НИР: Разработка алгоритма анализа событий в SIEM-системах

СОДЕРЖАНИЕ

ВВЕДЕНИЕ.. 4

1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ.. 6

1.1.Терминология предметной области на основе библиографического поиска 6

1.2.Анализ информационной системы предприятия для выявления ее особенностей 8

1.3.Анализ атак на информационные системы предприятия для выявления их особенностей. 10

1.4.Анализ SIEM-систем для выявления их особенностей. 13

1.5.Анализ событий безопасности для выявления основных событий, собираемых SIEM-системами. 19

1.6.Анализ алгоритмов анализа событий в SIEM-системах для определения наилучшего. 22

1.7.Определение целей и задач программного средства анализа событий в SIEM-системах. 32

1.8.Выводы по первой главе. 32

2.РАЗРАБОТКА ПРОГРАММНОГО СРЕДСТВА АНАЛИЗА СОБЫТИЙ В SIEM-СИСТЕМАХ.. 34

2.1.Разработка проекта программного средства. 34

2.2.Разработка архитектуры программного средства. 35

2.3.Разработка алгоритмов модулей программного средства. 36

2.4.Разработка методики работы с программным средством. 39

2.5.Выводы по второй главе. 42

3. ПРОВЕДЕНИЕ ЭКСПЕРИМЕНТАЛЬНЫХ ИССЛЕДОВАНИЙ АНАЛИЗА СОБЫТИЙ В SIEM-СИСТЕМАХ С ПОМОЩЬЮ РАЗРАБОТАННОГО ПРОГРАММНОГО СРЕДСТВА. 43

3.1.Постановка задачи на экспериментальные исследования. 43

3.2.Проведение экспериментальных исследований. 43

3.3.Анализ результатов экспериментальных исследований. 46

3.4.Выводы по третьей главе. 47

ЗАКЛЮЧЕНИЕ.. 48

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.. 51

ПРИЛОЖЕНИЕ А.. 56

ПРИЛОЖЕНИЕ Б.. 61

ВВЕДЕНИЕ

На современных предприятиях структура информационной системы зачастую очень разнообразна. При этом с развитием технологий, главной проблемой построения защиты стало не отсутствие информации, а её обработка. Число источников, обеспечивающих поступление актуальной информации по текущему состоянию защищенности, непрерывно растет. Практически всё программное обеспечение, обеспечивающее безопасность, производит записи в журналы и т.д. Но, вместе с увеличением объёма информации, администраторам ИБ всё сложнее отслеживать общую картину. И если своевременно не анализировать возникающие угрозы и не пытаться предотвратить их, любая система защиты окажется бесполезной. Для этого и предназначены SIEM-системы (Security Information and Event Management).

В последнее время данные системы получают всё больше внимание, особенно со стороны крупных предприятий. На текущий момент существует несколько успешных компаний, занимающихся разработкой SIEM-систем, каждая из которых обладает своими особенностями, главной из которых является выбранный алгоритм анализа событий – метод корреляции.

Существует метод нейронных сетей, который позволяет определять заранее неизвестные угрозы, а также эффективно справляется с уже известными. Поэтому актуальным является применение нейронной сети в качестве алгоритма анализа событий.

Целью научно-исследовательской работы является анализ событий, собираемых SIEM-системой. В рамках данной научно-исследовательской работы решаются следующие задачи, необходимые для достижения поставленной цели:

1. Терминология предметной области на основе библиографического поиска;
2. Анализ информационной системы предприятия для выявления ее особенностей;
3. Анализ атак на информационные системы предприятия для выявления их особенностей;
4. Анализ SIEM-систем для выявления их особенностей;
5. Анализ событий безопасности для выявления основных событий, собираемых SIEM-системами;
6. Анализ алгоритмов анализа событий в SIEM-системах для определения наилучшего;
7. Определение целей и задач программного средства анализа событий в SIEM-системах;
8. Разработка проекта программного средства;
9. Разработка архитектуры программного средства;
10. Разработка алгоритмов модулей программного средства;
11. Разработка методики работы с программным средством;
12. Постановка задачи на экспериментальные исследования;
13. Проведение экспериментальных исследований;
14. Анализ результатов экспериментальных исследований;