Автоматизированное определение активов и оценка их критичности для анализа защищенности информационных систем

Елена Владимировна Дойникова; Андрей Владимирович Федорченко; Игорь Витальевич Котенко

doi:10.15622/sp.2019.18.5.1182-1211

Елена Владимировна Дойникова Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)
Андрей Владимирович Федорченко Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)
Игорь Витальевич Котенко Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)

DOI:

https://doi.org/10.15622/sp.2019.18.5.1182-1211

Ключевые слова:

информационно-технологические активы, типы активов, критичность активов, статистический анализ данных, корреляция событий безопасности, ущерб, оценка защищенности

Аннотация

Цель исследования заключается в разработке методики автоматизированного выделения активов информационной системы и сравнительной оценки уровня их критичности для последующей оценки защищенности анализируемой целевой инфраструктуры. Под активами в данном случае понимаются все информационно-технологические объекты целевой инфраструктуры. Размеры, разнородность, сложность взаимосвязей, распределенность и динамичность современных информационных систем затрудняют определение целевой инфраструктуры и критичности информационно-технологических активов для ее корректного функционирования. Автоматизированное и адаптивное определение состава информационно-технологических активов и связей между ними на основе выделения статичных и динамичных объектов изначально неопределенной инфраструктуры является достаточно сложной задачей. Ее предлагается решить за счет построения актуальной динамической модели отношений объектов целевой инфраструктуры с использованием разработанной методики, которая реализует подход на основе корреляции событий, происходящих в системе. Разработанная методика основана на статистическом анализе эмпирических данных о событиях в системе. Методика позволяет выделить основные типы объектов инфраструктуры, их характеристики и иерархию, основанную на частоте использования объектов, и, как следствие, отражающую их относительную критичность для функционирования системы. Для этого в работе вводятся показатели, характеризующие принадлежность свойств одному типу, совместное использование свойств, а также показатели динамичности, характеризующие вариативность свойств относительно друг друга. Результирующая модель используется для сравнительной оценки уровня критичности типов объектов системы. В работе описываются используемые входные данные и модели, а также методика определения типов и сравнения критичности активов системы. Приведены эксперименты, показывающие работоспособность методики на примере анализа журналов безопасности операционной системы Windows.

Литература

1. Kotenko I., Doynikova E., Chechulin A. Security metrics based on attack graphs for th olympic games scenario // 2014 22nd Euromicro International Conference on Parallel, Distributed, and Network-Based Processing. 2014. pp. 561–568.
2. Kotenko I., Doynikova E. Countermeasure selection in SIEM systems based on the integrated complex of security metrics // 2015 23rd Euromicro International Conference on Parallel, Distributed, and Network-Based Processing. 2015. pp. 567–574.
3. Doynikova E., Kotenko I. Countermeasure selection based on the attack and service dependency graphs for security incident management // International Conference on Risks and Security of Internet and Systems. 2015. pp. 107–124.
4. Kotenko I., Fedorchenko A., Saenko I., Kushnerevich A. Parallelization of security event correlation based on accounting of event type links // 2018 26th Euromicro International Conference on Parallel, Distributed, and Network-Based Processing (PDP). 2018. pp. 462–469.
5. Balepin I., Maltsev S., Rowe J., Levitt K. Using specification-based intrusion detection for automated response // International Workshop on Recent Advances in Intrusion Detection. 2003. pp. 136–154.
6. Jahnke M., Thul C., Martini P. Graph based metrics for intrusion response measures in computer networks // 32nd IEEE Conference on Local Computer Networks (LCN 2007) 2007. pp. 1035–1042.
7. Kheir N. et al. Cost Evaluation for Intrusion Response Using Dependency Graphs // 2009 International Conference on Network and Service Security. 2009. pp. 1–6.
8. Shameli-Sendi A., Louafi H., He W., Cheriet M. Dynamic Optimal Countermeasure Selection for Intrusion Response System // IEEE Transactions on Dependable and Secure Computing. 2018. vol. 15. no. 5. pp. 755–770.
9. NMap reference guide. URL: http://nmap.org/book/man.html (дата обращения: 02.07.2018).
10. Nessus vulnerability scanner. URL: http://www.tenable.com/products/nessus-vulnerability-scanner (дата обращения: 02.07.2018).
11. Wireshark vulnerability scanner. URL: https://www.wireshark.org (дата обра-щения: 02.07.2018).
12. Clemm A., Bansal A. Auto-Discovery at the Network and Service Management Layer // International Symposium on Integrated Network Management. 2003. pp. 365–378.
13. Hanemann A. Automated IT Service Fault Diagnosis Based on Event Correlation Techniques: Diss // Imu. 2007. 343 p.
14. Steinder M., Sethi A.S. A survey of fault localization techniques in computer networks // Science of Computer Programming. 2004. vol. 53. no. 2. pp. 165–194.
15. Bagchi S., Kar G., Hellerstein J. Dependency Analysis in Distributed Systems using Fault Injection: Application to Problem Determination in an e-commerce Environment // 12th International Workshop on Distributed Systems (DSOM'2001). 2001.
16. Agarwal M.K. et al. Mining Activity Data for Dynamic Dependency Discovery in e-Business Systems // IEEE Transactions on Network and Service Management. 2004. vol. 1. no. 2. pp. 49–58.
17. Ensel C. A scalable approach to automated service dependency modeling in heterogeneous environments // Proceedings Fifth IEEE International Enterprise Distributed Object Computing Conference. 2001. pp. 128–139.
18. Tuchs K.D., Jobmann K. Intelligent search for correlated alarm events in data-bases // 2001 IEEE/IFIP International Symposium on Integrated Network Management Proceedings. Integrated Network Management VII. Integrated Management Strategies for the New Millennium. 2001. pp. 285–288.
19. Motahari-Nezhad H.R., Saint-Paul R., Casati F., Benatallah B. Event correlation for process discovery from web service interaction logs // The VLDB Journal – The International Journal on Very Large Data Bases. vol. 20. no. 3. pp. 417–444.
20. Hellerstein J.L., Ma S., Perng C.S. Discovering actionable patterns in event data // IBM Systems Journal. 2002. vol. 41. no. 3. pp. 475–493.
21. Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1 // Труды СПИИРАН. 2016. Т. 4. № 47. C. 5–27.
22. Artikis A. et al. Scalable Proactive Event-Driven Decision Making // IEEE Technology and Society Magazine. 2014. vol. 33. no. 3. pp. 35–41.
23. Raju B.K., Geethakumari G. Event correlation in cloud: a forensic perspective // Computing. 2016. vol. 98. no. 11. pp. 1203–1224.
24. Calyam P. et al. Topology-Aware Correlated Network Anomaly Event Detection and Diagnosis // Journal of Network and Systems Management. 2014. vol. 22. № 2. pp. 208–234.
25. Alevizos E. et al. The Complex Event Recognition Group // ACM SIGMOD Record. 2018. vol. 47. no. 2. pp. 61–66.
26. Sadoddin R., Ghorbani A. Alert Correlation Survey: Framework and Techniques // Proceedings of the 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services. 2006. pp. 37.
27. Limmer T., Dressler F. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems // University of Erlangen, Dept. of Computer Science, Technical Report. 2008.
28. Xu D., Ning P. Correlation analysis of intrusion alerts // North Carolina State University. 2006.
29. Michelioudakis E., Artikis A., Paliouras G. Semi-Supervised Online Structure Learning for Composite Event Recognition // Machine Learning. 2018. pp. 1–26.
30. Han Y., Zhu M., Liu C. A Service-Oriented Approach to Modeling and Reusing Event Correlations // 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC). 2018. vol. 1. pp. 498–507.
31. Ghorbani A.A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention: Concepts and Techniques // Springer Science & Business Media. 2009. vol. 47. 223 p.
32. Papataxiarhis V., Hadjiefthymiades S. Event Correlation and Forecasting over Multivariate Streaming Sensor Data // arXiv preprint arXiv:1803.05636. 2018.
33. Астахова Л.В., Цимбол В.И. Применение самообучающейся системы корреляции событий информационной безопасности на основе нечеткой логики при автоматизации систем менеджмента информационной безопасности // Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. 2016. T. 16. № 1. 5 c.
34. Tiwari R.R., Singh A.K., Singh V. Self-learning SIEM system using association rule mining // Journal of Advanced Database Management & Systems. 2015. vol. 2. № 2. pp. 10–23.
35. Gurer D.W., Khan I., Ogier R., Keffer R. An Artificial Intelligence Approach to Network Fault Management // SRI International. 1996. vol. 86.
36. Skarlatidis A., Paliouras G., Artikis A., Vouros G.A. Probabilistic Event Calculus for Event Recognition // ACM Transactions on Computational Logic (TOCL). 2015. vol. 16. no. 2. pp. 1–37.
37. Alevizos E., Skarlatidis A., Artikis A., Paliouras G. Probabilistic Complex Event Recognition: A Survey // ACM Computing Surveys. 2017. vol. 50. no. 5. pp. 71.
38. Marvasti M.A., Poghosyan A.V., Harutyunyan A.N., Grigoryan N.M. Statistical Normalcy Determination based on Data Categorization // VMware Technical Journal 2014. vol. 3. no. 1. pp. 43–55.
39. Zhou J., Guo A., Celler B., Su S. Fault detection and identification spanning multiple processes by integrating PCA with neural network // Applied Soft Computing. 2014. vol. 14. pp. 4–11.
40. Федорченко А.В. Анализ свойств событий безопасности для обнаружения информационных объектов и их типов в неопределенных инфраструктурах // Известия высших учебных заведений. Приборостроение. 2018. Вып. 61(11). С. 997–1004.
41. Windows Security Log Events. URL: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx (дата обращения: 22.11.2018).
42. Fedorchenko A., Kotenko I., El Baz D. Correlation of security events based on the analysis of structures of event types // 2017 9th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS). 2017. vol. 1. pp. 270–276.

Просмотры	1645
Скачивания	1026

Информационная безопасность

Автоматизированное определение активов и оценка их критичности для анализа защищенности информационных систем

DOI:

Ключевые слова:

Аннотация

Литература

Опубликован

Статистика

Как цитировать

Выпуск

Раздел

Импакт-фактор

Разделы

Мы в сети

Обратная связь