Тип работы:
 Предмет:
 Язык работы:


РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ SIEM-CHCTEM

Работа №39005

Тип работы

Магистерская диссертация

Предмет

информатика

Объем работы55
Год сдачи2019
Стоимость4900 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
864
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 3
1. Обзор SIEM-системы и методов распознавания атак 5
1.1 Определение, основные функции и архитектура SIEM 5
1.1.1 Основные функциональные задачи 5
1.1.2 Архитектура 6
1.1.3 Корреляция событий 9
1.2 Методы машинного обучения в задаче распознавания атак 12
1.2.1 Дерево принятия решений 12
1.2.2 Нейронные сети 14
1.2.3 Классификатор Байеса 16
1.2.4 Ассоциативные правила 17
2. Построение и тестирование моделей 20
2.1 Актуальность работы 20
2.2 Входные данные 21
2.3 Построение дерева решений и нейронной сети 25
2.3.1 Предобработка данных 25
2.3.2 Деревья принятия решений 28
2.3.3 Нейронные сети 31
2.4 Построение наивного классификатора Байеса в среде WEKA 35
2.5 Тестирование и анализ построенных моделей 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ЛИТЕРАТУРЫ 41
ПРИЛОЖЕНИЯ 43


В наши дни существует много разнообразного программного обеспечения (ПО) и инструментов в области защиты информации: межсетевые экраны, системы предотвращения вторжений (IDS/IPS), системы предотвращения утечек информации (DLP), антивирусы и т.д. Но все они, как отдельные продукты, ограничены - обеспечивают безопасность только в зоне их ответственности, не покрывая другие области.
Но если мы не имеем некоторой централизованной системы, которая собирает записи о том, что происходит в системе, мы даже не узнаем об этой атаке - и тем более не сможем ее предотвратить.
Возможность хранить информацию обо всех событиях, касающихся безопасности инфраструктуры предприятия, в одном месте могла бы сильно облегчить работу по анализу и выявлению существующих угроз, уязвимостей и необычного поведения.
Некоторые теоретические и практические аспекты уже были рассмотрены в работах [1] и [2].
SIEM-системы (Security Information and Event Management) являются результатом слияния систем по мониторингу событий в реальном времени (Security Event Management) и систем, которые занимаются анализом собранной информации (Security Information Management).
Конфигурация и последующая поддержка такой системы - сложный процесс, на который системным администраторам приходится тратить много ресурсов. К тому же, для эффективной настройки необходимо обладать широкими техническими знаниями. Частичная автоматизация процесса настройки правил может существенно сократить нагрузку на администраторов и помочь в покрытии всего спектра возможных атак [2].
Самый сложный аспект в формировании правил для SIEM - это определение конкретных параметров, которые необходимо отслеживать, чтобы распознать атаку. Частично автоматизировать данный процесс можно с
В пользу актуальности темы исследования говорит высокая востребованность SIEM-систем на рынке решений по информационной безопасности. Упрощение работы с таким довольно сложным решением может сократить время на его конфигурацию (и, как следствие, затраты), а также позволит поддерживать систему не только высококвалифицированным работникам, но и начинающим IT-инженерам [1].
Целью работы является выбор и реализация прототипа решения, направленного на сокращение времени администратора на создание правил корреляции для SIEM-системы.
В основные задачи магистерской работы входит исследование методов распознавания атак, обзор и выбор нескольких возможных методов реализации автоматизированного решения, изучение их теоретических основ, разработка прототипов и их сравнение [3].


Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
Курсовые Статьи Диплом Рязань

Современные SIEM являются очень мощным инструментом защиты компьютерной инфраструктуры, так как имеют возможность считывать информацию из большого количества источников, формируя точное представление о безопасности наблюдаемой системы. Имея внушительный арсенал настроек и правил, на сегодняшний день SIEM занимают большую нишу в современных инструментах безопасности и каждым годом будут все развиваться.
В рамках выпускной квалификационной работы были изучены основные функции и архитектура систем сбора и корреляции событий. Также было проведено исследование популярных методов обнаружения вторжений. Были выбраны три направления для последующей реализации и сравнения: деревья принятия решений, сети Байеса и нейронные сети.
В качестве анализируемого материала выступает дамп сетевого трафика за определенный период времени, NSL-KDD, построенный на основе трафика, собранного интеллектуальной системой обнаружения вторжений DARPA.
С помощью инструмента для интеллектуального анализа данных Deductor Studio были построены и обучены модели дерева принятия решений по алгоритму С4.5 и нейронной сети. С помощью инструмента WEKA был построен наивный Байесовский классификатор.
Была проведена оценка построенных моделей по их точности распознавания атак на тестовой выборке, ошибках первого и второго рода. По результатам исследований модель нейронной сети показала лучшие результаты по точности распознавания и имеет меньшие ошибки первого и второго рода по сравнению с другими моделями. Однако для решения задачи данной работы дерево принятия решений имеет большую ценность, так как его правила и автоматически составляемы список значимости атрибутов могут служить основой для правил SIEM-системы.



1. Насибуллина А.Ф Разработка и исследование методов и
алгоритмов автоматического построения правил SIEM-систем: курсовая работа [Текст] / А.Ф.Насибуллина. - Казань: КФУ. — 2018 — 32 с.
2. Насибуллина А.Ф Разработка и исследование методов и
алгоритмов автоматического построения правил SIEM-систем: статья
[Электронный ресурс]. — 2018. — URL:
http://itconf.kpfu.ru/Lists/List1/Attachments/621/%D0%9D%D0%B0%D1%81% D0%B8%D0%B 1%D 1 %83%D0%BB%D0%BB%D0%B8%D0%BD%D0%B077
5. pdf (дата обращения 01.02.2019).
3. Насибуллина А.Ф Отчет по производственной практике [Текст] /
А.Ф.Насибуллина. - Казань: КФУ. — 2019 — 24 с.
4. SIEM-системы [Электронный ресурс]. — 2018. — URL:
https://www.anti-malware.ru/security/siem (дата обращения 28.09.2018).
5. Федорченко, А.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1-2 [Текст] / А.В. Федорченко, Д.С. Левшун, А.А. Чечулин, И.В. Котенко // Труды СПИИРАН. - 2016. - №4(47). — С. 1 — 6.
6. Что такое SIEM? [Электронный ресурс]. — 2012. — URL: https://www.securitylab.ru/analytics/430777.php?R=1 (дата обращения
28.09.2018) .
7. Корреляция SIEM — это просто. Сигнатурные методы [Электронный ресурс]. — 2012. — URL: https://www.securitylab.ru/analytics/431459.php?R=1 (дата обращения 28.09.2018).
8. Дерево принятия решений [Электронный ресурс]. — 2016. — URL: http://sewiki.ru/Дерево_принятия_решений (дата обращения 05.02.2019).
9. Deductor Studio — Руководство аналитика [Электронный ресурс]. —
2013. — URL:
https://basegroup.ru/system/files/documentation/guide_analyst_5.3.0.pdf (дата
обращения 17.03.2019).
10. Белов, Э.В. Применение нейронной сети для обнаружения сетевых атак [Текст] / Э.В. Белов, М.В. Масленников // Научно-технический вестник информационных технологий, механики и оптики. - 2007. - №40. — С. 206.
11. Шитиков В. К. Классификация, регрессия, алгоритмы Data Mining с
использованием R [Электронный ресурс]. — 2017. — URL:
https://github.com/ranalytics/data-mining (дата обращения 09.04.2019).
12. NSL-KDD dataset [Электронный ресурс]. — 2009. — URL: https://www.unb.ca/cic/datasets/nsl.html (дата обращения 02.11.2019).
13. Зубков Е. В. Методы интеллектуального анализа данных и обнаружение вторжений [Текст] / Е. В. Зубков, В. М. Белов // Вестник СибГУТИ. - 2016. - № 1. — С. 119 — 123.
14. Деревья решений — общие принципы работы [Электронный ресурс].
— 2006. — URL: https://basegroup.ru/community/articles/description (дата обращения 26.01.2019).
15. Анализ статистических данных с использованием деревьев
[Электронный ресурс]. — 2002. — URL:
http://math.nsc.ru/AP/datamine/decisiontree.htm (дата обращения 03.02.2019).
16. Академик — Ошибки первого и второго рода [Электронный ресурс].
— 2010. — URL: https://dic.academic.ru/dic.nsf/ruwiki/238294 (дата обращения
12.04.2019) .
17. Деревья решений - C4.5 математический аппарат [Электронный ресурс]. — 2007. — URL: https://basegroup.ru/community/articles/math-c45-part1 (дата обращения 07.02.2019).
18. Nahla Ben Amor. Naive Bayes vs Decision Trees in Intrusion Detection [Текст] / Nahla Ben Amor, Salem Benferhat, Zied Elouedi Systems // ACM Symposium on Applied Computing. — 2004. — С. 1 — 5.
19. Википедия - WEKA [Электронный ресурс]. — 2018. — URL: https://ru.wikipedia.org/wiki/Weka (дата обращения 16.12.2018).

Работу высылаем на протяжении 30 минут после оплаты.



Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Каталог работ (130793)

Новости

06.01.2018 Помощь студентам и аспирантам в выполнении работ от наших партнеров Помощь студентам и аспирантам в выполнении работ от наших партнеров

Помощь в выполнении учебных и научных работ на заказ ОФОРМИТЬ ЗАКАЗ

дальше

»» Все новости

Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Заказать диплом

Приглашаем авторов студенчесчких работ


©2024 Cервис помощи студентам в выполнении работ
.