Анализ методов корреляции событий безопасности в SIEM-системах. Часть 2
Ключевые слова:
методы корреляции данных, события безопасности, анализ событий безопасности, системы оценки защищенности, SIEM-системыАннотация
Статья является продолжением описания исследований, посвященных анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). В данной части рассматриваются методы непосредственной корреляции событий безопасности, применяемых на этапах, описанных в предыдущей статье. Приводится классификация рассматриваемых методов корреляции и результаты анализа их достоинств и недостатков, а также оценивается эффективность их применения на различных этапах процесса корреляции.Литература
1. Kotenko I.V., Chechulin A.A. A Cyber Attack Modeling and Impact Assessment Framework // Proceedings of 5th International Conference on Cyber Conflict 2013 (CyCon 2013). 2013. pp. 119–142.
2. Kotenko I.V., Polubelova O.V., Saenko I.V. The Ontological Approach for SIEM Data Repository Implementation // IEEE International Conference on Green Computing and Communications. IEEE Computer Society. 2012. pp. 761–766.
3. Guerer D.W., Khan I., Ogler R., Keffer R. An artificial intelligence approach to network fault management // SRI International. 1996. 10 p.
4. Tiffany M. A survey of event correlation techniques and related topics. URL: http://www.tiffman.com/netman/netman.html (дата обращения: 26.04.2016).
5. Hasan M. A conceptual framework for network management event correlation and filtering systems // Proceedings of the Sixth IFIP/IEEE International Symposium on Integrated Network Management. 1999. pp. 233–246.
6. Hanemann A., Marcu P. Algorithm Design and Application of Service-Oriented Event Correlation // Proceedings of Conference BDIM 2008, 3rd IEEE/IFIP International Workshop on Business-Driven IT Management. 2008. pp. 61–70.
7. Muller A. Event Correlation Engine. Master`s Thesis // Swiss Federal Institute of Technology Zurich. 2009. 165 p.
8. Limmer T., Dressler F. Survey of event correlation techniques for attack detection in early warning systems // Tech report. University of Erlangen. Dept. of Computer Science 7. 2008. 37 p.
9. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation: Challenges and Solutions // University of California, Santa Barbara, USA: Springer. 2005. pp. 29–33.
10. Ghorbani A.A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention // Springer. 2010. 224 p.
11. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proceedings of 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06). 2006. Article no. 37.
12. Ning P., Xu D. Correlation analysis of intrusion alerts // Intrusion Detection Systems: series Advances in Information Security. Springer. 2008. vol. 38. pp. 65–92.
13. Elshoush H.T., Osman I.M. Alert correlation in collaborative intelligent intrusion detection systems — A survey // Applied Soft Computing. 2011. pp. 4349–4365.
14. Файзуллин Р.Р., Васильев В.И. Метод оценки защищенности сети передачи данных в системе мониторинга и управления событиями информационной безопасности на основе нечеткой логики // Вестник УГАТУ. 2013. Вып. 17. № 2(55). С. 150–156.
15. Zurutuza U., Uribeetxeberria R. Intrusion Detection Alarm Correlation: A Survey // Proceedings of IADAT International Conference on Telecommunications and computer Networks. 2004. pp. 1–3.
16. Jakobson G., Weissman M.D. Alarm correlation // IEEE Network. 1993. vol. 7(6). pp. 52‒59.
2. Kotenko I.V., Polubelova O.V., Saenko I.V. The Ontological Approach for SIEM Data Repository Implementation // IEEE International Conference on Green Computing and Communications. IEEE Computer Society. 2012. pp. 761–766.
3. Guerer D.W., Khan I., Ogler R., Keffer R. An artificial intelligence approach to network fault management // SRI International. 1996. 10 p.
4. Tiffany M. A survey of event correlation techniques and related topics. URL: http://www.tiffman.com/netman/netman.html (дата обращения: 26.04.2016).
5. Hasan M. A conceptual framework for network management event correlation and filtering systems // Proceedings of the Sixth IFIP/IEEE International Symposium on Integrated Network Management. 1999. pp. 233–246.
6. Hanemann A., Marcu P. Algorithm Design and Application of Service-Oriented Event Correlation // Proceedings of Conference BDIM 2008, 3rd IEEE/IFIP International Workshop on Business-Driven IT Management. 2008. pp. 61–70.
7. Muller A. Event Correlation Engine. Master`s Thesis // Swiss Federal Institute of Technology Zurich. 2009. 165 p.
8. Limmer T., Dressler F. Survey of event correlation techniques for attack detection in early warning systems // Tech report. University of Erlangen. Dept. of Computer Science 7. 2008. 37 p.
9. Kruegel C., Valeur F., Vigna G. Intrusion Detection and Correlation: Challenges and Solutions // University of California, Santa Barbara, USA: Springer. 2005. pp. 29–33.
10. Ghorbani A.A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention // Springer. 2010. 224 p.
11. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proceedings of 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06). 2006. Article no. 37.
12. Ning P., Xu D. Correlation analysis of intrusion alerts // Intrusion Detection Systems: series Advances in Information Security. Springer. 2008. vol. 38. pp. 65–92.
13. Elshoush H.T., Osman I.M. Alert correlation in collaborative intelligent intrusion detection systems — A survey // Applied Soft Computing. 2011. pp. 4349–4365.
14. Файзуллин Р.Р., Васильев В.И. Метод оценки защищенности сети передачи данных в системе мониторинга и управления событиями информационной безопасности на основе нечеткой логики // Вестник УГАТУ. 2013. Вып. 17. № 2(55). С. 150–156.
15. Zurutuza U., Uribeetxeberria R. Intrusion Detection Alarm Correlation: A Survey // Proceedings of IADAT International Conference on Telecommunications and computer Networks. 2004. pp. 1–3.
16. Jakobson G., Weissman M.D. Alarm correlation // IEEE Network. 1993. vol. 7(6). pp. 52‒59.
Опубликован
2016-12-15
Как цитировать
Федорченко, А. В., Левшун, Д. С., Чечулин, А. А., & Котенко, И. В. (2016). Анализ методов корреляции событий безопасности в SIEM-системах. Часть 2. Труды СПИИРАН, 6(49), 208-225. https://doi.org/10.15622/sp.49.11
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
