Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Использование графа связей типов событий для корреляции данных в SIEM-системах

263 views

Published on

Доклад посвящен исследованию процесса корреляции для SIEM-систем на основе анализа структур типов событий безопасности. Предлагается подход к автоматизированному анализу событий безопасности как входных данных с динамическим содержимым. Для автоматизированного анализа предлагается строить граф типов событий с прямыми и косвенными связями между собой. Обработка входных данных безопасности подразумевает выполнение функционального и поведенческого анализа за счет вычисления частотно-временных характеристик событий, их ранжирования и построения шаблонов поведения. Предлагаемый подход позволяет использовать ранее не применяемый метод ранговой корреляции, наряду с другими интеллектуальными методами. Формулируются требования к нормализации исходных данных. Приводится пример анализа журнала событий безопасности и полученный в результате граф связей типов событий.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Использование графа связей типов событий для корреляции данных в SIEM-системах

  1. 1. Positive Hack Days VII Москва, 23-24 мая 2017 Использование графа связей типов событий для корреляции данных в SIEM-системах Федорченко Андрей Чечулин Андрей научный руководитель проф., д.т.н. Котенко И.В. Санкт-Петербургский институт информатики и автоматизации РАН
  2. 2. Positive Hack Days VII Москва, 23-24 мая 2017 Место и роль процесса корреляции в SIEM-системах 2 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ  Выявление связей между разнородными и разноуровневыми событиями  Обнаружение вредоносной, атакующей и аномальной активности  Определение источника и цели атаки  Обнаружение многошаговых атак
  3. 3. Positive Hack Days VII Москва, 23-24 мая 2017 Задачи процесса корреляции 3 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ  Группировка низкоуровневых событий в более высокоуровневые события  Определение наличия и направления взаимосвязей между разноуровневыми событиями и информацией безопасности  Определение важности событий и их групп в рамках задачи обеспечения безопасности  Обнаружение инцидентов и предупреждений безопасности
  4. 4. Positive Hack Days VII Москва, 23-24 мая 2017 Входные данные для процесса корреляции 4 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Базы уязвимостей Базы вирусных сигнатур Базы ПАОБазы эксплойтов . . . Базы шаблонов атак Исходные данные корреляции (события) Динамичное содержимое Средства антивирусной защиты Средства обнаружения вторжений Средства обнаружения уязвимостей Средства защиты от утечек Исполняемые файлы Средства защиты информации Сетевой трафик Журналы событий Поведение пользователей . . . . . . Журналы вирусной и подозрительной активности Журналы сетевых атак и аномалий Журналы детектирования опасных объектов Журналы поведения пользователей . . . Внешняя информ-я Внутренняя информация Условно- статичное содержимое Конфигурация системы Конфигурация сети Конфигурация приложений . . . Процесс корреляцииSIEM Результат выполнения процесса корреляции Инциденты и предупреждения безопасности
  5. 5. Positive Hack Days VII Москва, 23-24 мая 2017 Методы и подходы корреляции 5 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Сигнатурные:  Правило-ориентированный  Шаблонно-ориентированный (сценарно-ориентированный)  Граф-ориентированный  На основе машины конечных состояний  На основе снимков состояний Несигнатурные:  Обучающиеся модели(байесовская, нейронная, иммунная сети)  Статистические подходы  На основе прецедентов и многие другие
  6. 6. Positive Hack Days VII Москва, 23-24 мая 2017 Проблемы выполнения задач корреляции 6 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ  Высокая степень разнородности данных о безопасности  Большое количество источников информации и событий безопасности  Ручное и объектно-зависимое конфигурирование процесса корреляции  Расширение отраслей применения SIEM-систем  Увеличение сложности проводимых атак
  7. 7. Positive Hack Days VII Москва, 23-24 мая 2017 Цель и задачи исследования 7 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Цель: разработка методики корреляции разнородной информации безопасности с учетом автоматизированной настройки и корректировки процесса выполнения в неопределенной инфраструктуре Задачи:  Анализ структур входных данных  Анализ и выявление функциональных связей элементов инфраструктуры  Анализ поведения высокоуровневых объектов  Анализ изменения состояния инфраструктуры Частная задача: анализа структур типов событий и связей между ними
  8. 8. Positive Hack Days VII Москва, 23-24 мая 2017 где E – множество событий журнала L, а T – множество типов событий журнала L где P множество свойств множества типов T Группы свойств типов событий:  Идентифицирующие  Принадлежности  Временные  Характеризующие результат  Информационные Анализ структур типов событий 8 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ
  9. 9. Positive Hack Days VII Москва, 23-24 мая 2017 Отношения между свойствами типов событий 9 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Равнозначное свойство p – это одинаковое свойство двух различных типов событий t1 и t2: Однотипные неравнозначные свойства p1 и p2 – это свойства, эквивалентные по типу содержимого: Разнотипные неравнозначные свойства – это свойства, эквивалентные по значениям содержимого при явной разнице между типами содержимого. Один тип событий t может содержать несколько однотипных и разнотипных неравнозначных свойств p в своей структуре: где s – количество однотипных или разнотипных свойств типа t
  10. 10. Positive Hack Days VII Москва, 23-24 мая 2017 Пример отношений свойств типов событий ОС Windows 10 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ ID типа, значение Свойство ID типа, значение Свойство Тип связи 4689, «Завершение процесса» Process Information/ ProcessID 4673, «Вызвана привилегирован- ная служба» Process Information/ ProcessID Прямая 4688, «Создание процесса» Process Information/ NewProcessID 4688, «Создание процесса» Process Information/ CreatorProcessID Косвенная однотип- ная 4688, «Создание процесса» Process Information/ NewProcessID 4688, «Создание процесса» Process Information/ NewProcessName Косвенная разнотип- ная
  11. 11. Positive Hack Days VII Москва, 23-24 мая 2017 В результате анализа структур типов событий формируется неориентированный граф связей G На рисунке: количество выявленных типов событий - 80 из 418 заявленных в документации; свойств - 158, 53 – уникальные (встречаются только в одном типе событий); 89 – смежные (встречаются более чем в одном типе событий) Граф связей типов событий на основе анализа их структур 11 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ
  12. 12. Positive Hack Days VII Москва, 23-24 мая 2017 Уточнение графа связей типов событий 12 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Удельный вес связи между типами событий – количество равнозначных свойств (при структурном анализе) Относительный вес связи между событиями – количество совпадающих значений равно- значных свойств в обрабатыва- емой паре событий. Результат выполнения корре- ляции над выборкой событий – получение набора пар значений: относительный вес, интервал времени (в пределах выбранного временного окна).
  13. 13. Positive Hack Days VII Москва, 23-24 мая 2017 13 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Размер выборки определяется на основе:  частотно-временного анализа входных данных; динамике (частоте) изменения значений свойств: равнозначных свойств; неравнозначных однотипных свойств; неравнозначных разнотипных свойств -0.03 0.02 0.07 0.12 0.17 0.22 0.27 0.32 0.37 0.42 1 11 21 31 41 51 61 71 81 91 101 111 121 131 141 151 161 171 181 191 201 211 221 231 241 251 261 271 281 291 301 311 321 331 341 351 361 371 381 391 401 411 421 431 441 451 461 471 481 4663 4776 4702 4778 4779 5447 4670 5152 4634 4672 4673 5154 4674 5156 Репрезентативность выборки событий
  14. 14. Positive Hack Days VII Москва, 23-24 мая 2017 14 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Необходимые условия:  по нормализации: структура одного типа события t не должна иметь равнозначных свойств p1 и p2:  по полноте: типы событий, не содержащиеся в журнале, не могут быть добавлены в граф связей из-за отсутствия возможности расчета отношений по времени  по времени: все события должны иметь синхронизированную временную привязку Требования к входным данным
  15. 15. Positive Hack Days VII Москва, 23-24 мая 2017 15 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Извлечение событий из журнала ОС Windows (Event Viewer):  формат XML   формат «CSV»  Реальные входные данные (1)
  16. 16. Positive Hack Days VII Москва, 23-24 мая 2017 16 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Извлечение событий из журнала ОС Windows (WinAPI): HANDLE OpenEventLog( _In_ LPCTSTR lpUNCServerName, _In_ LPCTSTR lpSourceName); BOOL ReadEventLog( _In_ HANDLE hEventLog, _In_ DWORD dwReadFlags, _In_ DWORD dwRecordOffset, _Out_ LPVOID lpBuffer, _In_ DWORD nNumberOfBytesToRead, _Out_ DWORD *pnBytesRead, _Out_ DWORD *pnMinNumberOfBytesNeeded); DWORD WINAPI FormatMessage( _In_ DWORD dwFlags, _In_opt_ LPCVOID lpSource, _In_ DWORD dwMessageId, _In_ DWORD dwLanguageId, _Out_ LPTSTR lpBuffer, _In_ DWORD nSize, _In_opt_ va_list *Arguments); Реальные входные данные (2)
  17. 17. Positive Hack Days VII Москва, 23-24 мая 2017 17 ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ Текущие результаты исследования:  проанализированы структуры типов событий ОС Windows;  разработана модель связей типов событий;  построен граф связей типов событий ОС Windows;  выделены условия репрезентативности исходных данных Дальнейшая работа:  уточнение графа связей на основе значений свойств типов событий;  установление причинно-следственных связей между типами событий;  расширение списка источников данных Подведение итогов
  18. 18. Positive Hack Days VII Москва, 23-24 мая 2017 Работа выполнена при поддержке гранта РНФ №15-11-30029 в СПИИРАН Контактная информация: Федорченко Андрей Чечулин Андрей fedorchenko@comsec.spb.ru chechulin@comsec.spb.ru Котенко И.В ivkote1@mail.ru 18 СПАСИБО ЗА ВНИМАНИЕ! ИСПОЛЬЗОВАНИЕ ГРАФА СВЯЗЕЙ ТИПОВ СОБЫТИЙ ДЛЯ КОРРЕЛЯЦИИ ДАННЫХ В SIEM-СИСТЕМАХ

×