KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE  LOG YÖNETİMİ
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ

  • 1,475 views
Uploaded on

Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,......

Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM, SYSLOG, SNMP, 5651 Sayılı Kanun, Karmaşık Olay İnceleme, Complex Event Processing, CEP, Olaylar Akımı İnceleme, Event Stream Processing, ESP, RETE Algorithm, CEP, Event, ECA, Rules, İleri Analitik ve Korelasyon Yetenekleri

More in: Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,475
On Slideshare
1,440
From Embeds
35
Number of Embeds
4

Actions

Shares
Downloads
22
Comments
0
Likes
0

Embeds 35

http://www.linkedin.com 30
https://twitter.com 2
https://www.linkedin.com 2
https://si0.twimg.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ Dr. Ertuğrul AKBAŞKelimeler: Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, LogAnalizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,SIEM, SYSLOG, SNMP, 5651 Sayılı Kanun, Karmaşık Olay İnceleme, Complex Event Processing, CEP,Olaylar Akımı İnceleme, Event Stream Processing, ESP, RETE Algorithm, CEP, Event, ECA, Rules, İleriAnalitik ve Korelasyon YetenekleriOLAY VE KORELASYON TANIMIGenellikle olay basitçe, zaman içerisinde herhangi bir anda olan herşey olarak tarif edilebilirÖrnek olarak:Bir telefonun zil çalması, bir trenin varışı, bir dosyaya erişilmesi veya olan herhangi birşey verilebilir.Bilişim terminolojisi açısından bakarsak olay ne olduğu ve ne zaman olduğu ile ilgili bilgi içeren mesajdır.Örnek vermek gerekirse: WEB sunucusuna yapılan isteğin sistem log dosyasına kaydı,network link down mesajı ya dakullanıcı butona bastı olayları gibiKorelasyon ise farklı olaylar arasındaki ilişkiyi ortaya çıkarma işlemine verilen addır.Olay Korelasyonu (Event correlation) olaylardaki bilgilerden daha anlamlı ve yüksek seviye bilgi çıkarımına verilenaddır.Örnek Senaryolar: Olağanüstü durumları tespit etmek, Bir sorunun kök nedenini (root cause) belirlemek, veya gelecekle ilgili tahminler yapmak ve eğilimleri analiz etmek .Korelasyon teknikleri pek çoktur.İleride bu tekniklerle ilgili bilgiler verilecektir. Uygulama alanları da çok çeşitlidir. Piyasa ve işletme veri analizi (örneğin pazar eğilimleri tepiti), Algoritmik alım satım (bir hisse senedi fiyatı gelişimi hakkında tahminler yapmak gibi), Sahtekarlık algılama (örneğin bir kredi kartı kullanım alışkanlıklarındaki anormallik tespiti), Sistem log analizi (örneğin benzer mesajları gruplama ve önemli olayları iletme) veya ağ yönetimi ve hata analizi (örneğin bir ağ kök neden (root cause) tespit sorunu) Log Yönetimindeki yeri ise ağ üzerindeki sayısız olay lar arasında birbiri ile bağlantılı olanları analiz ederek yöneticiye daha anlamlı bilgiler sağlamaktır.OLAY VE KORELASYON İLE İLGİLİ TERMİNOLOJİ Her konuda olduğu gibi konunun daha iyi anlaşılabilmesi için terminolojinin bilinmesi gerekmektedir. Geri plan yordamı (Deamon): Arka planda gelen isteklere cevap veren uygulama Olumsuz olay (incident): Dikkat edilmesi gereken geçici anormal durum veya bilgi işleme sistemlerinde, gerçek ya da potansiyel anlamda olumsuz etkisi olacak olay..Bir olumsuz olaydan birden fazla olay üretilebilir.
  • 2. Yanlış kabul (False Positive) : Problem olmaması durumunu problem diye algılama. Sözlük anlamı ise: İstatistikselhipotez testinde boş varsayımı doğru iken boş varsayımının yadsınması hatası.Yanlış Red Hatası (False Negative) : Problem olması durumunun problemsiz olarak algılanması. Sözlük anlamı ise:İstatistiksel hipotez testinde boş varsayımı doğru değilken bunun kabul edilme hatasıOlay Kaynağı (Event Source) :Olay Hedefi (Event Sink): Mesela veritabanı ve helpdesk sistemiHam olay (Raw Event) : Log sistemine yazıldığı formatGiriş Olayı (Input event) :Korelasyon safhasındaki olayÇıkış olayı (Output event) :Olayın Korelasyon motorundan çıkan haliSonuç olayı (Derived event -Synthetic event)) : Korelasyon motoru tarafındna üretilen-Bir kurala bağlı olarak- olaySıkıştırılmış Olay (Compressed event) : Birden fazla aynı olayı temsil eden ama diğer olayları içermeyen olayKomposit Olay (Composite event) :Korelasyon motoru tarafından üretilen ve ham olay,sonuç olayı vs.. içeren üstseviye olayAlarm (alarm - alert): Üretilen uyarı mesajlarıKarmaşık Olay İnceleme (Complex Event Processing -CEP ) ve Olaylar Akımı İnceleme (EventStream Processing)Karmaşık Olay İnceleme ve Olaylar Akımı İnceleme ayna manaye geliyormuş gibi algılanan ve birbirlerinin yerinekullanılan iki farklı konsepttir.Ve konseptler korelasyon yöntemleri içeriisnd eönemli yer tutarlarKarmaşık Olay İnceleme (Complex Event Processing -CEP )Kurumsal olay inceleme büyük miktardaki olayları kontrol edecek, yönetecek ve gerçek zamanda optimize edecekteknolojilere verilen addır. CEP metodları hep korelasyonun içerisinde karşılaşılan terimlerden biridir ve korelasyonlailintilidir.Pek çok ticari ve açık kaynak kodlu CEP motoru mevcuttur.[5] Aurora (Brandeis University, Brown University and MIT) Borealis (Brandeis University, Brown University and MIT) Cayuga (Cornell University) ETALIS (Forschungszentrum Informatik Karlsruhe and Stony Brook University) Global Sensor Networks (EPFL) NiagaraST (Portland State University) PIPES (University of Marburg) SASE (UC Berkeley/UMass Amherst) STREAM (Stanford University) Telegraph (UC Berkeley) epZilla (University of Moratuwa) ACAIA.org Acoustic Event Detection (AED) (Acoustic Computing for AI/AmI Applications) http://www.streamcruncher.com/Olaylar Akımı İnceleme (Event Stream Processing)Olay Akımı İnceleme sürekli akışı halindeki verileri gerçek zamanlı işlemeye verilen addır http://wiki.open-esb.java.net/Wiki.jsp?page=IEPSE https://github.com/nathanmarz/storm http://esper.codehaus.org/
  • 3. Güvenlik Olayları Kayıt Sistemi (SIEM – SIM)Olay Yönetim çözümü merkezi olarak kayıtların toplanması ve incelenmesini sağlayacak sistemin kurulamasınıhedefleyen yapıya verilen isimdir.En önemli bileşeni korelasyon motorudur.Literatürde SEM, SIM, CSEM, CIEM, ve ESM kısaltmalarıyla ifade edilen çözümlerde aslında aynı amacı işarteetmektedir.Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan cihaz veyazılımlara ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. [6]Mevcut Korelasyon YöntemleriKorelasyon Motoru ÖzellikleriBir korelasyon motorununu bilgi güvenliği ve log yönetimi açısından değerlendirirken öncelikle olarak bu alana“Domain Awareness” özellşetirilmiş olup olmadığına bakmak gerekir.Daha sonra kendi kendine öğrenebilen bir sistem mi yoksa mevcut sizin dışarıdan kural yazmak ya da benzeriyöntemlere veri mi girmeniz gerekiyor “Self-Learning vs. External Knowledge” ona bakılır.Sistemin gerçek zamanlı olarak mı çalıştığı yoksa kaydettiği veriler üzerinden mi işlem yaptığı son derece kritiktir.Diğer çok önemli bir özellik durum bilgili (Stateful ) ya da durum bilgisiz (Stateless) olup olmadığı yani hafıza kullanıpkullanmadığı çok çok önemlidir.Sistemin aktif mi pasif mi olduğu çok önemlidir.Örnek olarak çıkarım kurallarına firewallda x sunucusunun çok trafikolışturduğununtespit ediyorsan üzerindeki uygulamarın listesine de bak denebiliyor mu yoksa sadece gelen loglardanmı işlem yapabilmektedir.Sistem dağıtık mı merkezi mi çalışmaktadır?Varsayılan politika (Default policy) destekliyor mu?.Mesela hiçbir kurala uymazsa logu sil gibi.Veri kaybına sebep oluyor mu?Transparan mı?. Kullanıcı aynı çıkarımı kendisi de oluşturamıyorsa (Benzer logları göndererek vs..) tek şansı motorogüvenmektir ki bu da istenmeyen bir durumdur.Gürbüzlük .Sistem daha önceden hiç karşılaşmadığı durumlarla karşılaşırsa bunu yönetebilmeliYönetilebilirlik.Sistemin açık bir yapıda olması, standart bir kural yazım ya da veri giriş formatının olması ve esnek birbir kural yazım ya da veri giriş formatının olması gerekir.Bilgi Seviyesi. Korelasyon motorunun çok derin bir bilgiye ihtiyacının olup olmaması da önemlidir.Korelasyon Motoru OperayonlarıSıkıştırma:Birden çok aynı olayaı teke indirmeLojik Operatör Desteği:Korelasyon motorunun bütün lojik operatörleri desteklemesi büyük avantajKurgulama: (Aggregation): Birden fazla olayı tek olay şeklinde ifade edebilme.Filtreleme:Belli özelliklerdeki olayların korelasyona sokulmaması
  • 4. Bastırma (Suppression): Bazı olaylar olduğunda diğer bazı olayları dikkate almama olarak açıklanabilir.Maskeleme: Eğer router a ulaşılamıyorsa arkasındaki hosttan gelen unreachable olayını dikkate almama olarakaçıklanabilir.Eşikleme:Belli bir sayıda olay olması yada olmaması durumunda olay üretebilme özelliğiLimitleme:Artma: Olayın belirli parametrelerini arttırma.Mesela Önem derecesiZamansal İlişki (Temporal Relationship): Belli bir zaman dilimi içerisinde belli sayıda olayın oluşup oluşmadığınıntakibiGenelleştirme: Daha genel bir olaya dahil etme.Olayın skopunu genişletmeÖzelleştirme: Geneleştirmenin tersiGruplandırma:karmaşık örüntülerden yeni olaylar oluşturmaKorelasyon TeknikleriSonlu Durumlu Makine (Finite State Machine-FSM): Sınırlı sayıda durumdan, durumlar arası geçişlerden veeylemlerin birleşmesiyle oluşan davranışların bir modelidirKural Tabanlı (Rule Based-RBR): Kural tabanlı sistemlerin genel amacı, belirlenen kurallar yoluyla yüksekmiktardaki verinin filtrelenmesi ve indirgenen verilere karar vericilerin erişimini sağlayarak aksiyon almalarınınsağlanmasıdır.Durum Tabanlı Çıkarsama(CBR): Şu anki bir problemi çozmek için önceden karşılaşılan problemlerdenyararlanılan sistemdir.Diğer bir deyişle Geçmişte yaşanmış vey ayaşanmakta olan bir olayın verilecek kararlar içinkullanılmasıdırModel Tabanlı Çıkarım (MBR):Sistemin yapısına ve davranışlarına göreKod Tablosu Tabanlı Çıkarım(Codebook Based Correlation): Problemin lokalizasyonu için gözlemlenebilirbelirtileri ve altında yatan problemlerin birbiriyle ilişkisi analiz edilir ve uygun bir belirtiler alt kümesi seçilir buna da"codebook" denir [7]Oylama Yaklaşımı (Voting Approaches) : Her eleman özel bir konuda görüş ifade etmelidir. Sonra, bir çoğunlukkuralı (örneğin salt çoğunluk ya da k-çoğunluk) (yani oy) görüşleri bu sette uygulanır.Belirgin Hata Lokalleştirme (Explicit Fault-localization): Alarmlar güvenilir ve ağda sadece tek bir hata olduğudurumda arıza tespiti basittir: Hata her alarm tarafından belirtilen kümelerin kesiştiği yerde yatar. Böylece, sezgiselolarak, ortak bir kesişim paylaşan alarmlar kore edilmelidir.Bağımlılık Grafikleri: Bağımlılık grafiği yönetilen nesneler arasındaki bağımlılıkları modelleyen yönlendirilmişgrafiklerdir.Bayesian Network: Bir Bayesian ağ rasgele değişkenler tarafından temsil edilen şebeke elemanları arasındakiolasılıksal ilişkilerin modeller yönlendirilmiş bir rastegele grafiktirYapay Sinir Ağları (ANN): Yapay sinir agi; insan beyninin sinir hücrelerinden olusmus katmanli ve paralel olanyapisinin tüm fonksiyonlariyla beraber sayisal dünyada gerçeklenmeye çalisilan modellenmesidir. Sayisal dünya ilebelirtilmek istenen donanim ve yazilimdir. Bir baska ifadeyle yapay sinir agi hem donanimsal olarak hemde yazilim ilemodellenebilir. Bu baglamda, yapay sinir aglari ilk elektronik devreler yardimiyla kurulmaya çalisilmis ancak bu
  • 5. girisim kendini yavas yavas yazilim sahasina birakmistir. Böylesi bir kisitlanmanin sebebi; elektronik devrelerin esnekve dinamik olarak degistirilememesi ve birbirinden farkli olan ünitelerin biraraya getirilememesi olarak ortayakonmaktadirGenetik Algoritmalar: Genetik algoritmalar, doğada gözlemlenen evrimsel sürece benzer bir şekilde çalışan arama veeniyileme yöntemidir. Karmaşık çok boyutlu arama uzayında en iyinin hayatta kalması ilkesine göre bütünsel en iyiçözümü arar. Genetik algoritmalar, doğal seçim ilkelerine dayanan bir arama ve optimizasyon yöntemidir.Bulanık Mantık: Bulanık mantığın temeli bulanık küme ve alt kümelere dayanır. Klasik yaklaşımda bir varlık yakümenin elemanıdır ya da değildir. Matematiksel olarak ifade edildiğinde varlık küme ile olan üyelik ilişkisibakımından kümenin elemanı olduğunda (1) kümenin elemanı olmadığı zaman (0) değerini alır. Bulanık mantık klasikküme gösteriminin genişletilmesidir. Bulanık varlık kümesinde her bir varlığın üyelik derecesi vardır. Varlıkların üyelikderecesi, [0,1] aralığında herhangi bir değer olabilir ve üyelik fonksiyonu M(x) ile gösterilir .Yukarıdaki teknikleri bir arada kullanan teknikler vardır.Bu tekniklere hibrit teknikler denir.Korelasyon Yöntemlerinin Karşılaştırması FSMAvantajlar: Basit bir sistem, anlaşılması ve modellenmesi ve uygulanması kolayDezavantajlar: Gerçekuygulamalar içi n çok basit, Kompleks problemleri adreslemekte zorlanır ve gürültüyügideremez.RBRAvantajlar: Bütün domainlere uygulanabilir,Doğal dile yakın bir dil, modüler ve problem modellemesi çok kolayDezavantajlar: Bakım tutumu zaman alır, eski tecrübelerden öğrenemez ve gürbüz değilCBRAvantajlar: eski tecrübelerden öğrenebilirDezavantajlar: Otomatik olarak çözüme adapte edilmesi ve yeniden kullanılması çok zorMBRAvantajlar: Çok derin bilgi ve tecrübe kullanırDezavantajlar: Yapının kurulması ve tanımlanması çok zorKod Tablosu Tabanlı Çıkarım -CodebookAvantajlar: Hızlı,gürbüz ve topoloji değişiklikleirne kolay adapte olabilirDezavantajlar: Kullanıcı tarafından davranışların üretilmesi çok sıkıcı bir süreç ayrıca zaman mefhumu yokOylama-VotingAvantajlar: Dağıtık sistemler için çok uygunDezavantajlar: Topolji ile ilgili bilgi gerektirirExplicit FaultAvantajlar: Kural tabanlıdan daha etkili ve genişletilebilirDezavantajlar: Çok ciddi bir ön bilgi gerektirirBağımlılık Grafikleri - Dependency GraphsAvantajlar: Dinamik ve komplex sistemler için birebirdir.Dezavantajlar: bir anda sadce bir olayla-problemle ilgilenebilirBayesian NetworksAvantajlar: En iyi teorik altyapı
  • 6. Dezavantajlar: Olasılıksal çıkarımı NP-Zor (NP-hard)Yapay Sinir Ağları -ANNAvantajlar: İnsan beyni tarafından çözülen problemlere uygunDezavantajlar: Çok fazla işlem gücü gerektirir.Ayrıca davranışı anlamak zorYukarıdaki avantaj ve dezavantajlar analiz edilerek korelasyon motorundan beklenen özellikler: Hafızada Korelasyon Yapabilme. Tek Kaynak Korelasyon Kuralları. Çoklu Kaynak Korelasyon Kuralları. Negatif Condition Kuralları. Context Base Korelasyon. Hiyerarşik Korelasyon. Çok esnek kural oluşturma yapısı. Rule Base. Complex Event Processing(CEP). Forward Chaning. Backward Chaining. Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için bellek içi korelasyon kullanır. Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması. Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır.Bütün bu özellikleri kapsaması en kolay olan ve Bilgi Güvenliği Sistemleri domainine uygulanabilecek olanı KuralTabanlı sistmlerdir.Aşağıdaki ticari uygulamaların çoğunluğu kural tabanlı sistemleri tercih etmişlerdir.Açık Kaynak Kodlu Korelasyon Motorları ve Korelasyon Motorları İçeren ÜrünlerAşağıdaki ürünler açık kaynak kodlu olarak bulunabilecek ürünlerdir. SWATCH[8] LogSurfer[9] SEC[10] OSSEC[11] Prelude[12] OSSIM[13] Drools[14] Esper[15] OpenSIMS[16] Graylog[17] LogStash[18] Snare[19] ProjectLasso[20] Syslog-NG[21] LogZilla[22] LogWatch[23] LogReport[24] Log2TimeLine[25]
  • 7. Ticari Korelasyon Motorları ve Korelasyon Motorları İçeren ÜrünlerAşağıdaki ticari ürünler korelasyon yeteneğine sahip ürünlerdir. RuleCore:Kural Tabanlı bir sistem.[26] IBM Tivoli Enterprise Console: Kural Tabanlı bir sistem ve prolog kullanıyor[27] HP Event Correlation Services: Kural Tabanlı bir sistem olmakla birlikte Event Condition Action desteklemez [28] Splunk: SQL e benzer sadece kendisine özel bir yöntem uyguluyor.[29] Novell Sentinel:Esper tabanlı CEP motoru. [30] Q1Labs:Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.[31] Trigeo. Kural tabanlı kendi patentini aldığı özel bir motor.[32] NitroSecurity: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır. Tenable Log Correlation Engine.[33] ArcSight SIEM Platform. lişkisel Olarak İyileştirilmiş Koruma ve Alma Motorunu (CORR-Engine) kullanan ilk SIEM ürünüdür [34] Symantec Security Information Manager. Kural Tabanlı bir sistem. [35] RSA Envision. Kural Tabanlı bir sistem. [49] Loglogic. Kural Tabanlı bir sistem. [52] ANET Yazılım –FAUNA: Kural tabanlı RETE algoritmesının uygulaması. [36,50,51] JSR 94 standardını da desteklemektedir[2,57] Yukarıdaki listeye Türkiye’den sadece ANET Yazılım tarafından geliştirilen FAUNA ürünü girmiştir.Bunun sebebi bu çalışma yapıldığında FAUNA hariç hiçbir yerli ürününü Korelasyon teknikleri ile ilgili uyduğu standartlar, uygulanan algoritma(lar ) ve korelasyon motoru detaylarını internet ortamında veya genel ulaşılabilir şekilde açıklamış olmamasıdır.Sadece ANET yazılım tarafından üretilen FAUNA nın detaylarına ulaşılabilmektedir.[36,46,47]. ANET Yazılım 2003 yılından beri Fault Management konularında AR-GE çalışmaları yapmakta olup[48] Kural Tabanlı RETE algoritmesının uygulamasını geliştirmişlerdir.JAVA KORELASYON MOTORLARIJava[38] dünyada en çok korelasyon motoru geliştirilen programlama dilidir.Aşağıda bazı java tabanlı uygulamalarıbulabilirsiniz. Java based Rule Engine[39] TermWare[40] OpenRules[41] SweetRules[42] Mandarax[43] Hammurapi[44] DTRules[45]Kaynakça[1] http://en.wikipedia.org/wiki/Event_correlation[2] http://en.wikipedia.org/wiki/JSR_94[3] http://en.wikipedia.org/wiki/Complex_event_processing[4] http://www.cs.brown.edu/research/aurora/[5] http://www.complexevents.com/2008/08/31/event-processing-glossary-version-11/[6] http://en.wikipedia.org/wiki/SIEM[7] http://en.cnki.com.cn/Article_en/CJFDTOTAL-CCYD200904016.htm[8] http://swatch.sourceforge.net/[9] http://www.crypt.gen.nz/logsurfer/.[10] http://kodu.neti.ee/~risto/sec/., http://simple-evcorr.sourceforge.net/[11] http://www.ossec.net/main/supported-systems.
  • 8. [12] http://www.prelude-technologies.com/en/development/documentation/compatibility/index.html[13] http://www.alienvault.com/community[14] http://www.jboss.org/drools/[15] http://esper.codehaus.org.[16] http://opensims.sourceforge.net/[17] http://graylog2.org/[18] http://logstash.net/[19] intersectalliance.com/projects/index.html[20] http://sourceforge.net/projects/lassolog/[21] http://www.balabit.com/downloads/files/syslog-ng/sources/[22] http://code.google.com/p/php-syslog-ng/[23] http://sourceforge.net/projects/logwatch/files/[24] http://www.logreport.org/[25] http://log2timeline.net/[26] http://www.rulecore.com/[27] http://www-01.ibm.com/software/tivoli/products/enterprise-console/[28] http://www.openview.hp.com/products/ecs/.[29] http://www.splunk.com/[30] http://www.novell.com/promo/slm/slm25.html[31] www.q1labs.com/products[32] http://www.trigeo.com/[33] http://www.tenable.com/products/tenable-log-correlation-engine[34] http://www.arcsight.com/products/[35] www.symantec.com/business/security-information-manager[36] http://www.anetyazilim.com.tr/Downloads/Fauna/Tr/Fauna_Datasheet_2.pdf[37] http://www.softpanorama.org/Admin/Event_correlation/[38] www.java.com[39] http://www.jeops.org/ , http://sourceforge.net/projects/jeops/[40] http://www.gradsoft.ua/prodprice_eng.html[41] http://openrules.com/[42] http://sweetrules.projects.semwebcentral.org/[43] http://code.google.com/p/mandarax/[44] http://www.hammurapi.biz/hammurapi-biz/ef/xmenu/hammurapi-group/index.html[45] http://dtrules.com/wiki2/index.php?title=Downloads[46] http://www.olympos.net/belgeler/siem/fauna-kural-motoru-29121322.html#axzz1mjfz81Qx[47] http://www.docstoc.com/docs/112420968/FAUNA-Korelasyon[48] E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey., http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302[49] http://www.rsa.com/node.aspx?id=3170[50] http://www.anetyazilim.com.tr/fauna/4/286/1/1/[51] http://en.wikipedia.org/wiki/Rete_algorithm[52] www.loglogic.com[53] Andreas Muller,Event Correlation Engine, Institut für Technische Informatik und Kommunikationsnetze,2009[54] http://en.wikipedia.org/wiki/ILOG[55] http://www.jessrules.com/[56] http://www.oracle.com/technetwork/middleware/business-rules/overview/index.html[57] http://jcp.org/en/jsr/detail?id=94[58] Anatomy of a Security Operations Center, By John Wang, NASA SOC[59] Afsaneh Madani, Saed Rezayi and Hossein Gharaee,Log Management comprehensive architecture in Security Operation Center(SOC)[60] Jianqing Zhang,Outsourcing Security Analysis with Anonymized Logs