Improving security visibility with event correlation
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3003593Utgivelsesdato
2022Metadata
Vis full innførselSamlinger
Sammendrag
Sikkerhetsanalytikere er hjørnesteinen i moderne informasjonssik-kerhet hvor de analyserer logger og alarmer, sikrer nettverk, data-maskiner og tjenere, og håndterer informasjonssikkerhetshendelsersom oppstår. Analytikere er ikke en utømmelig kilde, og som andreressurser så har de begrenset med tid. I tillegg øker sannsynligvisantall alarmer over tid. Å automatisere en av de mest, om ikke denmest kritiske, delen av jobben deres, å analysere alarmer, kan fri-gjøre tid for å lage enda sikrere systemer. Denne masteroppgavenpresenterer en fremgangsmåte for å sortere ut de fleste alarmene,slik at bare de avvikende alarmene blir igjen til analytikerne. Frem-gangsmåten baserer seg på PCA, selvkodende neurale nett, klusteringmed K-means, og tidsserier. Dette vil kanskje redusere lasten somanalyse av alarmer kan være for analytikerne, og at dette frigjør tid såanalytikerne kan jobbe mot enda mer og bedre informasjonssikkerhet.Fremgangsmåten vår reduserte datasettet med alarmer til en femte-del av opprinnelig størrelse. Da vi sammenlignet dette datasettet medet lite datasett som analytikere hos Sikt hadde analysert for oss, vistedette lovende resultater. De fleste alarmene som de hadde markertsom interresante forble i det reduserte datasettet. Cyber analysts are the keystone of modern cybersecurity, analyzingevents and alerts, securing networks, computers, and servers, andresponding to incidents. Nevertheless, analysts are not an infinitesource, and as with most others, their time is limited. In additionthe amount of alerts likely increases over time. Automating one ofthe most critical parts of their job, the alert analysis, would free uptime for work on additional security. This thesis presents a methodfor sorting out most of the alerts, leaving the outliers for manualevaluation, using Principal Component Analysis (PCA), AutoencodingNeural Network, K-means clustering, and time series. This mightreduce the strain of alert analysis on the analysts, counteractingfatigue from loads of alerts, and freeing time for additional and bettersecurity. Our method reduced the alert dataset to one-fifth of itsoriginal size. Comparison with a small set of manually classified alerts,evaluated by analysts at Sikt, shows promising results in keeping theinteresting alerts in the reduced dataset.