Scribd Logo
Upload

Welcome to Scribd!

  • LECTURE 10. Analysis of Time Series

    Uploaded by

    Дмитро Голубцов
    5 views2 pages
    LECTURE 10. Analysis of time series

    Original Title

    LECTURE 10. Analysis of time series

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    LECTURE 10. Analysis of time series

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    5 views2 pages

    LECTURE 10. Analysis of Time Series

    Uploaded by

    Дмитро Голубцов
    LECTURE 10. Analysis of time series

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 2

    ЛЕКЦІЯ 10.

    Системи керування подіями інформаційної безпеки

    Системи керування подіями інформаційної безпеки призначені для


    збирання і кореляційної обробки даних про події у інформаційно-
    телекомунікаційній системі з метою раннього виявлення інцидентів
    інформаційної безпеки.
    Системи керування подіями інформаційної безпеки згідно з НД ТЗІ 2.5-
    004 реалізують послугу НР-4, оскільки, як правило, не реалізують заходів
    попередження інцидентів. Окремі системи керування подіями інформаційної
    безпеки мають інтерфейси, з використанням яких адміністратор може
    запрограмувати певні дії у відповідь.
    Системи керування подіями інформаційної безпеки збирають інформацію
    про події у інформаційно-телекомунікаційній системі з наступних джерел:
    – журнали аудиту;
    – дані систем моніторингу;
    – дані систем виявлення вторгнень;
    – дані Netflow з мережевих пристроїв та ін.
    Етапи обробки даних у системі керування подіями інформаційної
    безпеки включають наступні етапи:
    – нормалізація;
    – пріоретизація;
    – відкидання хибно-позитивних повідомлень;
    – аналіз і пошук корреляцій між подіями;
    – формування і видача повідомлень.
    Для того, щоб ефективно виконувати пошук кореляцій між подіями з
    різних джерел необхідно виконати їх нормалізацію — описати кожну подію у
    єдиному наборі атрибутів. Такий набір атрибутів визначено у RFC 4765, який
    визначає формат обміну даними про виявлення вторгнень (Intrusion Detection
    Message Exchange Format).
    На етапах пріоретизації та відкидання хибно-позитивних повідомлень
    визначаються повідомлення про події, які не мають значення для подальшого
    аналізу.
    Для формування загального уявлення про вторгнення виконується аналіз і
    пошук корреляцій між подіями. Пошук виконується за деякими політиками
    (наборами правил) і за допомогою статистичних методів. За результатами
    аналізу формуються повідомлення для адміністратора.
    Системи керування подіями інформаційної безпеки складаються з
    наступних основних компонентів:
    – адаптери;
    – база даних;
    – ядро обробки повідомлень;
    – компоненти відображення результатів.
    Адаптери призначені для приймання даних від різних джерел та їх
    нормалізації та представлення у форматі IDMEF. Для кожного джерела, як
    правило, використовується окремий адаптер. Якщо системи виявлення
    вторгнень підтримують експорт даних у форматі IDMEF, то адаптер не
    потрібен.
    Повідомлення, отримані від джерел, після нормалізації записується у базу
    даних.
    Ядро обробки повідомлень виконує аналіз і пошук корреляцій між
    подіями. Результати відображаються адміністратору.

    You might also like