Корреляция информации в SIEM-системах на основе графа связей типов событий
Аннотация
Постановка проблемы: в настоящее время системы управления информацией и событиями безопасности являются активно развивающимся и широко распространенным классом средств мониторинга безопасности различных инфраструктур. Неотъемлемым процессом, реализуемым системами данного класса, является корреляция информации для выявления предупреждений и инцидентов безопасности. С учетом роста различных видов источников исходных данных, а также их количества и сложности взаимосвязей между ними существующие подходы не в состоянии обеспечивать эффективное выполнение процесса корреляции. Цель исследования: разработка методики корреляции событий безопасности с автоматизированной адаптацией к анализируемой инфраструктуре, а также создание модели анализа событий безопасности на основе их типов. Результаты: разработана модель корреляции для выполнения структурного анализа входных данных, на основе которой производится построение графа типов событий с прямыми и косвенными связями между ними. Сформулированы требования к нормализации исходных данных по наличию равнозначных свойств в форматах типов событий, а также к полноте и временной синхронизации журналов. Приведен пример анализа журнала событий безопасности, а также полученный в результате граф связей типов событий. Практическая значимость: предлагаемый подход основан на учете различных свойств типов отношений и связей между ними и позволяет использовать ранее не применяемый метод ранговой корреляции наряду с другими методами интеллектуальной обработки информации, что обеспечивает выполнение процесса корреляции событий и информации безопасности с возможностью адаптации к инфраструктуре.Опубликован
2018-02-01
Как цитировать
Федорченко, А. В., & Котенко, И. В. (2018). Корреляция информации в SIEM-системах на основе графа связей типов событий. Информационно-управляющие системы, (1), 58-67. https://doi.org/10.15217/issn1684-8853.2018.1.58
Выпуск
Раздел
Защита информации