Сборник докладов республиканской научно-технической конференции значение информационно-коммуникационных


МЕТОДЫ АНАЛИЗА СОБЫТИЙ В СИСТЕМАХ МОНИТОРИНГА



Download 7,55 Mb.
Pdf ko'rish
bet133/267
Sana14.07.2022
Hajmi7,55 Mb.
#795134
TuriСборник
1   ...   129   130   131   132   133   134   135   136   ...   267
Bog'liq
Maqola

МЕТОДЫ АНАЛИЗА СОБЫТИЙ В СИСТЕМАХ МОНИТОРИНГА 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
Л.Б. Шахриева (магистрант, ТУИТ
 
имени Мухаммад ал-Хоразмий) 
Системы 
мониторинга 
информационной 
безопасности 
в 
информационно-коммуникационных системах в основном используют 
следующие методы анализа событий: 

корреляционный анализ; 

контекстный анализ; 

структурный анализ; 

функциональный анализ; 

поведенческий анализ. 
Корреляционный анализ.
Корреляция - это статистическая взаимосвязь 
двух или нескольких случайных величин (либо величин, которые можно с 
некоторой допустимой степенью точности считать таковыми). При этом 
изменения одной или нескольких из этих величин приводят к 
систематическому изменению другой или других величин. Корреляционный 
анализ - метод обработки статистических данных, заключающийся в 
изучении коэффициентов (корреляции) между переменными. При этом 
сравниваются коэффициенты корреляции между одной парой или 
множеством пар признаков, для установления между ними статистических 
взаимосвязей. Цель корреляционного анализа - обеспечить получение 
некоторой информации об одной переменной с помощью другой 
переменной. В случаях, когда возможно достижение цели, считается, что 
переменные коррелируют. 
В системах мониторинга информационной безопасности основной 
целью корреляционного анализа является выработка простого, синтезиро-
ванного и точного сообщения информационной безопасности в результате 
обработки сложных последовательностей данных. 
Контекстный анализ.
 
Описанный выше процесс корреляции сообщений 
информационной безопасности для идентификации инцидента информацион-
ной безопасности использует специальную структуру, которая называется 
контекстом. Все операции по корреляции производятся на предмет соответ-
ствия заданному контексту. Как было определено ранее, контекст - это 
контейнер форматированных данных, удовлетворяющих общим критериям, 
определяющим принадлежность сообщения информационной безопасности к 
инциденту информационной безопасности.
Таким образом, любое сообщение, которое хранится в базу данных 
сообщений, принадлежит одному или нескольким контекстам. Операции 
корреляции происходят параллельно, т.е. одновременно выполняются для 
различных контекстов. 
Может быть реализовано два способа задания контекстов: 
1)
массив контекстов - задаются отдельные, независимые друг от друга 
контексты. Каждый кон текст содержит сообщения информационной 


282 
безопасности, соответствующие критериям принадлежности к инциденту 
информационной безопасности, отличным от других контекстов; 
2)
дерево контекстов - создается иерархия контекстов: контексты 
верхнего уровня содержат наиболее общие критерии принадлежности 
инцидентам информационной безопасности. За ними идут контексты второго 
уровня, которые опираются на отличные от предыдущих, более специфичные 
критерии, и так далее. 
Структурный анализ.
 
Основными задачами структурного анализа 
являются идентификация происходящих в реальном масштабе времени атаки 
и управление состояниями контекстов. Структурный анализ представляет 
собой набор операций, выполняемых независимыми модулями над каждым 
из контекстов. Каждый модуль активируется специальными сообщениями и 
производит анализ, используя стандартизованную семантику. 
Успех работы структурного анализа основан на количестве доступных 
операторов. При этом в самих контекстах уже изначально заложены 
встроенные операторы, такие как равенство адресам источника и назначения, 
а также протоколам и портам транспортного уровня. Эти встроенные 
возможности не только повышают количество операторов, но также 
производительность структурного анализа.
Символ «!» означает, что данное условие должно иметь место для 
активации модуля. В общем случае модуль анализа могут активировать два 
типа событий: получение сообщения информационной безопасности и 
наступление определенного времени. 
После получения сообщения информационной безопасности для 
каждого модуля анализа формируется заголовок, содержащий условия, 
которые должны иметь место. Заголовок представляет собой набор операций 
логическое «ИЛИ», связывающих условия, непосредственно оценивающие 
инцидент информационной безопасности. 
Функциональный и поведенческий анализ.
 
Дополнительные методы 
корреляции используются для определения критичности попыток атак и 
оценки того, разрешены ли данные действия в соответствие с политикой 
безопасности. К дополнительным методам корреляции относят функцио-
нальный и поведенческий анализ. 
Функциональный анализ производится для того, чтобы оценить степень 
подверженности системы атаке и общий ущерб от реализации атаки на 
заданную целевую систему. После проведения структурного анализа и 
получения информации о том, какая атака имела место, делается запрос к 
банку данных. Запрос содержит идентификатор атаки и идентификатор хоста 
назначения. При получении запроса система мониторинга информационной 
безопасности генерирует ответ, который содержит следующую информацию: 
-
критичность инцидента информационной безопасности — некоторое 
числовое значение, которое использует качественную шкалу для оценки 
важности происходящего инцидента информационной безопасности, 
(например, 1 - информативный, 2 - важный, 3 - критичный); 


283 
-
код закрытия - отправляется в случае, когда необходимо закрыть 
контекст; 
-
дополнительное сообщение - к контексту добавляется новое 
сообщение, которое может активировать дополнительные модули анализа. 
Поведенческий анализ имеет своей целью определить, соответствуют ли 
различные действия, зафиксированные системой мониторинга информацион-
ной безопасности, политику безопасности. Большинство реализаций поведен-
ческого анализа использует режим обучения: в течение определенного 
времени формируется «представление» о том, что является «нормальным» 
поведением среды, в которой работает система мониторинга информацион-
ной безопасности. Таким образом, политика безопасности может задаваться 
либо непосредственно администратором, либо распознаваться в процессе 
обучения. Поведенческий анализ позволяет контролировать активность 
приложений в реальном времени и блокировать любые подозрительные 
действия. 
Положительная сторона поведенческого анализа состоит в том, что он 
предлагает защиту, не опираясь на сигнатуры известных атак. При этом 
потенциальный недостаток -это возможность ложных срабатываний, а также 
то, что его использование требует тщательной настройки системы и сопря-
жено со значительным увеличением объема работы системных администра-
торов. 
Перечисленные выше методы анализа сообщений информационной 
безопасности в системе мониторинга информационной безопасности явля-
ются классическими, поскольку они реализуют методы анализа сообщении 
информационной безопасности, используемых в отдельно взятых средств 
защиты информации, но применимых к базу данных системы мониторинга 
информационной безопасности. Однако поскольку баз данных системы 
мониторинга информационной безопасности содержит сообщения от всех 
средств защиты информации организации, получается, что именно потенциал 
системы мониторинга информационной безопасности, как глобальной баз 
данных организации, остается незадействованным. Отсутствуют методы 
анализа, которые бы давали оценку «состоянию здоровья» организации с 
точки зрения информационной безопасности и состоянию защищенности ее 
бизнес-процессов,а также рассматривали бы систему мониторинга информа-
ционной безопасности как единый банк данных об атаках для создания 
межкорпоративного банка данных и распределенного предотвращения атак. 
Поскольку база данных системы мониторинга информационной безопас-
ности фактически содержит сведения о состоянии информационной безопас-
ности всей организации в целом, то имеет смысл проводить дополнительные 
действия по корреляции сообщений информационной безопасности, такие 
как анализ на предмет соответствия соглашение о предоставлении услуг, 
анализ выполнения требований нормативных документов организации и 
межкорпоративную корреляцию сообщений информационной безопасности.

Download 7,55 Mb.

Do'stlaringiz bilan baham:
1   ...   129   130   131   132   133   134   135   136   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish