Мониторинг и анализ поведения пользователей компьютерных систем
Завантаження...
Дата
Назва журналу
Номер ISSN
Назва тому
Видавець
Інститут програмних систем НАН України
Анотація
Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на
несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены
проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления,
передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика
безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а
также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе
ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику
безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени
потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы,
которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов
данных. Результаты экспериментальной верификации приведены в работе.
Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе.
Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе.
Опис
Теми
Інформаційні системи
Цитування
Мониторинг и анализ поведения пользователей компьютерных систем / И.В. Машечкин, М.И. Петровский, С.В. Трошин // Пробл. програмув. — 2008. — N 2-3. — С. 541-549. — Бібліогр.: 11 назв. — рус.