Аннотация:
Файлы журналов регистрации событий безопасности дают представление о состоянии информационной системы и позволяют обнаруживать аномалии в поведении пользователей и инциденты информационной безопасности. Однако автоматический анализ данных журналов событий безопасности затруднен, поскольку он содержит огромное количество неструктурированных данных, собранных из различных источников. В данной статье проводится обзор существующих подходов, которые уплотняют или суммируют данные журналов с помощью методов кластеризации, а именно методов статической и динамической кластеризации. Рассматриваются примеры применения статической и динамической кластеризации журналов событий безопасности, а также ограничения и проблемы в использовании данных методов.
Полный текст:
PDF файл (431 kB)