Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Разделы: Информационные технологии
Размещена 17.05.2017. Последняя правка: 16.05.2017.

Применение различных методов корреляции для реализации SIEM-решений нового поколения

Мусина Алла Александровна

магистр техники

Актюбинский региональный государственный университет им.К.Жубанова

старший преподаватель кафедры "Информатика"

Аннотация:
В статье представлены результаты исследования работы модуля корреляции в SIEM системе. Данный модуль необходим для быстрого обнаружения внешних нежелательных вмешательств и различных хакерских атак. В статье рассмотрено применение методов корреляции для улучшения безопасности информационной системы.


Abstract:
The article presents the results of a study of the operation of the correlation module in the SIEM system. This module is necessary for the rapid detection of external undesirable interventions and various hacker attacks. The article considers the application of correlation methods to improve the security of the information system.


Ключевые слова:
корреляция; компьютерные сети; SIEM; безопасность информационной системы, модуль корреляции

Keywords:
correlation; computer networks; SIEM; Information system security


УДК 004.725.7

Введение
На сегодняшний день огромное  внимание уделяется вопросам безопасности информации в различных компаниях и учреждениях независимо от их размеров и влияния. Частные и государственные объекты могут иметь различные уровни доступа, и перед владельцами компаний и организаций стоит задача обеспечения защиты информационных ресурсов с помощью  современных технологий.

Актуальность
Чем большее количество пользователей использует различные сетевые соединения и чем больше разнообразие типов используемых для доступа к сети устройств, тем сложнее в итоге осуществлять защиту данных. При этом еще больше ситуация усугубляется большими объемами информации и низкой  скоростью  передачи данных. Поэтому есть необходимость изучения работы корреляционного модуля, который помогает быстро обнаружить различные внешние нежелательные вторжения в информационную систему.

К наиболее популярным средствам  безопасности системы с любым набором устройств относятся системы для управления информационными данными и безопасностью (Security Information and Event Management, SIEM). Среди основных преимуществ этих  систем можно выделить  гибкость применения и достаточно широкий спектр спецификаций или платформ.

Цель работы:  выявление основных  этапов корреляции, а также  выявление достоинств и недостатков разных  методов корреляции, которые применяются  в мировой практике для реализации SIEM-решений нового поколения.

Для достижения поставленной цели необходимо решить следующие задачи: изучить литературу по данной тематике, классифицировать все этапы корреляции, исследовать этапы корреляции.

В работе были использованы методы  теории вероятностей и теории  сетей массового обслуживания, а также измерение схожих признаков, редукция, кластеризация, слияние,  интеллектуальный анализ данных.

Научная новизна работы: показано, что разработанная  модель декомпозиции системы может  быть использована для исследования процессов защиты больших корпоративных сетей.

Для взаимодействия компонент SIEM-системы обязательно содержат корреляционный модуль, который и является основным элементом механизмов безопасности информационных технологий. Корреляция направляется на быстрое обнаружение вредоносных внешних вмешательств и хакерских атак. В результате обнаруженные события, опасные для системы, поступают в первичную обработку, где определяется степень угрозы и способы борьбы с этими атаками.

Процессы корреляции можно представить в виде комбинации двух операций с информационными данными:

1) комбинирование и отбор всех событий для определения уровня опасности для системы;

2) дальнейшая идентификация и удаление бесполезных или ложных системных событий, угрожающих безопасности.

Процесс корреляции на самом деле представляет собой множество операций и действий, имеющих различный характер и направленный на сохранение безопасности. Для корреляции возможно задание всех основополагающих этапов процесса, что направлено на выявление достоинств и недостатков всех имеющихся методов самой корреляции, которые активно используются в современных SIEM-процессах.

Использование корреляции для безопасности данных, а также эффективность этого процесса постоянно исследуются более 20 лет. За эти годы появилось множество разнообразных методик для обработки информационных данных и изучение процессов корреляции в целях безопасности системы. Кроме того, специалисты рассмотрели все возможные схемы, которые описывают непосредственный процесс корреляции. Опубликовано немало научных работ по данной тематике и по классификации всех проходящих этапов корреляции.

Процесс корреляции разбивается на непосредственно выполняемые задачи, которые составляют процесс:

  • сжатие;
  • подсчет;
  • подавление;
  • логические замены;
  • обобщение.

Сжатие преобразовывает несколько событий из области безопасности в единое событие. Подсчет определяет похожие по типу события, и логическая замена заменяет одним новым событием этот ряд одинаковых событий. Подавление целенаправленно задерживает обработку данных безопасности, которые имеют низкий приоритет, до непосредственного окончания обработки событий с выставленным более высоким приоритетом.

После каждого этапа корреляции формируются различные простые события и сценарии атак, после чего процесс обработки данных упорядочен и упрощен до минимума. Могут быть различия в методике корреляции данных в зависимости от сценариев предполагаемых атак, или согласно установленным правилам системы безопасности.

Корреляция сама по себе в области информационной безопасности представляет собой достаточно сложную работу системы, и обычно процесс делят на множество подзадач при помощи декомпозиции. Таким образом, обеспечивается работа и рассмотрение каждого отдельного модуля, которые в итоге,  не зависят друг от друга. При этом четко определяется нагрузка на каждый функциональный модуль, а также порядок их взаимодействия в результате.

Декомпозиционные действия позволяют получить систему с четким и простым типом корреляции, а также обеспечивают простую отладку и тестирование различных модулей системы безопасности и ее уровней. Все это гарантирует более надежную защиту и обработку информационных данных, и при этом высокий уровень безопасности от вредоносных вмешательств извне, включая хакерские атаки.

Корреляция представляется с помощью  двух  типов функций: (1) объединения  событий безопасности в одно событие; (2) обозначения ложных событий безопасности.

Наше исследование посвящено анализу методов корреляции. В результате проведенных экспериментов мы изучали  принципы работы модуля корреляции.

Анализ был проведен путем изучения научно-технической литературы, в которой мы находили  описание отдельных методов корреляции, их особенностей, путей реализации компонентов корреляции в некоторых конкретных решениях разнообразных  открытых продуктов данного класса.

Заключение

В своей работе процесс корреляции мы  условно разделили на три этапа: первый этап включал в себя предобработку;  на втором этапе был проведен анализ предупреждений; на третьем этапе мы провели  корреляцию предупреждений.

В работе были использованы такие методы, как  измерение схожих признаков, редукция, кластеризация, слияние,  интеллектуальный анализ данных, удаление.

В конце  выполнения каждого этапа были сформированы  простые события, мета-события и сценарии атак, а в конце выполнения всего процесса корреляции был сформирован  отчет.

Процесс корреляции событий безопасности является сам по себе сложной задачей. Поэтому его мы разбили на подзадачи, использовав декомпозицию. Это позволило нам представить систему в виде простых модулей. Таким образом, можно рассмотреть каждый модуль независимо друг от друга.

К декомпозиции системы корреляции событий безопасности был применен  многоуровневый подход, который предполагает разбиение на группы каждого получившегося модуля и  упорядочивание групп модулей по уровням, образующим иерархию.

Результаты

Для каждого промежуточного уровня мы указали  примыкающие к нему соседний нижележащий и вышележащий  уровни. Таким образом, мы  сформировали  группу  модулей одного уровня, чтобы все модули этой группы использовали результаты обработки событий безопасности, полученные на соседнем нижележащем или текущем уровне, для выполнения своих функций.

Результаты обработки  каждого модуля, который был отнесен к некоторому уровню, должны быть переданы только модулям соседнего вышележащего уровня.

Вывод

Данный  подход позволил нам  определить задачи, которые  могут быть выполнены на каждом из 13 уровней, которые мы получили в результате. Кроме того, мы сделали выводы, что такая декомпозиция системы, которая реализует процесс корреляции,  очень хорошо упрощает разработку, отладку и тестирование отдельных уровней или модулей. 

Библиографический список:

1. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей: учеб. для вузов. — М.: Проспект, 2016. — С. 315 — 362.
2. Security and Trust: Bridge the Gap Between PST Technologies and Business Services: International Conference on Privacy, 2016.




Комментарии пользователей:

Оставить комментарий


 
 

Вверх