Введение
1 Анализ подходов к обработке данных аудита событий безопасности 13
1.1 Актуальность регистрации и анализа событий безопасности 13
1.2 Анализ существующих подходов к обработке данных о событиях безопасности 16
1.3 Цель и задачи диссертационной работы 27
1.4 Основные результаты и выводы 29
2 Разработка и исследование архитектуры системы оперативного сетевого мониторинга событий безопасности 30
2.1 Разработка структуры системы оперативного сетевого мониторинга событий безопасности 30
2.2 Анализ основных этапов обработки событий безопасности в системе 33
2.3 Постановка задачи эффективного распределения функций обработки событий безопасности между компонентами системы 36
2.4 Методика оценки эффективности обработки событий безопасности в системе 40
2.5 Анализ решений задачи эффективного распределения функций обработки событий безопасности между компонентами системы 47
2.6 Основные результаты и выводы 64
3 Разработка методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности 66
3.1 Разработка методов и алгоритмов извлечения информации. о событиях безопасности из журналов аудита 66
3.2 Разработка методов и алгоритмов формализации данных о событиях безопасности 72
3.3 Разработка методов и алгоритмов классификации и анализа событий безопасности 82
3.4 Разработка структуры базы данных событий безопасности, методов и алгоритмов сохранения результатов обработки событий безопасности 104
3.5 Разработка сетевого протокола и алгоритмов взаимодействия агентов системы с монитором событий безопасности 113
3.6 Основные результаты и выводы 118
4 Программная реализация и экспериментальное исследование системы оперативного сетевого мониторинга событий безопасности 121
4.1 Программная реализация макета системы оперативного сетевого мониторинга событий безопасности 121
4.2 Экспериментальное исследование и сравнение эффективности разработанной системы с аналогами 134
4.3 Основные результаты и выводы 152
Заключение 156
Список использованных источников 161
Приложения 165
