RU2715978C1 - Method and system for sonification events of cybersecurity - Google Patents

Method and system for sonification events of cybersecurity Download PDF

Info

Publication number
RU2715978C1
RU2715978C1 RU2019127935A RU2019127935A RU2715978C1 RU 2715978 C1 RU2715978 C1 RU 2715978C1 RU 2019127935 A RU2019127935 A RU 2019127935A RU 2019127935 A RU2019127935 A RU 2019127935A RU 2715978 C1 RU2715978 C1 RU 2715978C1
Authority
RU
Russia
Prior art keywords
network
sonification
connections
sound
cybersecurity
Prior art date
Application number
RU2019127935A
Other languages
Russian (ru)
Inventor
Александр Михайлович Кузьмин
Original Assignee
Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) filed Critical Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority to RU2019127935A priority Critical patent/RU2715978C1/en
Priority to PCT/RU2019/000623 priority patent/WO2021045639A1/en
Application granted granted Critical
Publication of RU2715978C1 publication Critical patent/RU2715978C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B31/00Predictive alarm systems characterised by extrapolation or other computation using updated historic data

Abstract

FIELD: cyber-security.
SUBSTANCE: invention relates to means of sonification of cybersecurity events. Cybersecurity event data are collected, which include IP addresses of network exchange nodes, network ports, connection time between nodes and response of network protection means to said connections. Obtained events of cybersecurity are aggregated according to various criteria in accordance with the selected sonification model. Statistical characteristics of aggregated events are calculated in a given time interval. Sonification scheme for event is generated based on said statistical characteristics of connections between network nodes. Sound notifications are generated for incoming notifications of cybersecurity in accordance with said sonification scheme.
EFFECT: high efficiency of responding to emerging events of cybersecurity in network zones owing to use of a scheme of events sonification.
6 cl, 7 dwg

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

[0001] Настоящее техническое решение, в общем, относится к области компьютерной техники, а в частности к способу и системе сонификации событий кибербезопасности.[0001] The present technical solution, in General, relates to the field of computer technology, and in particular to a method and system for the sonification of cybersecurity events.

УРОВЕНЬ ТЕХНИКИBACKGROUND

[0002] С течением развития технического уровня в области обработки данных, требующих оперативного реагирования на скоротечное изменение их состояний, сформировался новый метод, позволяющий анализировать различные процессы на основе использования аудиального отображения информации, при котором данные, получаемые в ходе измерений или контроля различных процессов, могут быть преобразованы в звуковые колебания, что дает возможность регистрировать их посредством звуковых каналов восприятия.[0002] With the development of a technical level in the field of data processing that requires an immediate response to a transient change in their states, a new method has been formed that allows analyzing various processes based on the use of audio display of information, in which the data obtained during measurements or control of various processes can be converted into sound vibrations, which makes it possible to register them through the sound channels of perception.

[0003] Такой подход называется сонификацией (англ. «sonification») и на данный момент применяется во многих научных областях в качестве альтернативы визуальному представлению данных, позволяя формировать звуковые оповещения, связанные с изменением состояния контролируемых процессов. При этом в качестве основных преимуществ является возможность обработки и реагирования на большое количество параллельных информационных потоков в реальном времени, а также оперативное обнаружение изменения критических параметров, что является особенно критичным в обработки процессов событий кибербезопасности.[0003] This approach is called sonification and is currently used in many scientific fields as an alternative to the visual presentation of data, allowing the generation of sound alerts related to changes in the state of controlled processes. At the same time, the main advantages are the ability to process and respond to a large number of parallel information flows in real time, as well as the operational detection of changes in critical parameters, which is especially critical in processing cybersecurity event processes.

[0004] Наиболее важным критерием для сонификации является построение звуковой схемы для конкретной задачи идентификации и уведомления заданных типов событий. Как правило, звуковая схема опирается на ряд параметров для формирования сонификации событий, например, параметры звуков, количество данных, их связность и т.п.[0004] The most important criterion for sonification is the construction of a sound scheme for a specific task of identifying and notifying specific types of events. As a rule, a sound scheme relies on a number of parameters to form a sonification of events, for example, sound parameters, amount of data, their connectivity, etc.

[0005] Информация имеет свойство расти. Каждая новая виртуальная сущность индивида инициализирует новые связи с другими сущностями, получает и отправляет данные, инициализирует различные процессы, то есть осуществляет информационную активность, ведущую к нарастанию данных. Увеличение объемов хранилищ данных и уменьшение стоимости их хранения ведет к тому, что общая тенденция взаимодействия с информационными системами может быть выражена как «сохранить все» вместо «сохранить этот фрагмент». Неоспоримым является тезис об информационной сатурации (насыщении) визуального канала восприятия. Будь то покупатель в супермаркете или оператор ситуационного центра - человек вынужден обращать свое внимание на все большее и большее количество попадающих в поле зрения данных, отображаемых визуально, и/или разделять их представление во времени, увеличивая тем самым время обработки этих данных. Это ведет к целому ряду общеизвестных проблем - от повышенной утомляемости и снижения эффективности труда до возникновения критических ошибок в процессе принятия решений. На этом фоне усиливаются проблемы, связанные с совмещением различных данных.[0005] Information tends to grow. Each new virtual entity of an individual initiates new connections with other entities, receives and sends data, initializes various processes, that is, carries out information activity leading to an increase in data. An increase in the volume of data storages and a decrease in the cost of their storage leads to the fact that the general tendency of interaction with information systems can be expressed as “save everything” instead of “save this fragment”. The thesis of information saturation (saturation) of the visual channel of perception is undeniable. Whether it is a shopper in a supermarket or an operator of a situation center, a person is forced to turn his attention to an increasing number of data that are visually displayed in the field of view and / or to divide their presentation in time, thereby increasing the processing time of this data. This leads to a number of well-known problems - from increased fatigue and reduced labor efficiency to the occurrence of critical errors in the decision-making process. Against this background, the problems associated with combining various data are amplified.

[0006] В настоящее время методы сонификации находят широкое применение в различных областях, среди которых можно отметить медицину, авиацию и управление сложными системами, медиаискусство, бизнес-аналитику, сейсмографию, ассистивные технологии для инвалидов по зрению, астрономию. [1][0006] Currently, sonification methods are widely used in various fields, including medicine, aviation and complex systems management, media art, business analytics, seismography, assistive technologies for the visually impaired, astronomy. [1]

[0007] Из существующего уровня техники известны различные подходы по сонификации наблюдаемых данных. Например, анализ сетевой активности с помощью ПО SonSTAR позволяет формировать звуковые оповещения на основании анализа потоков сетевой активности с помощью фильтрации данных передаваемых пакетов. [2][0007] Various approaches are known in the art to sonify observed data. For example, analysis of network activity using SonSTAR software allows you to generate sound alerts based on analysis of network activity flows by filtering the data of transmitted packets. [2]

[0008] Из патента US 7511213 В2 (Soft Sound Holdings LLC, 31.03.2009) известен принцип сонификации данных изменений рынка ценных бумаг с помощью построения схемы мэппинга звуков для формирования оповещений на основании параметров динамического изменения рынка, например, скачков курсов валют, стоимости акций и т.п.[0008] From the patent US 7511213 B2 (Soft Sound Holdings LLC, March 31, 2009), the principle of sonization of data of changes in the securities market by creating a sound mapping scheme for generating alerts based on parameters of dynamic market changes, for example, jumps in exchange rates, stock prices, is known etc.

[0009] Существующие подходы не подходят для анализа событий кибербезопасности в части выявления сетевых аномалий и формирования звукового окружения на основании статистических данных соединений между узлами, агрегированными по определенным признакам.[0009] The existing approaches are not suitable for the analysis of cybersecurity events in terms of identifying network anomalies and forming an audio environment based on the statistical data of connections between nodes aggregated according to certain criteria.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

[0010] Настоящее изобретение направлено на решение технической проблемы, заключающейся в создании нового принципа сонификации событий кибербезопасности, позволяющего более эффективно и своевременно идентифицировать сетевые аномалии в корпоративной сети.[0010] The present invention is directed to solving a technical problem, which consists in creating a new principle of sonification of cybersecurity events, which allows more efficient and timely identification of network anomalies in a corporate network.

[0011] Техническим результатом является повышение эффективности реагирования на возникающие события кибербезопасности в сетевых зонах за счет применения схемы сонификации событий, формируемой средствами сетевой защиты на основании статистических характеристик соединений между узлами корпоративной сети в заданном временном интервале.[0011] The technical result is to increase the efficiency of responding to emerging cybersecurity events in network zones through the use of an event sonification scheme generated by network protection based on the statistical characteristics of connections between nodes of a corporate network in a given time interval.

[0012] Заявленный результат достигается за счет компьютерно-реализуемого способа сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, выполняемый с помощью процессора и содержащий этапы, на которых:[0012] The claimed result is achieved by a computer-implemented method of sonification of cybersecurity events generated by network protection means, performed by the processor and containing stages in which:

- осуществляют сбор данных событий кибербезопасности, которые включают в себя IP-адреса узлов сетевого обмена, сетевые порты, время выполнения соединений между узлами и реакция средств сетевой защиты на упомянутые соединения;- collect data from cybersecurity events, which include the IP addresses of network exchange nodes, network ports, the execution time of connections between nodes, and the reaction of network protection tools to the mentioned connections;

- агрегируют полученные события кибербезопасности по различным признакам в соответствии с выбранной моделью сонификации и вычисляют статистические характеристики агрегированных событий в заданном временном интервале;- aggregate the received cybersecurity events according to various criteria in accordance with the selected model of sonification and calculate the statistical characteristics of aggregated events in a given time interval;

- генерируют схему сонификации событий на основании упомянутых статистических характеристик соединений между узлами сети, причем упомянутая схема формируется в соответствии с одной из предлагаемых моделей сонификации.- generate a scheme of sonification of events based on the mentioned statistical characteristics of connections between network nodes, and the said scheme is formed in accordance with one of the proposed models of sonification.

источник звука - зона сети,sound source - network zone,

количество соединений в зоне сети - громкость источника звука, отклонение от среднего значения во временном интервале - частота повторения звука упомянутого источника во временном интервале, соотношение заблокированных и разрешенных соединений для каждой зоны - тембр/высота тона звучания источника;the number of connections in the network zone - the volume of the sound source, deviation from the average value in the time interval - the repetition frequency of the sound of the mentioned source in the time interval, the ratio of blocked and allowed connections for each zone is the timbre / pitch of the sound source;

- формируют звуковые оповещения на поступающие уведомления кибербезопасности в соответствии с упомянутой схемой сонификации.- generate sound alerts for incoming cybersecurity notifications in accordance with the said scheme of sonication.

[0013] В одном из частных вариантов осуществления способа дополнительно осуществляется визуализация агрегированных сетевых соединений в режиме реального времени.[0013] In one particular embodiment of the method, real-time aggregated network connections are further visualized.

[0014] В другом частном варианте осуществления способа визуализация выполняется синхронно с формированием звуковых оповещений.[0014] In another particular embodiment of the method, visualization is performed synchronously with the generation of sound alerts.

[0015] В другом частном варианте осуществления способа звуковое оповещение и/или визуализация зон сети передается на мобильное устройство пользователя.[0015] In another particular embodiment of the method, sound notification and / or visualization of network areas is transmitted to a user's mobile device.

[0016] В другом частном варианте осуществления способа источник выбирается из группы: музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания.[0016] In another particular embodiment of the method, the source is selected from the group: musical instrument, sounds of the environment, sounds of animals, sounds of nature, synthesized sounds, or combinations thereof.

[0017] Заявленный результат также достигается за счет системы сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, которая содержит по меньшей мере один процессор и по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, которые при их исполнении процессором выполняют вышеописанный способ.[0017] The claimed result is also achieved through a system of sonication of cybersecurity events generated by network protection means, which contains at least one processor and at least one data storage medium containing machine-readable instructions that, when executed by the processor, perform the above method.

[0018] Иные, частные аспекты осуществления заявленного технического решения будут раскрыты далее в настоящих материалах заявки.[0018] Other, particular aspects of the implementation of the claimed technical solution will be disclosed further in the present application materials.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

[0019] Признаки и преимущества настоящего изобретения станут очевидными из приводимого ниже подробного описания изобретения и прилагаемых чертежей, на которых:[0019] The features and advantages of the present invention will become apparent from the following detailed description of the invention and the accompanying drawings, in which:

[0020] Фиг. 1 иллюстрирует общую схему заявленного решения.[0020] FIG. 1 illustrates the general scheme of the claimed solution.

[0021] Фиг. 2 иллюстрирует блок-схему обработки событий кибербезопасности для их сонификации.[0021] FIG. 2 illustrates a flowchart of processing cybersecurity events for their sonication.

[0022] Фиг. 3 иллюстрирует схему сонификации событий кибербезопасности при разделении на зоны сетевой активности.[0022] FIG. 3 illustrates a pattern of sonification of cybersecurity events when divided into zones of network activity.

[0023] Фиг. 4 иллюстрирует пример разделения звуковых источников по зонам корпоративной сети.[0023] FIG. 4 illustrates an example of dividing audio sources into zones of a corporate network.

[0024] Фиг. 5 - Фиг. 6 иллюстрируют варианты моделей сонификации.[0024] FIG. 5 - FIG. 6 illustrate options for sonification models.

[0025] Фиг. 7 иллюстрирует вид вычислительной системы.[0025] FIG. 7 illustrates a view of a computing system.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION

[0026] Как показано на Фиг. 1 общая схема заявленного решения включает в себя сеть передачи данных (110), соединение между участками которой контролируются средством сетевой защиты (120) корпоративной инфраструктуры. Средства сетевой защиты (120) могут выбираться из различных устройств, например, межсетевой экран NGFW PaloAlto или любой другой пригодный тип устройства, обеспечивающего учет событий журнала аудита (130), связанных с инициацией соединений и сетевым взаимодействием хостов в корпоративной сети между собой и с внешними хостами.[0026] As shown in FIG. 1, the general scheme of the claimed solution includes a data transmission network (110), the connection between the sections of which are controlled by the network infrastructure protection tool (120) of the corporate infrastructure. Network protection tools (120) can be selected from various devices, for example, the NGFW PaloAlto firewall or any other suitable type of device that takes into account audit log events (130) related to the initiation of connections and network interaction of hosts in a corporate network with each other and with external hosts.

[0027] Журнал аудита средства сетевой защиты (130) содержит события кибербезопасности, включающие данные о сетевых соединениях, в частности время события, IP-адрес отправителя, IP-адрес получателя, действие средства защиты (было ли соединение заблокировано или разрешено средством сетевой защиты). Под сетью передачи данных может применятся информационная сеть «Интернет», образованная различными известными протоколами и принципами организации связи, например, WAN, PAN, WLAN, LAN и т.п.[0027] The firewall audit log (130) contains cybersecurity events including data about network connections, in particular, the time of the event, the sender IP address, the recipient IP address, and the protection action (whether the connection was blocked or allowed by the firewall) . Under the data transmission network, the Internet information network can be used, formed by various known protocols and principles of communication, for example, WAN, PAN, WLAN, LAN, etc.

[0028] Данные событий кибербезопасности из журнала аудита (130) поступают в устройство обработки (200), выполненное на базе персонального компьютера, обеспечивающее обработку данных для осуществления процесса сонификации информации.[0028] The data of cybersecurity events from the audit log (130) are sent to a processing device (200) made on the basis of a personal computer that provides data processing for the implementation of the information sonification process.

[0029] Устройство (200) содержит модуль препроцессинга (210), выполняющий обогащение данных, получаемых от средств сетевой защиты (120), модуль сонификации (220), осуществляющий формирование звуковых оповещений согласно установленной звуковой схеме, базу данных звуков (230), содержащую источники звука для формирования звуковых оповещений, модуль визуализации (240), вьшолняющий визуализацию данных событий кибербезопасности.[0029] The device (200) comprises a preprocessing module (210), which enriches the data received from network protection means (120), a sonification module (220), which generates sound alerts according to the established sound scheme, a sound database (230), containing sound sources for generating sound alerts, a visualization module (240) that implements the visualization of data from cybersecurity events.

[0030] На Фиг. 2 представлены этапы способа по сонификации событий кибербезопасности. На первом этапе (301) осуществляется сбор событий журнала аудита (130) средства сетевой защиты (120). Полученные данные с помощью модуля препроцессинга (210) агрегируются с учетом метки времени в соответствии с выбранной схемой сонификации и обогащаются дополнительной информацией, например, о принадлежности IP адреса к определенной сетевой зоне корпоративной сети, присутствия IP-адреса и/или сетевого порта в черном списке IP-адресов и/или сетевых портов. Модуль препроцессинга (210) может выполняться на языке Python и в частном варианте представлять модуль на базе алгоритмов машинного обучения, например, нейронную сеть, осуществляющую наложение схемы сонификации на сформированный набор статистических характеристик от средств сетевой безопасности (120) для генерирования звуковых оповещений по аномалиям сетевой активности.[0030] In FIG. 2 shows the steps of a method for sonification of cybersecurity events. At the first stage (301), events are collected from the audit log (130) of the network protection tool (120). The data obtained using the preprocessing module (210) are aggregated taking into account the time stamp in accordance with the selected sonication scheme and are enriched with additional information, for example, whether the IP address belongs to a specific network zone of the corporate network, the presence of the IP address and / or network port in the black list IP addresses and / or network ports. The preprocessing module (210) can be executed in Python and, in a particular embodiment, can represent a module based on machine learning algorithms, for example, a neural network, superimposing a sonification scheme on the generated set of statistical characteristics from network security tools (120) to generate sound alerts for network anomalies activity.

[0031] В зависимости от полученных данных от средств сетевой защиты (120) на этапе (301) высчитываются статистические характеристики соединений (302) на основании которых потом принимается решение о применении выбранной схемы сонификации и визуализации данных на шаге (303) для последующего формирования звукового окружения в реальном масштабе времени (304).[0031] Depending on the received data from network protection means (120), at step (301), the statistical characteristics of the compounds (302) are calculated based on which then a decision is made on the application of the selected data sonification and visualization scheme at step (303) for the subsequent generation of sound real-time environments (304).

На Фиг. 3 представлен пример схемы заявленного решения, в которой информация, подлежащая сонификации, распределяется по зонам корпоративной сети (400). Как показано на Фиг. 4 для каждой сетевой зоны (4001-4004) и заданного временного интервала (которые может задаваться по необходимости - 1, 3, 5, 10 сек и т.д.) назначается свой уникальный источник звука (И1-И4), позволяющий идентифицировать каждую из зон (4001-4004).In FIG. Figure 3 presents an example of the scheme of the claimed solution, in which the information to be sonicated is distributed over the zones of the corporate network (400). As shown in FIG. 4 for each network zone (4001-4004) and a given time interval (which can be set as necessary - 1, 3, 5, 10 seconds, etc.), a unique sound source is assigned (I1-I4), which allows to identify each of zones (4001-4004).

В указанной схеме сонификации происходит определение статистических характеристик соединений с помощью модуля препроцессинга (210), которые представляют собой общее количество сетевых соединений в каждой из зон (4001-4004) корпоративной сети (400) в один временной интервал (в соответствии с выбранным интервалом агрегации (1, 3, 5, 10 сек)), соотношение заблокированных и разрешенных соединений, отклонение текущего значения количества соединений от среднего показателя количества соединений по данной сетевой зоне, отношение количества соединений из данной зоны к общему количеству соединений, количество зон, с которыми устанавливаются соединения из данной зоны.In this sonification scheme, the statistical characteristics of the compounds are determined using the preprocessing module (210), which is the total number of network connections in each of the zones (4001-4004) of the corporate network (400) in one time interval (in accordance with the selected aggregation interval ( 1, 3, 5, 10 sec)), the ratio of blocked and allowed connections, the deviation of the current value of the number of connections from the average number of connections in this network zone, the ratio of the number of connections from given zone to the total number of connections, the number of zones with which connections from this zone are established.

[0032] Данные статистические характеристики далее передаются в модуль сонификации (220) и модуль визуализации (240) для выполнения этапа, включающего сонификацию и визуализацию данных (303). На этапе сонификации (303) статистические характеристики, полученные на этапе (302) для каждой сетевой зоны (110), обрабатываются с помощью сформированной звуковой схемы. Звуковая схема выстраивается следующим образом: источник звука - зона сети, количество соединений в зоне сети - громкость источника звука, отклонение от среднего значения во временном интервале - частота повторения звука упомянутого источника во временном интервале, соотношение заблокированных и разрешенных соединений для каждой зоны -тембр/высота тона звучания источника.[0032] These statistical characteristics are then transmitted to a sonification module (220) and a visualization module (240) to perform a step including data sonification and visualization (303). At the sonification step (303), the statistical characteristics obtained at step (302) for each network zone (110) are processed using the generated sound scheme. The sound scheme is arranged as follows: the sound source is the network zone, the number of connections in the network zone is the volume of the sound source, the deviation from the average value in the time interval is the repetition frequency of the sound of the mentioned source in the time interval, the ratio of blocked and allowed connections for each zone is timbre / source pitch.

[0033] Источник звука выбирается из различного вида звуковых представлений, хранящихся в базе данных (230) и назначается для каждой из зон (4001-4004). Таким представлениями могут выступать, например, музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания. Перечень звуковых представлений не ограничивается приведенными примерами и может быть расширен.[0033] The sound source is selected from various types of sound representations stored in the database (230) and assigned to each of the zones (4001-4004). Such representations can be, for example, a musical instrument, sounds of the surrounding nature, sounds of animals, sounds of nature, synthesized sounds, or combinations thereof. The list of sound representations is not limited to the given examples and can be expanded.

[0034] Источник звука накладывается на сформированную схему сонификации для формирования звуковых оповещений (304) по зафиксированным аномалиям в сети передачи данных (110). Под аномалиями понимаются резкие изменения наблюдаемых статистических характеристик (резкое изменение количества соединений в определенной зоне, изменение соотношения заблокированных и допущенных соединений, сильное отклонение от среднего значения количества соединений по данной зоне), которые могут сигнализировать об инциденте безопасности или функционирования IТ-систем. Сонификация аномалий позволяет более явно и/или на более раннем этапе оповестить о возникновении такого рода событий и повысить эффективность и скорость реагирования операторов, осуществляющих мониторинг сетевой активности.[0034] The sound source is superimposed on the generated sonification scheme for generating sound alerts (304) for recorded anomalies in the data network (110). Anomalies are understood as sharp changes in the observed statistical characteristics (a sharp change in the number of connections in a certain zone, a change in the ratio of blocked and allowed connections, a strong deviation from the average value of the number of connections in a given zone), which can signal a security incident or the functioning of IT systems. Sonification of anomalies allows more explicitly and / or at an earlier stage to notify about the occurrence of such events and increase the efficiency and speed of response of operators monitoring network activity.

[0035] Например, определенные изменения сетевой активности в сети передачи данных (110) могут сигнализировать о начинающейся DDoS атаке, массовом вирусном заражении, неправильном функционировании средств защиты и прочем. С учетом того, что в крупной сетевой инфраструктуре даже одно средство сетевой защиты (130) может генерировать десятки тысяч событий в секунду, то с применением сонификации оператор получает возможность оперативного выявления из них аномального одного подмножества, которое требует более детального изучения на предмет угроз.[0035] For example, certain changes in network activity in the data transmission network (110) may signal a beginning DDoS attack, massive virus infection, malfunctioning of protective equipment, and more. Given that in a large network infrastructure, even one network protection tool (130) can generate tens of thousands of events per second, using sonication, the operator can quickly identify from them an anomalous one subset, which requires a more detailed study of threats.

[0036] Модуль визуализации (240) позволяет дополнительно формировать изображения по возникающим аномалиям сетевых соединений сети передачи данных (110). Модуль (240) может быть реализован, например, на движке Unity, обеспечивающем различные типы генерации визуально воспринимаемой информации по возникающим событиям кибербезопасности. Визуализация статистических характеристик соединений сети передачи данных (110) могут формироваться одновременно со звуковыми оповещениями.[0036] The visualization module (240) allows you to additionally form images of the emerging anomalies of the network connections of the data network (110). Module (240) can be implemented, for example, on the Unity engine, which provides various types of generation of visually perceptible information on emerging cybersecurity events. Visualization of the statistical characteristics of data network connections (110) can be generated simultaneously with sound alerts.

[0037] Звуковые оповещения, сформированные с помощью схемы сонификации на этапе (304), выводятся с помощью стандартных средств рабочей станции оператора, например, с помощью наушников. Звуковые оповещения также могут передаваться операторам на личные мобильные устройства или иной тип носимых устройств, например, смарт-часы. Устройство (200), обеспечивающее сонификацию данных, может выполняться в виде сервера и содержать информацию с назначением наблюдаемых аномалий профилям операторов, что позволяет формировать звуковые оповещения требуемым сотрудникам. Передача такой информации осуществляется посредством средств беспроводной связи, например, таких как Bluetooth, Wi-Fi и т.п.[0037] Sound alerts generated by the sonification circuit in step (304) are output using standard means of an operator workstation, for example, using headphones. Sound alerts can also be transmitted to operators on personal mobile devices or other type of wearable devices, such as smart watches. The device (200), which provides data authentication, can be executed in the form of a server and contain information with the assignment of the observed anomalies to the profiles of operators, which allows you to generate sound alerts to the required employees. Such information is transmitted via wireless means, for example, such as Bluetooth, Wi-Fi, etc.

[0038] В другом частном варианте схема сонификации событий кибербезопасности может формироваться на основании статистических характеристик, определяемых на основании анализа данных транспортного протокола сетевых соединений. На Фиг. 5 представлена блок-схема выполнения процесса сонификации событий кибербезопасности при использовании модели сонификации на основании анализа сетевого протокола (500). На первом этапе (501) выполняется предобработка данных, при которой осуществляется агрегация событий по задействованному транспортному протоколу (TCP/UDP/ICMP), а также выполняется проверка наличия IP-адресов и сетевых портов из событий безопасности в черных списках IP-адресов и портов. Черные списки содержат вредоносные и опасные IP-адреса (как правило хосты в сети интернет, вовлеченный в вредоносную активность, такую как фишинг, спам, распространение ВПО и пр.) и порты, использование которых может свидетельствовать о заражении хоста корпоративной сети ВПО.[0038] In another particular embodiment, a scheme for the cyber security events sonication can be formed based on statistical characteristics determined based on the analysis of data from the transport protocol of network connections. In FIG. Figure 5 presents a flowchart of the process of sonification of cybersecurity events when using a model of sonification based on the analysis of a network protocol (500). At the first stage (501), data preprocessing is performed, during which events are aggregated using the involved transport protocol (TCP / UDP / ICMP), and the presence of IP addresses and network ports from security events in the black lists of IP addresses and ports is checked. Blacklists contain malicious and dangerous IP addresses (usually hosts on the Internet that are involved in malicious activity, such as phishing, spam, malware, etc.) and ports, which, if used, could indicate infection of the host of the corporate malware network.

[0039] На этапе (502) для каждого транспортного протокола вычисляются статистические характеристики:[0039] In step (502), for each transport protocol, statistical characteristics are calculated:

- количество соединений в единицу времени;- the number of compounds per unit time;

- отклонение от среднего значения количества соединений для конкретного транспортного протокола.- deviation from the average value of the number of connections for a particular transport protocol.

[0040] Для IP-адресов и портов из черных списков вычисляется наличие IP-адресов и портов из черных списков в каждом временном интервале.[0040] For IP addresses and ports from blacklists, the presence of IP addresses and ports from blacklists in each time interval is calculated.

[0041] Генерация звукового окружения с помощью схемы сонификации на этапе (503), при этом если осуществляется определение того, что в данных, полученных от средства защиты (120) присутствует IP-адреса и/или порты сетевых соединений из черного списка, то для таких IP-адресов или портов назначается отдельный источник звука для их идентификации в общем потоке данных (504).[0041] Generating a sound environment using the sonification circuit in step (503), and if it is determined that the data received from the security tool (120) contains IP addresses and / or network connection ports from the blacklist, then for such IP addresses or ports are assigned a separate sound source for their identification in the general data stream (504).

[0042] Модель сонификации на этапе (503) выполняется следующим образом. Для транспортных протоколов:[0042] The sonification model in step (503) is as follows. For transport protocols:

- Транспортный протокол - отдельный инструмент/источник звука;- Transport protocol - a separate instrument / sound source;

- Относительное количество соединений с использованием конкретного транспортного протокола - громкость источника звука;- The relative number of connections using a specific transport protocol is the volume of the sound source;

- Отклонение от среднего значения количества соединений для конкретного транспортного протокола - тембр/высота тона источника звука.- Deviation from the average value of the number of connections for a particular transport protocol - the timbre / pitch of the sound source.

Для IP-адресов и сетевых портов из черных списков:For IP addresses and network ports from blacklists:

- Наличие IP-адреса/сетевого порта в черном списке - инструмент /источник звука (отдельный инструмент для IP-адресов и для сетевых портов);- The presence of an IP address / network port in the black list - instrument / sound source (a separate tool for IP addresses and network ports);

- Количество IP-адресов/портов из черного списка в одном временном интервале - уровни громкости инструмента/источника звука (где нулевая громкость означает отсутствие вхождений в черный список в данном временном интервале).- The number of IP addresses / ports from the black list in one time interval is the volume level of the instrument / sound source (where zero volume means no blacklisting in this time interval).

[0043] Ниже представлен пример формирования звукового окружения с помощью вышеуказанной модели сонификации (500):[0043] The following is an example of the formation of a sound environment using the above sonification model (500):

- протокол TCP - шелест листьев деревья от ветра (лево);- TCP protocol - rustling leaves of trees from the wind (left);

- протокол UDP - шум волн (право);- UDP protocol - wave noise (right);

- протокол ICMP - свист ветра (лево);- ICMP protocol - wind whistle (left);

- IP-адрес из черного списка - переливы\перезвоны в стиле ловца ветра (лево);- IP address from the black list - overflows / chimes in the style of a wind catcher (left);

- сетевой порт из черного списка - гудок корабля (право).- network port from the black list - ship hoot (right).

[0044] Также, другим примером модели сонификации, как представлено на Фиг. 6, может выступать анализ агрегацией по действию средства защиты (600). На этапе предобработки (601) выполняется агрегация событий по типу действий средства сетевой защиты (allow/deny/alert/drop/reset), а также выполняется проверка наличия IP-адресов и сетевых портов из событий безопасности в черных списках IP-адресов и портов. Черные списки содержат вредоносные и опасные IP-адреса (как правило хосты в сети интернет, вовлеченный в вредоносную активность, такую как фишинг, спам, распространение ВПО и пр.) и порты, использование которых может говорить о заражении хоста корпоративной сети ВПО.[0044] Also, another example of a sonification model, as shown in FIG. 6, the analysis may be an aggregation of the action of the protective equipment (600). At the preprocessing stage (601), events are aggregated by the type of network protection tool actions (allow / deny / alert / drop / reset), and the presence of IP addresses and network ports from security events is blacklisted for IP addresses and ports. Black lists contain malicious and dangerous IP addresses (usually hosts on the Internet that are involved in malicious activity, such as phishing, spam, malware distribution, etc.) and ports, which use may indicate infection of the host of the corporate malware network.

[0045] Для каждого транспортного протокола вычисляются статистические характеристики (602):[0045] For each transport protocol, statistical characteristics are calculated (602):

- количество попыток соединений с данным действием средства защиты в единицу времени;- the number of attempts to connect with this action of the protective equipment per unit time;

- отклонение от среднего значения количества соединений для конкретного действия средства защиты.- deviation from the average value of the number of compounds for a specific action of the protective equipment.

Для IP-адресов и портов из черных списков вычисляется наличие IP-адресов и портов из черных списков в каждом заданном временном интервале.For IP addresses and ports from blacklists, the availability of IP addresses and ports from blacklists is calculated at each specified time interval.

[0046] Генерация звукового окружения с помощью схемы сонификации на этапе (603), при этом если осуществляется определение того, что в данных, полученных от средства защиты (120) присутствует IP-адреса и/или порты сетевых соединений из черного списка, то для таких IP-адресов или портов назначается отдельный источник звука для их идентификации в общем потоке данных (604).[0046] Generating a sound environment using the sonification circuit at step (603), and if it is determined that the data received from the security tool (120) contains IP addresses and / or network connection ports from the black list, then such IP addresses or ports are assigned a separate sound source for their identification in the general data stream (604).

[0047] Модель сонификации на этапе (603) выполняется следующим образом:[0047] The sonification model in step (603) is performed as follows:

- Тип действия средства сетевой - отдельный инструмент/источник звука;- The action type of the network tool is a separate instrument / sound source;

- Относительное количество попыток соединения с данным действием средства сетевой защиты - громкость источника звука;- The relative number of attempts to connect to this action of the network protection means - the volume of the sound source;

- Отклонение от среднего значения количества соединений для конкретного действия средства защиты - тембр/высота тона источника звука.- Deviation from the average value of the number of connections for a specific action of the protective equipment - timbre / pitch of the sound source.

Для IP-адресов и сетевых портов из черных списков:For IP addresses and network ports from blacklists:

- Наличие IP-адреса/сетевого порта в черном списке - инструмент /источник звука (отдельный инструмент для IP-адресов и для сетевых портов);- The presence of an IP address / network port in the black list - instrument / sound source (a separate tool for IP addresses and network ports);

- Количество IP-адресов/портов из черного списка в одном временном интервале - уровни громкости инструмента/источника звука (где нулевая громкость означает отсутствие вхождений в черный список в данном временном интервале).- The number of IP addresses / ports from the black list in one time interval is the volume level of the instrument / sound source (where zero volume means no blacklisting in this time interval).

[0048] Ниже представлен пример формирования звукового окружения с помощью вышеуказанной модели сонификации (600):[0048] The following is an example of the formation of a sound environment using the above sonification model (600):

- действие allow (разрешить) - шелест листьев деревья от ветра (право);- allow action (allow) - rustling leaves of trees from the wind (right);

- действие deny (отклонить) - звук горящего фейерверка (лево);- action deny (reject) - the sound of a burning firework (left);

- действие alert (тревога) - сверчки, редко птица (лево)- action alert (alarm) - crickets, rarely a bird (left)

- действие drop (скидывание) - воробьи и другие птицы (право)- drop action (dropping) - sparrows and other birds (right)

- действие reset (сброс) - филин (право)- action reset (reset) - eagle owl (right)

- действие не определено - (лево) свист ветра;- action not defined - (left) whistle of the wind;

- ip-адрес из черного списка - переливы, ловец ветра (центр);- IP address from the black list - overflows, wind catcher (center);

- сетевой порт из черного списка - колокола (центр).- network port from the black list - bells (center).

[0049] Представленные схемы и примеры распределения источников звука представлены только в целях отображения одного из примеров формирования звукового окружения.[0049] The presented schemes and examples of the distribution of sound sources are presented only for the purpose of displaying one example of the formation of a sound environment.

[0050] На Фиг. 7 представлен пример общего вида вычислительной системы (700) на базе вычислительного устройства, которое обеспечивает реализацию заявленного способа. Вычислительное устройство может представлять собой компьютерное устройство, пригодное для исполнения функционала по сонификации и обработки данных, например, персональной компьютер, ноутбук, смартфон, планшет, сервер и т.п. Устройство (200) может представлять собой частный вариант исполнения вычислительной системы (700).[0050] FIG. 7 shows an example of a general view of a computing system (700) based on a computing device that provides an implementation of the claimed method. A computing device may be a computer device suitable for executing functionality for data sonification and processing, for example, a personal computer, laptop, smartphone, tablet, server, etc. The device (200) may be a particular embodiment of a computing system (700).

[0051] В общем случае, система (700) содержит объединенные общей шиной (710) информационного обмена один или несколько процессоров (701), средства памяти, такие как ОЗУ (702) и ПЗУ (703), интерфейсы ввода/вывода (704), устройства ввода/вывода (705), и устройство для сетевого взаимодействия (706).[0051] In general, the system (700) comprises one or more processors (701) connected by a common data bus (710), memory means such as RAM (702) and ROM (703), input / output interfaces (704) , input / output devices (705), and a device for network communication (706).

[0052] Процессор (701) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также является пригодным для полного или частичного выполнения способа обработки и сонификации данных. При этом, средством памяти может выступать доступный объем памяти графической карты или графического процессора.[0052] A processor (701) (or multiple processors, a multi-core processor) can be selected from a variety of currently widely used devices, for example, Intel ™, AMD ™, Apple ™, Samsung Exynos ™, MediaTEK ™, Qualcomm Snapdragon ™ and etc. Under the processor, it is also necessary to take into account a graphic processor, for example, an NVIDIA or ATI GPU, which is also suitable for fully or partially performing a method of processing and sonicating data. In this case, the available memory capacity of the graphics card or graphics processor may be a means of memory.

[0053] ОЗУ (702) представляет собой оперативную память и предназначено для хранения исполняемых процессором (701) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (702), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).[0053] RAM (702) is a random access memory and is intended to store machine-readable instructions executed by the processor (701) to perform the necessary operations for logical data processing. RAM (702), as a rule, contains executable instructions of the operating system and corresponding software components (applications, program modules, etc.).

[0054] ПЗУ (703) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.[0054] The ROM (703) is one or more permanent storage devices, for example, a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R / RW, DVD-R / RW, BlueRay Disc, MD), etc.

[0055] Для организации работы компонентов вычислительной системы (700) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (704). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, Type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.[0055] Various types of I / O interfaces (704) are used to organize the operation of components of a computing system (700) and organize the operation of external connected devices. The choice of appropriate interfaces depends on the particular computing device, which can be, but not limited to: PCI, AGP, PS / 2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, Type C), TRS / Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.

[0056] Для обеспечения взаимодействия пользователя с вычислительной системой (300) применяются различные средства (705) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.[0056] Various means (705) of I / O information, for example, a keyboard, a display (monitor), a touch screen, a touch pad, a joystick, a mouse, a light pen, a stylus, are used to provide user interaction with a computing system (300), touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification tools (retina scanner, fingerprint scanner, voice recognition module), etc.

[0057] Средство сетевого взаимодействия (706) обеспечивает передачу данных системой (300) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (706) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.[0057] The network interaction tool (706) enables data transfer by the system (300) via an internal or external computer network, for example, an Intranet, the Internet, a LAN, and the like. As one or more means (706), it can be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communications module, NFC module, Bluetooth and / or BLE module, Wi-Fi module and other

[0058] Дополнительно могут применяться также средства спутниковой навигации в составе системы (400), например, GPS, ГЛОНАСС, BeiDou, Galileo.[0058] Additionally, satellite navigation systems as part of the system (400), for example, GPS, GLONASS, BeiDou, Galileo, can also be used.

[0059] Модификации и улучшения вышеописанных вариантов осуществления настоящего технического решения будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящего технического решения ограничен только объемом прилагаемой формулы изобретения.[0059] Modifications and improvements to the above-described embodiments of the present technical solution will be apparent to those skilled in the art. The preceding description is provided as an example only and is not subject to any restrictions. Thus, the scope of the present technical solution is limited only by the scope of the attached claims.

Источники информации:Sources of information:

1. Рогозинский Г.Г. Модели и методы сонификации киберфизических систем / Диссертация, Санкт-Петербург, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, 2019 г.1. Rogozinsky G.G. Models and methods of sonification of cyberphysical systems / Dissertation, St. Petersburg, St. Petersburg State University of Telecommunications named after prof. M.A. Bonch-Bruevich, 2019

2. Debashi М, Vickers Р (2018) Sonification of network traffic flow for monitoring and situational awareness. PLoS ONE 13(4): e0195948. https://doi.org/10.1371 /journal.pone.01959482. Debashi M, Vickers P (2018) Sonification of network traffic flow for monitoring and situational awareness. PLOS ONE 13 (4): e0195948. https://doi.org/10.1371 /journal.pone.0195948

Claims (14)

1. Компьютерно-реализуемый способ сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, выполняемый с помощью процессора и содержащий этапы, на которых:1. A computer-implemented method of sonification of cybersecurity events generated by means of network protection, performed using a processor and containing stages in which: - осуществляют сбор данных событий кибербезопасности, которые включают в себя IP-адреса узлов сетевого обмена, время выполнения соединений между узлами и реакцию средств сетевой защиты на упомянутые соединения;- collect data from cybersecurity events, which include the IP addresses of the network exchange nodes, the time of the connection between the nodes, and the reaction of the network protection means to the said connections; - агрегируют полученные IP-адреса по принадлежности к зонам сети передачи данных и вычисляют статистические характеристики соединений между узлами каждой агрегированной зоны сети в заданном временном интервале;- aggregate the received IP addresses by belonging to the zones of the data network and calculate the statistical characteristics of the connections between the nodes of each aggregated network zone in a given time interval; - генерируют схему сонификации событий на основании упомянутых статистических характеристик соединений между узлами сети, причем упомянутая схема формируется как:- generate a scheme of sonification of events based on the mentioned statistical characteristics of connections between network nodes, and the said scheme is formed as: источник звука - зона сети,sound source - network zone, количество соединений в зоне сети - громкость источника звука,the number of connections in the network zone - the volume of the sound source, отклонение от среднего значения во временном интервале - частота повторения звука упомянутого источника во временном интервале,the deviation from the average value in the time interval is the frequency of repetition of the sound of the source in the time interval, соотношение заблокированных и разрешенных соединений для каждой зоны - тембр/высота тона звучания источника;the ratio of blocked and allowed connections for each zone is the timbre / pitch of the sound source; - формируют звуковые оповещения на поступающие уведомления кибербезопасности в соответствии с упомянутой схемой сонификации.- generate sound alerts for incoming cybersecurity notifications in accordance with the said scheme of sonication. 2. Способ по п. 1, характеризующийся тем, что дополнительно осуществляется визуализация зон сети и соединений между ними в режиме реального времени.2. The method according to p. 1, characterized in that it additionally implements the visualization of network zones and connections between them in real time. 3. Способ по п. 2, характеризующийся тем, что визуализация выполняется синхронно с формированием звуковых оповещений.3. The method according to p. 2, characterized in that the visualization is performed synchronously with the formation of sound alerts. 4. Способ по любому из пп. 1-3, характеризующийся тем, что звуковое оповещение и/или визуализация зон сети передается на мобильное устройство пользователя.4. The method according to any one of paragraphs. 1-3, characterized in that the sound notification and / or visualization of network zones is transmitted to the user's mobile device. 5. Способ по п. 1, характеризующийся тем, что источник выбирается из группы: музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания.5. The method according to p. 1, characterized in that the source is selected from the group: musical instrument, sounds of the environment, animal sounds, nature sounds, synthesized sounds or combinations thereof. 6. Система сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, содержащая по меньшей мере один процессор и по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, которые при их исполнении процессором выполняют способ по любому из пп. 1-5.6. A system for the approval of cybersecurity events generated by network protection means, comprising at least one processor and at least one data storage medium containing machine-readable instructions that, when executed by the processor, perform the method according to any one of claims. 1-5.
RU2019127935A 2019-09-05 2019-09-05 Method and system for sonification events of cybersecurity RU2715978C1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2019127935A RU2715978C1 (en) 2019-09-05 2019-09-05 Method and system for sonification events of cybersecurity
PCT/RU2019/000623 WO2021045639A1 (en) 2019-09-05 2019-09-05 Method and system for sonifying cybersecurity incidents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019127935A RU2715978C1 (en) 2019-09-05 2019-09-05 Method and system for sonification events of cybersecurity

Related Child Applications (2)

Application Number Title Priority Date Filing Date
RU2019137216A Division RU2723458C1 (en) 2019-11-20 2019-11-20 Method and system for sonification of cyber-security events based on analysis of network connection protocols
RU2019137217A Division RU2724984C1 (en) 2019-11-20 2019-11-20 Method and system for cybersecurity events sonification based on analysis of actions of network protection means

Publications (1)

Publication Number Publication Date
RU2715978C1 true RU2715978C1 (en) 2020-03-05

Family

ID=69768369

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019127935A RU2715978C1 (en) 2019-09-05 2019-09-05 Method and system for sonification events of cybersecurity

Country Status (2)

Country Link
RU (1) RU2715978C1 (en)
WO (1) WO2021045639A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005101369A2 (en) * 2004-04-07 2005-10-27 Accentus Llc System and method for musical sonification of data parameters in a data stream
US7506163B2 (en) * 2005-04-01 2009-03-17 Ve Networks Methods and apparatuses for security visualization
US7511213B2 (en) * 2002-07-29 2009-03-31 Accentus Llc System and method for musical sonification of data
US20150213789A1 (en) * 2014-01-27 2015-07-30 California Institute Of Technology Systems and methods for musical sonification and visualization of data
RU2680756C1 (en) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of detecting network attacks based on analysis of traffic time structure
US20190253441A1 (en) * 2018-02-12 2019-08-15 Cisco Technology, Inc. Detecting cyber-attacks with sonification

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7511213B2 (en) * 2002-07-29 2009-03-31 Accentus Llc System and method for musical sonification of data
WO2005101369A2 (en) * 2004-04-07 2005-10-27 Accentus Llc System and method for musical sonification of data parameters in a data stream
US7506163B2 (en) * 2005-04-01 2009-03-17 Ve Networks Methods and apparatuses for security visualization
US20150213789A1 (en) * 2014-01-27 2015-07-30 California Institute Of Technology Systems and methods for musical sonification and visualization of data
RU2680756C1 (en) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of detecting network attacks based on analysis of traffic time structure
US20190253441A1 (en) * 2018-02-12 2019-08-15 Cisco Technology, Inc. Detecting cyber-attacks with sonification

Also Published As

Publication number Publication date
WO2021045639A1 (en) 2021-03-11

Similar Documents

Publication Publication Date Title
US11212306B2 (en) Graph database analysis for network anomaly detection systems
Liang et al. Intrusion detection system for the internet of things based on blockchain and multi-agent systems
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
Song et al. A software deep packet inspection system for network traffic analysis and anomaly detection
CN104303152B (en) Detect abnormal to recognize the methods, devices and systems that collaboration group is attacked in Intranet
Debashi et al. Sonification of network traffic flow for monitoring and situational awareness
JP2018032354A (en) Program, method, and device for assisting cyberattack analysis
US20170134411A1 (en) Methods and Automated Systems to Effectively Resist (PAMD) Cyber Attacks
Stewart et al. A novel intrusion detection mechanism for scada systems which automatically adapts to network topology changes
CN116506217A (en) Analysis method, system, storage medium and terminal for security risk of service data stream
JP6933112B2 (en) Cyber attack information processing program, cyber attack information processing method and information processing equipment
CN105635085A (en) Security big data analysis system and method based on dynamic health degree model
Axon et al. A Formalised Approach to Designing Sonification Systems for Network− Security Monitoring
US20170149812A1 (en) Suspicious network traffic identification method and apparatus
RU2722538C1 (en) Computer-implemented method of processing information on objects, using combined calculations and methods of analyzing data
CN112118261A (en) Session violation access detection method and device
RU2747476C1 (en) Intelligent risk and vulnerability management system for infrastructure elements
RU2715978C1 (en) Method and system for sonification events of cybersecurity
CA3199669A1 (en) Threat mitigation system and method
RU2724984C1 (en) Method and system for cybersecurity events sonification based on analysis of actions of network protection means
RU2723458C1 (en) Method and system for sonification of cyber-security events based on analysis of network connection protocols
Yu et al. A visualization analysis tool for DNS amplification attack
CN110493217B (en) Distributed situation perception method and system
Axon et al. Reflecting on the use of sonification for network monitoring
Axon et al. Hearing attacks in network data: an effectiveness study