RU2724984C1 - Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты - Google Patents

Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты Download PDF

Info

Publication number
RU2724984C1
RU2724984C1 RU2019137217A RU2019137217A RU2724984C1 RU 2724984 C1 RU2724984 C1 RU 2724984C1 RU 2019137217 A RU2019137217 A RU 2019137217A RU 2019137217 A RU2019137217 A RU 2019137217A RU 2724984 C1 RU2724984 C1 RU 2724984C1
Authority
RU
Russia
Prior art keywords
network
connections
sonification
cybersecurity
events
Prior art date
Application number
RU2019137217A
Other languages
English (en)
Inventor
Александр Михайлович Кузьмин
Original Assignee
Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) filed Critical Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority to RU2019137217A priority Critical patent/RU2724984C1/ru
Application granted granted Critical
Publication of RU2724984C1 publication Critical patent/RU2724984C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B31/00Predictive alarm systems characterised by extrapolation or other computation using updated historic data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к области сонификации событий кибербезопасности. Техническим результатом является повышение эффективности реагирования на возникающие события кибербезопасности в сетевых зонах за счет применения схемы сонификации событий. Осуществляют сбор данных событий кибербезопасности, которые включают в себя информацию о типе транспортных сетевых протоколов и IP-адресах узлов сетевого обмена, время выполнения соединений между узлами и реакцию средств сетевой защиты на упомянутые соединения. Агрегируют полученные данные по типу действий срабатывания средств сетевой защиты и вычисляют статистические характеристики соединений между узлами сети для каждого транспортного протокола, причем статистические характеристики отражают количество попыток соединений с данным действием средства защиты в единицу времени и отклонение от среднего значения количества соединений для конкретного действия средства защиты. Генерируют схему сонификации событий на основании упомянутых статистических характеристик соединений между узлами сети. Формируют звуковые оповещения на поступающие уведомления кибербезопасности в соответствии с упомянутой схемой сонификации. 2 н. и 6 з.п. ф-лы, 6 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящее техническое решение относится к области компьютерной техники, в частности к способу и системе сонификации событий кибербезопасности.
УРОВЕНЬ ТЕХНИКИ
[0002] С течением развития технического уровня в области обработки данных, требующих оперативного реагирования на скоротечное изменение их состояний, сформировался новый метод, позволяющий анализировать различные процессы на основе использования аудиального отображения информации, при котором данные, получаемые в ходе измерений или контроля различных процессов, могут быть преобразованы в звуковые колебания, что дает возможность регистрировать их посредством звуковых каналов восприятия.
[0003] Такой подход называется сонификацией (англ. sonification) и на данный момент применяется во многих научных областях в качестве альтернативы визуальному представлению данных, позволяя формировать звуковые оповещения, связанные с изменением состояния контролируемых процессов. При этом в качестве основных преимуществ является возможность обработки и реагирования на большое количество параллельных информационных потоков в реальном времени, а также оперативное обнаружение изменения критических параметров, что является особенно критичным в обработки процессов событий кибербезопасности.
[0004] Наиболее важным критерием для сонификации является построение звуковой схемы для конкретной задачи идентификации и уведомления заданных типов событий. Как правило, звуковая схема опирается на ряд параметров для формирования сонификации событий, например, параметры звуков, количество данных, их связность и т.п.
[0005] Информация имеет свойство расти. Каждая новая виртуальная сущность индивида инициализирует новые связи с другими сущностями, получает и отправляет данные, инициализирует различные процессы, то есть осуществляет информационную активность, ведущую к нарастанию данных. Увеличение объемов хранилищ данных и уменьшение стоимости их хранения ведет к тому, что общая тенденция взаимодействия с информационными системами может быть выражена как «сохранить все» вместо «сохранить этот фрагмент». Неоспоримым является тезис об информационной сатурации (насыщении) визуального канала восприятия. Будь то покупатель в супермаркете или оператор ситуационного центра - человек вынужден обращать свое внимание на все большее и большее количество попадающих в поле зрения данных, отображаемых визуально, и/или разделять их представление во времени, увеличивая тем самым время обработки этих данных. Это ведет к целому ряду общеизвестных проблем - от повышенной утомляемости и снижения эффективности труда до возникновения критических ошибок в процессе принятия решений. На этом фоне усиливаются проблемы, связанные с совмещением различных данных.
[0006] В настоящее время методы сонификации находят широкое применение в различных областях, среди которых можно отметить медицину, авиацию и управление сложными системами, медиаискусство, бизнес-аналитику, сейсмографию, ассистивные технологии для инвалидов по зрению, астрономию. [1]
[0007] Из существующего уровня техники известны различные подходы по сонификации наблюдаемых данных. Например, анализ сетевой активности с помощью ПО SonSTAR позволяет формировать звуковые оповещения на основании анализа потоков сетевой активности с помощью фильтрации данных передаваемых пакетов. [2]
[0008] Из патента US 7511213 В2 (Soft Sound Holdings LLC, 31.03.2009) известен принцип сонификации данных изменений рынка ценных бумаг с помощью построения схемы мэппинга звуков для формирования оповещений на основании параметров динамического изменения рынка, например, скачков курсов валют, стоимости акций и т.п.
[0009] Существующие подходы не подходят для анализа событий кибербезопасности в части выявления сетевых аномалий и формирования звукового окружения на основании статистических данных соединений между узлами, агрегированными по определенным признакам.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
[0010] Настоящее изобретение направлено на решение технической проблемы, заключающейся в создании нового принципа сонификации событий кибербезопасности, позволяющий более эффективно и своевременно идентифицировать сетевые аномалии в корпоративной сети.
[0011] Техническим результатом является повышение эффективности реагирования на возникающие события кибербезопасности в сетевых зонах за счет применения схемы сонификации событий, формируемой средствами сетевой защиты на основании статистических характеристик соединений между узлами корпоративной сети в заданном временном интервале.
[0012] Заявленный результат достигается за счет компьютерно-реализуемого способа сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, выполняемый с помощью процессора и содержащий этапы, на которых:
осуществляют сбор данных событий кибербезопасности, которые включают в себя информацию о типе транспортных сетевых протоколов и IP-адресах узлов сетевого обмена, время выполнения соединений между узлами и реакция средств сетевой защиты на упомянутые соединения;
агрегируют полученные данные по типу действий срабатывания средств сетевой защиты;
вычисляют статистические характеристики соединений между узлами сети для каждого транспортного протокола, причем статистические характеристики отражают количество попыток соединений с данным действием средства защиты в единицу времени и отклонение от среднего значения количества соединений для конкретного действия средства защиты;
генерируют схему сонификации событий на основании упомянутых статистических характеристик соединений между узлами сети, причем упомянутая схема формируется, как:
тип действия средства сетевой - источник звука;
относительное количество попыток соединения с данным действием средства сетевой защиты - громкость источника звука;
отклонение от среднего значения количества соединений для конкретного действия средства защиты - тембр/высота тона источника звука;
формируют звуковые оповещения на поступающие уведомления кибербезопасности в соответствии с упомянутой схемой сонификации.
[0013] В одном из частных вариантов осуществления способа дополнительно осуществляется визуализация зон сети и соединений между ними в режиме реального времени.
[0014] В другом частном варианте осуществления способа визуализация выполняется синхронно с формированием звуковых оповещений.
[0015] В другом частном варианте осуществления способа звуковое оповещение и/или визуализация зон сети передается на мобильное устройство пользователя.
[0016] В другом частном варианте осуществления способа источник выбирается из группы: музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания.
[0017] В другом частном варианте осуществления способа дополнительно анализируют IP-адреса и/или порты сетевых соединений на предмет их наличия в черном списке.
[0018] В другом частном варианте осуществления способа для IP-адресов и/или портов сетевых соединений из черного списка назначается отдельный источник звука для их идентификации в общем потоке данных.
[0019] Заявленный результат также достигается за счет системы сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, которая содержит по меньшей мере один процессор и по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, которые при их исполнении процессором выполняют вышеописанный способ.
[0020] Иные, частные аспекты осуществления заявленного технического решения будут раскрыты далее в настоящих материалах заявки.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0021] Фиг. 1 иллюстрирует общую схему заявленного решения.
[0022] Фиг. 2 иллюстрирует блок-схему обработки событий кибербезопасности для их сонификации.
[0023] Фиг. 3 иллюстрирует схему сонификации событий кибербезопасности при разделении на зоны сетевой активности.
[0024] Фиг. 4 иллюстрирует пример разделения звуковых источников по зонам корпоративной сети.
[0025] Фиг. 5 иллюстрирует заявленный способ осуществления сонификации событий кибербезопасности на основании выбранной схемы сонификации.
[0026] Фиг. 6 иллюстрирует вид вычислительной системы.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0027] Как показано на Фиг. 1 общая схема заявленного решения включает в себя сеть передачи данных (ПО), соединение между участками которой контролируются средством сетевой защиты (120) корпоративной инфраструктуры. Средства сетевой защиты (120) могут выбираться из различных устройств, например, межсетевой экран NGFW PaloAlto или любой другой пригодный тип устройства, обеспечивающего учет событий журнала аудита (130), связанных с инициацией соединений и сетевым взаимодействием хостов в корпоративной сети между собой и с внешними хостами.
[0028] Журнал аудита средства сетевой защиты (130) содержит события кибербезопасности, включающие данные о сетевых соединениях, в частности время события, IP-адрес отправителя, IP-адрес получателя, действие средства защиты (было ли соединение заблокировано или разрешено средством сетевой защиты). Под сетью передачи данных может применятся информационная сеть «Интернет», образованная различными известными протоколами и принципами организации связи, например, WAN, PAN, WLAN, LAN и т.п.
[0029] Данные событий кибербезопасности из журнала аудита (130) поступают в устройство обработки (200), выполненное на базе персонального компьютера, обеспечивающее обработку данных для осуществления процесса сонификации информации.
[0030] Устройство (200) содержит модуль препроцессинга (210), выполняющий обогащение данных, получаемых от средств сетевой защиты (120), модуль сонификации (220), осуществляющий формирование звуковых оповещений согласно установленной звуковой схеме, базу данных звуков (230), содержащую источники звука для формирования звуковых оповещений, модуль визуализации (240), выполняющий визуализацию данных событий кибербезопасности.
[0031] На Фиг. 2 представлены этапы способа по сонификации событий кибербезопасности. На первом этапе (301) осуществляется сбор событий журнала аудита (130) средства сетевой защиты (120). Полученные данные с помощью модуля препроцессинга (210) агрегируются с учетом метки времени в соответствии с выбранной схемой сонификации и обогащаются дополнительной информацией, например, о принадлежности IP адреса к определенной сетевой зоне корпоративной сети, присутствия IP-адреса и/или сетевого порта в черном списке IP-адресов и/или сетевых портов. Модуль препроцессинга (210) может выполняться на языке Python и в частном варианте представлять модуль на базе алгоритмов машинного обучения, например, нейронную сеть, осуществляющую наложение схемы сонификации на сформированный набор статистических характеристик от средств сетевой безопасности (120) для генерирования звуковых оповещений по аномалиям сетевой активности.
[0032] В зависимости от полученных данных от средств сетевой защиты (120) на этапе (301) высчитываются статистические характеристики соединений (302) на основании которых потом принимается решение о применении выбранной схемы сонификации и визуализации данных на шаге (303) для последующего формирования звукового окружения в реальном масштабе времени (304).
На Фиг. 3 представлен пример схемы заявленного решения, в которой информация, подлежащая сонификации, распределяется по зонам корпоративной сети (400). Как показано на Фиг. 4 для каждой сетевой зоны (4001-4004) и заданного временного интервала (которые может задаваться по необходимости - 1, 3, 5, 10 сек и т.д.) назначается свой уникальный источник звука (И1-И4), позволяющий идентифицировать каждую из зон (4001-4004).
В указанной схеме сонификации происходит определение статистических характеристик соединений с помощью модуля препроцессинга (210), которые представляют собой общее количество сетевых соединений в каждой из зон (4001-4004) корпоративной сети (400) в один временной интервал (в соответствии с выбранным интервалом агрегации (1, 3, 5, 10 сек)), соотношение заблокированных и разрешенных соединений, отклонение текущего значения количества соединений от среднего показателя количества соединений по данной сетевой зоне, отношение количества соединений из данной зоны к общему количеству соединений, количество зон, с которыми устанавливаются соединения из данной зоны.
[0033] Данные статистические характеристики далее передаются в модуль сонификации (220) и модуль визуализации (240) для выполнения этапа, включающего сонификацию и визуализацию данных (303). На этапе сонификации (303) статистические характеристики, полученные на этапе (302) для каждой сетевой зоны (110), обрабатываются с помощью сформированной звуковой схемы. Звуковая схема выстраивается следующим образом: источник звука - зона сети, количество соединений в зоне сети - громкость источника звука, отклонение от среднего значения во временном интервале - частота повторения звука упомянутого источника во временном интервале, соотношение заблокированных и разрешенных соединений для каждой зоны - тембр/высота тона звучания источника.
[0034] Источник звука выбирается из различного вида звуковых представлений, хранящихся в базе данных (230) и назначается для каждой из зон (4001-4004). Таким представлениями могут выступать, например, музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания. Перечень звуковых представлений не ограничивается приведенными примерами и может быть расширен.
[0035] Источник звука накладывается на сформированную схему сонификации для формирования звуковых оповещений (304) по зафиксированным аномалиям в сети передачи данных (110). Под аномалиями понимаются резкие изменения наблюдаемых статистических характеристик (резкое изменение количества соединений в определенной зоне, изменение соотношения заблокированных и допущенных соединений, сильное отклонение от среднего значения количества соединений по данной зоне), которые могут сигнализировать об инциденте безопасности или функционирования 1Т-систем. Сонификация аномалий позволяет более явно и/или на более раннем этапе оповестить о возникновении такого рода событий и повысить эффективность и скорость реагирования операторов, осуществляющих мониторинг сетевой активности.
[0036] Например, определенные изменения сетевой активности в сети передачи данных (110) могут сигнализировать о начинающейся DDoS атаке, массовом вирусном заражении, неправильном функционировании средств защиты и прочем. С учетом того, что в крупной сетевой инфраструктуре даже одно средство сетевой защиты (130) может генерировать десятки тысяч событий в секунду, то с применением сонификации оператор получает возможность оперативного выявления из них аномального одного подмножества, которое требует более детального изучения на предмет угроз.
[0037] Модуль визуализации (240) позволяет дополнительно формировать изображения по возникающим аномалиям сетевых соединений сети передачи данных (110). Модуль (240) может быть реализован, например, на движке Unity, обеспечивающем различные типы генерации визуально воспринимаемой информации по возникающим событиям кибербезопасности. Визуализация статистических характеристик соединений сети передачи данных (110) могут формироваться одновременно со звуковыми оповещениями.
[0038] Звуковые оповещения, сформированные с помощью схемы сонификации на этапе (304), выводятся с помощью стандартных средств рабочей станции оператора, например, с помощью наушников. Звуковые оповещения также могут передаваться операторам на личные мобильные устройства или иной тип носимых устройств, например, смарт-часы. Устройство (200), обеспечивающее сонификацию данных, может выполняться в виде сервера и содержать информацию с назначением наблюдаемых аномалий профилям операторов, что позволяет формировать звуковые оповещения требуемым сотрудникам. Передача такой информации осуществляется посредством средств беспроводной связи, например, таких как Bluetooth, Wi-Fi и т.п.
[0039] В заявленном предпочтительном варианте осуществления заявленного изобретения предлагается схема сонификации событий кибербезопасности, которая формируется на основании статистических характеристик, определяемых на основании анализа данных действий средств защиты (120). Препроцессинг данных с помощью модуля (210) и последующая обработка данных устройством (200) и модулями (220)-(240) согласно установленной схемы сонификации выполняется аналогично вышеуказанному способу, представленному на Фиг. 3.
[0040] На Фиг. 5 представлена предпочтительный способ реализации схемы сонификации (500). На этапе предобработки (501) выполняется агрегация событий по типу действий средства сетевой защиты (allow/deny/alert/drop/reset), а также выполняется проверка наличия IP-адресов и сетевых портов из событий безопасности в черных списках IP-адресов и портов. Черные списки содержат вредоносные и опасные IP-адреса (как правило хосты в сети интернет, вовлеченный в вредоносную активность, такую как фишинг, спам, распространение ВПО и пр.) и порты, использование которых может говорить о заражении хоста корпоративной сети ВПО.
[0041] Для каждого транспортного протокола вычисляются статистические характеристики (502):
- количество попыток соединений с данным действием средства защиты в единицу времени;
- отклонение от среднего значения количества соединений для конкретного действия средства защиты.
Для IP-адресов и портов из черных списков вычисляется наличие IP-адресов и портов из черных списков в каждом заданном временном интервале.
[0042] При генерации звукового окружения с помощью схемы сонификации на этапе (603) может осуществляться определение того, что в данных, полученных от средства защиты (120), присутствует IP-адреса и/или порты сетевых соединений из черного списка. Если такие IP-адреса и/или порты выявляются, то для каждого такого IP-адреса и порта сетевого соединения назначается отдельный источник звука для их идентификации в общем потоке данных (504).
[0043] Модель сонификации на этапе (503) выполняется следующим образом:
- Тип действия средства сетевой - отдельный инструмент/источник звука;
- Относительное количество попыток соединения с данным действием средства сетевой защиты - громкость источника звука;
- Отклонение от среднего значения количества соединений для конкретного действия средства защиты - тембр/высота тона источника звука.
Для IP-адресов и сетевых портов из черных списков:
- Наличие IP-адреса/сетевого порта в черном списке - инструмент /источник звука (отдельный инструмент для IP-адресов и для сетевых портов);
- Количество IP-адресов/портов из черного списка в одном временном интервале -уровни громкости инструмента/источника звука (где нулевая громкость означает отсутствие вхождений в черный список в данном временном интервале).
[0044] Ниже представлен пример формирования звукового окружения с помощью вышеуказанной модели сонификации (500):
- действие allow (разрешить) - шелест листьев деревья от ветра (право);
- действие deny (отклонить) - звук горящего фейерверка (лево);
- действие alert (тревога) - сверчки, редко птица (лево)
- действие drop (скидывание) - воробьи и другие птицы (право)
- действие reset (сброс) - филин (право)
- действие не определено - (лево) свист ветра;
- ip-адрес из черного списка - переливы, ловец ветра (центр);
- сетевой порт из черного списка - колокола (центр).
[0045] Представленные схемы и примеры распределения источников звука представлены только в целях отображения одного из примеров формирования звукового окружения.
[0046] На Фиг. 6 представлен пример общего вида вычислительной системы (600) на базе вычислительного устройства, которое обеспечивает реализацию заявленного способа сонификации событий кибербезопасности. Вычислительное устройство может представлять собой компьютерное устройство, пригодное для исполнения функционала по сонификации и обработки данных, например, персональной компьютер, ноутбук, смартфон, планшет, сервер и т.п. Устройство (200) может представлять собой частный вариант исполнения вычислительной системы (600).
[0047] В общем случае, система (600) содержит объединенные общей шиной (610) информационного обмена один или несколько процессоров (601), средства памяти, такие как ОЗУ (602) и ПЗУ (603), интерфейсы ввода/вывода (604), устройства ввода/вывода (605), и устройство для сетевого взаимодействия (606).
[0048] Процессор (601) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также является пригодным для полного или частичного выполнения способа обработки и сонификации данных. При этом, средством памяти может выступать доступный объем памяти графической карты или графического процессора.
[0049] ОЗУ (602) представляет собой оперативную память и предназначено для хранения исполняемых процессором (601) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (602), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).
[0050] ПЗУ (603) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.
[0051] Для организации работы компонентов вычислительной системы (600) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (604). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, Fire Wire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, Type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.
[0052] Для обеспечения взаимодействия пользователя с вычислительной системой (600) применяются различные средства (605) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.
[0053] Средство сетевого взаимодействия (606) обеспечивает передачу данных системой (600) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (606) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.
[0054] Дополнительно могут применяться также средства спутниковой навигации в составе системы (600), например, GPS, ГЛОНАСС, BeiDou, Galileo.
[0055] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.
Источники информации:
1. Рогозинский Г.Г. Модели и методы сонификации киберфизических систем / Диссертация, Санкт-Петербург, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, 2019 г.
2. Debashi М, Vickers Р (2018) Sonification of network traffic flow for monitoring and situational awareness. PLoS ONE 13(4): e0l95948. https://doi.org/10.1371/joumal.pone.0l95948

Claims (17)

1. Компьютерно-реализуемый способ сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, выполняемый с помощью процессора и содержащий этапы, на которых:
- осуществляют сбор данных событий кибербезопасности, которые включают в себя информацию о типе транспортных сетевых протоколов и IP-адресах узлов сетевого обмена, время выполнения соединений между узлами и реакцию средств сетевой защиты на упомянутые соединения;
- агрегируют полученные данные по типу действий срабатывания средств сетевой защиты;
- вычисляют статистические характеристики соединений между узлами сети для каждого транспортного протокола, причем статистические характеристики отражают количество попыток соединений с данным действием средства защиты в единицу времени и отклонение от среднего значения количества соединений для конкретного действия средства защиты;
- генерируют схему сонификации событий на основании упомянутых статистических характеристик соединений между узлами сети, причем упомянутая схема формируется как:
тип действия средства сетевой защиты - источник звука;
относительное количество попыток соединения с данным действием;
средства сетевой защиты - громкость источника звука;
отклонение от среднего значения количества соединений для конкретного действия средства защиты - тембр/высота тона источника звука;
- формируют звуковые оповещения на поступающие уведомления кибербезопасности в соответствии с упомянутой схемой сонификации.
2. Способ по п. 1, характеризующийся тем, что дополнительно осуществляется визуализация зон сети и соединений между ними в режиме реального времени.
3. Способ по п. 2, характеризующийся тем, что визуализация выполняется синхронно с формированием звуковых оповещений.
4. Способ по любому из пп. 1-3, характеризующийся тем, что звуковое оповещение и/или визуализация зон сети передается на мобильное устройство пользователя.
5. Способ по п. 1, характеризующийся тем, что источник выбирается из группы: музыкальный инструмент, звуки окружающей природы, звуки животных, звуки природы, синтезированные звуки или их сочетания.
6. Способ по п. 1, характеризующийся тем, что дополнительно анализируют IP-адреса и/или порты сетевых соединений на предмет их наличия в черном списке.
7. Способ по п. 6, характеризующийся тем, что для IP-адресов и/или портов сетевых соединений из черного списка назначается отдельный источник звука для их идентификации в общем потоке данных.
8. Система сонификации событий кибербезопасности, генерируемых средствами сетевой защиты, содержащая по меньшей мере один процессор и по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, которые при их исполнении процессором выполняют способ сонификации событий кибербезопасности по любому из пп. 1-7.
RU2019137217A 2019-11-20 2019-11-20 Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты RU2724984C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019137217A RU2724984C1 (ru) 2019-11-20 2019-11-20 Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019137217A RU2724984C1 (ru) 2019-11-20 2019-11-20 Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
RU2019127935A Division RU2715978C1 (ru) 2019-09-05 2019-09-05 Способ и система сонификации событий кибербезопасности

Publications (1)

Publication Number Publication Date
RU2724984C1 true RU2724984C1 (ru) 2020-06-29

Family

ID=71509854

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019137217A RU2724984C1 (ru) 2019-11-20 2019-11-20 Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты

Country Status (1)

Country Link
RU (1) RU2724984C1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050240396A1 (en) * 2003-05-28 2005-10-27 Childs Edward P System and method for musical sonification of data parameters in a data stream
US7511213B2 (en) * 2002-07-29 2009-03-31 Accentus Llc System and method for musical sonification of data
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
RU2680756C1 (ru) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Способ обнаружения сетевых атак на основе анализа временной структуры трафика
US20190253441A1 (en) * 2018-02-12 2019-08-15 Cisco Technology, Inc. Detecting cyber-attacks with sonification

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7511213B2 (en) * 2002-07-29 2009-03-31 Accentus Llc System and method for musical sonification of data
US20050240396A1 (en) * 2003-05-28 2005-10-27 Childs Edward P System and method for musical sonification of data parameters in a data stream
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
RU2680756C1 (ru) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Способ обнаружения сетевых атак на основе анализа временной структуры трафика
US20190253441A1 (en) * 2018-02-12 2019-08-15 Cisco Technology, Inc. Detecting cyber-attacks with sonification

Similar Documents

Publication Publication Date Title
US10530796B2 (en) Graph database analysis for network anomaly detection systems
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
Debashi et al. Sonification of network traffic flow for monitoring and situational awareness
CN109587125B (zh) 一种网络安全大数据分析方法、系统及相关装置
JP2018506808A (ja) ネットワークデータ特性評価のシステムと方法
US20170134411A1 (en) Methods and Automated Systems to Effectively Resist (PAMD) Cyber Attacks
CN105681298A (zh) 公共信息平台中的数据安全异常监测方法及系统
CN116506217A (zh) 业务数据流安全风险的分析方法、系统、存储介质及终端
Axon et al. A Formalised Approach to Designing Sonification Systems for Network− Security Monitoring
CA3199669A1 (en) Threat mitigation system and method
CN116545678A (zh) 网络安全防护方法、装置、计算机设备和存储介质
Ünal et al. Investigation of cyber situation awareness via SIEM tools: a constructive review
RU2747476C1 (ru) Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры
US20210152573A1 (en) Cyberattack information analysis program, cyberattack information analysis method, and information processing apparatus
RU2724984C1 (ru) Способ и система сонификации событий кибербезопасности на основании анализа действий средств сетевой защиты
CN117097578A (zh) 一种网络流量的安全监控方法、系统、介质及电子设备
RU2715978C1 (ru) Способ и система сонификации событий кибербезопасности
RU2723458C1 (ru) Способ и система сонификации событий кибербезопасности на основании анализа протоколов сетевых соединений
Yu et al. A visualization analysis tool for DNS amplification attack
Axon et al. Reflecting on the use of sonification for network monitoring
Renjith et al. Smart filtering for user discovery and availing balance storage space continuity with faster big data service
EA039876B1 (ru) Способ и система сонификации событий кибербезопасности
Li et al. The research on network security visualization key technology
Harrison et al. situ: Situational understanding and discovery for cyber attacks
Gavrilovic et al. Snort IDS system visualization interface for alert analysis