Информационная безопасность

Агрегирование


После консолидации событий начинается процесс их агрегирования, т.е. группирования однотипных событий вместе, что позволяет получить на экране вместо 10000 повторяющихся строк "UDP-Scan" или "SQL_SSRP_StackBo" (краткое название атаки Slammer в системе RealSecure Network 10/100) всего лишь одну строчку, которая дополнена новым параметром "число событий" (см. Таблицу 3).

Таблица 3. Снижение объема информации, отображаемой на консоли



Степень риска Событие Число событий Источник
Низкая UDP-Scan 11385 194.98.93.252
Высокая Backdoor-BO2k 1 194.98.93.252
Высокая SQL_SSRP_StackBo 1567 139.92.229.160
: : : :

Иными словами, агрегирование облегчает отображение данных и их анализ. Но и этого недостаточно. Агрегирование не спасает от появления сообщений об атаках, которые не несут с собой никакой угрозы. Нужна более интеллектуальная обработка событий, которую дает механизм корреляции.



Содержание раздела