Nội dung được dịch bởi AI, chỉ mang tính chất tham khảo
Hình ảnh hóa nhật ký sự kiện an ninh qua nhiều mạng và ứng dụng của nó trong Trung tâm vận hành an ninh mạng
Tóm tắt
Chúng tôi giới thiệu VisIDAC được trình bày trong nghiên cứu của Song và cộng sự (Trong: Nguyễn, P.Q., Chu, J. (biên tập) An ninh thông tin - Hội nghị quốc tế lần thứ 20, ISC 2017, An ninh và mật mã, tập 10599. Springer International Publishing, 2017), là một hệ thống hình ảnh 3-D thời gian thực cho việc hình dung tập hợp nhật ký sự kiện an ninh được phát hiện bởi các hệ thống phát hiện xâm nhập được cài đặt trong nhiều mạng khác nhau. VisIDAC bao gồm ba mặt phẳng vuông song song đại diện cho các mạng nguồn toàn cầu, mạng mục tiêu và mạng đích toàn cầu. Các sự kiện an ninh được hiển thị dưới các hình dạng, màu sắc và không gian khác nhau, theo những đặc điểm chính của chúng. Điều này giúp các nhà điều hành an ninh ngay lập tức hiểu được những thuộc tính then chốt của các sự kiện an ninh. Chúng tôi cũng áp dụng VisIDAC cho một trung tâm vận hành an ninh mạng công cộng, Trung tâm An ninh mạng Khoa học và Công nghệ (S&T-CSC), và chứng minh tính hữu ích của nó. VisIDAC cho phép người dùng nắm bắt trực quan hơn về dòng chảy tổng thể của các sự kiện an ninh và xu hướng của chúng, giúp dễ dàng nhận diện các sự kiện an ninh quy mô lớn như quét mạng, quét cổng, và các cuộc tấn công từ chối dịch vụ phân tán, và cũng hiệu quả trong việc phân biệt các loại sự kiện an ninh: mạng mục tiêu nào mà chúng liên quan; liệu chúng là lưu lượng vào hay ra; liệu chúng là tạm thời hay liên tục; và giao thức và số cổng nào thường được sử dụng.
Từ khóa
#hình ảnh hóa sự kiện an ninh #nhật ký sự kiện #hệ thống phát hiện xâm nhập #mạng #trung tâm vận hành an ninh mạngTài liệu tham khảo
Abdullah, K., Lee, C., Conti, G., Copeland, J.A., Stasko, J.: IDS RainStorm: visualizing IDS alarms. In: IEEE Workshops on Visualization for Computer Security (VizSEC ’05), pp. 1–10. IEEE Computer Society, Washington, DC (2005)
Bertini, E., Hertzog, P., Lalanne, D.: SpiralView: towards security policies assessment through visual correlation of network resources with evolution of alarms. In: IEEE Symposium on Visual Analytics Science and Technology (VAST ’07), pp. 139–146. IEEE Computer Society, Washington, DC (2007)
Blue, R., Dunne, C., Fuchs, A., King, K., Schulman, A.: Visualizing real-time network resource usage. In: Goodall, J.R., Conti, G., Ma, K.L. (eds.) Visualization for Computer Security: 5th International Workshop, VizSec 2008, pp. 119–135. Springer, Berlin (2008)
Boschetti, A., Salgarelli, L., Muelder, C., Ma, K.L.: TVi: A visual querying system for network monitoring and anomaly detection. In: Proceedings of the 8th International Symposium on Visualization for Cyber Security (VizSec ’11), pp. 1–10. ACM, New York (2011)
Bruneau, G.: DNS Sinkhole. Reading Room Site. The SANS Institute (2010)
Foresti, S., Agutter, J.: VisAlert: from idea to product. In: Goodall, J.R., Conti, G., Ma, K.L. (eds.) VizSEC 2007: Proceedings of the Workshop on Visualization for Computer Security, pp. 159–174. Springer, Berlin (2008)
Gobel, J., Dewald, A.: Client-Honeypots: Exploring Malicious Websites. R Oldenbourg Verlag GmbH (2011)
Inoue, D., Eto, M., Yoshioka, K., Baba, S., Suzuki, K., Nakazato, J., Ohtaka, K., Nakao, K.: nicter: an incident analysis system toward binding network monitoring with malware analysis. In: Information Security Threats Data Collection and Sharing, pp. 58–66 (2008)
Koike, H., Ohno, K.: SnortView: visualization system of snort logs. In: ACM Workshop on Visualization and Data Mining for Computer Security (VizSEC/DMSEC ’04), pp. 143–147. ACM, New York (2004)
Lau, S.: The spinning cube of potential doom. Commun. ACM 47(6), 25–26 (2004)
McPherson, J., Ma, K.L., Krystosk, P., Bartoletti, T., Christensen, M.: Portvis: a tool for port-based detection of security events. In: ACM Workshop on Visualization and Data Mining for Computer Security (VizSEC/DMSEC ’04), pp. 73–81. ACM, New York (2004)
Moore, D., Shannon, C., Brown, D.J., Voelker, G.M., Savage, S.: Network telescopes: Technical report. Cooperative Association for Internet Data Analysis (CAIDA) (2004)
Moore, D.: Network telescopes observing small or distant security events. In: 11th USENIX Security Symposium, Invited Talk (2003)
Nunnally, T., Chi, P., Abdullah, K., Uluagac, A.S., Copeland, J.A., Beyah, R.: P3D: A parallel 3d coordinate visualization for advanced network scans. In: 2013 IEEE International Conference on Communications (ICC), pp. 2052–2057 (2013)
Onwubiko, C.: Cyber security operations centre: security monitoring for protecting business and supporting cyber defense strategy. In: 2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA), pp. 1–10 (2015)
Paxson, V.: Bro: a system for detecting network intruders in real-time. Comput. Netw. Int. J. Comput. Telecommun. Netw. 31(23–24), 2435–2463 (1999)
Schneier, B.: Honeypots and the Honeynet Project (2001). Available at http://www.cs.rochester.edu/~brown/Crypto/news/3.txt
Shiravi, H., Shiravi, A., Ghorbani, A.A.: IDS alert visualization and monitoring through heuristic host selection. In: Soriano, M., Qing, S., López, J. (eds.) Information and Communications Security: 12th International Conference, ICICS 2010, Barcelona, Spain, December 15–17, 2010. Proceedings, pp. 445–458. Springer, Berlin (2010)
Shiravi, H., Shiravi, A., Ghorbani, A.A.: A survey of visualization systems for network security. IEEE Trans. Vis. Comput. Gr. 18(8), 1313–1329 (2012)
Song, B., Choi, S.S., Choi, J., Song, J.: Visualization of intrusion detection alarms collected from multiple networks. In: Nguyen, P.Q., Zhou, J. (eds.) Information Security—20th International Conference, ISC 2017, Security and Cryptology, vol. 10599. Springer International Publishing (2017)
Spitzner, L.: Honeypots: catching the insider threat. In: 19th Computer Security Applications Conference, pp. 170–179. IEEE (2003)
Suzuki, K.: Studies on network monitoring systems to reveal suspicious activities. Ph.D. thesis, Graduate School of Informatics, Kyoto University (2011)
Taylor, T., Brooks, S., McHugh, J.: NetBytes Viewer: an entity-based netflow visualization utility for identifying intrusive behavior. In: Goodall, J.R., Conti, G., Ma, K.L. (eds.) VizSEC 2007: Proceedings of the Workshop on Visualization for Computer Security, pp. 101–114. Springer, Berlin (2007)
Zimmerman, C.: Ten Strategies of a World-Class Cybersecurity Operations Center. MITRE Corporation (2014)