CC BY
55ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
АНАЛИЗ И МОНИТОРИНГ СЕТИ ПРЕДПРИЯТИЯ В РЕАЛЬНОМ ВРЕМЕНИ
Комаров Александр Николаевич
Магистрант
Донской государственный технический университет
Россия, г. Ростов-на-Дону
Аннотация. В статье рассматривается метод позволяющий производить анализ и мониторинг сети предприятия в реальном времени. Также в статье уделено внимание источникам данных для обработки информации SIEM-системой, а именно рассмотрен механизм обработки данных. Рассмотрены примеры правил корреляции в SIEM-системе. Проанализирована эффективность использования SIEM-системы.
Abstarct. The article discusses a method that allows you to analyze and monitor an enterprise network in real time. Also, the article focuses on data sources for processing information by a SIEM system, namely, the data processing mechanism is considered. Examples of correlation rules in a SIEM system are considered. The efficiency of using a SIEM system has been analyzed.
Ключевые слова: SIEM-системы, таксономия, анализ, классификация.
Key words: SIEM systems, taxonomy, analysis, classification.
Изобретение и всеобщее использование цифровых устройств привело к тому, что большинство организаций и людей хранят информацию в электронном виде. Возникает проблема защиты информационных ресурсов, так как способы несанкционированного доступа постоянно совершенствуются, поэтому задача защиты информации -актуальна.
Интенсивность информационных событий в корпоративных сетях может достигать нескольких миллионов в день, поэтому возникает проблема нахождения и локализации вредоносной информации в огромных информационных массивах. При этом обработка подобных событий в ручном режиме не представляется возможной, так как потребовала бы значительных человеческих и временных затрат, а также недопустимых с точки зрения эффективности аппаратно-программных ресурсов [1].
Одно из ключевых средств, используемое для её решения - это SIEM-системы (сокращение от англ. Security information and event management) - системы управления событиями информационной безопасности. Основные задачи, решаемые современным SIEM-приложением: сбор, анализ и предоставление пользователю в удобном виде информации, полученной с различных сетевых компонентов и устройств безопасности. Подобные инструменты позволяют оперативно и с наименьшими трудозатратами реагировать как на уже существующие, так и на потенциальные угрозы безопасности ИТ-инфраструктуры.
SIEM-система решает следующие задачи:
- консолидация данных;
- хранение событий безопасности;
- корреляция и обработка событий безопасности;
- контекстное обогащение инцидентов;
- предоставление инструментов для экспертного анализа;
- автоматическое оповещение администратора сети.
Задача SIEM-системы получить данные от источников (рисунок 1). Источник данных может быть «активным», который самостоятельно может передавать данные по указанному пути приемника, а также и «пассивным» к которому SIEM-система обращается сама. После получения информации от источника происходит нормализация данных, SIEM-система преобразует данные в единообразный формат.
Рисунок 1 - Источники данных для SlEM-систем
Следующий шаг системы - таксономия, т.е. классификация уже нормализованных данных в зависимости от их содержания: какое событие означает об успешной сетевой коммуникации, какое - о срабатывании антивируса, а какое - о входе пользователя на ПК. Таким образом формируется цепочка событий с временной последовательностью наступления такого события. Далее срабатывает механизм SIEM-систем - корреляция. Корреляция в SIEM - это соотношение межу собой событий, соответствующих тем или иным заданным условиям. Пример правила корреляции: если на трех или более ПК в течении 3 -х минут сработал антивирус, то это может означать что на предприятие произошла вирусная атака. Более сложное правило если в течении 2-х дней фиксировались попытки удаленно зайти на сервер, которые увенчались успехом, а после началось копирование данные на внешнее устройство, то это может означать что злоумышленник сумел подобрать пароль к учетной записи и копирует данные. По итогам срабатывания правила корреляции в SIEM-системы формируется инцидент информационной безопасности (далее - ИБ).
Дальнейший анализ зарегистрированных инцидентов ложится также на отдел ИБ. Где при помощи встроенных инструментов формируют отчеты, реагируют на события, и не допускают повторного инцидента в дальнейшем.
В основе работы таких систем лежат, в основном, статистические и математические технологии, работа с большими потоками событий, хранение и поиск информации в десятках терабайт данных.
Перечислим некоторые из известных SIEM-систем:
- Splunk Enterprise Security;
- HPE ArcSight;
- Qradar;
- McAfee NitroSecurity;
- Tibco Loglogic;
- MaxPatrol;
- AlienVault Usm;
- RUSIEM;
- MaxPatrol SIEM;
- «КОМРАД» от НПО «Эшелон».
Так как всё больше руководителей предприятий осознают необходимость тщательного подхода к защите информации, SIEM-системы активно развиваются, а количество представляемых решений на рынке стабильно растет.
Внедрение и последующее совершенствование SIEM-системы позволяют повысить уровень защищенности информации на предприятии. Кроме того, SIEM-система заметно облегчает работу специалистов по ИБ любого предприятия за счет аккумулирования данных об инциденте, возможности определения ответственного за обработку конкретного инцидента, а также сроков обработки инцидента. В свою очередь, собранные и обработанные статистические данные позволяют судить об эффективности работы, как отдельных средств защиты информации, так и системы безопасности в целом.
Список литературы
1. Шабуров А.С., Борисов В.И. О применении сигнатурных методов анализа информации в SIEM-системах // Вестник УрФО. Безопасность в информационной среде. - Челябинск: Изд. центр ЮУрГУ, 2015. - № 17. - С. 23-37.
ОБЗОР ПРЕИМУЩЕСТВ И НЕДОСТАТКОВ ИГРОВЫХ ДВИЖКОВ. ОБОСНОВАНИЕ ВЫБОРА ИНСТРУМЕНТОВ И ТЕХНОЛОГИЙ РАЗРАБОТКИ КЛИЕНТСКОЙ ЧАСТИ
ИГРОВЫХ ПРИЛОЖЕНИЙ.
Усков Максим Александрович
студент,
Калужский филиал МГТУ им. Н.Э. Баумана,
РФ, г. Калуга
Аннотация. В статье представлен обзор преимуществ и недостатков игровых движков. Приводится обоснование выбора игрового движка при создании клиентской многопользовательской игры определенного жанра на основе опыта разработчика.
Annotation. This article provides an overview of the advantages and disadvantages of game engines. The rationale for the choice of a game engine when creating a client-side multiplayer game of a certain genre based on the developer's experience is given.
Ключевые слова: игровой движок, обзор, выбор, клиентское приложение, многопользовательская игра, разработка.
Keywords: game engine, review, selection, client application, multiplayer game, development._
Введение
Игровой движок — это базовое ПО, на котором разрабатывается и выполняется игра, представляет собой совокупность нескольких подсистем, в которые входят звуковая, графическая, физическая. В современных движках такие системы являются модульными, а их проработка и функционал зависят от движка.
В наше время на рынке цифровых развлечений доминирующую позицию занимают компьютерные игры. Одним из наиболее желанных для издателя жанром являются MMO игры. Если всего лишь несколько лет назад все студии стремились создать свою MMORPG, то в настоящий момент предпочтение отдается играм-сервисам.
Для успешного проекта, который сможет долго удерживать игроков, а также приносить прибыль несколько лет требуется создать увлекающий игроков мир, наполненный множеством активностей, а также осуществлять внедрение нового контента и долговременную поддержку продукта. Для всего этого требуется использование наиболее подходящих средств разработки.
На рынке существует большое количество движков для реализации MMO проектов разных жанров: от выживания, до RPG проектов, шутеров от первого лица и стратегий в реальном времени.
Для разработчика важной задачей является выбор подходящего игрового движка, каждый из которых является оптимальным выбором для конкретного жанра. Однако существуют решения, подходящие для мультижанровых проектов с удобными инструментами как разработки, так и поддержки.
Если пионерам разработки игр приходилось разрабатывать свои движки, то в наше время будь то однопользовательская или многопользовательская игра, разработчики в большинстве случаев выбирают уже готовые инструменты разработки.
Определиться с игровым движком означает построить правильную стратегию разработки и поддержки приложения. Об обосновании выбора средств разработки клиентской части игровых приложений и пойдет речь в данной статье.
Основные определения
Чтобы приступить к изучению инструментов и технологий разработки клиентской части игровых приложений необходимо пояснить определения, используемые в данной статье.
FPS (жанр) - жанр игр, в которых главный игровой процесс основывается на использовании игроками огнестрельного либо схожего по механике оружия с видом от первого лица. Таким образом игрок «находится» в теле протагониста, воспринимает мир его глазами. Данный жанр является одним из вариантов экшн-игр.
FPS - Кадровая частота - количество кадров, которые сменяются за единицу времени.
MMO - массовая многопользовательская онлайн игра. В данной статье будет рассматриваться случай, когда на устройстве пользователя обязательно должен быть установлен клиент игры, содержащий в себе игровые материалы, позволяющий отображать «мир» игры, а также осуществлять управление персонажем. Такие онлайн игры подразумевают нахождение на карте множества игроков, преследующих общие цели, такие как прокачка персонажа, нахождение лучшей экипировки, сражений с другими игроками [1].
RPG - ролевая игра. Игра, в которой игрок отыгрывает своего персонажа, руководствуясь его характером, обусловленного игровым «миром». В MMO играх данного жанра целью игрока является
