurrence by predicting its occurrence. The technical result is to increase the likelihood of IIB detection in information systems (IS), which in turn leads to an increase in its security. The specified technical result is achieved by the fact that the operator sets the parameters of the system (temporary, quantitative, qualitative and combined) through the interface unit. The NIB receiving unit transmits the received NIB to the storage and labeling module of the NIB and the IIB, in which they are assigned unique labels. Then, in the NIB mark comparison blocks, the current NIB marks are processed according to the rules of the first and second level correlation directives, during which the current NIB marks are counted in the SIB mark counter until their maximum number is reached for the selected time interval, followed by the generation of an alarm in the alarm generation block , as well as their storage in the block buffer of the current NIB marks and calculation of the value of the probability indicator of the onset of IIB in the block for calculating the probability of the onset of IIB. Provided that the value of the current NIB mark does not meet the rules of the correlation directive of the first and second levels, they are moved to the block of delay of the NIB tags, which, in conjunction with the block for calculating the probability of occurrence of the IIB and the block of storage of the IIB labels, checks the value of the current NIB label elements of delayed NIB tag chains. The alarm warning unit receives from the NIB label delay block the incomplete NIB label chains, according to which the specified values of the probability of occurrence of the IIB are reached, and transmits them to the IIB forecasting unit, which analyzes them with the IIB labels that do not meet the rules of the first and second level correlation directives that do not which are subsequent elements of the delayed chains of NIB tags in the block of delay of the NIB tags and coming from the block for comparing the NIB tags with the rule of the first level correlation directive. Based on the results of the operation of the IIB forecasting unit and the signals received from the notification module, the operator, through the interface unit, makes a decision about the state of the IS and the discovery of a new IIB, which, through the block of updates of the IIB tags, enters the block of storage of the IIB tags. 4 ill.

Description

Предлагаемая полезная модель относится к области вычислительной техники, а именно к информационной безопасности (далее по тексту - ИБ), и может быть использована для реализации процесса обнаружения инцидентов информационной безопасности (далее по тексту - ИИБ) в информационных системах (далее по тексту - ИС) с использованием SIEM-систем (от англ. Security Information and Event Management).The proposed utility model relates to the field of computer technology, namely to information security (hereinafter referred to as IS), and can be used to implement the process of detecting information security incidents (hereinafter referred to as ISS) in information systems (hereinafter referred to as IS) using SIEM systems (from the English Security Information and Event Management).

Известен аналог «Устройство аудита информационной безопасности в автоматизированных системах» по патенту РФ №180789, МПК G06F 21/55 (2013.01), заявл. 31.10.2017, опубл. 22.06.2018, заключающийся в том, что устройство содержит блок сбора данных о событиях информационной безопасности (далее по тексту - СИБ), блок управления данными, блок анализа СИБ, блок оценки рисков, блок поиска решений, блок анализа решений, блок принятия решений и блок регистрации ИИБ. Блок управления данными содержит модуль нормализации, модуль фильтрации, модуль корреляции и модуль классификации.The analogue is known, “Information Security Audit Device in Automated Systems,” according to RF patent No. 180789, IPC G06F 21/55 (2013.01), decl. 10/31/2017, publ. 06/22/2018, which consists in the fact that the device contains a data collection unit for information security events (hereinafter referred to as NIB), a data management unit, an NIB analysis unit, a risk assessment unit, a decision search unit, a decision analysis unit, a decision making unit and IIB registration unit. The data control unit contains a normalization module, a filter module, a correlation module, and a classification module.

Недостатками данного устройства являются:The disadvantages of this device are:

зависимость процесса функционирования устройства от заранее заданных правил корреляции, позволяющих обнаруживать ИИБ;the dependence of the process of functioning of the device on predefined correlation rules, allowing to detect ISS;

неспособность обнаружения распределенных во времени ИИБ, что, в свою очередь, не позволяет оператору своевременно реагировать на возникающие угрозы ИБ.the inability to detect time-distributed ISS, which, in turn, does not allow the operator to respond in a timely manner to emerging IS threats.

Известен аналог «Средство обнаружения вторжений уровня узла сети» по патенту РФ №186198, МПК G06F 21/55 (2013.01), заявл. 07.03.2018, опубл. 11.01.2019, заключающийся в том, что средство, выполненное в виде сервера администрирования, на котором установлена группа датчиков, таких как датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, контролер целостности файлов. Средство обнаружения вторжения уровня узла сети также содержит блок сбора информации и принятия решений, который соединен с группой датчиков и блоком памяти. Техническим результатом средства обнаружения вторжений является снижение рисков отказов узла сети за счет анализа информации на различных каналах связи.Known analogue "Intrusion Detector Level Host Network" according to the patent of the Russian Federation No. 186198, IPC G06F 21/55 (2013.01), decl. 03/07/2018, publ. 01/11/2019, which consists in the fact that the tool is made in the form of an administration server on which a group of sensors is installed, such as an event analysis sensor, a traffic analysis sensor, an analysis of interaction with the operating system, a connection activity sensor, and a file integrity controller. The host-level intrusion detection tool also comprises an information and decision-making unit, which is connected to a group of sensors and a memory unit. The technical result of the intrusion detection tool is to reduce the risks of network node failures by analyzing information on various communication channels.

Недостатками данного аналога являются:The disadvantages of this analogue are:

элементы средства должны быть заранее установлены на узле сети;elements of the tool must be pre-installed on the network node;

эффективность процесса функционирования средства находится в прямой зависимости от полноты и точности базы решающих правил, содержащей сигнатуры известных сетевых атак, которая требует постоянного (систематического) обновления;the effectiveness of the functioning of the tool is directly dependent on the completeness and accuracy of the base of decision rules containing the signatures of known network attacks, which requires constant (systematic) updating;

средство, являясь источником СИБ, не обеспечивает своевременное обнаружение ИИБ, а обнаруживает признаки сетевых атак, которые уже могут эксплуатировать уязвимости ИС.the tool, being a source of ISS, does not provide timely detection of ISS, but detects signs of network attacks that can already exploit IP vulnerabilities.

Наиболее близким техническим решением, принятым за прототипом, является полезная модель «Устройство корреляции событий информационной безопасности», по патенту РФ №166348, МПК G06F 21/55 (2013.01), заявл. 01.08.2016, опубл. 20.11.2016, Бюл. №32. В данном прототипе предложен подход к обнаружению компьютерных атак на ИС с использованием SIEM-систем. Модель прототипа заключается в том, что система содержит приемник СИБ, выход которого соединен с первым входом блока сравнения СИБ с правилом директивы корреляции первого уровня и с первым входом блока сравнения СИБ с правилом директивы корреляции второго уровня, выход блока сравнения СИБ с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения СИБ с правилом директивы корреляции второго уровня, выход блока сравнения СИБ с правилом директивы корреляции второго уровня соединен с первым входом счетчика СИБ, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения СИБ с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.The closest technical solution adopted for the prototype is the utility model “Device correlation of information security events”, according to the patent of the Russian Federation No. 166348, IPC G06F 21/55 (2013.01), the application. 08/01/2016, publ. 11/20/2016, Bull. Number 32. In this prototype, an approach to detecting computer attacks on IP using SIEM systems is proposed. The prototype model is that the system contains a NIB receiver whose output is connected to the first input of the NIB comparison unit with the rule of the first level correlation directive and to the first input of the NIB comparison unit with the rule of the second level correlation directive, the output of the NIB comparison unit with the rule of the first correlation directive the level is connected to the timer input and to the second input of the NIB comparison unit with the rule of the second level correlation directive, the output of the NIB comparison block with the rule of the second level correlation directive is connected to the first the input of the NIB counter, the second input of which is connected to the first timer output, and the output to the alarm generation unit, the output of which is connected to the second input of the NIB comparison unit with the rule of the first level correlation directive, the third input of which is connected to the second timer output.

Недостатками данного устройства являются:The disadvantages of this device are:

отсутствие ретроспективного анализа СИБ, распределенных во времени;lack of retrospective analysis of NIBs distributed over time;

невозможность прогнозирования новых ИИБ и их предупреждения.the impossibility of forecasting new ISS and their prevention.

Целью предлагаемой полезной модели является повышение вероятности обнаружения ИИБ за счет ретроспективного анализа СИБ, распределенных во времени, а также своевременное предупреждение о возможном наступлении ИИБ за счет прогнозирования его появления.The purpose of the proposed utility model is to increase the likelihood of IIB detection due to a retrospective analysis of ISS distributed over time, as well as timely warning of a possible IIB occurrence due to prediction of its occurrence.

Предложен новый подход, основанный на создании системы аналитической обработки СИБ, содержащей блок приема СИБ, блок сравнения меток СИБ с правилом директивы корреляции первого уровня, блок сравнения меток СИБ с правилом директивы корреляции второго уровня, таймер №1, счетчик меток СИБ и блок генерации тревоги. Дополнительно добавлен модуль хранения и присвоения меток СИБ и ИИБ, состоящий из блока хранения меток ИИБ, блока хранения меток СИБ и блока присвоения меток СИБ; модуль сравнения меток СИБ третьего уровня, состоящий из блока буферизации текущих меток СИБ, блока подсчета вероятности наступления ИИБ и блока задержки меток СИБ; блок предупреждения тревоги, который совместно с блоком генерации тревоги образует модуль оповещения; модуль взаимодействия со специалистом по ИБ, состоящий из блока интерфейса и блока обновления меток ИИБ; таймер №2 и блок прогнозирования ИИБ.A new approach is proposed, based on the creation of an NIB analytical processing system containing an NIB receiving unit, a NIB label comparison unit with the rule of the first level correlation directive, a NIB label comparison unit with the second level correlation directive rule, timer No. 1, the NIB label counter and the alarm generation unit . Additionally, a module for storing and labeling NIB and IIB was added, consisting of a block for storing labels for IIB, a block for storing labels for NIB, and a block for assigning labels for NIB; module for comparing NIB marks of the third level, consisting of a block for buffering current NIB tags, a block for calculating the probability of occurrence of IIB and a block for delaying NIB tags; an alarm warning unit, which together with the alarm generation unit forms an alert module; interaction module with an information security specialist, consisting of an interface unit and an information security label update unit; timer No. 2 and the IIB forecasting unit.

Технический результат достигается тем, что выход блока приема СИБ соединен с входом блока присвоения меток СИБ, который взаимодействует с блоком хранения меток СИБ. Первый выход блока присвоения меток СИБ соединен с первым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня, взаимодействующего с блоком хранения меток ИИБ и блоком задержки меток СИБ, взаимосвязанным с таймером №2 и блоком подсчета вероятности наступления ИИБ, который взаимодействует с блоком хранения меток ИИБ и блоком буферизации текущих меток СИБ. Второй выход блока присвоения меток СИБ соединен с первым входом блока сравнения меток СИБ с правилом директивы корреляции второго уровня, взаимодействующего с блоком хранения меток ИИБ и блоком задержки меток СИБ. Первый выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня соединен с первым входом таймера №1 и со вторым входом блока сравнения меток СИБ с правилом директивы корреляции второго уровня. Второй выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня соединен с первым входом блока прогнозирования ИИБ. Первый выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен с первым входом счетчика меток СИБ. Второй выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен с первым входом блока буферизации текущих меток СИБ. Третий выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен со вторым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Первый выход таймера №1 соединен со вторым входом счетчика меток СИБ и со вторым входом блока буферизации текущих меток СИБ, а второй выход таймера №1 соединен с третьим входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Выход счетчика меток СИБ соединен с первым входом блока генерации тревоги, первый выход которого соединен с четвертым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Первый выход блока задержки меток СИБ соединен с входом блока предупреждения тревоги, а второй выход соединен со вторым входом блока генерации тревоги. Выход блока предупреждения тревоги соединен с первым входом блока интерфейса и со вторым входом блока прогнозирования ИИБ, выход которого соединен с третьим входом блока интерфейса. Второй выход блока генерации тревоги соединен со вторым входом блока интерфейса, первый выход которого соединен с входом блока обновления меток ИИБ. Выход блока обновления меток ИИБ соединен с входом блока хранения меток ИИБ. Второй выход блока интерфейса соединен со вторым входом таймера №1 и с входом таймера №2.The technical result is achieved in that the output of the NIB receiving unit is connected to the input of the NIB labeling unit, which interacts with the NIB label storage unit. The first output of the NIB labeling unit is connected to the first input of the NIB label comparison unit with the rule of the first level correlation directive interacting with the IIB label storage unit and the NIB label delay unit, interconnected with timer No. 2 and the IIB occurrence probability calculation unit that interacts with the storage unit IIB labels and the block for buffering current NIB labels. The second output of the NIB labeling unit is connected to the first input of the NIB label comparison unit with the rule of the second level correlation directive interacting with the IIB label storage unit and the NIB label delay unit. The first output of the unit for comparing NIB labels with the rule of the first level correlation directive is connected to the first input of timer No. 1 and with the second input of the unit for comparing NIB labels with the rule of the second level correlation directive. The second output of the unit for comparing NIB labels with the rule of the first level correlation directive is connected to the first input of the IIB prediction unit. The first output of the NIB tag comparison unit with the rule of the second level correlation directive is connected to the first input of the NIB tag counter. The second output of the block for comparing NIB labels with the rule of the second level correlation directive is connected to the first input of the block for buffering the current NIB labels. The third output of the NIB label comparison unit with the rule of the second level correlation directive is connected to the second input of the NIB label comparison unit with the rule of the first level correlation directive. The first output of timer No. 1 is connected to the second input of the NIB tag counter and to the second input of the current NIB label buffering unit, and the second output of timer No. 1 is connected to the third input of the NIB label comparison unit with the rule of the first level correlation directive. The output of the NIB tag counter is connected to the first input of the alarm generation unit, the first output of which is connected to the fourth input of the NIB label comparison unit with the rule of the first level correlation directive. The first output of the NIB mark delay block is connected to the input of the alarm warning block, and the second output is connected to the second input of the alarm generation block. The output of the alarm warning unit is connected to the first input of the interface unit and to the second input of the IIB forecasting unit, the output of which is connected to the third input of the interface unit. The second output of the alarm generation unit is connected to the second input of the interface unit, the first output of which is connected to the input of the IIB label update unit. The output of the IIB label update unit is connected to the input of the IIB label storage unit. The second output of the interface unit is connected to the second input of timer No. 1 and to the input of timer No. 2.

Техническим результатом полезной модели является повышение вероятности обнаружения ИИБ в ИС, что в свою очередь приводит к повышению ее безопасности.The technical result of the utility model is to increase the likelihood of detecting ISS in the IP, which in turn leads to an increase in its security.

Поставленная цель достигается путем создания модуля хранения и присвоения меток СИБ и ИИБ, позволяющего аппроксимировать поступающие СИБ в соответствующие метки; модуля сравнения меток СИБ третьего уровня, позволяющего буферизировать и задерживать цепочки меток СИБ, поступающие от блоков сравнения меток СИБ с правилом директивы корреляции первого и второго уровней, на основе расчета значения показателя вероятности наступления ИИБ; модуля оповещения, позволяющего производить предупреждение о возможном ИИБ на основе расчета значения показателя вероятности его наступления; блока прогнозирования ИИБ, позволяющего определять новый ИИБ посредством проведения анализа незавершенных цепочек меток СИБ, поступающих из модуля оповещения, и меток СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, а также поступающих от блока сравнения меток СИБ с правилом директивы корреляции первого уровня; модуля взаимодействия со специалистом по ИБ, позволяющего отображать результаты функционирования системы аналитической обработки СИБ, на основе которых специалист по ИБ осуществляет ее обучение и принимает решение о состоянии контролируемой ИС; таймера №2, позволяющего задавать и учитывать значения временных интервалов задержки цепочек меток СИБ в модуле сравнения меток СИБ 3-го уровня.This goal is achieved by creating a module for storing and assigning NIB and IIB labels, which allows approximating incoming NIBs to the corresponding labels; module for comparing NIB marks of the third level, which allows buffering and delaying the chains of NIB tags coming from the blocks for comparing NIB tags with the rule of the directive for correlation of the first and second levels, based on the calculation of the value of the probability indicator of the onset of the IIB; notification module, which allows to warn about a possible ISS based on the calculation of the probability of its occurrence indicator; IIB forecasting unit, which allows to determine a new IIB by analyzing incomplete chains of NIB tags coming from the notification module, and NIB tags that do not meet the rules of the correlation directive of the first and second levels, as well as from the block comparing NIB labels with the rule of the first level correlation directive; a module of interaction with an information security specialist, which allows displaying the results of the functioning of the ISS analytical processing system, on the basis of which the information security specialist carries out its training and decides on the state of the controlled information system; timer No. 2, which allows you to set and take into account the values of the time intervals of the delay of the chains of SIB labels in the module for comparing SIS labels of the 3rd level.

Заявленная полезная модель поясняется чертежами, на которых показаны:The claimed utility model is illustrated by drawings, which show:

фиг. 1 - блок-схема системы аналитической обработки СИБ;FIG. 1 is a block diagram of a system for analytical processing of NIB;

фиг. 2 - форма таблицы хранения меток ИИБ;FIG. 2 - the form of the table of storage of labels IIB;

фиг. 3 - форма таблицы хранения меток СИБ;FIG. 3 is a form of a table for storing NIB tags;

фиг. 4 - форма таблицы хранения цепочек меток СИБ.FIG. 4 is a form of a table for storing NIB tag chains.

Сущность полезной модели поясняется чертежом (Фиг. 1) «Блок-схема системы аналитической обработки СИБ», на котором изображены модули и блоки: блок приема СИБ (1); модуль хранения и присвоения меток СИБ и ИИБ (2), который включает в себя блок хранения меток ИИБ (2.1), блок хранения меток СИБ (2.2) и блок присвоения меток СИБ (2.3); блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3); блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4); таймер №1 (5); модуль сравнения меток СИБ третьего уровня (6), состоящий из блока буферизации текущих меток СИБ (6.1), блока подсчета вероятности наступления ИИБ (6.2) и блока задержки меток СИБ (6.3); счетчик меток СИБ (7); модуль оповещения (8), состоящий из блока предупреждения тревоги (8.1) и блока генерации тревоги (8.2); модуль взаимодействия со специалистом по ИБ (9), состоящий из блока интерфейса (9.1) и блока обновления меток ИИБ (9.2); таймер №2 (10); блок прогнозирования ИИБ (11).The essence of the utility model is illustrated by the drawing (Fig. 1) "Block diagram of the system of analytical processing of NIB", which shows the modules and blocks: block receiving NIB (1); the NIB and IIB label storage and labeling module (2), which includes the IIB label storage unit (2.1), the NIB label storage unit (2.2) and the NIB labeling unit (2.3); block comparing NIB labels with the rule of the first level correlation directive (3); block comparing NIB labels with the rule of the second level correlation directive (4); timer No. 1 (5); module for comparing NIB marks of the third level (6), consisting of a block for buffering current NIB tags (6.1), a block for calculating the probability of occurrence of IIB (6.2), and a block for delaying NIB tags (6.3); NIB tag counter (7); warning module (8), consisting of an alarm warning unit (8.1) and an alarm generation unit (8.2); a module for interaction with an IS specialist (9), consisting of an interface unit (9.1) and an IIB label update unit (9.2); timer No. 2 (10); IIB forecasting unit (11).

Система аналитической обработки СИБ функционирует следующим образом:The NIB analytical processing system operates as follows:

Оператор посредством блока интерфейса (9.1) устанавливает параметры работы системы:The operator through the interface unit (9.1) sets the parameters of the system:

временные - в таймере №1 (5) и таймере №2 (10), определяющие выделенные временные интервалы, затрачиваемые на обработку ИИБ;temporary - in timer No. 1 (5) and timer No. 2 (10), which determine the allocated time intervals spent on processing the ISS;

количественные - в счетчике меток СИБ (7), определяющие максимальное количество меток СИБ, возникающих за выделенный временной интервал; в блоке подсчета вероятности наступления ИИБ (6.2), определяющие значения показателя вероятности наступления ИИБ, исходя из которых, во взаимодействии с блоком хранения меток ИИБ (2.1), система аналитической обработки СИБ осуществляет перемещение цепочки меток СИБ из блока буферизации текущих меток СИБ (6.1) в блок задержки меток СИБ (6.3), предупреждение тревоги, либо генерацию тревоги посредством модуля оповещения (8);quantitative - in the NIB tag counter (7), which determine the maximum number of NIB tags that occur during the selected time interval; in the block for calculating the probability of occurrence of ISS (6.2), determining the values of the indicator of the probability of occurrence of ISS, based on which, in cooperation with the block for storing labels of ISS (2.1), the system of analytical processing of ISS moves the chain of labels of ISS from the buffer block of current ISS labels (6.1) to the NIB label delay block (6.3), warning the alarm, or generating an alarm using the notification module (8);

качественные - в блоках сравнения меток СИБ с правилами директивы корреляции первого (3) и второго уровней (4), определяющие правила обработки поступающих меток СИБ;high-quality - in blocks comparing NIB labels with the rules of the correlation directive of the first (3) and second levels (4), which determine the processing rules for incoming NIB labels;

комбинированные - в блоке хранения меток ИИБ (2.1) в виде таблицы хранения меток ИИБ (фиг. 2) и в блоке хранения меток СИБ (2.2) в виде таблицы хранения меток СИБ (фиг. 3), определяющие вид меток ИИБ и СИБ.combined - in the storage block of the IIB labels (2.1) in the form of a table for storing the labels of the IIB (Fig. 2) and in the block for storing the labels of the IIB (2.2) in the form of the table for the storage of the labels of the IIB (Fig. 3), which determine the type of the labels of the IIB and the IIB.

Далее СИБ поступает в блок приема СИБ (1) и передается на вход блока присвоения меток ИИБ (2.3) модуля хранения и присвоения меток СИБ и ИИБ (2), в котором данному СИБ посредством взаимодействия с блоком хранения меток СИБ (2.2) присваивается уникальная метка. Причем, в случае если поступившее СИБ содержится в блоке хранения меток СИБ (2.2), то ему присваивается заданная метка из таблицы хранения меток СИБ (фиг. 3). В противном случае, поступившему СИБ присваивается очередной номер метки СИБ из таблицы хранения меток СИБ (фиг. 3). Затем блок присвоения меток СИБ (2.3) передает текущую метку СИБ на первый вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) для проверки ее по правилу директивы корреляции первого уровня.Next, the NIB arrives at the NIB receiving unit (1) and is transmitted to the input of the IIB labeling unit (2.3) of the NIB and IIB storage and labeling module (2), in which this NIB is assigned a unique label by interacting with the NIB label storage unit (2.2) . Moreover, if the received NIB is contained in the NIB label storage unit (2.2), then it is assigned the specified label from the NIB label storage table (Fig. 3). Otherwise, the incoming NIB is assigned the next NIB tag number from the NIB label storage table (Fig. 3). Then the NIB labeling unit (2.3) transfers the current NIB label to the first input of the NIB label comparing unit with the rule of the first level correlation directive (3) to check it according to the rule of the first level correlation directive.

Блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) во взаимодействии с блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям первых элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2), посредством перебора значений всех первых элементов меток ИИБ на основе заданного правила директивы корреляции первого уровня.The unit for comparing NIB labels with the rule of the first level correlation directive (3) in cooperation with the IIB label storage unit (2.1) checks the value of the current NIB label for the values of the first elements of the IIB labels stored in the IIB label storage table (Fig. 2) by enumerating the values all the first elements of the IIB labels based on the specified rule of the first level correlation directive.

В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции первого уровня, то блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает текущую метку СИБ в блок задержки меток СИБ (6.3), который во взаимодействии с блоком подсчета вероятности наступления ИИБ (6.2) и блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), посредством перебора всех последующих элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2) блока хранения меток ИИБ (2.1).If the value of the current NIB mark does not satisfy the rule of the first level correlation directive, then the block for comparing the NIB marks with the rule of the first level correlation directive (3) transfers the current NIB mark to the delay block of the NIB marks (6.3), which, in conjunction with the occurrence probability calculation unit The ISS (6.2) and the ISS label storage unit (2.1) checks whether the value of the current NIB mark corresponds to the values of the subsequent elements of the delayed NIB label chains stored in the NIB label chain storage table (Fig. 4) of the NIB label delay block (6.3) , by enumerating all subsequent elements of the IIB tags stored in the IIB label storage table (Fig. 2) of the IIB label storage unit (2.1).

В случае если текущая метка СИБ не является первым элементом меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2), и последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), то блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) через свой второй выход передает текущую метку СИБ на первый вход блока прогнозирования ИИБ (11) для дальнейшего ее анализа с целью определения нового ИИБ.If the current NIB tag is not the first element of the IIB labels stored in the IIB label storage table (Fig. 2), and the next element of the delayed NIB label chains stored in the NIB label chain storage table (Fig. 4) of the NIB label delay block ( 6.3), then the unit for comparing NIB labels with the rule of the first level correlation directive (3) sends its current NIB label to the first input of the IIB prediction block (11) through its second output for further analysis to determine a new IIB.

При условии, когда текущая метка СИБ является последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), взаимодействующего с таймером №2(10), то на основе значений временных интервалов задержки цепочек меток СИБ осуществляется изменение очередности обработки задержанных цепочек меток СИБ и подсчет значения показателя вероятности наступления ИИБ по цепочкам меток СИБ, в которые занесена текущая метка СИБ.Provided that the current NIB tag is the next element of the delayed NIB tag chains stored in the storage table of the NIB tag chains (Fig. 4) of the NIB tag delay unit (6.3) interacting with timer No. 2 (10), then based on the values of time intervals delays of the NIB tag chains, the sequence of processing the delayed NIB tag chains is changed and the value of the probability indicator of the occurrence of the IIB is calculated by the NIB tag chains in which the current NIB tag is entered.

При условии, что значение текущей метки СИБ удовлетворяет правилу директивы корреляции первого уровня, то через первый выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) на второй вход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) и первый вход таймера №1 (5) поступает сигнал, разрешающий запись последующих меток СИБ в блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) и запускающий таймер №1 (5). При этом блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) перестает обрабатывать последующие метки СИБ до поступления разрешающего сигнала на его второй, третий или четвертый входы.Provided that the value of the current NIB mark satisfies the rule of the first level correlation directive, then through the first output of the block for comparing NIB labels with the rule of the first level correlation directive (3) to the second input of the block for comparing NIB labels with the second level correlation directive rule (4) and the first the input of timer No. 1 (5) receives a signal that permits the recording of subsequent NIB marks in the block for comparing SIB labels with the rule of the second level correlation directive (4) and starts timer No. 1 (5). In this case, the unit for comparing NIB labels with the rule of the first level correlation directive (3) ceases to process subsequent NIB labels until an enabling signal arrives at its second, third, or fourth inputs.

При отсутствии на втором, третьем или четвертом входах блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) разрешающего сигнала все последующие метки СИБ через второй выход блока присвоения меток СИБ (2.3) направляются на первый вход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4), который во взаимодействии с блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям последующих элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2) блока хранения меток ИИБ (2.1), посредством перебора всех последующих элементов меток ИИБ на основе заданного правила директивы корреляции второго уровня.If there is no enable signal at the second, third or fourth inputs of the NIB label comparing unit with the rule of the correlation directive of the first level (3), all subsequent NIB labels through the second output of the NIB label assignment unit (2.3) are sent to the first input of the NIB label comparing unit with the correlation directive rule the second level (4), which, in cooperation with the IIB label storage unit (2.1), checks whether the current NIB mark corresponds to the values of the subsequent IIB label elements stored in the IIB label storage table (Fig. 2) of the block identification of IIB labels (2.1), by enumerating all subsequent elements of IIB labels based on a given rule of the second level correlation directive.

В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции второго уровня, то блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) передает текущую метку СИБ в блок задержки меток СИБ (6.3).If the value of the current NIB mark does not satisfy the rule of the second level correlation directive, then the block for comparing the NIB labels with the rule of the second level correlation directive (4) transfers the current NIB mark to the delay block of the NIB marks (6.3).

В случае если значение текущей метки СИБ не является последующим элементом меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг.2) блока хранения меток ИИБ (2.1), и последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), то блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) через свой третий выход на второй вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает текущую метку СИБ и сигнал, разрешающий блоку сравнения меток СИБ с правилом директивы корреляции первого уровня (3) обрабатывать последующие метки СИБ.If the value of the current NIB mark is not the next element of the IIB labels stored in the IIB label storage table (Fig. 2) of the IIB label storage unit (2.1), and the next element of the delayed NIB label chains stored in the storage table of the IIB label chains (Fig. 4) the NIB tag delay block (6.3), then the NIB tag comparison unit with the second level correlation directive rule (4) through its third output to the second input of the NIB label comparison unit with the first level correlation directive rule (3) transmits the current NIB label and signal allowing bl In order to compare the NIB marks with the rule of the first level correlation directive (3), process subsequent NIB marks.

В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции первого уровня, то повторная проверка соответствия значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), не производится.If the value of the current NIB tag does not satisfy the rule of the first level correlation directive, then re-checking the correspondence of the value of the current NIB tag to the values of the subsequent elements of the delayed NIB tag chains stored in the NIB tag chain storage table (Fig. 4) of the NIB tag delay block (6.3) not produced.

Текущие метки СИБ, удовлетворяющие правилам директивы корреляции первого и второго уровней, через второй выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) передаются на первый вход блока буферизации текущих меток СИБ (6.1) модуля сравнения меток СИБ третьего уровня (6) для их хранения и подсчета значения показателя вероятности наступления ИИБ посредством функционирования блока подсчета вероятности наступления ИИБ (6.2).Current NIB marks that satisfy the rules of the first and second level correlation directive are transmitted through the second output of the NIB mark comparison unit with the second level correlation directive rule (4) to the first input of the current NIB mark buffer block (6.1) of the third-level NIB mark comparison module (6) for their storage and calculation of the value of the probability indicator of the onset of ISS through the operation of the unit for calculating the probability of the onset of ISS (6.2).

В случае если значение текущей метки СИБ удовлетворяет правилу директивы корреляции второго уровня, то через первый выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) на первый вход счетчика меток СИБ (7) подается сигнал, запускающий начало подсчета меток СИБ. При достижении максимального количества меток СИБ за выделенный временной интервал через выход счетчика меток СИБ (7) на первый вход блока генерации тревоги (8.2) модуля оповещения (8) подается сигнал о компьютерной атаке на ИС, который через первый и второй выходы блока генерации тревоги (8.2) передается на четвертый вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) для его запуска и на второй вход блока интерфейса (9.1) для принятия решения о состоянии контролируемой ИС.If the value of the current NIB mark satisfies the rule of the second level correlation directive, then a signal is sent to the first input of the NIB tag counter (7) through the first output of the NIB mark comparison unit with the rule of the second level correlation directive (7), which starts the counting of the NIB marks. When the maximum number of NIB marks is reached in the allotted time interval, through the output of the NIB tag counter (7), a signal about a computer attack on the IS is transmitted to the first input of the alarm generation block (8.2) of the notification module (8) (through the first and second outputs of the alarm generation block ( 8.2) is transmitted to the fourth input of the unit for comparing NIB labels with the rule of the first level correlation directive (3) to start it and to the second input of the interface unit (9.1) for deciding on the state of the controlled IP.

Причем счетчик меток СИБ (7) и блок буферизации текущих меток СИБ (6.1) обнуляются сигналом, поступающим на их вторые входы от первого выхода таймера №1 (5), при истечении временных интервалов, выделенных на обработку ИИБ, и при поступлении на первый вход таймера №1 (5) от первого выхода блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) сигнала, запускающего его.Moreover, the NIB tag counter (7) and the buffer unit for the current NIB tags (6.1) are reset to zero by the signal arriving at their second inputs from the first output of timer No. 1 (5), at the expiration of the time intervals allocated for processing the IIB, and upon receipt at the first input timer No. 1 (5) from the first output of the unit for comparing NIB labels with the rule of the correlation directive of the first level (3) of the signal that triggers it.

Кроме того, при истечении временных интервалов, выделенных на обработку ИИБ, таймер №1 (5) через свой второй выход на третий вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает сигнал, разрешающий ему обрабатывать последующие метки СИБ.In addition, at the expiration of the time intervals allocated for processing the IIB, timer No. 1 (5) transmits a signal through its second output to the third input of the unit for comparing NIB labels with the rule of the first level correlation directive (3), which allows it to process subsequent NIB labels.

Блок подсчета вероятности наступления ИИБ (6.2) во взаимодействии с блоком хранения меток ИИБ (2.1), блоком буферизации текущих меток СИБ (6.1) и блоком задержки меток СИБ (6.3) обеспечивает подсчет значений показателя вероятности наступления ИИБ, в результате которого при достижении заданных количественных параметров работы системы аналитической обработки СИБ осуществляется перемещение цепочки меток СИБ из блока буферизации текущих меток СИБ (6.1) в блок задержки меток СИБ (6.3), который через свой первый и второй выходы на вход блока предупреждения тревоги (8.1) и на второй вход блока генерации тревоги (8.2) передает сигналы, формирующие предупреждение и генерацию тревоги об обнаружении ИИБ.The block for calculating the probability of the occurrence of the IIB (6.2) in conjunction with the block for storing the labels of the IIB (2.1), the block for buffering the current labels of the IIB (6.1) and the block for the delay of the labels of the IIB (6.3) provides the calculation of the probability of the occurrence of the IIB, as a result of which, when the specified quantitative operation parameters of the NIB analytical processing system, the NIB tag chain is moved from the buffer block of the current NIB tags (6.1) to the NIB tag delay block (6.3), which through its first and second outputs to the warning block input anxiety Ia (8.1) and the second input of the alarm generation unit (8.2) transmits signals forming warning and generating an alarm about detection ISS.

Далее блок предупреждения тревоги (8.1) через свой выход на первый вход блока интерфейса (9.1) и второй вход блока прогнозирования ИИБ (11) передает, незавершенную цепочку меток СИБ, по которой достигнуто заданное значение показателя вероятности наступления ИИБ, и сигнал предупреждения тревоги.Further, the alarm warning unit (8.1), through its output to the first input of the interface unit (9.1) and the second input of the IIB prediction block (11), transmits an incomplete NIB mark chain, over which the specified value of the probability of occurrence of the IIB is reached, and an alarm warning signal.

Блок прогнозирования ИИБ (11) осуществляет анализ незавершенных цепочек меток СИБ, поступающих от модуля оповещения (8), и меток СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, а также поступающих от второго выхода блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3). Результаты анализа через выход блока прогнозирования (11) передаются на третий вход блока интерфейса (9.1).The IIB forecasting block (11) analyzes incomplete chains of NIB tags coming from the notification module (8) and NIB tags that do not meet the rules of the first and second level correlation directives, as well as those coming from the second output of the SIB label comparison unit with the rule of the first correlation directive level (3). The results of the analysis through the output of the prediction block (11) are transmitted to the third input of the interface block (9.1).

Оператор на основе результатов функционирования блока прогнозирования ИИБ (11) и сигналов, поступающих от модуля оповещения (8), посредством блока интерфейса (9.1) приминает решение о состоянии контролируемой ИС и обнаружении нового ИИБ, который через блок обновления меток ИИБ (9.2) поступает на вход блока хранения меток ИИБ (2.1) с последующим обновлением таблицы хранения меток ИИБ (фиг. 2), тем самым осуществляя обучение системы аналитической обработки СИБ.Based on the results of the operation of the IIB forecasting unit (11) and the signals received from the notification module (8), the operator, through the interface unit (9.1), makes a decision on the state of the monitored IP and the detection of a new IIB, which is transmitted through the IIB label update unit (9.2) to the input of the IIB label storage unit (2.1) with the subsequent updating of the IIB label storage table (Fig. 2), thereby training the NIB analytical processing system.

Таким образом, благодаря новой совокупности существенных признаков в заявленной полезной модели обеспечивается повышение вероятности обнаружения ИИБ за счет ретроспективного анализа СИБ, распределенных во времени, а также своевременное предупреждение о возможном наступлении ИИБ за счет прогнозирования его появления.Thus, thanks to a new set of essential features in the claimed utility model, the probability of detecting ISS is increased due to a retrospective analysis of ISS distributed over time, as well as timely warning of a possible ISS due to prediction of its occurrence.

Система аналитической обработки СИБ является промышленно применимой, так как она может быть реализована в устройствах обеспечения ИБ и может быть использована для обнаружения и идентификации ИИБ в режиме реального времени.The NIB analytical processing system is industrially applicable, since it can be implemented in information security devices and can be used for real-time detection and identification of ISS.

Claims (1)

Система аналитической обработки событий информационной безопасности, содержащая блок приема событий информационной безопасности, блок сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня, блок сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня, таймер №1, счетчик меток событий информационной безопасности и блок генерации тревоги, отличающаяся тем, что добавлен модуль хранения и присвоения меток событий и инцидентов информационной безопасности, состоящий из блока хранения меток инцидентов информационной безопасности, блока хранения меток событий информационной безопасности и блока присвоения меток событий информационной безопасности; модуль сравнения меток событий информационной безопасности третьего уровня, состоящий из блока буферизации текущих меток событий информационной безопасности, блока подсчета вероятности наступления инцидентов информационной безопасности и блока задержки меток событий информационной безопасности; блок предупреждения тревоги, который совместно с блоком генерации тревоги образует модуль оповещения; модуль взаимодействия со специалистом по информационной безопасности, состоящий из блока интерфейса и блока обновления меток инцидентов информационной безопасности; таймер №2 и блок прогнозирования инцидентов информационной безопасности; выход блока приема событий информационной безопасности соединен с входом блока присвоения меток событий информационной безопасности, который взаимодействует с блоком хранения меток событий информационной безопасности; первый выход блока присвоения меток событий информационной безопасности соединен с первым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня, взаимодействующего с блоком хранения меток инцидентов информационной безопасности и блоком задержки меток событий информационной безопасности, взаимосвязанным с таймером №2 и блоком подсчета вероятности наступления инцидентов информационной безопасности, который взаимодействует с блоком хранения меток инцидентов информационной безопасности и блоком буферизации текущих меток событий информационной безопасности; второй выход блока присвоения меток событий информационной безопасности соединен с первым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня, взаимодействующего с блоком хранения меток инцидентов информационной безопасности и блоком задержки меток событий информационной безопасности; первый выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня соединен с первым входом таймера №1 и со вторым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня; второй выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня соединен с первым входом блока прогнозирования инцидентов информационной безопасности; первый выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика меток событий информационной безопасности; второй выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом блока буферизации текущих меток событий информационной безопасности; третий выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен со вторым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; первый выход таймера №1 соединен со вторым входом счетчика меток событий информационной безопасности и со вторым входом блока буферизации текущих меток событий информационной безопасности, а второй выход таймера №1 соединен с третьим входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; выход счетчика меток событий информационной безопасности соединен с первым входом блока генерации тревоги, первый выход которого соединен с четвертым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; первый выход блока задержки меток событий информационной безопасности соединен с входом блока предупреждения тревоги, а второй выход соединен со вторым входом блока генерации тревоги; выход блока предупреждения тревоги соединен с первым входом блока интерфейса и со вторым входом блока прогнозирования инцидентов информационной безопасности, выход которого соединен с третьим входом блока интерфейса; второй выход блока генерации тревоги соединен со вторым входом блока интерфейса, первый выход которого соединен с входом блока обновления меток инцидента информационной безопасности; выход блока обновления меток инцидента информационной безопасности соединен с входом блока хранения меток инцидентов информационной безопасности; второй выход блока интерфейса соединен со вторым входом таймера №1 и с входом таймера №2.An information security event analytic processing system comprising an information security event receiving unit, an information security event label comparing unit with a rule of the first level correlation directive, an information security event label comparing unit with a second level correlation directive rule, a timer No. 1, an information security event label counter and alarm generation unit, characterized in that a module for storing and labeling events and incidents of information security is added clarity, consisting of a storage unit label information security incidents, the storage unit label information security events and block assigning labels of information security events; module for comparing information security event labels of the third level, consisting of a block for buffering the current information security event labels, a unit for calculating the probability of occurrence of information security incidents, and a block for delaying information security event labels; an alarm warning unit, which together with the alarm generation unit forms an alert module; interaction module with an information security specialist, consisting of an interface unit and an information security incident label update unit; timer No. 2 and information security incident forecasting unit; the output of the information security event receiving unit is connected to the input of the information security event labeling unit, which interacts with the information security event label storage unit; the first output of the information security event label assignment unit is connected to the first input of the information security event label comparison unit with the rule of the first level correlation directive interacting with the information security incident label storage unit and the information security event label delay unit, interconnected with timer No. 2 and the probability calculation unit the occurrence of information security incidents, which interacts with the information label incident storage unit security and block buffering current label information security events; the second output of the information security event label assignment unit is connected to the first input of the information security event label comparison unit with the rule of the second level correlation directive interacting with the information security incident label storage unit and the information security event label delay unit; the first output of the information security event label comparison unit with the rule of the first level correlation directive is connected to the first input of timer No. 1 and the second input of the information security event label comparison unit with the rule of the second level correlation directive; the second output of the information security event label comparison unit with the rule of the first level correlation directive is connected to the first input of the information security incident prediction unit; the first output of the information security event label comparison unit with the rule of the second level correlation directive is connected to the first input of the information security event label counter; the second output of the information security event label comparing unit with the rule of the second level correlation directive is connected to the first input of the buffering unit of the current information security event label; the third output of the information security event label comparison unit with the second level correlation directive rule is connected to the second input of the information security event label comparison unit with the rule of the first level correlation directive; the first output of timer No. 1 is connected to the second input of the information security event label counter and to the second input of the buffer block of current information security event labels, and the second output of timer No. 1 is connected to the third input of the information security event label comparison unit with the rule of the first level correlation directive; the output of the information security event label counter is connected to the first input of the alarm generation unit, the first output of which is connected to the fourth input of the information security event label comparison unit with the rule of the first level correlation directive; the first output of the information security event label delay block is connected to the input of the alarm warning unit, and the second output is connected to the second input of the alarm generation unit; the output of the alarm warning unit is connected to the first input of the interface unit and to the second input of the information security incident forecasting unit, the output of which is connected to the third input of the interface unit; the second output of the alarm generation unit is connected to the second input of the interface unit, the first output of which is connected to the input of the information security incident label update unit; the output of the information security incident label update unit is connected to the input of the information security incident label storage unit; the second output of the interface unit is connected to the second input of timer No. 1 and to the input of timer No. 2.
RU2019114527U 2019-05-13 2019-05-13 System for analytical processing of information security events RU193101U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019114527U RU193101U1 (en) 2019-05-13 2019-05-13 System for analytical processing of information security events

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019114527U RU193101U1 (en) 2019-05-13 2019-05-13 System for analytical processing of information security events

Publications (1)

Publication Number Publication Date
RU193101U1 true RU193101U1 (en) 2019-10-14

Family

ID=68280508

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019114527U RU193101U1 (en) 2019-05-13 2019-05-13 System for analytical processing of information security events

Country Status (1)

Country Link
RU (1) RU193101U1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216567U1 (en) * 2022-06-29 2023-02-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Host level intrusion detection system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU166348U1 (en) * 2016-08-01 2016-11-20 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" INFORMATION SECURITY EVENT CORRELATION DEVICE
RU180789U1 (en) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
WO2018236772A1 (en) * 2017-06-20 2018-12-27 Symantec Corporation Systems and methods for labeling automatically generated reports
RU186198U1 (en) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Host Level Intrusion Detector
WO2019043804A1 (en) * 2017-08-30 2019-03-07 日本電気株式会社 Log analysis device, log analysis method, and computer-readable recording medium

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU166348U1 (en) * 2016-08-01 2016-11-20 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" INFORMATION SECURITY EVENT CORRELATION DEVICE
WO2018236772A1 (en) * 2017-06-20 2018-12-27 Symantec Corporation Systems and methods for labeling automatically generated reports
WO2019043804A1 (en) * 2017-08-30 2019-03-07 日本電気株式会社 Log analysis device, log analysis method, and computer-readable recording medium
RU180789U1 (en) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
RU186198U1 (en) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Host Level Intrusion Detector

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216567U1 (en) * 2022-06-29 2023-02-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Host level intrusion detection system

Similar Documents

Publication Publication Date Title
CN111475804B (en) Alarm prediction method and system
US10187411B2 (en) Method for intrusion detection in industrial automation and control system
CN113159615B (en) Intelligent information security risk measuring system and method for industrial control system
WO2021126243A1 (en) Systems and methods for detecting and responding to anomalous traffic conditions
CN102014031A (en) Method and system for network flow anomaly detection
CN106888106A (en) The extensive detecting system of IT assets in intelligent grid
US11386352B2 (en) System and method of training behavior labeling model
CN105376193B (en) The intelligent association analysis method and device of security incident
EP2918976A1 (en) Smart meter Privacy Analyzer
CN113822366A (en) Service index abnormality detection method and device, electronic equipment and storage medium
CN113114618A (en) Internet of things equipment intrusion detection method based on traffic classification recognition
CN113486343A (en) Attack behavior detection method, device, equipment and medium
CN105827611A (en) Distributed rejection service network attack detection method and system based on fuzzy inference
KR102410151B1 (en) Method, apparatus and computer-readable medium for machine learning based observation level measurement using server system log and risk calculation using thereof
RU193101U1 (en) System for analytical processing of information security events
CN108055152B (en) Communication network information system abnormity detection method based on distributed service log
CN109918901A (en) The method that real-time detection is attacked based on Cache
RU180789U1 (en) DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
CN117252640A (en) Fuse degradation method, rule engine system and electronic equipment
Mignone et al. Anomaly detection for public transport and air pollution analysis
CN115811487A (en) Method, device, medium and electronic equipment for detecting abnormality of system flow data
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
CN115037790B (en) Abnormal registration identification method, device, equipment and storage medium
KR20220116410A (en) Security compliance automation method
CN114416417A (en) System abnormity monitoring method, device, equipment and storage medium

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20200514