Мониторинг и анализ поведения пользователей компьютерных систем

Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на
 несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены
 проблемы консолидации исходных данных из журналов регис...

Full description

Saved in:
Bibliographic Details
Date:2008
Main Authors: Машечкин, И.В., Петровский, М.И., Трошин, С.В.
Format: Article
Language:Russian
Published: Інститут програмних систем НАН України 2008
Subjects:
Online Access:https://nasplib.isofts.kiev.ua/handle/123456789/1471
Tags: Add Tag
No Tags, Be the first to tag this record!
Journal Title:Digital Library of Periodicals of National Academy of Sciences of Ukraine
Cite this:Мониторинг и анализ поведения пользователей компьютерных систем / И.В. Машечкин, М.И. Петровский, С.В. Трошин // Пробл. програмув. — 2008. — N 2-3. — С. 541-549. — Бібліогр.: 11 назв. — рус.

Institution

Digital Library of Periodicals of National Academy of Sciences of Ukraine
Description
Summary:Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на
 несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены
 проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления,
 передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика
 безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а
 также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе
 ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику
 безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени
 потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы,
 которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов
 данных. Результаты экспериментальной верификации приведены в работе. Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на
 несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены
 проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления,
 передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика
 безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а
 также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе
 ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику
 безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени
 потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы,
 которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов
 данных. Результаты экспериментальной верификации приведены в работе.
ISSN:1727-4907