Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Программные системы и вычислительные методы
Правильная ссылка на статью:

Заводцев И.В., Гайнов А.Е. Разработка механизмов сбора и преобразования формата представления исходной информации для систем мониторинга событий информационной безопасности

Аннотация: В функциональной структуре СУИИБ существенное значение имеют механизмы сбора и преобразования формата представления исходной информации. Поэтому в работе рассмотриваются вопросы разработки модуля трансляции событий, который обеспечит слияние регистрационных событий в одну точку. Причем важным также является возможность реалиации передачи исходных данных от одиночных сенсоров в консолидированную БД системы корреляции. Для этого необходима разработка механизма агрегации данных с их последующей нормализацией и приоретизацией, что обспечит сжатие исходных данных для последуещего приняти решения о наличии/отсутствии инцидента информационной безопасности за текущий промежуток времени. Проведена разработка математического аппарата для модуля трансляции событий перспективных СУИИБ, который обеспечит слияние регистрационных событий из многих источников в одну точку. В работе предложен механизм сбора и преобразования формата представления исходной информации, включающий: процедуру преобразования данных перед транспортировкой за счет присвоения буквенных или цифровых идентификаторов полям журналов регистрации построчно и разбиении этих идентификаторов на группы; процедуры категоризации и приоритезации; алгоритм агрегирования данных о событиях, основный на расчете выборочного коэффициента корреляции признаков элементарных событий между собой.


Ключевые слова:

события информационной безопасности, информационная безопасность, управление инцидентами, СУИИБ, извлечение данных, журналы регистрации, нормализация данных, категоризация событий, приоритезация событий, фильтрация данных

Abstract: Mechanisms to collect and convert the format of presentation of the initial information are essential in the functional structure of management systems for information security incidents. Therefore, the paper discusses the development of a module for events translation, which provides merging registration events into one point. And it is also important to have the ability to implement transfer of raw data from single sensors into the consolidated database system of correlation. This requires development of a mechanism of data aggregation with further normalization and prioritization which provides source data compression for subsequent decision making on the presence / absence of information security incident over the current period. The authors carried out the development of the mathematical apparatus for translation events module for perspective management systems for information security incidents, which provides merging registration events from many sources into one point. In this paper the authors propose a mechanism for gathering and converting the format of presentation of the initial information, including: a procedure for data converting before transporting by assigning alpha or numeric identifier to fields of registration logs line by line and splitting these identifiers into groups; procedures of categorization and prioritization;  algorithm for aggregating data about events, based on the calculation of the sample coefficient of correlation between signs of elementary events.


Keywords:

event of information security, information security, incident management, management systems for information security incide, data extraction, registration logs, data normalization, events categorization, eventss prioritization, data filtering


Эта статья может быть бесплатно загружена в формате PDF для чтения. Обращаем ваше внимание на необходимость соблюдения авторских прав, указания библиографической ссылки на статью при цитировании.

Скачать статью

Библиография
1. Просмотр событий Windows [Электронный ресурс] – Режим доступа: http://windows.microsoft.com/ru-ru/windows/what-information-event-logs-event-viewer#1TC=windows-7
2. Заводцев, И. В. Методы и способы управления инцидентами информационной безопасности : Математические методы и информационно-технические средства / И.В. Заводцев, А.Е. Гайнов // материалы IX Всерос. науч.-практ. конф., 21–22 июня 2013 г. – Краснодар: Краснодар. ун-т МВД России, 2013. – 366 с.
3. Котенко, И. В. Применение технологии управления инфор-мацией и событиями безопасности для защиты информации в критически важных инфраструктурах / И.В. Котенко, И.Б. Саенко, О.В. Полубелова, А.А. Чечулин // Труды СПИ-ИРАН. СПб.: Наука, 2012. Вып. 1(20). С.27–56.
4. Аналитический отчет «Обзор инцидентов информационной безопасности АСУ ТП зарубежных государств» (по материалам Интернет-изданий за 2008-2010 гг.) М. : НТЦ «Станкоинформза-щита» [Электронный ресурс] Режим доступа: http://itdefence.ru
5. Котенко, И. В. Построение системы интеллектуальных сер-висов для защиты информации в условиях кибернетического противоборства / И.В. Котенко, И.Б. Саенко // Труды СПИИРАН. СПб.: Наука, 2012. Вып. 3(22). С.84–100.
6. ГОСТ Р 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
References
1. Prosmotr sobytiy Windows [Elektronnyy resurs] – Rezhim dostupa: http://windows.microsoft.com/ru-ru/windows/what-information-event-logs-event-viewer#1TC=windows-7
2. Zavodtsev, I. V. Metody i sposoby upravleniya intsidentami informatsionnoy bezopasnosti : Matematicheskie metody i informatsionno-tekhnicheskie sredstva / I.V. Zavodtsev, A.E. Gaynov // materialy IX Vseros. nauch.-prakt. konf., 21–22 iyunya 2013 g. – Krasnodar: Krasnodar. un-t MVD Rossii, 2013. – 366 s.
3. Kotenko, I. V. Primenenie tekhnologii upravleniya infor-matsiey i sobytiyami bezopasnosti dlya zashchity informatsii v kriticheski vazhnykh infrastrukturakh / I.V. Kotenko, I.B. Saenko, O.V. Polubelova, A.A. Chechulin // Trudy SPI-IRAN. SPb.: Nauka, 2012. Vyp. 1(20). S.27–56.
4. Analiticheskiy otchet «Obzor intsidentov informatsionnoy bezopasnosti ASU TP zarubezhnykh gosudarstv» (po materialam Internet-izdaniy za 2008-2010 gg.) M. : NTTs «Stankoinformza-shchita» [Elektronnyy resurs] Rezhim dostupa: http://itdefence.ru
5. Kotenko, I. V. Postroenie sistemy intellektual'nykh ser-visov dlya zashchity informatsii v usloviyakh kiberneticheskogo protivoborstva / I.V. Kotenko, I.B. Saenko // Trudy SPIIRAN. SPb.: Nauka, 2012. Vyp. 3(22). S.84–100.
6. GOST R 18044-2007. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment intsidentov informatsionnoy bezopasnosti.