[go: up one dir, main page]

RU193101U1 - Система аналитической обработки событий информационной безопасности - Google Patents

Система аналитической обработки событий информационной безопасности Download PDF

Info

Publication number
RU193101U1
RU193101U1 RU2019114527U RU2019114527U RU193101U1 RU 193101 U1 RU193101 U1 RU 193101U1 RU 2019114527 U RU2019114527 U RU 2019114527U RU 2019114527 U RU2019114527 U RU 2019114527U RU 193101 U1 RU193101 U1 RU 193101U1
Authority
RU
Russia
Prior art keywords
information security
unit
nib
label
input
Prior art date
Application number
RU2019114527U
Other languages
English (en)
Inventor
Игорь Дмитриевич Королев
Владимир Игоревич Попов
Сергей Александрович Коноваленко
Роман Иванович Захарченко
Александр Николаевич Стадник
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2019114527U priority Critical patent/RU193101U1/ru
Application granted granted Critical
Publication of RU193101U1 publication Critical patent/RU193101U1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Система аналитической обработки событий информационной безопасности (СИБ) предназначена для обнаружения инцидентов информационной безопасности (ИИБ) на основе ретроспективного анализа СИБ, распределенных во времени, а также своевременного предупреждения о возможном наступлении ИИБ за счет прогнозирования его появления. Техническим результатом является повышение вероятности обнаружения ИИБ в информационных системах (ИС), что в свою очередь приводит к повышению ее безопасности. Указанный технический результат достигается тем, что оператор посредством блока интерфейса устанавливает параметры работы системы (временные, количественные, качественные и комбинированные). Блок приема СИБ передает поступившие СИБ в модуль хранения и присвоения меток СИБ и ИИБ, в котором им присваиваются уникальные метки. Затем в блоках сравнения меток СИБ проводится обработка текущих меток СИБ по правилам директивы корреляции первого и второго уровней, при выполнении которых производится подсчет текущих меток СИБ в счетчике меток СИБ до достижения их максимального количества за выделенный временной интервал с последующим формированием сигнала тревоги в блок генерации тревоги, а также их хранение в блоке буферизации текущих меток СИБ и подсчет значения показателя вероятности наступления ИИБ в блоке подсчета вероятности наступления ИИБ. При условии, что значение текущей метки СИБ не удовлетворяет правилам директивы корреляции первого и второго уровней, производится их перемещение в блок задержки меток СИБ, который во взаимодействии с блоком подсчета вероятности наступления ИИБ и с блоком хранения меток ИИБ проверяет соответствие значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ. Блок предупреждения тревоги принимает от блока задержки меток СИБ незавершенные цепочки меток СИБ, по которым достигнуты заданные значения показателя вероятности наступления ИИБ, и передает их в блок прогнозирования ИИБ, осуществляющего их анализ с метками СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, не являющихся последующими элементами задержанных цепочек меток СИБ в блоке задержки меток СИБ и поступающих от блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Оператор на основе результатов функционирования блока прогнозирования ИИБ и сигналов, поступающих от модуля оповещения, посредством блока интерфейса приминает решение о состоянии ИС и обнаружении нового ИИБ, который посредством блока обновления меток ИИБ поступает в блок хранения меток ИИБ. 4 ил.

Description

Предлагаемая полезная модель относится к области вычислительной техники, а именно к информационной безопасности (далее по тексту - ИБ), и может быть использована для реализации процесса обнаружения инцидентов информационной безопасности (далее по тексту - ИИБ) в информационных системах (далее по тексту - ИС) с использованием SIEM-систем (от англ. Security Information and Event Management).
Известен аналог «Устройство аудита информационной безопасности в автоматизированных системах» по патенту РФ №180789, МПК G06F 21/55 (2013.01), заявл. 31.10.2017, опубл. 22.06.2018, заключающийся в том, что устройство содержит блок сбора данных о событиях информационной безопасности (далее по тексту - СИБ), блок управления данными, блок анализа СИБ, блок оценки рисков, блок поиска решений, блок анализа решений, блок принятия решений и блок регистрации ИИБ. Блок управления данными содержит модуль нормализации, модуль фильтрации, модуль корреляции и модуль классификации.
Недостатками данного устройства являются:
зависимость процесса функционирования устройства от заранее заданных правил корреляции, позволяющих обнаруживать ИИБ;
неспособность обнаружения распределенных во времени ИИБ, что, в свою очередь, не позволяет оператору своевременно реагировать на возникающие угрозы ИБ.
Известен аналог «Средство обнаружения вторжений уровня узла сети» по патенту РФ №186198, МПК G06F 21/55 (2013.01), заявл. 07.03.2018, опубл. 11.01.2019, заключающийся в том, что средство, выполненное в виде сервера администрирования, на котором установлена группа датчиков, таких как датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, контролер целостности файлов. Средство обнаружения вторжения уровня узла сети также содержит блок сбора информации и принятия решений, который соединен с группой датчиков и блоком памяти. Техническим результатом средства обнаружения вторжений является снижение рисков отказов узла сети за счет анализа информации на различных каналах связи.
Недостатками данного аналога являются:
элементы средства должны быть заранее установлены на узле сети;
эффективность процесса функционирования средства находится в прямой зависимости от полноты и точности базы решающих правил, содержащей сигнатуры известных сетевых атак, которая требует постоянного (систематического) обновления;
средство, являясь источником СИБ, не обеспечивает своевременное обнаружение ИИБ, а обнаруживает признаки сетевых атак, которые уже могут эксплуатировать уязвимости ИС.
Наиболее близким техническим решением, принятым за прототипом, является полезная модель «Устройство корреляции событий информационной безопасности», по патенту РФ №166348, МПК G06F 21/55 (2013.01), заявл. 01.08.2016, опубл. 20.11.2016, Бюл. №32. В данном прототипе предложен подход к обнаружению компьютерных атак на ИС с использованием SIEM-систем. Модель прототипа заключается в том, что система содержит приемник СИБ, выход которого соединен с первым входом блока сравнения СИБ с правилом директивы корреляции первого уровня и с первым входом блока сравнения СИБ с правилом директивы корреляции второго уровня, выход блока сравнения СИБ с правилом директивы корреляции первого уровня соединен с входом таймера и со вторым входом блока сравнения СИБ с правилом директивы корреляции второго уровня, выход блока сравнения СИБ с правилом директивы корреляции второго уровня соединен с первым входом счетчика СИБ, второй вход которого соединен с первым выходом таймера, а выход с блоком генерации тревоги, выход которого соединен со вторым входом блока сравнения СИБ с правилом директивы корреляции первого уровня, третий вход которого соединен со вторым выходом таймера.
Недостатками данного устройства являются:
отсутствие ретроспективного анализа СИБ, распределенных во времени;
невозможность прогнозирования новых ИИБ и их предупреждения.
Целью предлагаемой полезной модели является повышение вероятности обнаружения ИИБ за счет ретроспективного анализа СИБ, распределенных во времени, а также своевременное предупреждение о возможном наступлении ИИБ за счет прогнозирования его появления.
Предложен новый подход, основанный на создании системы аналитической обработки СИБ, содержащей блок приема СИБ, блок сравнения меток СИБ с правилом директивы корреляции первого уровня, блок сравнения меток СИБ с правилом директивы корреляции второго уровня, таймер №1, счетчик меток СИБ и блок генерации тревоги. Дополнительно добавлен модуль хранения и присвоения меток СИБ и ИИБ, состоящий из блока хранения меток ИИБ, блока хранения меток СИБ и блока присвоения меток СИБ; модуль сравнения меток СИБ третьего уровня, состоящий из блока буферизации текущих меток СИБ, блока подсчета вероятности наступления ИИБ и блока задержки меток СИБ; блок предупреждения тревоги, который совместно с блоком генерации тревоги образует модуль оповещения; модуль взаимодействия со специалистом по ИБ, состоящий из блока интерфейса и блока обновления меток ИИБ; таймер №2 и блок прогнозирования ИИБ.
Технический результат достигается тем, что выход блока приема СИБ соединен с входом блока присвоения меток СИБ, который взаимодействует с блоком хранения меток СИБ. Первый выход блока присвоения меток СИБ соединен с первым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня, взаимодействующего с блоком хранения меток ИИБ и блоком задержки меток СИБ, взаимосвязанным с таймером №2 и блоком подсчета вероятности наступления ИИБ, который взаимодействует с блоком хранения меток ИИБ и блоком буферизации текущих меток СИБ. Второй выход блока присвоения меток СИБ соединен с первым входом блока сравнения меток СИБ с правилом директивы корреляции второго уровня, взаимодействующего с блоком хранения меток ИИБ и блоком задержки меток СИБ. Первый выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня соединен с первым входом таймера №1 и со вторым входом блока сравнения меток СИБ с правилом директивы корреляции второго уровня. Второй выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня соединен с первым входом блока прогнозирования ИИБ. Первый выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен с первым входом счетчика меток СИБ. Второй выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен с первым входом блока буферизации текущих меток СИБ. Третий выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня соединен со вторым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Первый выход таймера №1 соединен со вторым входом счетчика меток СИБ и со вторым входом блока буферизации текущих меток СИБ, а второй выход таймера №1 соединен с третьим входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Выход счетчика меток СИБ соединен с первым входом блока генерации тревоги, первый выход которого соединен с четвертым входом блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Первый выход блока задержки меток СИБ соединен с входом блока предупреждения тревоги, а второй выход соединен со вторым входом блока генерации тревоги. Выход блока предупреждения тревоги соединен с первым входом блока интерфейса и со вторым входом блока прогнозирования ИИБ, выход которого соединен с третьим входом блока интерфейса. Второй выход блока генерации тревоги соединен со вторым входом блока интерфейса, первый выход которого соединен с входом блока обновления меток ИИБ. Выход блока обновления меток ИИБ соединен с входом блока хранения меток ИИБ. Второй выход блока интерфейса соединен со вторым входом таймера №1 и с входом таймера №2.
Техническим результатом полезной модели является повышение вероятности обнаружения ИИБ в ИС, что в свою очередь приводит к повышению ее безопасности.
Поставленная цель достигается путем создания модуля хранения и присвоения меток СИБ и ИИБ, позволяющего аппроксимировать поступающие СИБ в соответствующие метки; модуля сравнения меток СИБ третьего уровня, позволяющего буферизировать и задерживать цепочки меток СИБ, поступающие от блоков сравнения меток СИБ с правилом директивы корреляции первого и второго уровней, на основе расчета значения показателя вероятности наступления ИИБ; модуля оповещения, позволяющего производить предупреждение о возможном ИИБ на основе расчета значения показателя вероятности его наступления; блока прогнозирования ИИБ, позволяющего определять новый ИИБ посредством проведения анализа незавершенных цепочек меток СИБ, поступающих из модуля оповещения, и меток СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, а также поступающих от блока сравнения меток СИБ с правилом директивы корреляции первого уровня; модуля взаимодействия со специалистом по ИБ, позволяющего отображать результаты функционирования системы аналитической обработки СИБ, на основе которых специалист по ИБ осуществляет ее обучение и принимает решение о состоянии контролируемой ИС; таймера №2, позволяющего задавать и учитывать значения временных интервалов задержки цепочек меток СИБ в модуле сравнения меток СИБ 3-го уровня.
Заявленная полезная модель поясняется чертежами, на которых показаны:
фиг. 1 - блок-схема системы аналитической обработки СИБ;
фиг. 2 - форма таблицы хранения меток ИИБ;
фиг. 3 - форма таблицы хранения меток СИБ;
фиг. 4 - форма таблицы хранения цепочек меток СИБ.
Сущность полезной модели поясняется чертежом (Фиг. 1) «Блок-схема системы аналитической обработки СИБ», на котором изображены модули и блоки: блок приема СИБ (1); модуль хранения и присвоения меток СИБ и ИИБ (2), который включает в себя блок хранения меток ИИБ (2.1), блок хранения меток СИБ (2.2) и блок присвоения меток СИБ (2.3); блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3); блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4); таймер №1 (5); модуль сравнения меток СИБ третьего уровня (6), состоящий из блока буферизации текущих меток СИБ (6.1), блока подсчета вероятности наступления ИИБ (6.2) и блока задержки меток СИБ (6.3); счетчик меток СИБ (7); модуль оповещения (8), состоящий из блока предупреждения тревоги (8.1) и блока генерации тревоги (8.2); модуль взаимодействия со специалистом по ИБ (9), состоящий из блока интерфейса (9.1) и блока обновления меток ИИБ (9.2); таймер №2 (10); блок прогнозирования ИИБ (11).
Система аналитической обработки СИБ функционирует следующим образом:
Оператор посредством блока интерфейса (9.1) устанавливает параметры работы системы:
временные - в таймере №1 (5) и таймере №2 (10), определяющие выделенные временные интервалы, затрачиваемые на обработку ИИБ;
количественные - в счетчике меток СИБ (7), определяющие максимальное количество меток СИБ, возникающих за выделенный временной интервал; в блоке подсчета вероятности наступления ИИБ (6.2), определяющие значения показателя вероятности наступления ИИБ, исходя из которых, во взаимодействии с блоком хранения меток ИИБ (2.1), система аналитической обработки СИБ осуществляет перемещение цепочки меток СИБ из блока буферизации текущих меток СИБ (6.1) в блок задержки меток СИБ (6.3), предупреждение тревоги, либо генерацию тревоги посредством модуля оповещения (8);
качественные - в блоках сравнения меток СИБ с правилами директивы корреляции первого (3) и второго уровней (4), определяющие правила обработки поступающих меток СИБ;
комбинированные - в блоке хранения меток ИИБ (2.1) в виде таблицы хранения меток ИИБ (фиг. 2) и в блоке хранения меток СИБ (2.2) в виде таблицы хранения меток СИБ (фиг. 3), определяющие вид меток ИИБ и СИБ.
Далее СИБ поступает в блок приема СИБ (1) и передается на вход блока присвоения меток ИИБ (2.3) модуля хранения и присвоения меток СИБ и ИИБ (2), в котором данному СИБ посредством взаимодействия с блоком хранения меток СИБ (2.2) присваивается уникальная метка. Причем, в случае если поступившее СИБ содержится в блоке хранения меток СИБ (2.2), то ему присваивается заданная метка из таблицы хранения меток СИБ (фиг. 3). В противном случае, поступившему СИБ присваивается очередной номер метки СИБ из таблицы хранения меток СИБ (фиг. 3). Затем блок присвоения меток СИБ (2.3) передает текущую метку СИБ на первый вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) для проверки ее по правилу директивы корреляции первого уровня.
Блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) во взаимодействии с блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям первых элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2), посредством перебора значений всех первых элементов меток ИИБ на основе заданного правила директивы корреляции первого уровня.
В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции первого уровня, то блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает текущую метку СИБ в блок задержки меток СИБ (6.3), который во взаимодействии с блоком подсчета вероятности наступления ИИБ (6.2) и блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), посредством перебора всех последующих элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2) блока хранения меток ИИБ (2.1).
В случае если текущая метка СИБ не является первым элементом меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2), и последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), то блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) через свой второй выход передает текущую метку СИБ на первый вход блока прогнозирования ИИБ (11) для дальнейшего ее анализа с целью определения нового ИИБ.
При условии, когда текущая метка СИБ является последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), взаимодействующего с таймером №2(10), то на основе значений временных интервалов задержки цепочек меток СИБ осуществляется изменение очередности обработки задержанных цепочек меток СИБ и подсчет значения показателя вероятности наступления ИИБ по цепочкам меток СИБ, в которые занесена текущая метка СИБ.
При условии, что значение текущей метки СИБ удовлетворяет правилу директивы корреляции первого уровня, то через первый выход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) на второй вход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) и первый вход таймера №1 (5) поступает сигнал, разрешающий запись последующих меток СИБ в блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) и запускающий таймер №1 (5). При этом блок сравнения меток СИБ с правилом директивы корреляции первого уровня (3) перестает обрабатывать последующие метки СИБ до поступления разрешающего сигнала на его второй, третий или четвертый входы.
При отсутствии на втором, третьем или четвертом входах блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) разрешающего сигнала все последующие метки СИБ через второй выход блока присвоения меток СИБ (2.3) направляются на первый вход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4), который во взаимодействии с блоком хранения меток ИИБ (2.1) проверяет соответствие значения текущей метки СИБ значениям последующих элементов меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг. 2) блока хранения меток ИИБ (2.1), посредством перебора всех последующих элементов меток ИИБ на основе заданного правила директивы корреляции второго уровня.
В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции второго уровня, то блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) передает текущую метку СИБ в блок задержки меток СИБ (6.3).
В случае если значение текущей метки СИБ не является последующим элементом меток ИИБ, хранящихся в таблице хранения меток ИИБ (фиг.2) блока хранения меток ИИБ (2.1), и последующим элементом задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), то блок сравнения меток СИБ с правилом директивы корреляции второго уровня (4) через свой третий выход на второй вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает текущую метку СИБ и сигнал, разрешающий блоку сравнения меток СИБ с правилом директивы корреляции первого уровня (3) обрабатывать последующие метки СИБ.
В случае если значение текущей метки СИБ не удовлетворяет правилу директивы корреляции первого уровня, то повторная проверка соответствия значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ, хранящихся в таблице хранения цепочек меток СИБ (фиг. 4) блока задержки меток СИБ (6.3), не производится.
Текущие метки СИБ, удовлетворяющие правилам директивы корреляции первого и второго уровней, через второй выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) передаются на первый вход блока буферизации текущих меток СИБ (6.1) модуля сравнения меток СИБ третьего уровня (6) для их хранения и подсчета значения показателя вероятности наступления ИИБ посредством функционирования блока подсчета вероятности наступления ИИБ (6.2).
В случае если значение текущей метки СИБ удовлетворяет правилу директивы корреляции второго уровня, то через первый выход блока сравнения меток СИБ с правилом директивы корреляции второго уровня (4) на первый вход счетчика меток СИБ (7) подается сигнал, запускающий начало подсчета меток СИБ. При достижении максимального количества меток СИБ за выделенный временной интервал через выход счетчика меток СИБ (7) на первый вход блока генерации тревоги (8.2) модуля оповещения (8) подается сигнал о компьютерной атаке на ИС, который через первый и второй выходы блока генерации тревоги (8.2) передается на четвертый вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) для его запуска и на второй вход блока интерфейса (9.1) для принятия решения о состоянии контролируемой ИС.
Причем счетчик меток СИБ (7) и блок буферизации текущих меток СИБ (6.1) обнуляются сигналом, поступающим на их вторые входы от первого выхода таймера №1 (5), при истечении временных интервалов, выделенных на обработку ИИБ, и при поступлении на первый вход таймера №1 (5) от первого выхода блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) сигнала, запускающего его.
Кроме того, при истечении временных интервалов, выделенных на обработку ИИБ, таймер №1 (5) через свой второй выход на третий вход блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3) передает сигнал, разрешающий ему обрабатывать последующие метки СИБ.
Блок подсчета вероятности наступления ИИБ (6.2) во взаимодействии с блоком хранения меток ИИБ (2.1), блоком буферизации текущих меток СИБ (6.1) и блоком задержки меток СИБ (6.3) обеспечивает подсчет значений показателя вероятности наступления ИИБ, в результате которого при достижении заданных количественных параметров работы системы аналитической обработки СИБ осуществляется перемещение цепочки меток СИБ из блока буферизации текущих меток СИБ (6.1) в блок задержки меток СИБ (6.3), который через свой первый и второй выходы на вход блока предупреждения тревоги (8.1) и на второй вход блока генерации тревоги (8.2) передает сигналы, формирующие предупреждение и генерацию тревоги об обнаружении ИИБ.
Далее блок предупреждения тревоги (8.1) через свой выход на первый вход блока интерфейса (9.1) и второй вход блока прогнозирования ИИБ (11) передает, незавершенную цепочку меток СИБ, по которой достигнуто заданное значение показателя вероятности наступления ИИБ, и сигнал предупреждения тревоги.
Блок прогнозирования ИИБ (11) осуществляет анализ незавершенных цепочек меток СИБ, поступающих от модуля оповещения (8), и меток СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, а также поступающих от второго выхода блока сравнения меток СИБ с правилом директивы корреляции первого уровня (3). Результаты анализа через выход блока прогнозирования (11) передаются на третий вход блока интерфейса (9.1).
Оператор на основе результатов функционирования блока прогнозирования ИИБ (11) и сигналов, поступающих от модуля оповещения (8), посредством блока интерфейса (9.1) приминает решение о состоянии контролируемой ИС и обнаружении нового ИИБ, который через блок обновления меток ИИБ (9.2) поступает на вход блока хранения меток ИИБ (2.1) с последующим обновлением таблицы хранения меток ИИБ (фиг. 2), тем самым осуществляя обучение системы аналитической обработки СИБ.
Таким образом, благодаря новой совокупности существенных признаков в заявленной полезной модели обеспечивается повышение вероятности обнаружения ИИБ за счет ретроспективного анализа СИБ, распределенных во времени, а также своевременное предупреждение о возможном наступлении ИИБ за счет прогнозирования его появления.
Система аналитической обработки СИБ является промышленно применимой, так как она может быть реализована в устройствах обеспечения ИБ и может быть использована для обнаружения и идентификации ИИБ в режиме реального времени.

Claims (1)

  1. Система аналитической обработки событий информационной безопасности, содержащая блок приема событий информационной безопасности, блок сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня, блок сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня, таймер №1, счетчик меток событий информационной безопасности и блок генерации тревоги, отличающаяся тем, что добавлен модуль хранения и присвоения меток событий и инцидентов информационной безопасности, состоящий из блока хранения меток инцидентов информационной безопасности, блока хранения меток событий информационной безопасности и блока присвоения меток событий информационной безопасности; модуль сравнения меток событий информационной безопасности третьего уровня, состоящий из блока буферизации текущих меток событий информационной безопасности, блока подсчета вероятности наступления инцидентов информационной безопасности и блока задержки меток событий информационной безопасности; блок предупреждения тревоги, который совместно с блоком генерации тревоги образует модуль оповещения; модуль взаимодействия со специалистом по информационной безопасности, состоящий из блока интерфейса и блока обновления меток инцидентов информационной безопасности; таймер №2 и блок прогнозирования инцидентов информационной безопасности; выход блока приема событий информационной безопасности соединен с входом блока присвоения меток событий информационной безопасности, который взаимодействует с блоком хранения меток событий информационной безопасности; первый выход блока присвоения меток событий информационной безопасности соединен с первым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня, взаимодействующего с блоком хранения меток инцидентов информационной безопасности и блоком задержки меток событий информационной безопасности, взаимосвязанным с таймером №2 и блоком подсчета вероятности наступления инцидентов информационной безопасности, который взаимодействует с блоком хранения меток инцидентов информационной безопасности и блоком буферизации текущих меток событий информационной безопасности; второй выход блока присвоения меток событий информационной безопасности соединен с первым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня, взаимодействующего с блоком хранения меток инцидентов информационной безопасности и блоком задержки меток событий информационной безопасности; первый выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня соединен с первым входом таймера №1 и со вторым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня; второй выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня соединен с первым входом блока прогнозирования инцидентов информационной безопасности; первый выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом счетчика меток событий информационной безопасности; второй выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен с первым входом блока буферизации текущих меток событий информационной безопасности; третий выход блока сравнения меток событий информационной безопасности с правилом директивы корреляции второго уровня соединен со вторым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; первый выход таймера №1 соединен со вторым входом счетчика меток событий информационной безопасности и со вторым входом блока буферизации текущих меток событий информационной безопасности, а второй выход таймера №1 соединен с третьим входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; выход счетчика меток событий информационной безопасности соединен с первым входом блока генерации тревоги, первый выход которого соединен с четвертым входом блока сравнения меток событий информационной безопасности с правилом директивы корреляции первого уровня; первый выход блока задержки меток событий информационной безопасности соединен с входом блока предупреждения тревоги, а второй выход соединен со вторым входом блока генерации тревоги; выход блока предупреждения тревоги соединен с первым входом блока интерфейса и со вторым входом блока прогнозирования инцидентов информационной безопасности, выход которого соединен с третьим входом блока интерфейса; второй выход блока генерации тревоги соединен со вторым входом блока интерфейса, первый выход которого соединен с входом блока обновления меток инцидента информационной безопасности; выход блока обновления меток инцидента информационной безопасности соединен с входом блока хранения меток инцидентов информационной безопасности; второй выход блока интерфейса соединен со вторым входом таймера №1 и с входом таймера №2.
RU2019114527U 2019-05-13 2019-05-13 Система аналитической обработки событий информационной безопасности RU193101U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019114527U RU193101U1 (ru) 2019-05-13 2019-05-13 Система аналитической обработки событий информационной безопасности

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019114527U RU193101U1 (ru) 2019-05-13 2019-05-13 Система аналитической обработки событий информационной безопасности

Publications (1)

Publication Number Publication Date
RU193101U1 true RU193101U1 (ru) 2019-10-14

Family

ID=68280508

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019114527U RU193101U1 (ru) 2019-05-13 2019-05-13 Система аналитической обработки событий информационной безопасности

Country Status (1)

Country Link
RU (1) RU193101U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216567U1 (ru) * 2022-06-29 2023-02-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система обнаружения вторжений уровня узла сети

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU166348U1 (ru) * 2016-08-01 2016-11-20 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" Устройство корреляции событий информационной безопасности
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах
WO2018236772A1 (en) * 2017-06-20 2018-12-27 Symantec Corporation SYSTEMS AND METHODS FOR LABELING REPORTS GENERATED AUTOMATICALLY
RU186198U1 (ru) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Средство обнаружения вторжений уровня узла сети
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU166348U1 (ru) * 2016-08-01 2016-11-20 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" Устройство корреляции событий информационной безопасности
WO2018236772A1 (en) * 2017-06-20 2018-12-27 Symantec Corporation SYSTEMS AND METHODS FOR LABELING REPORTS GENERATED AUTOMATICALLY
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах
RU186198U1 (ru) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Средство обнаружения вторжений уровня узла сети

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216567U1 (ru) * 2022-06-29 2023-02-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система обнаружения вторжений уровня узла сети

Similar Documents

Publication Publication Date Title
CN111475804B (zh) 一种告警预测方法及系统
US10187411B2 (en) Method for intrusion detection in industrial automation and control system
WO2021126243A1 (en) Systems and methods for detecting and responding to anomalous traffic conditions
CN102014031A (zh) 一种网络流量异常检测方法及系统
US11386352B2 (en) System and method of training behavior labeling model
US11575688B2 (en) Method of malware characterization and prediction
EP2918976A1 (en) Smart meter Privacy Analyzer
US11297082B2 (en) Protocol-independent anomaly detection
CN113468520A (zh) 应用于区块链业务的数据入侵检测方法及大数据服务器
CN118897809B (zh) 一种计算机网络应用程序测试过程监测的方法和系统
CN113114618A (zh) 一种基于流量分类识别的物联网设备入侵检测的方法
CN111080672A (zh) 安全预警方法、装置、计算设备及存储介质
US11665185B2 (en) Method and apparatus to detect scripted network traffic
RU193101U1 (ru) Система аналитической обработки событий информационной безопасности
KR20220116411A (ko) 보안 규제 준수 자동화 장치
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
Chang et al. CAV driving safety monitoring and warning via V2X-based edge computing system
Mignone et al. Anomaly detection for public transport and air pollution analysis
Salazar et al. Monitoring approaches for security and safety analysis: Application to a load position system
CN116647389A (zh) 一种工业控制系统网络访问安全性预警系统及方法
KR101553891B1 (ko) 원자력발전소 내의 디지털 안전계통의 사이버보안 모니터링 방법 및 그의 시스템
RU2694139C1 (ru) Способ определения девиантного поведения человека в режиме одновременной работы группы видеокамер
US11232202B2 (en) System and method for identifying activity in a computer system
CN112732531A (zh) 一种监控数据的处理方法及装置

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20200514