PHDays — Positive Hack Days. Программа
Видео с PHDays

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Программа

Использование графа связей типов событий для корреляции данных в SIEM-системах

Хочу посетить   +59

Ведущие: Андрей Федорченко, Андрей Чечулин и Игорь Котенко

Доклад посвящен исследованию процесса корреляции для SIEM-систем на основе анализа структур типов событий безопасности. Предлагается подход к автоматизированному анализу событий безопасности как входных данных с динамическим содержимым. Для автоматизированного анализа предлагается строить граф типов событий с прямыми и косвенными связями между собой. Обработка входных данных безопасности подразумевает выполнение функционального и поведенческого анализа за счет вычисления частотно-временных характеристик событий, их ранжирования и построения шаблонов поведения. Предлагаемый подход позволяет использовать ранее не применяемый метод ранговой корреляции, наряду с другими интеллектуальными методами. Формулируются требования к нормализации исходных данных. Приводится пример анализа журнала событий безопасности и полученный в результате граф связей типов событий.

  • Язык доклада
  • Русский

Андрей Федорченко
Аспирант, младший научный сотрудник лаборатории проблем компьютерной безопасности СПИИРАН. Занимается исследованиями в области корреляции событий и информации безопасности для SIEM-систем. Финалист конкурса Young School на PHDays V.

Андрей Чечулин
Старший научный сотрудник лаборатории проблем информационной безопасности СПИИРАН. Участник ряда российских и международных проектов, посвященных различным аспектам компьютерной безопасности (разработка курса по компьютерной криминалистике в Федеральной криминальной полиции Германии, разработка систем аналитического моделирования атак в проектах Европейской рамочной программы FP7, разработка систем визуализации в проектах ФЦП Российской Федерации). Выступал на различных российских и международных конференциях по компьютерной безопасности.

Игорь Котенко
Заведующий лабораторией проблем информационной безопасности СПИИРАН. Участвовал во множестве различных проектов по созданию новых технологий компьютерной безопасности (руководство проектами ФЦП Российской Федерации, РНФ, РФФИ, Европейских рамочных программ FP7 и FP6, проектов по заказу компаний HP, Intel, F-Secure). Выступал на различных конференциях по компьютерной безопасности.

Андрей Федорченко, Андрей Чечулин и Игорь Котенко Андрей Федорченко, Андрей Чечулин и Игорь Котенко

Возврат к списку