Система мониторинга событий компьютерной безопасности



 

Система мониторинга событий компьютерной безопасности относится к системам обеспечения информационной безопасности, обеспечивающим безопасность информационных ресурсов в режиме реального времени, преимущественно для применения в локально вычислительных сетях на базе операционных систем Windows версии Vista, Seven и более поздних. Технический результат заключается в выявлении опасных событий компьютерной безопасности в режиме реального времени. Это достигается за счет дополнительно введенного блока управления данными, который применяет совместно процедуры классификации и кластеризации с возможностью одновременного использования фильтрации помех и шумов, направленной на отсечку определенного процента шумов, и нормализации с отбором, направленным(ом) на сведение(я) всех признаков событий к единому диапазону значений. 2 н.п. ф-лы, 3 ил.

Область техники, к которой относится полезная модель

Полезная модель относится к системам обеспечения информационной безопасности и может быть использована для обнаружения и идентификации деструктивных событий компьютерной безопасности в режиме реального времени.

Уровень техники

а ) Описание аналогов

В заявке US 20040260947 A1 (система выявления инцидентов безопасности) описывается система выявления инцидентов безопасности, которая осуществляет сбор информации в несколько этапов: первичный сбор и дополнительный. После того как собрана необходимая информация о сети и ее компонентах, производится анализ и определяется наличие деструктивного события.

Однако данная система не позволяет определить причины и источник опасности.

В патенте US 7159237 описана система мониторинга безопасности компьютерной сети.

Данная система не способна вырабатывать решения автоматически без участия аналитика, что сильно замедляет реакцию на инцидент.

б) Описание прототипа

Наиболее близким по технической сущности к заявленному и принятым за прототип является система автоматического расследования инцидентов безопасности (пат. 2481633 Российская Федерация, МПК G06F 21/55. Система и способ автоматического расследования инцидентов безопасности [Текст] / Зайцев О.В.: заявитель и патентообладатель Закрытое акционерное общество «Лаборатория Касперского». - 2011132618/08: заявл. 04.08.2011; опубл. 10.05.2013. - 3 с.: ил.), которая выполнена в виде сервера администрирования со средствами сбора данных, регистрации инцидентов, анализатором инцидентов и средством поиска решений. Система автоматического расследования инцидентов безопасности принимает решение на изменение политики безопасности или на обновление программного обеспечения на основе регистрации одного из событий: нарушение политики безопасности, обнаружение вредоносной программы, некорректная работа средства защиты.

В качестве недостатков прототипа следует отметить:

Наличие только блока анализатора событий в системе автоматического расследования инцидентов безопасности, предназначенного для поиска событий, предшествующих зарегистрированному инциденту безопасности, не позволяет выполнять в режиме реального времени обнаружение распределенных по времени и месту компьютерных атак. В то же время многие из сетевых вторжений представляют собой цепочку событий, каждое из которых в отдельности может и не нести опасных последствий, но представлять таковые в совокупности.

Раскрытие полезной модели

а ) Технический результат, на достижение которого направлена полезная модель

Целью заявленной полезной модели является увеличение количества выявляемых инцидентов информационной безопасности в режиме реального времени.

б) Совокупность существенных признаков

Указанный технический результат достигается тем, что в известную систему автоматического расследования инцидентов безопасности (пат. 2481633 Российская Федерация, МПК G06F 21/55. Система и способ автоматического расследования инцидентов безопасности [Текст] / Зайцев О.В.: заявитель и патентообладатель Закрытое акционерное общество «Лаборатория Касперского». - 2011132618/08: заявл. 04.08.2011; опубл. 10.05.2013. - 3 с.: ил.), содержащей блоки: сбора данных о событиях безопасности (1), поиска решений (2), регистрации инцидента (4) и анализа событий (3), и дополнительно введен в полезную модель блок управления данными (6).

Это позволяет расширить спектр обнаруживаемых инцидентов безопасности путем проведения обобщенного качественного анализа событий безопасности за всю информационную систему в режиме близком к реальному времени.

Блоки 1, 2, 3, 4, 6 могут быть выполнены в виде участков памяти вычислительного устройства, и характеризуют своей логической схемой и обеспечивающих выполнение заданных функций блока. Блок управления данными (6) может быть выполнен функционально самостоятельным.

Таким образом, введенный блок управления данными (6), включающий модули: нормализации (7), классификации (10) и корреляции (9) соответствуют признакам «существенные отличия» и обеспечивает достижение положительного эффекта.

в) Причинно-следственная связь между признаками и техническим результатам

Благодаря новой совокупности существенных признаков: введения дополнительных уровней обработки событий безопасности в блоке управления данными (6), включающих модули: нормализации (7), классификации (10) и корреляции (9), система мониторинга событий компьютерной безопасности позволяет находить не только одиночные деструктивные события, но выявлять совокупность таких событий, специально разносимых злоумышленником по времени и узлам информационной системы. Этим обеспечивается более качественный анализ событий безопасности и достигается возможность увеличения количества выявляемых деструктивных событий в информационной системе.

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленной полезной модели на достижение указанного технического результата. Следовательно, заявленная полезная модель соответствует условию патентоспособности «изобретательский уровень».

Краткое описание чертежей

Заявленная система мониторинга событий компьютерной безопасности поясняется чертежами:

Фиг. 1 отображает принятую структурную схему автоматического расследования инцидентов безопасности.

Фиг. 2 показывает структурную схему системы выявления событий компьютерной безопасности.

Фиг. 3 демонстрирует работу средства управления данными.

Осуществление полезной модели

а) Технические средства осуществления полезной модели с реализацией указанного в заявке назначения

Система мониторинга событий компьютерной безопасности, показанная на фиг. 2, состоит из блока сбора данных (1) о событиях безопасности, блока управления данными (6), блока анализа данных (3), блока представления решений (2) и блока регистрации инцидента (4).

Блоки 1, 2, 3, 4, 6 могут быть выполнены в виде участков памяти вычислительного устройства, и характеризуют своей логической схемой и обеспечивающих выполнение заданных функций блока.

Блок сбора данных (1) о событиях безопасности (фиг. 3) обеспечивает получение потока данных от источников (агентов) (5), в качестве которых могут выступать: файловые серверы, серверы баз данных, межсетевые экраны (МСЭ), автоматизированные рабочие места, системы обнаружения сетевых атак (вторжений), системы разграничения доступа, системы обеспечения и контроля целостности, антивирусные программы и т.д.

При этом могут использоваться два основных метода: прямой (Pull) и обратной связи (Push). В первом случае - источник сам посылает данные записи своих журналов в блок (1), во втором - блок (1) самостоятельно осуществляет процесс получения данных о событиях безопасности (5) из log-журналов.

Блок управления (6) данными (фиг. 3), обеспечивает: обработку данных специальными модулями нормализации (7), фильтрации (8), корреляции (9) и классификации (10). Модуль классификации и кластеризации (10), анализирующий весь входной поток событий (5), присваивает каждому событию определенный признак. Затем с использованием обучающей выборки по алгоритму Ланса-Уильямса с расстоянием Уорда относит событие к определенному кластеру. При классификации и кластеризации возможно использование модуля фильтрации помех и шумов (8), отбрасывающего определенный процент шума, а также использование алгоритма нормализации и отбора (7), позволяющего свести все признаки событий к единому числовому значению в сегменте от 0 до 1, используя при этом заранее заданные веса каждого признака;

хранение данных в отфильтрованном и нормализованном виде, путем помещения их в репозиторий (11), который основан как хранилище триплетов (специально созданная база данных, оптимизированная для хранения и поиска утверждений вида «субъект - предикат - объект»);

Блока анализа событий (4) (фиг. 3), обеспечивает: агрегацию, приоритезацию и анализ инцидентов и их последствий. В общем случае, анализ данных может основываться на качественных и количественных оценках. Количественная оценка является более точной, но требует заметно больше времени, что не всегда допустимо. Чаще всего бывает достаточно быстрого качественного анализа, задача которого заключается в распределении факторов риска по группам.

Блок поиска решений (2) (фиг. 3) обеспечивает: поддержку и принятие решений на отражение компьютерных вторжений.

Блок регистрации инцидента (4) (фиг. 3), обеспечивает: визуализацию текущей ситуации, а также генерацию отчетов и предупреждений о компьютерных атаках.

б) возможность получения указанного заявителем технического результата

Система мониторинга событий компьютерной безопасности работает следующим образом.

Система мониторинга событий компьютерной безопасности, как правило, содержит центральную часть, называемую сервером безопасности (СБ), к которой подключены агенты (датчики) (5) ПК пользователей. При этом топология сети не имеет значения.

Когда в локальной вычислительной сети происходят некоторые события, влияющие на безопасность всей информационной системы или ее частей, специализированные источники (5) передают данные об этих событиях на сервер безопасности в средство сбора данных о событиях безопасности.

Основным назначением блока сбора данных о событиях безопасности (1) является загрузка данных о системных событиях с устройств пользователей, подключенных к серверу безопасности. Загружаемыми данными являются записи программных и системных журналов и отчетов, которые ведут записи действий пользователей, запросы программ, сетевые запросы и т.д. Загрузка данных может производиться в несколько этапов: сначала могут быть загружены события высокого уровня, а затем, если есть необходимость, события низкого уровня. К событиям высоко уровня относятся такие действия, как действие с файлами, изменение прав доступа, запуск программ. К событиям низкого уровня относятся команды программ и передаваемые сетевые пакеты, например обращение к памяти процесса, блокирование входящего пакета данных и т.д. При этом могут использоваться два основных метода: прямой (Pull) и обратной связи (Push). В первом случае - источник (5) сам посылает данные из записей своих журналов сбора данных о событиях безопасности, во втором - блок сбора данных о событиях безопасности (1) самостоятельно осуществляет процесс получения данных о событиях безопасности из журналов основных и прикладных программно-аппаратных средств информационной системы.

Данные о происшедших событиях безопасности поступают в средство управления данными (6), где весь входной поток проходит предварительную нормализацию и отбор (7) этих событий, с точки зрения оценки возможного риска для безопасности информационной системы.

Процедура нормализации входного потока о событиях обеспечивает выполнение требования о приведении данных к единому виду для последующей обработки модулями фильтрации (8), корреляции (9) и классификации (10). Это требование обусловлено наличием широкого спектра средств, применяемых для защиты информационных систем. При этом каждый вендор (производитель) использует свою собственную систему кодирования и описания событий в журналах регистрации. Таким образом, модуль нормализации (7) позволяет привести входной поток данных о событиях безопасности к единообразному виду для последующей централизованной обработки.

Далее нормализованный поток данных обрабатывается модулем фильтрации (8), который обеспечивает требуемую полноту представления данных обо всех потенциальных критических событиях безопасности. Наиболее важным в фильтрации поступающего потока данных является обеспечение возможности исключения дублирующих событий, ошибочной и избыточной информации. Это позволяет снижать нагрузку, связанную с дальнейшей обработкой событий, и облегчает решение задач обнаружения инцидентов.

На следующем этапе поток данных о событиях безопасности проходит последовательно через модуль классификации и кластеризации (10), который обеспечивает выявление логических связей между анализируемыми событиями.

Одновременно отфильтрованные данные в нормализованном виде помещаются для хранения в репозиторий триплетов (11) для последующего использования при принятии решений. Репозиторий может быть создан на основе реляционной СУБД, XML-ориентированной СУБД или хранилища триплетов.

Модуль классификации и кластеризации (10) сначала обеспечивает присвоение каждому событию специального признака приоритета, определяющего степень (значимость) его угрозы. От значения приоритета, присвоенного событию, зависит то, насколько оперативно будет производиться его обработка, расследование и какие ресурсы будут задействованы. Данная процедура происходит на основании заложенных либо определяемых администратором информационной системы признаков.

Затем модуль классификации и кластеризации (10) обеспечивает разбиение множество событий безопасности на кластеры. Внутри каждой группы должны оказаться «похожие» события, а события разных группы должны быть отличны. Главная особенность выполняемой процедуры кластеризации состоит в том, что перечень групп четко не задан и определяется в процессе работы алгоритма. Границы различных категорий (кластеров) зачастую являются нечеткими, расплывчатыми, и обычно сама категория событий понимается не через формальное определение, а только в сравнении с другими категориями (кластерами).

Задачей модуля классификации и кластеризации (11) является формирование обобщающих признаков в совокупности событий безопасности. При увеличении числа примеров событий несущественные, случайные признаки сглаживаются, а часто встречающиеся - усиливаются, при этом происходит постепенное уточнение границ категорий.

Модуль классификации и кластеризации (11) использует для своей работы иерархические алгоритмы, которые строят не одно разбиение выборки на непересекающиеся кластеры, а систему вложенных разбиений. Т.е. на выходе получается дерево кластеров, корнем которого является вся выборка, а листьями - наиболее мелкие кластера.

Наиболее подходящими для задачи разбиения множества событий безопасности на кластеры следует считать восходящие алгоритмы, в которых объекты (события безопасности) объединяются во все более и более крупные кластеры. Реализация этого подхода может быть представлена агломеративным алгоритмом Ланса-Вильямса, описанным в книге И.Д. Манделя «Кластерный анализ» (Мандель, И.Д. Кластерный анализ. [Текст] / И.Д. Мандель // М.: Финансы и статистика, 1988, с. 69-74). При этом расчет расстояний между кластерами предлагается вести на основе расстояния Уорда. (Мандель, И.Д. Кластерный анализ. [Текст] / И.Д. Мандель // М.: Финансы и статистика, 1988, с. 70).

Далее информация о полученных кластерах, их количестве и входящих в их состав событиях поступает в модуль корреляции (9), который обеспечивает выявление скрытых отношений между различными событиями безопасности, происходящими в разное время и на разных узлах информационной системы, что позволяет в режиме реального времени обнаруживать графы атак, включающие в себя распределенные события.

Использование в качестве модуля корреляции (9) рекуррентных нейронные сетей Херольта-Джуттена, описанных в книге (Осовский, С. Нейронные сети для обработки информации [Текст] / С. Осовский // М.: Финансы и статистика, 2002) существенно повышает качество анализа главных компонентов (РСА), т.к. такие сети имеют адаптивную линейную структуру, обрабатывающую сигналы в режиме реального времени, и применяются именно в задачах с плохо структурированной информацией.

Блок анализа данных о событиях (3) обнаруживает или регистрирует факт возникновения инцидента, в том числе посредством моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов.

Блок анализа данных о событиях (3) обеспечивает приоритезацию, определяя значимость и критичность событий безопасности на основании правил, определенных в системе. Кроме того анализ событий, инцидентов и их последствий включает процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов.

Блок поиска решений (2) определяет выработку мер по реконфигурированию средств защиты с целью предотвращения атак или восстановления безопасности инфраструктуры, а также генерацию отчетов и предупреждений с формированием, передачей и отображением или печатью результатов своего функционирования.

Блок регистрации инцидентов (4) обеспечивает визуализацию, т.е. представление в графическом виде данных, характеризующих результаты анализа событий безопасности и состояние защищаемой информационной системы и ее элементов.

Таким образом, использование в системе мониторинга событий компьютерной безопасности блока управления данными (6) улучшает ее конструкцию, позволяя при обнаружении атак использовать не только данные об отдельных событиях, а данные об инцидентах, распознаваемых с помощью корреляции различных событий. Это позволит эффективнее идентифицировать графы атак, включающих в себя распределенные события по времени и узлам информационной системы.

1. Система мониторинга событий компьютерной безопасности, содержащая средства сбора событий, поиска решений, регистрации инцидента и анализа событий, отличающаяся тем, что дополнительно введен блок управления данными, включающий: модуль нормализации с отбором, обеспечивающий сведение всех признаков событий к единому диапазону значений; модуль классификации и кластеризации событий, обеспечивающий на первом этапе анализ входного потока событий в компьютерной системе с последующим выделением в каждом событии ключевого признака, позволяющий отнести его к определенному кластеру при использовании метода фильтрации помех и шумов; а затем, на основе предварительного обучения по алгоритму Ланса-Уильямса с расстоянием Уорда, обеспечивающий выделение из всего потока таких событий, которые существенно деструктивно влияют на безопасность информационных ресурсов организации.

2. Система по п. 1, отличающаяся тем, что в модуле классификации и кластеризации обеспечивается дополнительная фильтрация помех и шумов, отбрасывающая заданный процент шума.



 

Похожие патенты:

Изобретение относится к системам обнаружения спама в тексте почтовых сообщений и, более конкретно, к системам обнаружения спама в почтовых сообщениях с использованием лексических векторов

Изобретение относится к системам обнаружения спама в тексте почтовых сообщений и, более конкретно, к системам обнаружения спама в почтовых сообщениях с использованием лексических векторов

Изобретение относится к системам обнаружения спама в тексте почтовых сообщений и, более конкретно, к системам обнаружения спама в почтовых сообщениях с использованием лексических векторов

Изобретение относится к системам обнаружения спама в тексте почтовых сообщений и, более конкретно, к системам обнаружения спама в почтовых сообщениях с использованием лексических векторов
Наверх