Исследование SIEM-систем на основе анализа механизмов выявления кибератак
Использование квантовой криптографии для защиты цифровой информации. Сбор и анализ данных из сетевых и мобильных устройств. Разработка механизмов идентификации и выявления киберугроз. Расширение функций SIEM-систем. Управление идентификацией и доступом.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 16.05.2022 |
Размер файла | 192,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Кубанский государственный технологический университет
Исследование SIEM-систем на основе анализа механизмов выявления кибератак
Очередько Андрей Романович, Аспирант
Герасименко Виталий Сергеевич, Аспирант
Путято Михаил Михайлович, Кандидат технических наук, доцент
кафедры компьютерных технологий и информационной безопасности
Макарян Александр Самвелович, Кандидат технических наук, доцент
кафедры компьютерных технологий и информационной безопасности
Аннотация
Представлен анализ и классификация SIEM-систем на основе анализа используемых механизмов корреляции и прогнозирования. Произведен обзор современного состояния рынка SIEM-систем и введены группы критериев для оценки механизмов идентификации с учетом специфики применяемых корреляционных методов, а также модулей прогнозирования инцидентов. Производится изучение SIEM-системы Splunk: методы и алгоритмы корреляции и прогнозирования. Приведен пример создания трендовой линии множества событий инцидентов информационной безопасности. Выводом может служить тот факт, что существующие алгоритмы на данный момент не позволяют полностью использовать методы и методики выявления киберугроз, так как разработка и реализация этого исследовательского направления требует дополнительных расходов и ресурсов. Необходимо продолжать постоянное расширение и модернизацию функций SIEM-систем для поддержания высокого уровня безопасности в условиях роста количества киберугроз.
Ключевые слова: кибербезопасность, SIEM-системы, инцидент информационной безопасности, кибератака.
Abstract
Research of SIEM systems based on the analysis of mechanisms for detecting cyber attacks
Ocheredko Andrey Romanovich, Post-gradient student, Kuban State University of Technology
Gerasimenko Vitaliy Sergeevich, Post-gradient student, Kuban State University of Technology
Putyato Mikhail Mikhaylovich, Candidate of Technical Sciences, Associate Professor of the Department of Computer Technologies and Information Security, Kuban State University of Technology
Makaryan Aleksandr Samvelovich, Associate Professor of the Department of Computer Technologies and Security, Kuban State University of Technology
The article presents the analysis and classification of SIEM systems based on the analysis of the correlation and forecasting mechanisms used. A review of the current state of the SIEM systems market was made and groups of criteria were introduced for evaluating identification mechanisms, taking into account the specifics of the applied correlation methods, as well as incident forecasting modules. The study of the Splunk SIEM system is carried out: methods and algorithms for correlation and forecasting. The conclusion can be the fact that the existing algorithms currently do not allow the full use of methods and techniques for detecting cyber threats, since the development and implementation of this research direction requires additional costs and resources. It is necessary to continue to constantly expand and modernize the functions of SIEM systems to maintain a high level of security in the face of an increasing number of cyber threats.
Keywords: cybersecurity, SIEM systems, information security incident, cyber attack.
Введение
В настоящее время любая система защиты информации обязана развиваться и адаптироваться к постоянно появляющимся новым видам угроз. Например, одна из таких угроз недалекого будущего - квантовые вычисления, которые одновременно с угрозой предоставляют и новые способы защиты информации в виде квантовой криптографии. Определением параметров таких угроз занимается довольно большое количество ученых [1]. Если рассматривать контекст более «реальных» киберугроз, то это одно из актуальных направлений информационной безопасности. Оценка состояния защищенности основывается на данных, поступающих из источников информации, количество которых с каждым днем растет. Для решения задач оперативного мониторинга и реагирования на инциденты безопасности существует определенный класс программного обеспечения - SIEM-системы (Security Information and Event Management).
Программные продукты реализуют процесс, объединяющий сетевую активность в единый адресный набор данных. Функциональный набор таких систем включает сбор и анализ, а также предоставление информации из сетевых, мобильных и стационарных устройств с учетом информационной безопасности. Управление идентификацией и доступом осуществляется с использованием инструментов менеджмента уязвимостей баз данных, программного обеспечения, хранимых данных и приложений мобильных устройств [2].
Основные функции таких систем:
- Анализ событий;
- обнаружение и уведомление:
- выявленных аномалий сетевого трафика;
- неожиданных действий пользователя;
- неопознанных устройств;
- Сбор и хранение журналов событий;
- Предоставление инструментов для анализа результатов кибератак;
- Использование корреляционных правил;
- Автоматическое оповещение и инцидент-менеджмент;
- Возможность прогнозирования атак;
- Создание отчетов:
- ежедневных отчетов об инцидентах;
- еженедельных отчетов о рейтинге нарушителей;
- отчет по работоспособности устройств;
- Мониторинг событий:
- Устройств;
- Серверов;
- критически важных систем;
- Оповещение заинтересованных лиц;
- Организация базы данных инцидентов информационной безопасности.
Современный рынок SIEM-систем сформировался и базируется на следующих программных продуктах: Micro Focus (HP) ArcSight, IBM Qradar, McAfee ESM, RSA NetWitness, Splunk, RuSIEM и MaxPatrol SIEM [3, 4]. Представленные системы имеют как общие структурные элементы, так и собственные индивидуальные решения. Главной целью любой сферы применения таких программных продуктов является выбор наиболее функционального и в то же время соответствующего по цене решения. Ниже сформируем набор критериев и произведем сравнение SIEM-систем для определения оценки каждой из них. Проведем анализ использования механизмов обнаружения и идентификации кибератак в SIEM-системах.
Сформируем группы критериев для оценки механизмов идентификации с учетом специфики применяемых корреляционных методов, а также модулей прогнозирования инцидентов. Исходя из принципа комплексности, критерии объединены в группы влияния на эффективность работы SIEM-системы:
1. Корреляция данных - 40%.
1.1 Наличие предустановленных правил корреляции.
1.2 Количество предустановленных правил корреляции.
1.3 Количество используемых методов корреляции.
1.4Наличие конструктора управления правилами корреляции.
2. Прогнозирование инцидентов - 40%.
2.1 Наличие модулей прогнозирования.
2.2 Относительная размерность основного информационного ресурса в прогнозировании.
2.3 Использование технологий искусственного интеллекта.
2.4 Использование алгоритмов машинного обучения.
3. Наличие необходимых функций - 20%.
3.1 Карточка инцидента.
3.2 Количество настраиваемых полей.
3.3 Возможность выделения ложных срабатываний.
3.4 Журналирование изменений объектов - инициированных пользователями.
3.5 Журналирование изменений объектов - инициированных системными компонентами.
3.6 Агрегация событий по типу.
Произведем оценку характеристик SIEM-систем, используя описанные выше формальные критерии. Результаты анализа представлены в таблице 1.
Таблица 1
Сравнение SIEM-систем по группе критериев
№ п/п |
Наименование критерия |
Micro Focus (HP) ArcSight |
IBM Qradar |
McAfee ESM |
RSA NetWitness |
Splunk |
|
1.1 |
Наличие предустановленных правил корреляции |
0.4 |
0.4 |
0.4 |
0.4 |
0.4 |
|
1.2 |
Количество предустановленных правил корреляции |
0.4 |
0.2 |
0.1 |
0.2 |
0.2 |
|
1.3 |
Количество используемых методов корреляции |
0.4 |
0.4 |
0.4 |
0.4 |
0.4 |
|
1.4 |
Наличие конструктора управления правилами корреляции |
0.4 |
0.4 |
0.4 |
0.4 |
0.4 |
|
2.1 |
Наличие модулей прогнозирования |
0.4 |
0.4 |
0.4 |
0 |
0.4 |
|
2.2 |
Относительная размерность основного информационного ресурса |
0.4 |
0.4 |
0.4 |
0.4 |
0.4 |
|
2.3 |
Использование технологий искусственного интеллекта |
0 |
0.2 |
0 |
0 |
0.4 |
|
2.4 |
Использование алгоритмов машинного обучения |
0.4 |
0.4 |
0.4 |
0 |
0.4 |
|
3.1 |
Карточка инцидента |
0.2 |
0.2 |
0.2 |
0.2 |
0.2 |
|
3.2 |
Количество настраиваемых полей |
0.3 |
0.2 |
0.1 |
0.1 |
0.3 |
|
3.3 |
Возможность выделения ложных срабатываний |
0.2 |
0.2 |
0.2 |
0.2 |
0.2 |
|
3.4 |
Журналирование изменений объектов - инициированных пользователями |
0.2 |
0.2 |
0.2 |
0.2 |
0.2 |
|
3.5 |
Журналирование изменений объектов - инициированных системными компонентами |
0.2 |
0.2 |
0.2 |
0.2 |
0.2 |
|
3.6 |
Агрегация событий по типу |
0.2 |
0.2 |
0.2 |
0.1 |
0.1 |
|
Итог |
4.1 |
4 |
3.6 |
2.8 |
4.2 |
Анализ использования механизмов корреляции, прогнозирования и других параметров в SIEM-системах показывает, что из рассмотренных вариантов лучшие результаты с точки зрения эффективности обнаружения инцидентов показывают приложения Micro Focus (HP), ArcSight и Splunk.
Реализация механизмов корреляции и прогнозирования в SIEM-системах
Следует выделить два вида методов корреляции [5]:
- сигнатурные (rule-based);
- бессигнатурные.
Для надежности и предсказуемости поведения системы производители в большинстве случаев прибегают к сигнатурным методам, в которых администратор системы должен определить правила идентификации инцидентов. Бессигнатурные методы менее гибкие в настройках, все параметры в них заложены на этапе создания систем, поэтому говорить о полном управлении инцидентами в данных системах невозможно. Приведем основные практические методы (рис. 1).
Рис. 1. Основные практические методы
Как правило, в одной реализации SIEM-системы используются один или два метода корреляции. Важно не путать корреляцию с лжекорреляцией - с выводом на экран или в отчет однотипных событий или событий заданного класса. Существует ошибочное мнение, будто технологии продвинулись настолько, что алгоритм может без участия человека «отличать хорошее от плохого», а сигнатурные методы имеют очень много ложных срабатываний. Разработчики SIEM-систем в основном применяют сигнатурные методы, поскольку они гораздо более гибкие, имеют большую эффективность при обнаружении угроз. доступ криптография информация киберугроза
Что касается выбранных двух SIEM-систем, то и ArcSight и Splunk используют в своем решении методы, основанные на rule-based правилах. Естественно, на этом все не заканчивается, разработчики комбинируют методы и постоянно обновляют методику корреляции в их собственном решении. В Splunk Machine Learning представлено несколько видов алгоритмов (рис. 2.) [6].
Алгоритм линейной регрессии используется для прогнозирования числовых полей. Формирует прогноз значения числового поля, используя взвешенную комбинацию значений других полей в этом событии. Обычно эти прогнозы используются для выявления аномалий: прогнозы, которые значительно отличаются от фактического значения, могут считаться аномальными. Примерами таких прогнозов могут служить прогнозирование энергопотребления сервера, прогнозирование использования VPN, прогнозирование средней стоимости строения, прогнозирование мощности электростанции и т.д.
Алгоритм логистической регрессии используется для прогнозирования категориальных полей, прогнозирования значения категориального поля, при использовании значений других полей в этом событии. Обычно эти прогнозы используются для выявления аномалий: прогнозы, которые значительно отличаются от фактического значения, могут считаться аномальными. Примерами таких прогнозов могут служить прогнозирование вероятности сбоя жесткого диска, прогнозирование наличия вредоносных программ, прогнозирование внешних аномалий и т.д.
Алгоритм плотности вероятности используется для интеллектуального обнаружения резко отклоняющихся значений. Используя пошаговый управляемый рабочий процесс, происходит поиск числовых выбросов, чтобы использовать алгоритм плотности и сегментировать данные перед поиском аномалий. Примером может служить прогнозирование аномалий в метриках жесткого диска.
Алгоритм распределения вероятностей используется для определения числовых резко отклоняющихся показателей и поиска данных, которые значительно отличаются от предыдущих значений. Примером может служить прогнозирование резко отклоняющихся значений во время ответа сервера, прогнозирование резко отклоняющихся значений в количестве входов в учетную запись (по сравнению с прогнозируемым значением), прогнозирование резко отклоняющихся значений в условиях повышенной влажности на территории электростанции, обнаружение резко отклоняющихся значений в данных колл-центра и т.д.
Алгоритм мер вероятности определяет категорически отклоняющиеся значения и осуществляет поиск событий, которые содержат необычные комбинации значений. Примером может служить обнаружение резко отклоняющихся значений при сбоях диска, обнаружение резко отклоняющихся значений в транзакциях сетей блокчейн, обнаружение резко отклоняющихся значений в ипотечных договорах, обнаружение резко отклоняющихся значений в активности мобильного телефона и т.д.
Алгоритм метод пространства состояний производит интеллектуальное прогнозирование будущих числовых данных временных рядов с помощью пошагового рабочего процесса с возможностью ввода данных из разных источников и учета особых календарных «особых дней», таких, как праздники, дни, памятные для компании. Примером может служить прогнозирование количества звонков в колл-центр, прогнозирование входов в приложение в праздничные дни, прогнозирование расходов на различные приложения и т.д.
Алгоритм метод пространства состояний с использованием фильтра Калмана производит прогноз будущих значений с учетом прошлых значений метрики (числовой временной ряд). Примером может служить прогноз Интернет-трафика, прогнозирование количества входов в учетную запись сотрудников, прогноз ежемесячных продаж, прогноз количества устройств Bluetooth, прогноз обменного курса TWI с использованием ARIMA и т.д.
Для создания трендовой линии множества событий инцидентов информационной безопасности в системе Splunk, используя встроенную команду поиска для создания трендовых линий на основе скользящих средних и линейной регрессии [7]. Опишем алгоритм анализа с помощью встроенного объектно-ориентированного языка в виде макросов:
eventstats count as numevents sum($x$) as sumX sum($y$) as sumY sum(eval ($x$*$y$)) as sumXY sum(eval($x$*$x$)) as sumX2 sum(eval($y$*$y$)) as sumY2
| eval slope=((numevents*sumXY)-(sumX*sumY))/((numevents*sumX2)- (sumX*sumX))
| eval yintercept= (sumY-(slope*sumX))/numevents
| eval newY=(yintercept + (slope*$x$))
| eval R=((numevents*sumXY) - (sumX*sumY))/sqrt(((numevents*sumX2)- (sumX*sumX))* ((numevents*sumY2)-(sumY*sumY)))
| eval R2=R*R
Макрос получает два аргумента, значения x и y от каждого события и создает следующие поля для каждого события:
- slope - наклон линии тренда;
- yintercept - y-пересечение линии тренда;
- R - коэффициент корреляции;
- R2 - коэффициент детерминации;
- NewY - значения линии тренда.
Первая временная диаграмма генерирует исходные данные выборки (график количества событий во времени), который затем передается в макрос, который генерирует новые значения оси у тренда. Во втором разделе временной диаграммы отображаются как исходные значения, так и линия тренда на диаграмме, которую можно визуализировать.
Получим коэффициент корреляции (R) или коэффициент детерминации (R2). Вышеприведенный макрос также автоматически вычисляет R и R2 для графика. Чтобы отобразить только R2 (например, чтобы поместить его под диаграммой на приборной панели), необходимо выполнить следующий поиск:
sourcetype=my_data | timechart count as yvalue | 'lineartrend(_time,yvalue)' | stats first(R2)
Для более объективной оценки построим график с использованием визуальных возможностей системы Splunk (рис. 3.).
Рис. 3. Трендовая линия возникновения инцидентов безопасности
Выводы
Современный рынок достаточно насыщен реализациями SIEM-систем. Эти системы масштабируются в зависимости от размера бизнеса. Однако существующие алгоритмы на данный момент не позволяют полностью использовать методы и методики выявления киберугроз, так как разработка и реализация этого исследовательского направления требует дополнительных расходов и ресурсов. Благодаря политике свободного доступа к алгоритмам компании Splunk, мы будем продолжать исследования в области модернизации существующих алгоритмов, методов и технологий.
Анализ использования механизмов корреляции и прогнозирования в результате сравнения характеристик SIEM-систем с использованием предложенных критериев показывает, что наиболее эффективно обрабатывают данные и формируют лучшие результаты обнаружения инцидентов информационной безопасности Micro Focus (HP), ArcSight и Splunk.
Необходимо продолжать постоянное расширение и модернизацию функций SIEM-систем для поддержания высокого уровня безопасности в условиях роста количества киберугроз.
Примечания
1. Исследование реализации механизмов инкапсуляции ключей постквантовых криптографических методов / А.В. Власенко, М.В. Евсюков, М.М. Пу- тято, А.С. Макарян // Прикаспийский журнал: управление и высокие технологии. Астрахань, 2019. С. 121-127. URL: https://elibrary.ru/item.asp?id=41869980
2. Путято М.М., Макарян М.М. Классификация мессенджеров на основе анализа уровня безопасности хранимых данных // Прикаспийский журнал: управление и высокие технологии. Астрахань, 2019. С. 135-143. URL: https://elibrary.ru/item.asp?id=41869982
3. Сравнение SIEM-систем. Ч. 1. URL: https://www.anti-malware.ru/compare/SIEM- systems#part315 (свободный).
4. Сравнение SIEM-систем. Ч. 2. URL: https://www.anti-malware.ru/compare/SIEM-systems- part2 (свободный).
5. Корреляция SIEM - это просто. Сигнатурные методы. URL: https://www.securitylab.ru/analytics/431459.php (свободный).
6. Splunk® MachineLearningToolkit. URL: http://easycalculation.com/statistics/learn- regression.php (свободный).
7. Splunk // Википедия. URL: https://wiki.splunk.com/ Community:Plotting_a_linear _trendline (свободный).
References
1. Research of key encapsulation mechanisms based on postquantum cryptographic algorithms / A.V. Vlasenko, M.V. Evsyukov, M.M. Putyato, A.C. Makaryan // Caspian Journal: Management and High Technologies. Astrakhan, 2019. P. 121-127. URL: https://elibrary.ru/item.asp?id=41869980
2. Putyato M.M., Makaryan A.C. Classification of messengers based on analysis of the security level of stored data // Caspian Journal: Management and High Technologies. Astrakhan, 2019. P. 135-143. URL: https://elibrary.ru/item.asp?id=41869982
3. Comparison of SIEM systems. Part 1. URL: https://www.anti-malware.ru/compare/SIEM- systems#part315 (free).
4. Comparison of SIEM systems. Part 2. URL: https://www.anti-malware.ru/compare/SIEM-systems- part2 (free).
5. SIEM correlation is easy. Signature Methods. URL: https://www.securitylab.ru/analytics/431459.php (free).
6. Splunk® Machine Learning Toolkit. URL: http://easycalculation.com/statistics/learn- regression.php (free).
7. Splunk // Wikipedia. URL: https://wiki.splunk.com/Community:Plotting_a_linear _trendline (free).
Размещено на Allbest.ru
...Подобные документы
Анализ существующих систем контроля и управления доступом различных фирм-производителей. Анализ технических и эксплуатационных характеристик различных систем, разработка системы контроля и управления доступом. Предложение плана реализации системы.
дипломная работа [2,7 M], добавлен 07.06.2011Общая характеристика, состав и классификация систем управления доступом. Обеспечения сохранности информации. Составление рекомендации по наиболее рациональной организации и применению технических систем управления доступом в органах внутренних дел.
курсовая работа [46,3 K], добавлен 14.01.2012Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Разработка городских систем на базе мобильных интерфейсов. Методики геокодирования в информационных системах, ориентированных на определенную группу пользователей. Прототипная реализация туристической карты для мобильных устройств на платформе Android.
дипломная работа [4,3 M], добавлен 05.12.2013Организационные основы защиты информации на предприятии. Общие принципы построения систем контроля и управления доступом. Характеристика объекта, текущего оборудования и программного обеспечения. Классификация воздушных и воздушно-тепловых завес.
дипломная работа [5,7 M], добавлен 13.04.2014Организационные основы защиты информации на предприятии. Общие принципы построения систем контроля и управления доступом. Виды запирающих устройств. Аппаратура и материалы, методика и порядок выполнения работы. Базовое программное обеспечение проекта.
дипломная работа [4,7 M], добавлен 30.06.2011Принципы работы систем контроля и управления доступом, принцип их работы и оценка возможностей. Сравнительное описание методов идентификации. Разработка информационно-компьютерной системы контроля и управления доступом. Создание аппаратной подсистемы.
дипломная работа [1,7 M], добавлен 26.07.2013Виды неопределенностей в исходных данных систем и процессов защиты информации. Методы восстановления пропущенных значений в исходных данных. Моделирование методом экспертного построения функций, принадлежности оценки уровня риска информационной системы.
дипломная работа [735,3 K], добавлен 13.07.2011Основные концепции информационной визуализации, используемые в городских информационных системах. Разработка туристической карты города Гомеля для мобильных устройств на платформе Android. Обработка графической информации менеджером поверхностей.
дипломная работа [2,5 M], добавлен 28.05.2013Краткая история развития криптографических методов защиты информации. Сущность шифрования и криптографии с симметричными ключами. Описание аналитических и аддитивных методов шифрования. Методы криптографии с открытыми ключами и цифровые сертификаты.
курсовая работа [1,2 M], добавлен 28.12.2014Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Важность операционной системы для мобильных устройств. Популярность операционных систем. Доля LINUX на рынке операционных систем. История OS Symbian, BlackBerry OS, Palm OS. Отличия смартфона от обычного мобильного телефона. Учет ограничений по памяти.
презентация [477,3 K], добавлен 01.12.2015Обзор современных мобильных операционных систем для смартфонов, планшетов, КПК или других мобильных устройств. Symbian OS. Android. IOS. Windows Phone. Blackberry OS. Tizen. Firefox OS. Ubuntu Phone OS. Sailfish OS. Их история, преимущества и недостатки.
реферат [38,6 K], добавлен 06.05.2016Основные источники угроз безопасности информационных систем. Особенности криптографической защиты информации. Понятие электронной цифровой подписи. Признаки заражения компьютера вирусом. Уровни доступа к информации с точки зрения законодательства.
реферат [795,8 K], добавлен 03.10.2014Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.
реферат [43,6 K], добавлен 22.05.2013Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.
отчет по практике [268,1 K], добавлен 16.01.2013Создание цифровой сети интегрированных услуг. Организация электронной передачи данных между предприятиями. Сущность технологии открытых систем. Основные виды модуляции модемов. Цифровые технологии передачи данных. Основные характеристики сетевых карт.
реферат [35,7 K], добавлен 26.03.2010История создания и общая характеристика операционных систем Windows Server 2003 и Red Hat Linux Enterprise 4. Особенности установки, файловых систем и сетевых инфраструктур данных операционных систем. Использование протокола Kerberos в Windows и Linux.
дипломная работа [142,7 K], добавлен 23.06.2012Области применения и реализации информационных систем. Анализ использования Web-технологий. Создание физической и логической модели данных. Проектирование информационных систем с Web-доступом. Функции Института Искусств и Информационных Технологий.
дипломная работа [3,8 M], добавлен 23.09.2013