RU166348U1 - Устройство корреляции событий информационной безопасности - Google Patents

Устройство корреляции событий информационной безопасности Download PDF

Info

Publication number
RU166348U1
RU166348U1 RU2016131447/08U RU2016131447U RU166348U1 RU 166348 U1 RU166348 U1 RU 166348U1 RU 2016131447/08 U RU2016131447/08 U RU 2016131447/08U RU 2016131447 U RU2016131447 U RU 2016131447U RU 166348 U1 RU166348 U1 RU 166348U1
Authority
RU
Russia
Prior art keywords
information security
rule
directive
input
information
Prior art date
Application number
RU2016131447/08U
Other languages
English (en)
Inventor
Алексей Сергеевич Марков
Валентин Леонидович Цирлов
Андрей Анатольевич Фадин
Алексей Владимирович Титов
Георгий Алексеевич Марков
Original Assignee
Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" filed Critical Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон"
Priority to RU2016131447/08U priority Critical patent/RU166348U1/ru
Application granted granted Critical
Publication of RU166348U1 publication Critical patent/RU166348U1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.

Description

Полезная модель относится к области информационной безопасности (ИБ), а более конкретно к обнаружению атак на информационные системы с использованием SIEM-систем.
Своевременное реагирование имеет решающее значение для ликвидации компьютерных атак на информационные системы с минимально возможными потерями. В связи с этим возрастают требования к оперативности мониторинга, контроля и реагирования персонала на события в информационной системе [1].
Инфраструктура крупных организаций все более и более усложняется, поэтому уследить за огромным потоком сведений о нарушениях ИБ и оценить значимость каждого из них бывает очень трудоемко. Это приводит к росту требований к квалификации и качеству работы персонала информационных систем.
Решением обозначенных выше проблем является использованием так называемых SIEM-систем. (Security Information and Event Management).
Под SIEM-системой понимается класс решений в области ИБ, ориентированных на поддержку процессов управления, как безопасностью, так и всей IT-инфраструктурой предприятия. Решение SIEM позволяет проводить [2]:
- централизованный сбор и анализ данных журналов событий средств защиты информации, рабочих станций серверов и сетевого оборудования;
- удаленный контроль параметров конфигурации и работы автоматизированных рабочих мест;
- оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
- контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности информационной системы в любые моменты времени.
В состав SIEM-системы, как правило, входят:
средства сбора и передачи информации, передающие данные о событиях ИБ от источников событий в ядро SIEM системы;
ядро SIEM-системы, состоящее из:
средств приема данных о событиях ИБ и их агрегации в журналах;
журналов данных о событиях ИБ;
сенсора-модуля, нормализующий и передающий данные в базу данных (БД) SIEM-системы;
БД SIEM-системы, в которой хранятся архивы событий ИБ, данные об инцидентах ИБ и информация о настройках системы;
устройства корреляции, с помощью которого выявляются инциденты ИБ;
а также средство взаимодействия администратора безопасности с SIEM системой, например, веб-интерфейс.
Устройство корреляции является базовым модулем ядра SIEM системы, от реализации которого во многом зависит эффективность обнаружения компьютерных атак и, в результате, общая защищенность информационной системы.
Из уровня техники известна система генерации тревог информационной безопасности [3], основанных на оценке риска, в которой устройство управления событиями получает запрос к доступу к корпоративной сети с клиентского устройства, в ответ на запрос отправляет веб-страницу для аутентификации клиента, содержащую программу для извлечения параметров профиля клиентского устройства, далее устройство управления событиями получает информацию о событии аутентификации с клиентского устройства и информацию об оценки риска с блока оценки риска, при этом информация об оценке риска основана на параметрах профиля клиентского устройства, после этого устройство управления событиями производит корреляцию аутентификационной информации и информации об оценки риска, если результат корреляции соответствует аутентификационной атаке, то устройством управления событиями генерируется тревога (SIEM тревога), имеющая приоритет, основанный на оценке риска.
Недостатком данной системы является ее узконаправленость, так как она позволяет обнаруживать атаки только на системы аутентификации.
Из уровня техники также известна SIEM система [4], которая получает событие безопасности, рассчитывает уровень риска события безопасности, основываясь на корреляции события безопасности с атрибутами актива сети, управляемого SIEM системой; если уровень риска соответствует заранее установленному, SIEM система оповещает системного администратора об этом.
Недостатком данной системы является недостаточная безопасность информационной системы, в которой используется данная SIEM система, так как ее устройство корреляции обнаруживает атаки с недостаточно высокой вероятностью.
Техническим результатом, на достижение которого направлено заявляемое устройство, является повышение вероятности обнаружения атак на информационные системы, что в свою очередь приводит к повышению безопасности информационных систем.
Технический результат достигается за счет того, что устройство корреляции событий информационной безопасности включает в себя приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.
Устройство корреляции событий информационной безопасности выполняет автоматический анализ собранных данных и обеспечивает выявление инцидентов ИБ с последующей генерацией тревог с помощью набора директив корреляции, представляющих собой последовательность правил корреляции разного уровня. Правила корреляции формируются на основе шаблонов сетевых угроз информационной безопасности и используются для сравнения с поступающими событиями информационной безопасности в блоках сравнения с правилами директив корреляции.
На фигуре 1 показано устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности (1), блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня (2), блок сравнения события информационной безопасности с правилом директивы корреляции второго уровня (3), таймер (4), счетчик событий (5), блок генерации тревоги (6).
Приемник событий информационной безопасности (1) принимает события безопасности от базы данных SIEM или от внешних источников. События безопасности могут быть следующие: загрузка операционной системы, успешная или неуспешная попытка входа в операционную систему, событие от системы обнаружения вторжений, межсетевого экрана, события копирования данных, печати документа и т.д.
Первое событие безопасности поступает на первый вход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня (2), и если оно удовлетворяет правилу директивы корреляции первого уровня, то на выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня поступает сигнал, разрешающий запись последующих событий информационных безопасности в блок сравнения события информационной безопасности с правилом директивы корреляции второго уровня (3) и запускающий таймер (4).
При этом блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня перестает обрабатывать последующие события информационной безопасности до поступления разрешающего сигнала на его второй или третий вход.
Последующие события информационной безопасности сравниваются с правилом директивы корреляции второго уровня в блоке сравнения события информационной безопасности с правилом директивы корреляции второго уровня. Количество событий информационной безопасности, удовлетворяющих правилу директивы корреляции второго уровня, подсчитывается в счетчике событий (5), и при достижении определенного (наперед заданного) количества таких событий счетчик подает на вход блока генерации тревог (6) сигнал, сигнализирующей об атаке на информационную систему.
Однако счетчик может быть обнулен сигналом от таймера, если за время, установленное в таймере, количество событий информационной безопасности, удовлетворяющих правилу директивы корреляции второго уровня, не успевает достигнуть определенного (наперед заданного) значения в счетчике событий. В дополнение к сигналу обнуления счетчика, таймер также вырабатывает разрешающий сигнал, переводящий блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня в рабочее состояние.
При генерации тревоги блок генерации тревоги выдает сообщение о тревоге, которое может поступать на выход экрана монитора, а также может быть отправлено администратору информационной безопасности на его электронную почту, или любым другим способом может быть использовано для оповещения об атаке.
Кроме того, блок генерации тревоги выдает разрешающий сигнал, поступающий на второй вход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня.
После получения разрешающего сигнала блок сравнения события информационной безопасности с правилом директивы корреляции первого уровня переводится в рабочее состояние и готов обрабатывать следующее событие информационной безопасности, поступающее от приемника событий информационной безопасности.
В качества примера рассмотрим следующую директиву корреляции.
Пусть на первом уровне директивы корреляции задано правило: «Запуск операционной системы на любом из компьютеров сети».
На втором уровне директивы корреляции задано правило: «Неверный логин или пароль».
В таймере установлено значение «5 минут».
Счетчик событий считает до 2х.
Таким образом, при поступлении трех событий информационной безопасности за 5 минут, удовлетворяющих правилу: «Неверный логин или пароль», счетчик вырабатывает сигнал переноса, который дает команду блоку генерации тревог сгенерировать сигнал тревоги.
Таким образом, если на одном из компьютеров сети запускается операционная система, событие об этом попадает в приемник событий информационной безопасности, а далее сравнивается в блоке сравнения события информационной безопасности с правилом директивы корреляции первого уровня с правилом «Запуск операционной системы на любом из компьютеров сети». После этого пользователь начинает вводить логин и пароль для доступа к загружаемой операционной системе. События о введенных логине и пароле попадают также в приемник событий. И в случае, если пользователь вводит неправильный логин и пароль 3 раза в течение 5 минут, блок генерации тревоги сигнализирует обнаружение компьютерной атаки.
Список источников
1. Марков А., Фадин А. Конвергенция средств защиты информации // Защита информации. Инсайд. 2013. №4 (52). С. 80-81.
2. Фадин А.А., Авезова Я.Э. SIEM-решения по управлению и консолидации средств защиты информации // Автоматика и информатика. 2015. №1 (36). С. 27-33.
3. US 9282114 B1, EMC Corporation, Generation of alerts in an event management system based upon risk, G06F 21/55, 08.03.2016
4. US 20150106867 A1, Fortinet, Inc., Security information and event management, H04L 29/06, 16.04.2015

Claims (1)

  1. Устройство корреляции событий информационной безопасности, содержащее приемник событий информационной безопасности, выход которого соединен с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня и с первым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня, выход блока сравнения события информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика событий, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения события информационной безопасности с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.
    Figure 00000001
RU2016131447/08U 2016-08-01 2016-08-01 Устройство корреляции событий информационной безопасности RU166348U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016131447/08U RU166348U1 (ru) 2016-08-01 2016-08-01 Устройство корреляции событий информационной безопасности

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016131447/08U RU166348U1 (ru) 2016-08-01 2016-08-01 Устройство корреляции событий информационной безопасности

Publications (1)

Publication Number Publication Date
RU166348U1 true RU166348U1 (ru) 2016-11-20

Family

ID=57792806

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016131447/08U RU166348U1 (ru) 2016-08-01 2016-08-01 Устройство корреляции событий информационной безопасности

Country Status (1)

Country Link
RU (1) RU166348U1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU178282U1 (ru) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство контроля состояния защищенности автоматизированных систем управления военного назначения
RU193101U1 (ru) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система аналитической обработки событий информационной безопасности
RU2739864C1 (ru) * 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ корреляции событий для выявления инцидента информационной безопасности

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU178282U1 (ru) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство контроля состояния защищенности автоматизированных систем управления военного назначения
RU193101U1 (ru) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система аналитической обработки событий информационной безопасности
RU2739864C1 (ru) * 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ корреляции событий для выявления инцидента информационной безопасности

Similar Documents

Publication Publication Date Title
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
US10721245B2 (en) Method and device for automatically verifying security event
CN114584405B (zh) 一种电力终端安全防护方法及***
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
CN112926048B (zh) 一种异常信息检测方法和装置
US11258825B1 (en) Computer network monitoring with event prediction
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
RU166348U1 (ru) Устройство корреляции событий информационной безопасности
Wang et al. A centralized HIDS framework for private cloud
CN111859374B (zh) 社会工程学攻击事件的检测方法、装置以及***
EP3794481A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
CN110618977B (zh) 登录异常检测方法、装置、存储介质和计算机设备
Chakir et al. An efficient method for evaluating alerts of Intrusion Detection Systems
EP4274160A1 (en) System and method for machine learning based malware detection
CN113672912A (zh) 基于计算机硬件指征和行为分析的网络安全监控***
US20210303682A1 (en) Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
CN108351940B (zh) 用于信息安全事件的高频启发式数据获取与分析的***和方法
CN113691498B (zh) 一种电力物联终端安全状态评估方法、装置及存储介质
KR20220083046A (ko) Erp 시스템의 로그추출에 의한 효과적인 머신러닝 시스템
Tafazzoli et al. Security operation center implementation on OpenStack
KR102348359B1 (ko) 관심 동작 영역 기반의 edr 장치 및 방법
Niu Design of automatic monitoring system for network information security in cloud computing environment
CN113596051B (zh) 检测方法、检测装置、电子设备、介质和计算机程序