📄Работа №39005
Тема: РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ SIEM-CHCTEM
Тип работы
Магистерская диссертация
Предмет
информатика
Объем:
55 листов
Год:
2019
Просмотров:
1126
4900
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
ВВЕДЕНИЕ 3
1. Обзор SIEM-системы и методов распознавания атак 5
1.1 Определение, основные функции и архитектура SIEM 5
1.1.1 Основные функциональные задачи 5
1.1.2 Архитектура 6
1.1.3 Корреляция событий 9
1.2 Методы машинного обучения в задаче распознавания атак 12
1.2.1 Дерево принятия решений 12
1.2.2 Нейронные сети 14
1.2.3 Классификатор Байеса 16
1.2.4 Ассоциативные правила 17
2. Построение и тестирование моделей 20
2.1 Актуальность работы 20
2.2 Входные данные 21
2.3 Построение дерева решений и нейронной сети 25
2.3.1 Предобработка данных 25
2.3.2 Деревья принятия решений 28
2.3.3 Нейронные сети 31
2.4 Построение наивного классификатора Байеса в среде WEKA 35
2.5 Тестирование и анализ построенных моделей 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ЛИТЕРАТУРЫ 41
ПРИЛОЖЕНИЯ 43
1. Обзор SIEM-системы и методов распознавания атак 5
1.1 Определение, основные функции и архитектура SIEM 5
1.1.1 Основные функциональные задачи 5
1.1.2 Архитектура 6
1.1.3 Корреляция событий 9
1.2 Методы машинного обучения в задаче распознавания атак 12
1.2.1 Дерево принятия решений 12
1.2.2 Нейронные сети 14
1.2.3 Классификатор Байеса 16
1.2.4 Ассоциативные правила 17
2. Построение и тестирование моделей 20
2.1 Актуальность работы 20
2.2 Входные данные 21
2.3 Построение дерева решений и нейронной сети 25
2.3.1 Предобработка данных 25
2.3.2 Деревья принятия решений 28
2.3.3 Нейронные сети 31
2.4 Построение наивного классификатора Байеса в среде WEKA 35
2.5 Тестирование и анализ построенных моделей 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ЛИТЕРАТУРЫ 41
ПРИЛОЖЕНИЯ 43
📖 Введение
В наши дни существует много разнообразного программного обеспечения (ПО) и инструментов в области защиты информации: межсетевые экраны, системы предотвращения вторжений (IDS/IPS), системы предотвращения утечек информации (DLP), антивирусы и т.д. Но все они, как отдельные продукты, ограничены - обеспечивают безопасность только в зоне их ответственности, не покрывая другие области.
Но если мы не имеем некоторой централизованной системы, которая собирает записи о том, что происходит в системе, мы даже не узнаем об этой атаке - и тем более не сможем ее предотвратить.
Возможность хранить информацию обо всех событиях, касающихся безопасности инфраструктуры предприятия, в одном месте могла бы сильно облегчить работу по анализу и выявлению существующих угроз, уязвимостей и необычного поведения.
Некоторые теоретические и практические аспекты уже были рассмотрены в работах [1] и [2].
SIEM-системы (Security Information and Event Management) являются результатом слияния систем по мониторингу событий в реальном времени (Security Event Management) и систем, которые занимаются анализом собранной информации (Security Information Management).
Конфигурация и последующая поддержка такой системы - сложный процесс, на который системным администраторам приходится тратить много ресурсов. К тому же, для эффективной настройки необходимо обладать широкими техническими знаниями. Частичная автоматизация процесса настройки правил может существенно сократить нагрузку на администраторов и помочь в покрытии всего спектра возможных атак [2].
Самый сложный аспект в формировании правил для SIEM - это определение конкретных параметров, которые необходимо отслеживать, чтобы распознать атаку. Частично автоматизировать данный процесс можно с
В пользу актуальности темы исследования говорит высокая востребованность SIEM-систем на рынке решений по информационной безопасности. Упрощение работы с таким довольно сложным решением может сократить время на его конфигурацию (и, как следствие, затраты), а также позволит поддерживать систему не только высококвалифицированным работникам, но и начинающим IT-инженерам [1].
Целью работы является выбор и реализация прототипа решения, направленного на сокращение времени администратора на создание правил корреляции для SIEM-системы.
В основные задачи магистерской работы входит исследование методов распознавания атак, обзор и выбор нескольких возможных методов реализации автоматизированного решения, изучение их теоретических основ, разработка прототипов и их сравнение [3].
Но если мы не имеем некоторой централизованной системы, которая собирает записи о том, что происходит в системе, мы даже не узнаем об этой атаке - и тем более не сможем ее предотвратить.
Возможность хранить информацию обо всех событиях, касающихся безопасности инфраструктуры предприятия, в одном месте могла бы сильно облегчить работу по анализу и выявлению существующих угроз, уязвимостей и необычного поведения.
Некоторые теоретические и практические аспекты уже были рассмотрены в работах [1] и [2].
SIEM-системы (Security Information and Event Management) являются результатом слияния систем по мониторингу событий в реальном времени (Security Event Management) и систем, которые занимаются анализом собранной информации (Security Information Management).
Конфигурация и последующая поддержка такой системы - сложный процесс, на который системным администраторам приходится тратить много ресурсов. К тому же, для эффективной настройки необходимо обладать широкими техническими знаниями. Частичная автоматизация процесса настройки правил может существенно сократить нагрузку на администраторов и помочь в покрытии всего спектра возможных атак [2].
Самый сложный аспект в формировании правил для SIEM - это определение конкретных параметров, которые необходимо отслеживать, чтобы распознать атаку. Частично автоматизировать данный процесс можно с
В пользу актуальности темы исследования говорит высокая востребованность SIEM-систем на рынке решений по информационной безопасности. Упрощение работы с таким довольно сложным решением может сократить время на его конфигурацию (и, как следствие, затраты), а также позволит поддерживать систему не только высококвалифицированным работникам, но и начинающим IT-инженерам [1].
Целью работы является выбор и реализация прототипа решения, направленного на сокращение времени администратора на создание правил корреляции для SIEM-системы.
В основные задачи магистерской работы входит исследование методов распознавания атак, обзор и выбор нескольких возможных методов реализации автоматизированного решения, изучение их теоретических основ, разработка прототипов и их сравнение [3].
✅ Заключение
Современные SIEM являются очень мощным инструментом защиты компьютерной инфраструктуры, так как имеют возможность считывать информацию из большого количества источников, формируя точное представление о безопасности наблюдаемой системы. Имея внушительный арсенал настроек и правил, на сегодняшний день SIEM занимают большую нишу в современных инструментах безопасности и каждым годом будут все развиваться.
В рамках выпускной квалификационной работы были изучены основные функции и архитектура систем сбора и корреляции событий. Также было проведено исследование популярных методов обнаружения вторжений. Были выбраны три направления для последующей реализации и сравнения: деревья принятия решений, сети Байеса и нейронные сети.
В качестве анализируемого материала выступает дамп сетевого трафика за определенный период времени, NSL-KDD, построенный на основе трафика, собранного интеллектуальной системой обнаружения вторжений DARPA.
С помощью инструмента для интеллектуального анализа данных Deductor Studio были построены и обучены модели дерева принятия решений по алгоритму С4.5 и нейронной сети. С помощью инструмента WEKA был построен наивный Байесовский классификатор.
Была проведена оценка построенных моделей по их точности распознавания атак на тестовой выборке, ошибках первого и второго рода. По результатам исследований модель нейронной сети показала лучшие результаты по точности распознавания и имеет меньшие ошибки первого и второго рода по сравнению с другими моделями. Однако для решения задачи данной работы дерево принятия решений имеет большую ценность, так как его правила и автоматически составляемы список значимости атрибутов могут служить основой для правил SIEM-системы.
В рамках выпускной квалификационной работы были изучены основные функции и архитектура систем сбора и корреляции событий. Также было проведено исследование популярных методов обнаружения вторжений. Были выбраны три направления для последующей реализации и сравнения: деревья принятия решений, сети Байеса и нейронные сети.
В качестве анализируемого материала выступает дамп сетевого трафика за определенный период времени, NSL-KDD, построенный на основе трафика, собранного интеллектуальной системой обнаружения вторжений DARPA.
С помощью инструмента для интеллектуального анализа данных Deductor Studio были построены и обучены модели дерева принятия решений по алгоритму С4.5 и нейронной сети. С помощью инструмента WEKA был построен наивный Байесовский классификатор.
Была проведена оценка построенных моделей по их точности распознавания атак на тестовой выборке, ошибках первого и второго рода. По результатам исследований модель нейронной сети показала лучшие результаты по точности распознавания и имеет меньшие ошибки первого и второго рода по сравнению с другими моделями. Однако для решения задачи данной работы дерево принятия решений имеет большую ценность, так как его правила и автоматически составляемы список значимости атрибутов могут служить основой для правил SIEM-системы.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.