Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1.
Ключевые слова:
процесс корреляция данных, события безопасности, анализ событий безопасности, системы оценки защищенности, SIEM-системыАннотация
Статья посвящена анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). Процесс корреляции событий безопасности рассматривается в виде многоуровневой иерархии этапов, цель каждого из которых заключается в выполнении определенных операций над обрабатываемыми данными безопасности. На основе результатов проведенного анализа в работе приводится описание каждого этапа процесса корреляции и схемы их взаимодействия.Литература
1. Kotenko I.V., Chechulin A.A. A Cyber Attack Modeling and Impact Assessment Framework // Proceedings of 5th International Conference on Cyber Conflict 2013 (CyCon 2013). 2013. pp. 119–142.
2. Kotenko I.V., Polubelova O.V., Saenko I.V. The Ontological Approach for SIEM Data Repository Implementation // 2012 IEEE International Conference on Green Computing and Communications, Conference on Internet of Things, and Con-ference on Cyber, Physical and Social Computing. Besançon, France, November 20-23, 2012. Los Alamitos, California. IEEE Computer Society. 2012. pp. 761–766.
3. Liu G., Mok A.K., Yang E.J. Composite Events for Network Event Correlation // IEEE/IFIP International Symposium on Integrated Network Management. 1999. pp. 247–260.
4. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. 2012. №2. С. 57–68.
5. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2012. Вып. 1 (20). С. 27–56.
6. Котенко И.В., Саенко И.Б., Чечулин А.А. Проактивное управление информацией и событиями безопасности в информационно-телекоммуникационных системах // Вопросы радиоэлектроники. 2014. Том 3. №1. С. 170–180.
7. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation: Challenges and Solutions // University of California, Santa Barbara, USA: Springer. 2005. pp. 29 33.
8. Jakobson G., Weissman M.D. Alarm correlation // IEEE Network. 1993. no. 7(6). pp. 52 59.
9. Zurutuza U., Uribeetxeberria R. Intrusion Detection Alarm Correlation: A Survey // Proceedings of IADAT International Conference on Telecommunications and computer Networks. 2004. pp. 1–3.
10. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proceedings of 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06). 2006. Article no. 37.
11. Dadkhah S., Shoja M.R.K., Taheri H. Alert Correlation through a Multi Components Architecture // International Journal of Electrical and Computer Engineering (IJECE). 2013. vol. 3. no. 4. pp. 461–466.
12. Elshoush H.T., Osman I.M. Alert correlation in collaborative intelligent intrusion detection systems — A survey // Applied Soft Computing. 2011. pp. 4349–4365.
13. Ning P., Xu D. Correlation analysis of intrusion alerts // Intrusion Detection Systems: series Advances in Information Security. Springer, 2008. vol. 38. pp. 65–92.
14. Ahmadinejad S.H., Jalili S., Abadi M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs // Computer Networks. 2011. no. 55. pp. 2221–2240.
15. Elshoushand H.T., Osman I.M. An improved framework for intrusion alert correlation // Proceedings of World Congress on Engineering 2012 (WCE 2012). 2012. vol. 1. pp. 518–524.
16. Limmer T., Dressler F. Survey of event correlation techniques for attack detection in early warning systems. Tech report. University of Erlangen, Dept. of Computer Science 7. 2008. 37 p.
17. Flegel U. Pseudonymizing Unix Log Files // Infrastructure Security. vol. 2437 of the series Lecture Notes in Computer Science. 2002. pp. 162–179.
18. Pang R., Paxson V. A high-level programming environment for packet trace anonymization and transformation // Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications. 2003. pp. 339–351.
19. Kotenko I.V., Chechulin A.A. Computer Attack Modeling and Security Evaluation based on Attack Graphs // Proceedings of 7th International Conference on “Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications” (IDAACS'2013). 2013. pp. 614-619.
20. Kotenko I.V., Chechulin A.A. Fast Network Attack Modeling and Security Evaluation based on Attack Graphs // Journal of Cyber Security and Mobility. 2014. vol. 3. no. 1. pp. 27–46.
21. Котенко И.В, Степашкин М.В., Дойникова Е.В. Анализ защищенности ав-томатизированных систем с учетом социо-инженерных атак // Проблемы информационной безопасности. Компьютерные системы. 2011. № 3. С. 40–57.
22. Файзуллин Р. Р., Васильев В. И. Метод оценки защищенности сети передачи данных в системе мониторинга и управления событиями информационной безопасности на основе нечеткой логики // Вестник УГАТУ. 2013. Том 17. №2(55). С. 150–156.
23. Karlzen H. An Analysis of Security Information and Event Management: The Use of SIEMs for Log Collection, Management and Analysis. Department of Computer Science and Engineering, University of Gothenburg. 2009. 45 p.
2. Kotenko I.V., Polubelova O.V., Saenko I.V. The Ontological Approach for SIEM Data Repository Implementation // 2012 IEEE International Conference on Green Computing and Communications, Conference on Internet of Things, and Con-ference on Cyber, Physical and Social Computing. Besançon, France, November 20-23, 2012. Los Alamitos, California. IEEE Computer Society. 2012. pp. 761–766.
3. Liu G., Mok A.K., Yang E.J. Composite Events for Network Event Correlation // IEEE/IFIP International Symposium on Integrated Network Management. 1999. pp. 247–260.
4. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. 2012. №2. С. 57–68.
5. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2012. Вып. 1 (20). С. 27–56.
6. Котенко И.В., Саенко И.Б., Чечулин А.А. Проактивное управление информацией и событиями безопасности в информационно-телекоммуникационных системах // Вопросы радиоэлектроники. 2014. Том 3. №1. С. 170–180.
7. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation: Challenges and Solutions // University of California, Santa Barbara, USA: Springer. 2005. pp. 29 33.
8. Jakobson G., Weissman M.D. Alarm correlation // IEEE Network. 1993. no. 7(6). pp. 52 59.
9. Zurutuza U., Uribeetxeberria R. Intrusion Detection Alarm Correlation: A Survey // Proceedings of IADAT International Conference on Telecommunications and computer Networks. 2004. pp. 1–3.
10. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proceedings of 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06). 2006. Article no. 37.
11. Dadkhah S., Shoja M.R.K., Taheri H. Alert Correlation through a Multi Components Architecture // International Journal of Electrical and Computer Engineering (IJECE). 2013. vol. 3. no. 4. pp. 461–466.
12. Elshoush H.T., Osman I.M. Alert correlation in collaborative intelligent intrusion detection systems — A survey // Applied Soft Computing. 2011. pp. 4349–4365.
13. Ning P., Xu D. Correlation analysis of intrusion alerts // Intrusion Detection Systems: series Advances in Information Security. Springer, 2008. vol. 38. pp. 65–92.
14. Ahmadinejad S.H., Jalili S., Abadi M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs // Computer Networks. 2011. no. 55. pp. 2221–2240.
15. Elshoushand H.T., Osman I.M. An improved framework for intrusion alert correlation // Proceedings of World Congress on Engineering 2012 (WCE 2012). 2012. vol. 1. pp. 518–524.
16. Limmer T., Dressler F. Survey of event correlation techniques for attack detection in early warning systems. Tech report. University of Erlangen, Dept. of Computer Science 7. 2008. 37 p.
17. Flegel U. Pseudonymizing Unix Log Files // Infrastructure Security. vol. 2437 of the series Lecture Notes in Computer Science. 2002. pp. 162–179.
18. Pang R., Paxson V. A high-level programming environment for packet trace anonymization and transformation // Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications. 2003. pp. 339–351.
19. Kotenko I.V., Chechulin A.A. Computer Attack Modeling and Security Evaluation based on Attack Graphs // Proceedings of 7th International Conference on “Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications” (IDAACS'2013). 2013. pp. 614-619.
20. Kotenko I.V., Chechulin A.A. Fast Network Attack Modeling and Security Evaluation based on Attack Graphs // Journal of Cyber Security and Mobility. 2014. vol. 3. no. 1. pp. 27–46.
21. Котенко И.В, Степашкин М.В., Дойникова Е.В. Анализ защищенности ав-томатизированных систем с учетом социо-инженерных атак // Проблемы информационной безопасности. Компьютерные системы. 2011. № 3. С. 40–57.
22. Файзуллин Р. Р., Васильев В. И. Метод оценки защищенности сети передачи данных в системе мониторинга и управления событиями информационной безопасности на основе нечеткой логики // Вестник УГАТУ. 2013. Том 17. №2(55). С. 150–156.
23. Karlzen H. An Analysis of Security Information and Event Management: The Use of SIEMs for Log Collection, Management and Analysis. Department of Computer Science and Engineering, University of Gothenburg. 2009. 45 p.
Опубликован
2016-08-01
Как цитировать
Федорченко, А. В., Левшун, Д. С., Чечулин, А. А., & Котенко, И. В. (2016). Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1. Труды СПИИРАН, 4(47), 5-27. https://doi.org/10.15622/sp.47.1
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
