Security information event management with latent semantic analysis technique for threat identification
Issued Date
2014
Copyright Date
2014
Resource Type
Language
eng
File Type
application/pdf
No. of Pages/File Size
xiii, 89 leaves : ill.
Access Rights
open access
Rights
ผลงานนี้เป็นลิขสิทธิ์ของมหาวิทยาลัยมหิดล ขอสงวนไว้สำหรับเพื่อการศึกษาเท่านั้น ต้องอ้างอิงแหล่งที่มา ห้ามดัดแปลงเนื้อหา และห้ามนำไปใช้เพื่อการค้า
Rights Holder(s)
Mahidol University
Bibliographic Citation
Thesis (M.Sc. (Computer Science))--Mahidol University, 2014
Suggested Citation
Pavarit Dairinram Security information event management with latent semantic analysis technique for threat identification. Thesis (M.Sc. (Computer Science))--Mahidol University, 2014. Retrieved from: https://repository.li.mahidol.ac.th/handle/20.500.14594/95294
Title
Security information event management with latent semantic analysis technique for threat identification
Alternative Title(s)
การจัดการสารสนเทศและเหตุการณ์ของความมั่นคงด้วยเทคนิคการวิเคราะห์ความหมายแฝงสำหรับการระบุภาวะคุกคาม
Author(s)
Advisor(s)
Abstract
Security in a heterogeneous and complex network is one of the most significant challenges for administrators. A lot of devices are needed to handle and perform the protection and prevention in order to secure the network resources and assets from the threats, which are growing rapidly. The Security Information and Event Management (SIEM) is the major tool that helps administrators attend to the current situation. It is deployed to manage and identify the threats. Besides these, it is able to initiate the actions for protection and prevention of the network and also generate a report, which is conforms to the security standard. On the other hand, the amount of data from devices is significantly large, and the variation of threats is also a major concern for identifying them. To mitigate these problems, Latent Semantic Analysis (LSA) was proposed in this research. LSA is one of the most powerful tools that can provide efficiency in the exact matching, commonly used in information retrieval. LSA improves its performance by reducing the amount of unnecessary data generated from network devices. Additionally, it can be used to identify a similar threat pattern from the similarity between events and threats. The experiments showed that the LSA approach could help improve the threat identifying process by eliminating an amount of unnecessary data without a degradation in accuracy
ระบบความมั่นคงในระบบเครือข่ายที่มีความหลากหลาย และ สลับซับซ้อนถือเป็นอุปสรรคสำหรับผู้ดูแลระบบในการรักษาความมั่นคงต่อระบบเครือข่ายและ สินทรัพย์ภายในระบบ เครือข่าย ผู้ดูแลต้องระบบต้องทำการบริหารจัดการ อุปกรณ์ภายในเครือข่ายให้มีความสามารถป้องกันและป้องปรามจากภาวะคุกคามต่าง ๆ ที่มีจำนวนมากได้ อุปกรณ์จัดการสารสนเทศและเหตุการณ์ของความมั่นคง หรือ SIEM เป็นอีกอุปกรณ์หนึ่งที่อำนวยความสะดวกให้ผูดู้แลระบบสามารถแก้ไขปัญหา และบริหารจัการ อีกทั้งช่วยระบุภัยคุกคามที่กำลังโจมตี และเสนอแนะแนวทางการปฏิบัติพร้อมดำเนินการป้องกันและป้องปราม หลังจากที่ทำการระบุภัยคุกคามได้อย่างถูกต้องอีกทั้งสร้างรายงาน ที่อ้างอิงตามมาตรฐานความมั่นคง ต่อผู้ดูแลระบบได้ ทั้งนี้ข้อมูลที่ได้จากอุปกรณ์ต่าง ๆ ในเครือข่ายนั้นอาจมีขนาดใหญ่ รวมไปถึงการผันแปรของภัยคุกคาม ประเด็นเหล่านี้อาจส่งผลต่อเวลาและความถูกต้องในการระบุภัยคุกคามได้ ดังนั้นการใช้เทคนิคการวิเคราะห์ความหมายแฝง หรือ LSA ได้ถูกนำเสนอในการวิจัยนี้ เพื่อบรรเทาปัญหาข้างต้นลงโดยเทคนิคนี้ช่วยให้ลดจำนวนข้อมูลที่ไม่จำเป็นออก เพื่อให้การวิเคราะห์นั้น มีประสิทธิภาพที่ดีขึ้น อีกทั้งเทคนิคนี้สามารถวิเคราะห์คล้ายคลึงของภัยคุกคามที่มีความเป็นไปได้จากข้อมูลของภัยคุกคาม และ ข้อมูลเหตุการณ์ที่มีอยู่ในฐานข้อมูล โดยจากการทดลองในการวิจัยนี้พบว่า การใช้เทคนิค LSA ในอุปกรณ์ SIEM นั้นช่วยในการปรับปรุงขั้นตอนการระบุภัยคุกคามโดยการลดจำนวนของข้อมูลที่ไม่จำเป็นออกไป โดยที่การระบุยังคงความแม่นยำ เช่นเดียวกับก่อนการลดจำนวนของข้อมูล
ระบบความมั่นคงในระบบเครือข่ายที่มีความหลากหลาย และ สลับซับซ้อนถือเป็นอุปสรรคสำหรับผู้ดูแลระบบในการรักษาความมั่นคงต่อระบบเครือข่ายและ สินทรัพย์ภายในระบบ เครือข่าย ผู้ดูแลต้องระบบต้องทำการบริหารจัดการ อุปกรณ์ภายในเครือข่ายให้มีความสามารถป้องกันและป้องปรามจากภาวะคุกคามต่าง ๆ ที่มีจำนวนมากได้ อุปกรณ์จัดการสารสนเทศและเหตุการณ์ของความมั่นคง หรือ SIEM เป็นอีกอุปกรณ์หนึ่งที่อำนวยความสะดวกให้ผูดู้แลระบบสามารถแก้ไขปัญหา และบริหารจัการ อีกทั้งช่วยระบุภัยคุกคามที่กำลังโจมตี และเสนอแนะแนวทางการปฏิบัติพร้อมดำเนินการป้องกันและป้องปราม หลังจากที่ทำการระบุภัยคุกคามได้อย่างถูกต้องอีกทั้งสร้างรายงาน ที่อ้างอิงตามมาตรฐานความมั่นคง ต่อผู้ดูแลระบบได้ ทั้งนี้ข้อมูลที่ได้จากอุปกรณ์ต่าง ๆ ในเครือข่ายนั้นอาจมีขนาดใหญ่ รวมไปถึงการผันแปรของภัยคุกคาม ประเด็นเหล่านี้อาจส่งผลต่อเวลาและความถูกต้องในการระบุภัยคุกคามได้ ดังนั้นการใช้เทคนิคการวิเคราะห์ความหมายแฝง หรือ LSA ได้ถูกนำเสนอในการวิจัยนี้ เพื่อบรรเทาปัญหาข้างต้นลงโดยเทคนิคนี้ช่วยให้ลดจำนวนข้อมูลที่ไม่จำเป็นออก เพื่อให้การวิเคราะห์นั้น มีประสิทธิภาพที่ดีขึ้น อีกทั้งเทคนิคนี้สามารถวิเคราะห์คล้ายคลึงของภัยคุกคามที่มีความเป็นไปได้จากข้อมูลของภัยคุกคาม และ ข้อมูลเหตุการณ์ที่มีอยู่ในฐานข้อมูล โดยจากการทดลองในการวิจัยนี้พบว่า การใช้เทคนิค LSA ในอุปกรณ์ SIEM นั้นช่วยในการปรับปรุงขั้นตอนการระบุภัยคุกคามโดยการลดจำนวนของข้อมูลที่ไม่จำเป็นออกไป โดยที่การระบุยังคงความแม่นยำ เช่นเดียวกับก่อนการลดจำนวนของข้อมูล
Description
Computer Science (Mahidol University 2014)
Degree Name
Master of Science
Degree Level
Master's degree
Degree Department
Faculty of Information and Communication Technology
Degree Discipline
Computer Science
Degree Grantor(s)
Mahidol University