Курсовая работа: Модуль анализа поведения пользователей вSIEM-системах с целью выявления вредоносного ПО
Описание
Оглавление
3
Введение
Ежедневно создаются десятки тысяч вредоносных программ, а так-же совершенствуются уже существующие. Атаки становятся не слу-чайными, а целенаправленными, организованными и мотивированны-ми. Обнаружение и дальнейшее предотвращение таких атак является непростой и актуальной на сегодня задачей информационной безопас-ности.
SIEM-системы обеспечивают анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений. Они ис-пользуются для журналирования данных, их агрегации, а также хра-нения. Объемы хранимой информации очень велики, но ее большая часть описывает обычное поведение пользователей, которое не являет-ся вредоносным. Лишь малый процент этих данных - это информация
о разного рода нарушениях безопасности: вторжениях, внедрении вре-доносного ПО. Таким образом, проблему обнаружения угроз безопас-ности можно свести к задаче выявления аномалий или отклонений от нормального поведения пользователей и системы в целом.
Выявление аномалий в Data Mining - это процесс нахождения эле-ментов, событий или наблюдений, которые не соответствуют ожидае-мым паттернам или значительно отличаются от других элементов во множестве данных. Аномалии в разных источниках могут упоминаться как отклонения, выбросы, шум или исключения.
В машинном обучении существуют различные подходы к решению данной проблемы [7]. Выбор конкретного алгоритма зависит от специ-фичности данных, их размеров и других факторов.
рамках данной работы было рассмотрено несколько методов ма-шинного обучения без учителя, проведено сравнение этих методов на размеченном наборе данных и выбран
| Введение | 4 | ||
| 1. | Постановка задачи | 6 | |
| 2. | Обзор существующих подходов | 9 | |
| 2.1. | Методы выявления аномалий . . . . . . . . . . . . . . . . | 9 | |
| 2.1.1. Метод k-средних . . . . . . . . . . . . . . . . . . . . | 10 | ||
| 2.1.2. Expectation–maximization алгоритм . . . . . . . . . | 11 | ||
| 2.1.3. Метод опорных векторов с одним классом . . . . . | 11 | ||
| 2.2. | Оценка точности алгоритмов . . . . . . . . . . . . . . . . | 11 | |
| 2.3. | Обработкаданных....................... | 12 | |
| 2.3.1. Обработка категориальных признаков . . . . . . . | 13 | ||
| 2.3.2. Обработка численных данных . . . . . . . . . . . . | 14 | ||
| 3. | Экспериментальное сравнение методов | 15 | |
| 3.1. | Описаниеэкспериментов . . . . . . . . . . . . . . . . . . . | 15 | |
| 3.2. | Интерпретация результатов . . . . . . . . . . . . . . . . . | 15 | |
| 4. | Обогащение исходных данных | 17 | |
| 4.1. | Работа с API VirusTotal . . . . . . . . . . . . . . . . . . . | 17 | |
| 4.2. | Выделение атрибутов для анализа . . . . . . . . . . . . . | 18 | |
| 5. | Описание модуля | 20 | |
| 5.1. | Общееописание ........................ | 20 | |
| 5.2. | Параметрыпоумолчанию . . . . . . . . . . . . . . . . . . | 21 | |
| 5.3. | Параметрымоделей...................... | 22 | |
| 5.4. | Режим VirusTotal . . . . . . . . . . . . . . . . . . . . . . . | 22 | |
| Заключение | 23 | ||
| Список литературы | 24 | ||
3
Введение
- информационной безопасности анализ поведения пользователей используется для обнаружения внутренних угроз или вредоносных атак, целью которых является причинение вреда или получение несанкцио-нированного доступа к внутренним ресурсам.
Ежедневно создаются десятки тысяч вредоносных программ, а так-же совершенствуются уже существующие. Атаки становятся не слу-чайными, а целенаправленными, организованными и мотивированны-ми. Обнаружение и дальнейшее предотвращение таких атак является непростой и актуальной на сегодня задачей информационной безопас-ности.
SIEM-системы обеспечивают анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений. Они ис-пользуются для журналирования данных, их агрегации, а также хра-нения. Объемы хранимой информации очень велики, но ее большая часть описывает обычное поведение пользователей, которое не являет-ся вредоносным. Лишь малый процент этих данных - это информация
о разного рода нарушениях безопасности: вторжениях, внедрении вре-доносного ПО. Таким образом, проблему обнаружения угроз безопас-ности можно свести к задаче выявления аномалий или отклонений от нормального поведения пользователей и системы в целом.
Выявление аномалий в Data Mining - это процесс нахождения эле-ментов, событий или наблюдений, которые не соответствуют ожидае-мым паттернам или значительно отличаются от других элементов во множестве данных. Аномалии в разных источниках могут упоминаться как отклонения, выбросы, шум или исключения.
В машинном обучении существуют различные подходы к решению данной проблемы [7]. Выбор конкретного алгоритма зависит от специ-фичности данных, их размеров и других факторов.
рамках данной работы было рассмотрено несколько методов ма-шинного обучения без учителя, проведено сравнение этих методов на размеченном наборе данных и выбран
Характеристики курсовой работы
Учебное заведение
Семестр
Просмотров
1
Размер
207 Kb
Список файлов
Модуль анализа поведения пользователей в SIEM-системах с целью выявления вредоносного ПО.doc
Комментарии
Нет комментариев
Стань первым, кто что-нибудь напишет!
СПбГУ
Tortuga










