RU2011132618A - Система и способ автоматического расследования инцидентов безопасности - Google Patents
Система и способ автоматического расследования инцидентов безопасности Download PDFInfo
- Publication number
- RU2011132618A RU2011132618A RU2011132618/08A RU2011132618A RU2011132618A RU 2011132618 A RU2011132618 A RU 2011132618A RU 2011132618/08 A RU2011132618/08 A RU 2011132618/08A RU 2011132618 A RU2011132618 A RU 2011132618A RU 2011132618 A RU2011132618 A RU 2011132618A
- Authority
- RU
- Russia
- Prior art keywords
- incident
- events
- security
- analyzer
- administration server
- Prior art date
Links
Abstract
1. Система автоматического расследования инцидентов безопасности, выполненная в виде сервера администрирования, который содержит:(а) средство сбора данных, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для загрузки с подключенных к серверу администрирования компьютерных устройств данных о системных событиях, фиксируемых в упомянутых компьютерных устройствах, при этом средство сбора данных связано с анализатором инцидентов;(б) средство регистрации инцидентов, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для выделения, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности, при этом средство регистрации инцидентов связано с анализатором инцидентов и средством сбора данных;(в) анализатор инцидентов, хранящийся в памяти и исполняемый на процессоре сервера администрирования, предназначенный для:- поиска событий, предшествующих зарегистрированному инциденту безопасности;- определения, по меньшей мере, одного системного события, являющегося причиной возникновения инцидента;(д) средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для поиска решения для устранения последствий и предотвращения повторений инцидента безопасности соответствующего событию, определенному анализатором в качестве причины возникновения инцидента, при этом средство поиска решений связано с анализатором инцидентов.2. Система по п.1, в которой данные о системных событиях, загружаемые с компьютерных устройств, хранятся на компьютер
Claims (16)
1. Система автоматического расследования инцидентов безопасности, выполненная в виде сервера администрирования, который содержит:
(а) средство сбора данных, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для загрузки с подключенных к серверу администрирования компьютерных устройств данных о системных событиях, фиксируемых в упомянутых компьютерных устройствах, при этом средство сбора данных связано с анализатором инцидентов;
(б) средство регистрации инцидентов, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для выделения, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности, при этом средство регистрации инцидентов связано с анализатором инцидентов и средством сбора данных;
(в) анализатор инцидентов, хранящийся в памяти и исполняемый на процессоре сервера администрирования, предназначенный для:
- поиска событий, предшествующих зарегистрированному инциденту безопасности;
- определения, по меньшей мере, одного системного события, являющегося причиной возникновения инцидента;
(д) средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, предназначенное для поиска решения для устранения последствий и предотвращения повторений инцидента безопасности соответствующего событию, определенному анализатором в качестве причины возникновения инцидента, при этом средство поиска решений связано с анализатором инцидентов.
2. Система по п.1, в которой данные о системных событиях, загружаемые с компьютерных устройств, хранятся на компьютерных устройствах в виде системных журналов или программных отчетов.
3. Система по п.1, в которой инцидентом безопасности является, по меньшей мере, одно из событий:
- нарушение политики безопасности;
- обнаружение вредоносной программы;
- некорректная работа средства защиты.
4. Система по п.1, в которой решение представляет собой, по меньшей мере, одну из мер:
- изменение политики безопасности;
- обновление программного обеспечения;
- рекомендацию пользователю, записанную в обрабатываемом на компьютерном устройстве формате.
5. Система по п.1, в которой анализатор инцидентов предназначен также для определения компьютерного устройства, на котором было зафиксировано событие, вызвавшее инцидент безопасности.
6. Система по п.5, в которой анализатор инцидентов предназначен также для определения пользователя, авторизованного на упомянутом компьютерном устройстве.
7. Система по п.1, которая дополнительно содержит сервер антивирусной лаборатории, предназначенный для обработки зарегистрированных инцидентов и загрузки нового решения в средство поиска решений.
8. Система по п.1, которая дополнительно содержит средство создания отчетов, предназначенное для генерации отчета, содержащего, по меньшей мере, описание системных событий, взаимосвязь событий, хронологию событий, найденные решения, примененные решения.
9. Способ автоматического расследования инцидентов безопасности, в котором:
(а) загружают данные о системных событиях с компьютерных устройств, подключенных к серверу администрирования;
(б) регистрируют, по меньшей мере, одно системное событие из загруженных данных, вызвавшее инцидент безопасности;
(в) анализируют загруженные события путем поиска событий, предшествующих зарегистрированному инциденту безопасности;
(г) определяют, по меньшей мере, одно системное событие, являющееся причиной возникновения инцидента;
(д) производят поиск и применение решения для устранения последствий и предотвращения повторений инцидента безопасности соответствующего событию, определенному в качестве причины возникновения инцидента.
10. Способ по п.9, в котором данные о системных событиях, загружаемые с компьютерных устройств, хранятся на компьютерных устройствах в виде системных журналах или программных отчетах
11. Способ по п.9, в котором инцидентом безопасности является, по меньшей мере, одно из событий:
- нарушение политики безопасности;
- обнаружение вредоносной программы;
- некорректная работа средства защиты.
12. Способ по п.9, в решение представляет собой, по меньшей мере, одну из мер:
- изменение политики безопасности;
- обновление программного обеспечения;
- рекомендацию пользователю, записанную в обрабатываемом на компьютерном устройстве формате.
13. Способ по п.9, который дополнительно содержит этап, на котором анализатор инцидентов определяет компьютерное устройство, на котором было зафиксировано событие, вызвавшее инцидент безопасности.
14. Способ по п.13, который дополнительно содержит этап, на котором анализатор инцидентов определяет пользователя, авторизованного на упомянутом компьютерном устройстве.
15. Способ по п.9, который дополнительно содержит этап, на котором генерируют отчет, содержащий, по меньшей мере, описание системных событий, взаимосвязь событий, хронологию событий, найденные решения, примененные решения.
16. Способ по п.9, который запускается на выполнение с заданной периодичностью.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011132618/08A RU2481633C2 (ru) | 2011-08-04 | 2011-08-04 | Система и способ автоматического расследования инцидентов безопасности |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011132618/08A RU2481633C2 (ru) | 2011-08-04 | 2011-08-04 | Система и способ автоматического расследования инцидентов безопасности |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2011132618A true RU2011132618A (ru) | 2013-02-20 |
| RU2481633C2 RU2481633C2 (ru) | 2013-05-10 |
Family
ID=48789698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2011132618/08A RU2481633C2 (ru) | 2011-08-04 | 2011-08-04 | Система и способ автоматического расследования инцидентов безопасности |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2481633C2 (ru) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593212A (zh) * | 2013-11-01 | 2014-02-19 | 小米科技有限责任公司 | 一种应用安装的方法、装置和设备 |
| RU2602372C2 (ru) * | 2015-03-31 | 2016-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ распределенного обнаружения вредоносных объектов |
| RU2610395C1 (ru) * | 2015-12-24 | 2017-02-09 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ расследования распределенных событий компьютерной безопасности |
| RU2664018C1 (ru) * | 2017-06-21 | 2018-08-14 | Денис Викторович Козлов | Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе |
| RU186198U1 (ru) * | 2018-03-07 | 2019-01-11 | Общество с ограниченной ответственностью "ЦИТ" | Средство обнаружения вторжений уровня узла сети |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6530024B1 (en) * | 1998-11-20 | 2003-03-04 | Centrax Corporation | Adaptive feedback security system and method |
| US20090222876A1 (en) * | 2008-02-28 | 2009-09-03 | Maor Goldberg | Positive multi-subsystems security monitoring (pms-sm) |
| RU2390839C1 (ru) * | 2008-10-23 | 2010-05-27 | ООО "НеоБИТ" | Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления |
| RU96991U1 (ru) * | 2010-04-26 | 2010-08-20 | Общество с ограниченной ответственностью "Трафика" | Система для обнаружения и предотвращения утечек информации |
-
2011
- 2011-08-04 RU RU2011132618/08A patent/RU2481633C2/ru active
Also Published As
| Publication number | Publication date |
|---|---|
| RU2481633C2 (ru) | 2013-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9544316B2 (en) | Method, device and system for detecting security of download link | |
| CN102158355B (zh) | 一种可并发和断续分析的日志事件关联分析方法和装置 | |
| US8291500B1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| RU2012156443A (ru) | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной | |
| US9117072B2 (en) | Software exploit detection | |
| RU2013129555A (ru) | Способ и система обнаружения вредоносного программного обеспечения путем контроля исполнения программного обеспечения, запущенного по сценарию | |
| RU2011132618A (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| SG10201900335PA (en) | Server and method to determine malicious files in network traffic | |
| WO2011150351A3 (en) | System and method for collecting and processing agricultural field data | |
| RU2011147542A (ru) | Система и способ для исправления антивирусных записей | |
| US20170230388A1 (en) | Identifying malicious executables by analyzing proxy logs | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| Provataki et al. | Differential malware forensics | |
| KR20150124020A (ko) | 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템 | |
| CN103823852A (zh) | 数据库服务器日志的处理方法和装置 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN109214179B (zh) | 一种程序模块安全检测方法及装置 | |
| CN108959860A (zh) | 一种检测Android系统是否被破解和破解记录获取方法 | |
| CN106462705B (zh) | 用于标识可疑的恶意软件文件和站点的方法和系统 | |
| CN107358106A (zh) | 漏洞检测方法、漏洞检测装置及服务器 | |
| RU2014121039A (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
| CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 |