Личный кабинет

СтатьяРазное

Готовая работа №152457 от пользователя А. Ксения Романовна

Повышение полноты обнаружения скоординированных кибератак на основе межхостовой корреляции поведенческих аномалий в open-source SIEM-системах

Name: Повышение полноты обнаружения скоординированных кибератак на основе межхостовой корреляции поведенческих аномалий в open-source SIEM-системах
Price: 240.00 RUB

240 ₽

Файл с работой можно будет скачать в личном кабинете после покупки

Страниц: 8

Год написания: 2026

А. Ксения Романовна

Сообщить о нарушении авторских прав

Гарантия безопасной покупки

Уникальность текста выше 50%

Возможность снять с продажи

Не подходит эта работа?

Укажите тему работы или свой e-mail, мы отправим подборку похожих работ

содержание

Готовая работа не предполагает план (Содержание)

Весь текст будет доступен после покупки

Показать еще текст

ВВЕДЕНИЕ

Введение. Постановка проблемы и актуальность
Современные open-source SIEM-системы (Wazuh, ELK) эффективно детектирует инциденты на уровне отдельных хостов, но не способны выявить скоординированные атаки, распределенные между несколькими узлами инфраструктуры. Злоумышленники целенаправленно разделяют активность (разведку, горизонтальное перемещение, сбор данных) между разными хостами, маскируя ее под легитимные операции. Каждое отдельное событие на одном хосте остается ниже порога срабатывания правил, а существующие механизмы корреляции работают только с явными совпадениями событий.
Научная и практическая актуальность подтверждена развитием методов группового анализа поведения хостов и выраженной потребностью open-source SIEM в детектировании угроз для SOC корпоративного уровня.
Цель, задачи и гипотеза
Цель исследования: Разработка модуля межхостовой корреляции поведенческих аномалий для open-source SIEM (Wazuh, ELK), повышающего полноту обнаружения скоординированных киберугроз в корпоративной инфраструктуре.
Научная задача: повысить полноту обнаружения распределенных инцидентов за счет формализации модели группового поведения хостов и алгоритма корреляции их временных аномалий.
Задачи исследования:
1) Проанализировать архитектурные ограничения open-source SIEM в контексте межхостовой корреляции + разработать модель данных для агрегации поведенческих метрик хостов.
2) Предложить алгоритм детектирования и корреляции аномалий на основе статистических порогов и анализа совпадения отклонений в группах хостов, с дальнейшей реализацией прототипа модуля Cross-Host Behavioral Correlation (CHBC) в качестве тестирования для Wazuh + провести сравнительное тестирование на искусственно созданных лабораторных данных и открытых датасетах (DETT&CT), оценив интерпретируемость результатов.
Гипотеза. Учёт не только аномалий на отдельных узлах, но и совпадения временных отклонений базовых поведенческих метрик на группе хостов, принадлежащих одной логической зоне, позволит повысить полноту обнаружения скоординированных атак по сравнению со статическими правилами SIEM.

Весь текст будет доступен после покупки

Показать еще текст

отрывок из работы

A1. Практическая применимость модуля CHBC (пример детектирования)
Суть атаки:
Злоумышленник, скомпрометировав одну машину, пытается «перепрыгнуть» на другие хосты в сети, используя украденные учётные данные.
Как это выглядит в событиях:
Хост A (с которого идёт атака): В 11:00 фиксируется небольшой всплеск создания процессов cmd.exe / powershell.exe (например, +25% от нормы для этого времени). Это подготовка инструментов.
Хост B (первая цель): В 11:02 на нём немного повышается процент неудачных попыток аутентификации по сети (SMB, RDP) — к примеру, с 1% до 5%.
Хост C (вторая цель): В 11:03 на нём также повышается процент неудачных попыток аутентификации (с 0.5% до 4%). Атака идёт параллельно.
Хост D (успешное проникновение): В 11:05 на этом хосте, после успешного входа с украденным паролем, немного увеличивается количество исходящих соединений на нестандартные порты, при этом на хосте A наблюдается всплеск исходящего трафика (выгрузка данных).
Почему open-source SIEM пропустит такой alert:
1) На каждом хосте по отдельности не будет достигнут порог для правила «Множественные неудачные аутентификации».
2) Создание процессов на хосте A выглядит как легитимная активность админа.
3) События размазаны по разным хостам и по времени.
Как это обнаружит модуль CHBC (Cross-Host Behavioral Correlation):
Модуль, зная, что хосты B, C, D относятся к одной логической группе «серверы внутренней сети», построит для них групповой профиль нормы по метрике auth_fail_rate. Обнаружив, что у трёх и более хостов этой группы в одном временном диапазоне (?t = 5 мин) этот показатель значительно отклонился от нормы, он сгенерирует alert: «Скоординированная аномалия аутентификации в группе «internal_servers». Возможна попытка горизонтального перемещения (MITRE TA0008 – тактика Lateral Movement)».

Весь текст будет доступен после покупки

Показать еще текст

Список литературы

без списка литературы

Весь текст будет доступен после покупки

Показать еще текст

Купить и скачать работу

Повышение полноты обнаружения скоординированных кибератак на основе межхостовой корреляции поведенческих аномалий в open-source SIEM-системах

Почему студенты выбирают наш сервис?

Работаем круглосуточно

24 часа в сутки

7 дней в неделю

Гарантия

Возврат средств в случае проблем с купленной готовой работой

Мы лидеры

LeWork является лидером по количеству опубликованных материалов для студентов

не подошла эта работа?

В нашей базе 78761 курсовых работ – поможем найти подходящую

Ответы на часто задаваемые вопросы

Как оплатить заказ?

Чтобы оплатить заказ на сайте, необходимо сначала пополнить баланс на этой странице - https://lework.net/addbalance

На странице пополнения баланса у вас будет возможность выбрать способ оплаты - банковская карта, электронный кошелек или другой способ.

После пополнения баланса на сайте, необходимо перейти на страницу заказа и завершить покупку, нажав соответствующую кнопку.

Если у вас возникли проблемы при пополнении баланса на сайте или остались вопросы по оплате заказа, напишите нам на support@lework.net. Мы обязательно вам поможем!

Есть ли услуга безопасной покупки, и какой срок гарантии?

Да, покупка готовой работы на сайте происходит через "безопасную сделку". Покупатель и Продавец финансово защищены от недобросовестных пользователей. Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней.

Что означает возможность снять с продажи готовую работу ?

У покупателя есть возможность снять готовую работу с продажи на сайте. Например, если необходимо скрыть страницу с работой от третьих лиц на определенный срок. Тариф можно выбрать на странице готовой работы после покупки.

Как вернуть средства за некачественную работу?

Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней. Если администрация сайта принимает решение о возврате денежных средств, то покупатель получает уведомление в личном кабинете и на электронную почту о возврате. Средства можно потратить на покупку другой готовой работы или вывести с сайта на банковскую карту. Вывод средств можно оформить в личном кабинете, заполнив соответствущую форму.

Как связаться со службой поддержки, если возникли вопросы?

Мы с радостью ответим на ваши вопросы по электронной почте support@lework.net