Перевод названия: INVESTIGATION OF THE NETWORK ANOMALIES OF THE CORPORATE NETWORK OF KRASNOYARSK SCIENTIFIC CENTER
Тип публикации: статья из журнала
Год издания: 2018
Идентификатор DOI: 10.31772/2587-6066-2018-19-3-412-422
Ключевые слова: сетевые аномалии, кибербезопасность, система обнаружения аномалий, система обнаружения вторжений, Network Anomalies, cybersecurity, Anomaly detection system, intrusion detection system
Аннотация: Решается задача обеспечения безопасности корпоративной сети научно-исследовательской организации. Обоснована актуальность поддержки превентивных мер защиты сетевых ресурсов для организаций, выпол- няющих научную поддержку высокотехнологичного производства, проведения космических исследований и соз- дания наукоемкого оборудования, гПоказать полностьюде потеря конфиденциальных данных при несанкционированных внешних воздействиях может привести к существенным последствиям. Для решения задачи предложено проводить анализ аномалий сетевого трафика, которые могут свидетельствовать о возникновении киберугроз. Выполнен обзор существующих методов и программных продуктов, предназначенных для анализа сетевых аномалий. На их основе предложен собственный оригинальный программный инструмент, позволяющий авто- матически выполнять обнаружение аномалий и проводить последующий детальный анализ журналов сетевых служб по выбранным администратором метрикам. Программный инструмент разработан в виде веб-приложения, интегрированного в действующую инфраструктуру корпоративной сети научной организации. Внедрение веб- приложения показало актуальность и востребованность развития системы обнаружения аномалий. Для дальнейшего расширения методов защиты корпоративной сети разработано полнофункциональное программное обеспечение - автономная система анализа журналов, которая выполняет автоматический ана- лиз и агрегацию данных сетевых служб и предоставляет интерактивные средства визуализации результатов. Система имеет удобный графический интерфейс, позволяющий наглядно оценивать статистику обнаружен- ных аномалий. При помощи программного инструмента администратор может выявлять наиболее критич- ные инциденты и пресекать их в дальнейшем, изменяя конфигурацию активных систем защиты. Программное обеспечение содержит инструменты для построения диаграмм, отображающих количество аномалий за периоды времени, их распределение по наблюдаемым сервисам, источникам угроз. Оно показывает данные по активным клиентам, подверженным угрозам, частоту запросов по выбранным протоколам, от- слеживает превышение пороговых значений и пр. Применение разработанного программного обеспечения позволяет выполнять конфигурацию первой линии защиты от сетевых атак, повышает оперативность реагирования и эффективность предотвращения втор- жений за счет выявления пропущенных стандартными средствами защиты инцидентов. The problem of securing the corporate network of a research organization is being solved. The urgency of support- ing preventive measures for protecting network resources for the organizations performing scientific support of high- tech production, conducting space researches and creating high-tech equipment is grounded, where the loss of confi- dential data with unauthorized external influence can lead to significant consequences. To solve the problem, it is sug- gested to analyze the anomalies of network traffic, which can indicate the occurrence of cyberthreats. The paper reviews the existing methods and software products designed to analyze anomalies. On their basis, we propose our own original software tool that allows automatic detection of anomalies and subsequent detailed analysis of network service logs according to the metrics chosen by the administrator. The software tool is designed as a web application integrated into the existing infrastructure of the corporate network of a scientific organization. The implementation of the web application showed topicality and relevance of the development of an anomaly detection system. To further expand the methods of protecting the corporate network, full-featured software has been developed (Autonomous Log Analysis System) that performs automatic analysis and aggregation of network services data and provides interactive means of visualizing results. The system has a convenient graphical interface that allows you to visually evaluate the statistics of detected anomalies. With the help of a software tool, the administrator can identify the most critical incidents and suppress them in the future, changing the configuration of active protection systems. The software contains tools for constructing diagrams that show the number of anomalies over time periods, their distribution by observable services, sources of threats. It shows data on active clients exposed to threats, frequency of requests for selected protocols, monitors the exceeding of thresholds. The application of the developed software allows the configuration of the first line of protection against network attacks, improves responsiveness and the effectiveness of intrusion prevention by detecting missed by standard means of protection of incidents.
Журнал: Сибирский журнал науки и технологий
Выпуск журнала: Т. 19, № 3
Номера страниц: 412-422
ISSN журнала: 25876066
Место издания: Красноярск
Издатель: Федеральное государственное бюджетное образовательное учреждение высшего образования Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева