Тип работы:
Предмет:
Язык работы:


РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ SIEM-CHCTEM

Работа №39005

Тип работы

Магистерская диссертация

Предмет

информатика

Объем работы55
Год сдачи2019
Стоимость4900 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
953
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 3
1. Обзор SIEM-системы и методов распознавания атак 5
1.1 Определение, основные функции и архитектура SIEM 5
1.1.1 Основные функциональные задачи 5
1.1.2 Архитектура 6
1.1.3 Корреляция событий 9
1.2 Методы машинного обучения в задаче распознавания атак 12
1.2.1 Дерево принятия решений 12
1.2.2 Нейронные сети 14
1.2.3 Классификатор Байеса 16
1.2.4 Ассоциативные правила 17
2. Построение и тестирование моделей 20
2.1 Актуальность работы 20
2.2 Входные данные 21
2.3 Построение дерева решений и нейронной сети 25
2.3.1 Предобработка данных 25
2.3.2 Деревья принятия решений 28
2.3.3 Нейронные сети 31
2.4 Построение наивного классификатора Байеса в среде WEKA 35
2.5 Тестирование и анализ построенных моделей 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ЛИТЕРАТУРЫ 41
ПРИЛОЖЕНИЯ 43


В наши дни существует много разнообразного программного обеспечения (ПО) и инструментов в области защиты информации: межсетевые экраны, системы предотвращения вторжений (IDS/IPS), системы предотвращения утечек информации (DLP), антивирусы и т.д. Но все они, как отдельные продукты, ограничены - обеспечивают безопасность только в зоне их ответственности, не покрывая другие области.
Но если мы не имеем некоторой централизованной системы, которая собирает записи о том, что происходит в системе, мы даже не узнаем об этой атаке - и тем более не сможем ее предотвратить.
Возможность хранить информацию обо всех событиях, касающихся безопасности инфраструктуры предприятия, в одном месте могла бы сильно облегчить работу по анализу и выявлению существующих угроз, уязвимостей и необычного поведения.
Некоторые теоретические и практические аспекты уже были рассмотрены в работах [1] и [2].
SIEM-системы (Security Information and Event Management) являются результатом слияния систем по мониторингу событий в реальном времени (Security Event Management) и систем, которые занимаются анализом собранной информации (Security Information Management).
Конфигурация и последующая поддержка такой системы - сложный процесс, на который системным администраторам приходится тратить много ресурсов. К тому же, для эффективной настройки необходимо обладать широкими техническими знаниями. Частичная автоматизация процесса настройки правил может существенно сократить нагрузку на администраторов и помочь в покрытии всего спектра возможных атак [2].
Самый сложный аспект в формировании правил для SIEM - это определение конкретных параметров, которые необходимо отслеживать, чтобы распознать атаку. Частично автоматизировать данный процесс можно с
В пользу актуальности темы исследования говорит высокая востребованность SIEM-систем на рынке решений по информационной безопасности. Упрощение работы с таким довольно сложным решением может сократить время на его конфигурацию (и, как следствие, затраты), а также позволит поддерживать систему не только высококвалифицированным работникам, но и начинающим IT-инженерам [1].
Целью работы является выбор и реализация прототипа решения, направленного на сокращение времени администратора на создание правил корреляции для SIEM-системы.
В основные задачи магистерской работы входит исследование методов распознавания атак, обзор и выбор нескольких возможных методов реализации автоматизированного решения, изучение их теоретических основ, разработка прототипов и их сравнение [3].


Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!


Современные SIEM являются очень мощным инструментом защиты компьютерной инфраструктуры, так как имеют возможность считывать информацию из большого количества источников, формируя точное представление о безопасности наблюдаемой системы. Имея внушительный арсенал настроек и правил, на сегодняшний день SIEM занимают большую нишу в современных инструментах безопасности и каждым годом будут все развиваться.
В рамках выпускной квалификационной работы были изучены основные функции и архитектура систем сбора и корреляции событий. Также было проведено исследование популярных методов обнаружения вторжений. Были выбраны три направления для последующей реализации и сравнения: деревья принятия решений, сети Байеса и нейронные сети.
В качестве анализируемого материала выступает дамп сетевого трафика за определенный период времени, NSL-KDD, построенный на основе трафика, собранного интеллектуальной системой обнаружения вторжений DARPA.
С помощью инструмента для интеллектуального анализа данных Deductor Studio были построены и обучены модели дерева принятия решений по алгоритму С4.5 и нейронной сети. С помощью инструмента WEKA был построен наивный Байесовский классификатор.
Была проведена оценка построенных моделей по их точности распознавания атак на тестовой выборке, ошибках первого и второго рода. По результатам исследований модель нейронной сети показала лучшие результаты по точности распознавания и имеет меньшие ошибки первого и второго рода по сравнению с другими моделями. Однако для решения задачи данной работы дерево принятия решений имеет большую ценность, так как его правила и автоматически составляемы список значимости атрибутов могут служить основой для правил SIEM-системы.



1. Насибуллина А.Ф Разработка и исследование методов и
алгоритмов автоматического построения правил SIEM-систем: курсовая работа [Текст] / А.Ф.Насибуллина. - Казань: КФУ. — 2018 — 32 с.
2. Насибуллина А.Ф Разработка и исследование методов и
алгоритмов автоматического построения правил SIEM-систем: статья
[Электронный ресурс]. — 2018. — URL:
http://itconf.kpfu.ru/Lists/List1/Attachments/621/%D0%9D%D0%B0%D1%81% D0%B8%D0%B 1%D 1 %83%D0%BB%D0%BB%D0%B8%D0%BD%D0%B077
5. pdf (дата обращения 01.02.2019).
3. Насибуллина А.Ф Отчет по производственной практике [Текст] /
А.Ф.Насибуллина. - Казань: КФУ. — 2019 — 24 с.
4. SIEM-системы [Электронный ресурс]. — 2018. — URL:
https://www.anti-malware.ru/security/siem (дата обращения 28.09.2018).
5. Федорченко, А.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1-2 [Текст] / А.В. Федорченко, Д.С. Левшун, А.А. Чечулин, И.В. Котенко // Труды СПИИРАН. - 2016. - №4(47). — С. 1 — 6.
6. Что такое SIEM? [Электронный ресурс]. — 2012. — URL: https://www.securitylab.ru/analytics/430777.php?R=1 (дата обращения
28.09.2018) .
7. Корреляция SIEM — это просто. Сигнатурные методы [Электронный ресурс]. — 2012. — URL: https://www.securitylab.ru/analytics/431459.php?R=1 (дата обращения 28.09.2018).
8. Дерево принятия решений [Электронный ресурс]. — 2016. — URL: http://sewiki.ru/Дерево_принятия_решений (дата обращения 05.02.2019).
9. Deductor Studio — Руководство аналитика [Электронный ресурс]. —
2013. — URL:
https://basegroup.ru/system/files/documentation/guide_analyst_5.3.0.pdf (дата
обращения 17.03.2019).
10. Белов, Э.В. Применение нейронной сети для обнаружения сетевых атак [Текст] / Э.В. Белов, М.В. Масленников // Научно-технический вестник информационных технологий, механики и оптики. - 2007. - №40. — С. 206.
11. Шитиков В. К. Классификация, регрессия, алгоритмы Data Mining с
использованием R [Электронный ресурс]. — 2017. — URL:
https://github.com/ranalytics/data-mining (дата обращения 09.04.2019).
12. NSL-KDD dataset [Электронный ресурс]. — 2009. — URL: https://www.unb.ca/cic/datasets/nsl.html (дата обращения 02.11.2019).
13. Зубков Е. В. Методы интеллектуального анализа данных и обнаружение вторжений [Текст] / Е. В. Зубков, В. М. Белов // Вестник СибГУТИ. - 2016. - № 1. — С. 119 — 123.
14. Деревья решений — общие принципы работы [Электронный ресурс].
— 2006. — URL: https://basegroup.ru/community/articles/description (дата обращения 26.01.2019).
15. Анализ статистических данных с использованием деревьев
[Электронный ресурс]. — 2002. — URL:
http://math.nsc.ru/AP/datamine/decisiontree.htm (дата обращения 03.02.2019).
16. Академик — Ошибки первого и второго рода [Электронный ресурс].
— 2010. — URL: https://dic.academic.ru/dic.nsf/ruwiki/238294 (дата обращения
12.04.2019) .
17. Деревья решений - C4.5 математический аппарат [Электронный ресурс]. — 2007. — URL: https://basegroup.ru/community/articles/math-c45-part1 (дата обращения 07.02.2019).
18. Nahla Ben Amor. Naive Bayes vs Decision Trees in Intrusion Detection [Текст] / Nahla Ben Amor, Salem Benferhat, Zied Elouedi Systems // ACM Symposium on Applied Computing. — 2004. — С. 1 — 5.
19. Википедия - WEKA [Электронный ресурс]. — 2018. — URL: https://ru.wikipedia.org/wiki/Weka (дата обращения 16.12.2018).


Работу высылаем на протяжении 30 минут после оплаты.




©2024 Cервис помощи студентам в выполнении работ