RU2664018C1 - Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе - Google Patents
Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе Download PDFInfo
- Publication number
- RU2664018C1 RU2664018C1 RU2017121961A RU2017121961A RU2664018C1 RU 2664018 C1 RU2664018 C1 RU 2664018C1 RU 2017121961 A RU2017121961 A RU 2017121961A RU 2017121961 A RU2017121961 A RU 2017121961A RU 2664018 C1 RU2664018 C1 RU 2664018C1
- Authority
- RU
- Russia
- Prior art keywords
- precedents
- administration server
- data
- security
- database
- Prior art date
Links
- 238000011835 investigation Methods 0.000 title claims abstract description 9
- 238000000034 method Methods 0.000 title claims description 15
- 238000005516 engineering process Methods 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 230000003287 optical effect Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Изобретение относится к системам обеспечения информационной безопасности. Техническим результатом является повышение эффективности автоматического расследования инцидентов безопасности и, как следствие, уменьшение времени реагирования на инциденты безопасности в автоматизированной системе. Система автоматического расследования инцидентов безопасности автоматизированной системы содержит средство загрузки данных о системных событиях с компьютерных устройств, подключенных к серверу администрирования; сервер администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа по меньшей мере одного системного события из загруженных данных, вызвавшего инцидент безопасности, и средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, причем система включает в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах, и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий. 2 н.п. ф-лы, 2 ил., 1 табл.
Description
Изобретение относится к системам и способам автоматического расследования инцидентов безопасности в автоматизированных системах.
Современные достижения в области компьютерных и информационных технологий обусловили возможность создания в различных областях человеческой деятельности автоматизированных систем обработки информации.
В части защиты от инцидентов безопасности разработано, большое количество способов защиты и имеется достаточно много программных и аппаратных реализаций этих способов. Помимо реализации различных способов защиты непосредственно в операционной системе имеются отдельные аппаратные и программные решения. Однако, несмотря на большое количество способов защиты от инцидентов безопасности и различных технических решений, реализующих эти способы, следует выделить ряд факторов, которые не учитываются при построении систем защиты различных автоматизированных систем: влияние системы защиты на качество функционирования автоматизированной системы; ограниченность ресурсов автоматизированной системы; эргономические факторы функционирования системы защиты от инцидентов безопасности.
Из уровня техники известна система для сбора инцидентов безопасности, которая осуществляет сбор информации в несколько этапов - первичный сбор и дополнительный, описанная в заявке US 20040260947 А1. После того как собрана вся необходимая информация о сети и ее компонентах, производится анализ и определяется инцидент.
Недостатком известной системы является то, что она не позволяет определить причины и источник заражения, вследствие чего требуются дополнительные технические решения в автоматизированной системе, которые позволили бы описывать, накапливать и в последующем решать эти проблемы, что в свою очередь приведет к увеличению времени реагирования на инциденты безопасности.
Известна также система мониторинга безопасности компьютерной сети, описанная в патенте US 7159237.
Недостатком данной известной системы является то, что она не в состоянии вырабатывать решения автоматически без аналитика, что сильно увеличивает время реагирования на инциденты безопасности.
Известны также способ и система автоматического расследования инцидентов безопасности, описанные в патенте RU 2481633 С2, включающие в себя сервер администрирования, который содержит средство сбора данных, предназначенное для загрузки с подключенных к серверу администрирования компьютерных устройств данных о системных событиях, фиксируемых в упомянутых компьютерных устройствах; средство регистрации инцидентов, предназначенное для выделения, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности; анализатор инцидентов, предназначенный для поиска событий, предшествующих зарегистрированному инциденту безопасности; определения, по меньшей мере, одного системного события, являющегося причиной возникновения инцидента; средство поиска решений, предназначенное для поиска решения для устранения последствий и предотвращения повторений инцидента безопасности соответствующего событию, определенному анализатором в качестве причины возникновения инцидента. Результатом работы данной системы служит повышение эффективности автоматического расследования инцидентов безопасности за счет исключения повторения системных событий, определенных в качестве причин возникновения данных инцидентов безопасности. Описанные в данной работе система и способ позволяют обнаруживать подозрительные события в компьютерной сети, анализировать их, восстанавливать историю событий, предшествующих инциденту безопасности, находить решения по исправлению последствий событий и настраивать систему для предотвращения повторения события.
Указанные система и способ являются наиболее близкими по технической сущности к заявленным.
Недостатком данной известной системы и способа является то, что они не учитывают степень влияния системы защиты на качество функционирования автоматизированной системы и, как следствие, возрастает время реагирования на инциденты безопасности.
Целью предлагаемого изобретения, является повышение эффективности автоматического расследования инцидентов безопасности и, как следствие, уменьшение времени реагирования на инциденты безопасности в автоматизированной системе за счет формирования базы данных прецедентов выполненной в виде сервера администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности, при этом средство управления событиями связано с анализатором инцидентов; средство поиска решений, включающее в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий.
Прецедент - некая компьютерная атака, характеризующаяся наличием определенных признаков. База данных прецедентов является помощником эксперта по безопасности, которому необходимо следить за безопасностью автоматизированной системы предприятия и принимать меры по предупреждению и предотвращению угроз и связанных с ними последствий. Актуальной становится проблема пополнения данных, хранящихся в данной системе, самой свежей информацией, а также разработки методов для их анализа. Поэтому важно: обнаружить связь между существующими прецедентами, исходя из сходства их признаков; предсказать обладание интересующими признаками ранее представленных прецедентов.
Каждый прецедент имеет параметры:
- название,
- описание,
- возможные угрозы.
- уязвимости, способствующие реализации прецедента,
- последствия,
- контрмеры, которые необходимо применять для предотвращения прецедента,
- дата обнаружения.
- статус степени завершенности ("новый", "идет обработка", "обработка завершена").
Обновление базы данных прецедентов происходит с серверов антивирусных программ, а также используются rss каналы следующих сайтов (таблица 1.).
RSS - это популярный формат для распространения (синдицирования) или опубликования Web-контента, например, содержимого Web-сайтов. В отличие от HTML, RSS позволяет агрегировать информацию, размещенную на Web-сайте, представляя ее в виде XML-ленты, содержащей произвольное количество записей. Используя небольшое количество XML-элементов и относительно несложную XML-схему, RSS позволяет группировать записи по каналам.
Обычно записи имеют информационный характер, однако они с таким же успехом могут представлять собой изображения, URL, видео или текстовые данные. Сам канал, являющийся источником данных RSS-ленты, выступает в роли контейнера для записей, а также содержит метаданные, которые относятся ко всем записям ленты.
Порядок добавления прецедентов:
1. Добавление из rss канала
1.2. Чтение новостей rss канала
1.3. Выявление новых прецедентов
1.4. Уведомление пользователя об обновлении
1.5. Редактирование пользователем информации о прецедентах
1.6. Занесение прецедентов в БЗ
2. Пользователь имеет возможность добавить в хранилище свой прецедент.
При выявлении новых прецедентов из разных RSS каналов необходимо выполнить проверку на дублирование новостей.
На Фиг. 1 показана схема системы автоматического расследования инцидентов безопасности. Система включает в себя: средство загрузки данных о системных событиях 1, сервер администрирования 2, средство управления событиями 3, средство поиска решений 4, аналитический модуль описания прецедентов 5 и база данных прецедентов 6.
Средство поиска решений 4 включает в себя: аналитический модуль описания прецедентов 5 и база данных прецедентов 6.
Система может быть установлена на сервер администрирования 2 и вместе с ним подключена к компьютерной сети.
Основным назначением средства управления событиями 3 является: загрузка данных о системных событиях 1 с компьютерных устройств пользователей, подключенных к серверу администрирования; обнаружение и регистрация факта возникновения инцидента; анализ событий.
Начальные события определяются в качестве причин возникновения инцидента безопасности, и именно для них требуется найти решение, которое предотвратит в дальнейшем повторение инцидента и исправит его последствия. Рассмотрим более подробно пример работы средства поиска решений 4.
Как уже отмечалось ранее, средство поиска решений 4 включает в себя: аналитический модуль описания прецедентов 5 и база данных прецедентов 6.
Аналитический модуль описания прецедентов 5 служит для: формализации прецедентов; поиска прецедентов в базе данных прецедентов; актуализация прецедентов; предоставление знаний.
Для организации базы данных прецедентов 6 и работы с ней было решено использовать технологию представления и хранения данных в формате онтологий. Ее использование позволяет обеспечить большую степень модульности и мобильности баз знаний, что является преимуществом при разработке сложных информационных систем. В основе технологии лежит идея применения «интеллектуальных» средств математической логики к решению массовых задач построения информационных ресурсов. Под термином «интеллектуальный» подразумевается способность системы найти неявные следствия из явно представленных знаний, имитируя стиль рассуждений человека. Данная технология основана на специальных дескриптивных логиках. Дескриптивными логиками называют семейство языков представления знаний, позволяющих описывать понятия предметной области в недвусмысленном, формальном виде. Эти логики, во-первых, позволяют «инкапсулировать» логические механизмы, спрятать их от массового пользователя. Во-вторых, данные логики обладают очень эффективной процедурной семантикой что делает их конкурентоспособными даже с точки зрения таких структур как реляционные базы данных. Данная технология может работать во многих информационных проектах, использующих данные и знания, представленные в объектно-ориентированных моделях. Поскольку большинство практических задач лучше всего решаются при помощи объектно-ориентированного подхода и через конструирование объектно-ориентированных моделей, возможности, предоставляемые данной технологией, весьма перспективны.
В технологии представления и хранения данных в формате онтологий используется объектно-ориентированная структура данных, и основными понятиями здесь являются Класс, Объект и Свойство. Под Классом понимается множество объектов, при этом объект имеет возможность явно принадлежать многим классам. Существует два вида Свойств: т-свойство и о-свойство. Если значением является значение типа (строка, целое число и т.п.), то свойство называется т-свойством. Если значением является объект, то свойство называется о-свойством. Технология представления и хранения данных в формате онтологий рассчитана на использование в качестве встраиваемого в Java-приложение хранилища, которое позволяет организовать достаточно эффективное хранение объектных данных. В рамках данного изобретения технологию представления и хранения данных в формате онтологий было решено использовать в первую очередь потому, что она позволяет организовывать данные в виде древовидных структур. Для этого достаточно создать класс и определить для него о-свойство, значениями которого будут объекты данного класса. Такой подход позволяет обеспечивать гибкость разрабатываемой системы. Так, например, при обнаружении нового вида вируса нет необходимости переписывать структуру данных программных модулей системы, достаточно добавить новый вид вируса в качестве подобъекта для объекта «Вирус» в базе данных прецедентов.
Каждый прецедент в базе характеризуется обладанием определенных признаков из каждой категории. При обращении к конкретному прецеденту происходит считывание его базы данных множества признаков, которыми он обладает. По полученному множеству строится 3 списка признаков для прецедента: (+) - список всех признаков из базы данных, которыми обладает прецедент; (-) - список всех признаков из базы данных, которыми прецедент не обладает; и (?) - список тех признаков из базы данных, обладание которыми не определено для прецедента. Схема заполнения списков следующая. Все признаки вверх по дереву от признака, обладание которым задано в базе данных, заносятся в список признаков, которыми прецедент обладает. Все признаки вниз по дереву от признака, обладание которым задано в базе данных, заносятся в список признаков, обладание которыми для данного прецедента не определено. Остальные признаки заносятся в список тех признаков, которыми прецедент не обладает.
Программный модуль позволяет определять наличие либо отсутствие у описываемого прецедента тех или иных признаков с помощью применения автоматического порождения гипотез. Данный функционал будет полезен в том случае, если наблюдаются некоторые изменения в системе (признаки), характерные для компьютерной атаки, и требуется определить, какими последствиями могут обладать данные изменения, какие меры принимают в подобных ситуациях, а также какие есть еще не замеченные признаки, характерные для наблюдаемой компьютерной атаки.
Перечисленные отличительные признаки заявленного изобретения позволяют повысить эффективность автоматического расследования инцидентов безопасности за счет организации базы данных прецедентов, основанной на технологии представления и хранения данных в формате онтологий, что приведет к уменьшению времени реагирования на инциденты безопасности в автоматизированной системе.
Предлагаемые технические решения промышленно применимы, так как основаны на компьютерной технике и средствах моделирования, широко применяющихся при моделировании процессов управления в автоматизированных системах.
Заявляемое изобретение поясняется конкретным примером реализации, который, однако, не является единственно возможным, но наглядно демонстрирует возможность достижения приведенной совокупностью признаков требуемого технического результата.
Фиг. 2 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 10, содержащий центральный микропроцессор 11, внутреннюю память 12 и системную шину 13, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 11. Системная шина 13 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Внутренняя память 12 содержит постоянное запоминающее устройство (RAM память) 14, память с произвольным доступом (ROM память) 15. Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 10, например, в момент загрузки операционной системы с использованием RAM 14.
Персональный компьютер 10 в свою очередь содержит жесткий диск 16 для чтения и записи данных, привод магнитных дисков 17 для чтения и записи на сменные магнитные диски и оптический привод 18 для чтения и записи на сменные оптические диски, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 16, привод магнитных дисков 17, оптический привод 18 соединены с системной шиной 13 через интерфейс жесткого диска 19, интерфейс привода магнитных дисков 20 и интерфейс оптического привода 21 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 10.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск и сменный оптический диск, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ROM) и т.п.).
Компьютер 10 имеет файловую систему, где хранится записанная операционная система и дополнительные программные приложения, другие программные модули и программные данные. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 10 посредством устройств ввода (клавиатуры 22, манипулятора «мышь» 23). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 10 через порты ввода-вывода 24 и последовательные коммутационные порты 25, которые в свою очередь подсоединены к системной шине 13, но могут быть подключены иным способом, например, при помощи параллельного коммутационного порта 26, игрового порта или универсальной последовательной шины (USB). Монитор 30 или иной тип устройства отображения также подсоединен к системной шине 13 через интерфейс, такой как видеоадаптер 29. В Дополнение к монитору 30 персональный компьютер может быть оснащен другими периферийными устройствами вывода, например колонки (не отображены), принтер и т.п. Принтер 28 подключен к системной шине 13 посредством последовательного коммутационного порта 26.
Персональный компьютер 10 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 31. Удаленный компьютер (или компьютеры) 31 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 10, представленного на Фиг. 2. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пилинговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 27 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 10 подключен к локальной сети через сетевой адаптер или сетевой интерфейс 32. При использовании сетей персональный компьютер 10 может использовать модем 33 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 33, который является внутренним или внешним устройством, подключен к системной шине 13 посредством последовательного коммутационного порта 25. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (2)
1. Система автоматического расследования инцидентов безопасности автоматизированной системы, содержащая средство загрузки данных о системных событиях с компьютерных устройств, подключенных к серверу администрирования; сервер администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа по меньшей мере одного системного события из загруженных данных, вызвавшего инцидент безопасности, и средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, отличающаяся тем, что включает в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах, и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий.
2. Способ автоматического расследования инцидентов безопасности, в котором загружают данные о системных событиях с компьютерных устройств, подключенных к серверу администрирования; фиксируют, регистрируют, анализируют по меньшей мере одно системное событие из загруженных данных, вызвавших инцидент безопасности; производят поиск и применение решения для устранения последствий и предотвращения повторений инцидента безопасности, соответствующего событию, определенному в качестве причины возникновения инцидента, отличающийся тем, что для анализа системных событий, вызвавших инцидент безопасности, с помощью аналитического модуля сравнивают записи базы данных прецедентов, для организации которой используют технологию представления и хранения данных в формате онтологий, в основе которой лежит способность системы найти неявные следствия из явно представленных знаний, имитируя стиль рассуждений человека, с поступающими системными событиями с компьютерных устройств, подключенных к серверу администрирования, и на основе результатов сравнений вырабатывают решение.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017121961A RU2664018C1 (ru) | 2017-06-21 | 2017-06-21 | Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017121961A RU2664018C1 (ru) | 2017-06-21 | 2017-06-21 | Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2664018C1 true RU2664018C1 (ru) | 2018-08-14 |
Family
ID=63177318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2017121961A RU2664018C1 (ru) | 2017-06-21 | 2017-06-21 | Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2664018C1 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2789990C1 (ru) * | 2022-06-01 | 2023-02-14 | Общество с ограниченной ответственностью "КИТ Разработка" | Способ и система автоматизированного документирования угроз безопасности и уязвимостей, относящихся к информационному ресурсу |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040260947A1 (en) * | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
| US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| RU2390839C1 (ru) * | 2008-10-23 | 2010-05-27 | ООО "НеоБИТ" | Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления |
| RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
-
2017
- 2017-06-21 RU RU2017121961A patent/RU2664018C1/ru active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| US20040260947A1 (en) * | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
| RU2390839C1 (ru) * | 2008-10-23 | 2010-05-27 | ООО "НеоБИТ" | Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления |
| RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2789990C1 (ru) * | 2022-06-01 | 2023-02-14 | Общество с ограниченной ответственностью "КИТ Разработка" | Способ и система автоматизированного документирования угроз безопасности и уязвимостей, относящихся к информационному ресурсу |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230319090A1 (en) | Consolidating structured and unstructured security and threat intelligence with knowledge graphs | |
| US10958672B2 (en) | Cognitive offense analysis using contextual data and knowledge graphs | |
| CN113647078B (zh) | 一种管理安全事件的方法、装置和计算机可读存储介质 | |
| US10536472B2 (en) | Cognitive analysis of security data with signal flow-based graph exploration | |
| US10313365B2 (en) | Cognitive offense analysis using enriched graphs | |
| US10681061B2 (en) | Feedback-based prioritized cognitive analysis | |
| US10192051B2 (en) | Data acceleration | |
| Arshad et al. | Evidence collection and forensics on social networks: Research challenges and directions | |
| US10686830B2 (en) | Corroborating threat assertions by consolidating security and threat intelligence with kinetics data | |
| Soltani et al. | A survey on digital evidence collection and analysis | |
| JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
| CN112149135B (zh) | 一种安全漏洞的评估方法及装置、计算机可读存储介质 | |
| US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
| Ogundiran et al. | A framework to reconstruct digital forensics evidence via goal-oriented modeling | |
| Salem et al. | Enabling New Technologies for Cyber Security Defense with the ICAS Cyber Security Ontology. | |
| Yang et al. | A flexible approach for cyber threat hunting based on kernel audit records | |
| Chabot et al. | Event reconstruction: A state of the art | |
| Abbott et al. | Automated recognition of event scenarios for digital forensics | |
| CN115470489A (zh) | 检测模型训练方法、检测方法、设备以及计算机可读介质 | |
| RU2664018C1 (ru) | Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе | |
| Bhatia et al. | CFRF: cloud forensic readiness framework–A dependable framework for forensic readiness in cloud computing environment | |
| Kim | Digital Forensics Tools Integration | |
| Tsikrika et al. | A framework for the discovery, analysis, and retrieval of multimedia homemade explosives information on the Web | |
| Stelly | A Domain Specific Language for Digital Forensics and Incident Response Analysis | |
| Li et al. | ProvGRP: A Context-Aware Provenance Graph Reduction and Partition Approach for Facilitating Attack Investigation |