Tüm Makaleler

Korelasyon Motoru, İleri Analitik Yöntemler, Bilgi Güvenliği ve Log Yönetimi

Şubat 19, 2012

Korelasyon:Genellikle olay basitçe, zaman içerisinde herhangi bir anda olan herşey olarak tarif edilebilir. Örnek olarak:Bir telefonun zil çalması, bir trenin varışı, bir dosyaya erişilmesi veya olan herhangi birşey verilebilir.

Bilişim terminolojisi açısından bakarsak olay ne olduğu ve ne zaman olduğu ile ilgili bilgi içeren mesajdır.

Örnek vermek gerekirse: WEB sunucusuna yapılan isteğin sistem log dosyasına kaydı,network link down mesajı ya da kullanıcı butona bastı olayları gibi

 Korelasyon ise farklı  olaylar arasındaki ilişkiyi ortaya çıkarma işlemine verilen addır.

Olay Korelasyonu (Event correlation) olaylardaki bilgilerden daha anlamlı ve yüksek seviye bilgi çıkarımına verilen addır.

Örnek Senaryolar:

• Olağanüstü durumları tespit etmek,
• Bir sorunun kök nedenini (root cause) belirlemek,
• veya gelecekle ilgili tahminler yapmak ve eğilimleri analiz etmek .

Korelasyon teknikleri pek çoktur.İleride bu tekniklerle ilgili bilgiler verilecektir. Uygulama alanları da çok çeşitlidir.

• Piyasa ve işletme veri analizi (örneğin  pazar eğilimleri tepiti),
• Algoritmik alım satım (bir hisse senedi fiyatı gelişimi hakkında tahminler yapmak gibi),
• Sahtekarlık algılama (örneğin bir kredi kartı kullanım alışkanlıklarındaki anormallik tespiti),
• Sistem log analizi (örneğin benzer mesajları gruplama ve önemli olayları iletme)
• veya ağ yönetimi ve hata analizi (örneğin bir ağ kök neden (root cause) tespit sorunu)
• Log Yönetimindeki yeri ise ağ üzerindeki sayısız olay lar arasında birbiri ile bağlantılı olanları analiz ederek yöneticiye daha anlamlı bilgiler sağlamaktır.

OLAY VE KORELASYON İLE İLGİLİ TERMİNOLOJİ

Her konuda olduğu gibi konunun daha iyi anlaşılabilmesi için terminolojinin bilinmesi gerekmektedir.

Geri plan yordamı (Deamon): Arka planda gelen isteklere cevap veren uygulama

Olumsuz olay (incident): Dikkat edilmesi gereken geçici anormal durum veya bilgi işleme sistemlerinde, gerçek ya da potansiyel anlamda olumsuz etkisi olacak olay..Bir olumsuz olaydan  birden fazla olay üretilebilir.

Yanlış kabul (False Positive) : Problem olmaması durumunu problem diye algılama. Sözlük anlamı ise: İstatistiksel hipotez testinde boş varsayımı doğru iken boş varsayımının yadsınması hatası.

Yanlış Red Hatası (False Negative) : Problem olması durumunun problemsiz olarak algılanması. Sözlük anlamı ise: İstatistiksel hipotez testinde boş varsayımı doğru değilken bunun kabul edilme hatası

Olay Kaynağı (Event Source) :

Olay Hedefi (Event Sink): Mesela veritabanı ve helpdesk sistemi

Ham olay (Raw Event) : Log sistemine yazıldığı format

Giriş Olayı (Input event) :Korelasyon safhasındaki olay

Çıkış olayı (Output event) :Olayın Korelasyon motorundan çıkan hali

Sonuç olayı (Derived event -Synthetic event)) : Korelasyon motoru tarafındna üretilen-Bir kurala bağlı olarak- olay

Sıkıştırılmış Olay (Compressed event) : Birden fazla aynı olayı temsil eden ama diğer olayları içermeyen olay

Komposit Olay (Composite event) :Korelasyon motoru tarafından üretilen ve ham olay,sonuç olayı vs.. içeren üst seviye olay

Alarm (alarm - alert): Üretilen uyarı mesajları

 

Karmaşık Olay İnceleme (Complex Event Processing -CEP ) ve Olaylar Akımı İnceleme  (Event Stream Processing)

Karmaşık Olay İnceleme  ve Olaylar Akımı İnceleme  ayna manaye geliyormuş gibi algılanan ve birbirlerinin yerine kullanılan iki farklı konsepttir.Ve konseptler korelasyon yöntemleri içeriisnd eönemli yer tutarlar

Karmaşık Olay İnceleme (Complex Event Processing -CEP )

Kurumsal olay inceleme büyük miktardaki olayları kontrol edecek, yönetecek ve gerçek zamanda optimize edecek teknolojilere verilen addır. CEP metodları hep korelasyonun içerisinde karşılaşılan terimlerden biridir ve korelasyonla ilintilidir.Pek çok ticari ve açık kaynak kodlu CEP motoru mevcuttur.[5]

• Aurora (Brandeis University, Brown University and MIT)
• Borealis (Brandeis University, Brown University and MIT)
• Cayuga (Cornell University)
• ETALIS (Forschungszentrum Informatik Karlsruhe and Stony Brook University)
• Global Sensor Networks (EPFL)
• NiagaraST (Portland State University)
• PIPES (University of Marburg)
• SASE (UC Berkeley/UMass Amherst)
• STREAM (Stanford University)
• Telegraph (UC Berkeley)
• epZilla (University of Moratuwa)
• ACAIA.org Acoustic Event Detection (AED) (Acoustic Computing for AI/AmI Applications)
• http://www.streamcruncher.com/

Olaylar Akımı İnceleme  (Event Stream Processing)

Olay Akımı İnceleme  sürekli akışı halindeki verileri gerçek zamanlı işlemeye verilen addır

• http://wiki.open-esb.java.net/Wiki.jsp?page=IEPSE
• https://github.com/nathanmarz/storm
• http://esper.codehaus.org/

 

 

Güvenlik Olayları Kayıt Sistemi (SIEM – SIM)

 

Olay Yönetim çözümü merkezi olarak kayıtların toplanması ve incelenmesini sağlayacak sistemin kurulamasını hedefleyen yapıya verilen isimdir.En önemli bileşeni korelasyon motorudur.

Literatürde SEM, SIM, CSEM, CIEM, ve ESM kısaltmalarıyla ifade edilen çözümlerde aslında aynı amacı işarte etmektedir.

Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan cihaz ve yazılımlara ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. [6]

Mevcut Korelasyon  Yöntemleri

 

Korelasyon Motoru Özellikleri

 

Bir korelasyon motorununu bilgi güvenliği ve log yönetimi açısından değerlendirirken öncelikle olarak bu alana “Domain Awareness”  özellşetirilmiş olup olmadığına bakmak gerekir.

Daha sonra kendi kendine öğrenebilen bir sistem mi yoksa mevcut sizin dışarıdan kural yazmak ya da benzeri yöntemlere veri mi girmeniz gerekiyor  “Self-Learning vs. External Knowledge” ona bakılır.

Sistemin gerçek zamanlı olarak mı çalıştığı yoksa kaydettiği veriler üzerinden mi işlem yaptığı son derece kritiktir.

Diğer çok önemli bir özellik durum bilgili (Stateful ) ya da durum bilgisiz (Stateless) olup olmadığı yani hafıza kullanıp kullanmadığı çok çok önemlidir.

Sistemin   aktif mi pasif mi olduğu çok önemlidir.Örnek olarak çıkarım kurallarına firewallda x sunucusunun çok trafik olışturduğununtespit ediyorsan üzerindeki uygulamarın listesine de bak denebiliyor mu yoksa sadece gelen loglardan mı işlem yapabilmektedir.

Sistem dağıtık mı merkezi mi çalışmaktadır?

Varsayılan politika (Default policy) destekliyor mu?.Mesela hiçbir kurala uymazsa logu sil gibi.

Veri kaybına sebep oluyor mu?

Transparan mı?. Kullanıcı aynı çıkarımı kendisi de oluşturamıyorsa (Benzer logları göndererek vs..) tek şansı motoro güvenmektir ki bu da istenmeyen bir durumdur.

Gürbüzlük .Sistem daha önceden hiç karşılaşmadığı durumlarla karşılaşırsa bunu yönetebilmeli

Yönetilebilirlik.Sistemin açık bir yapıda olması, standart bir kural yazım ya da veri giriş formatının olması ve esnek bir bir kural yazım ya da veri giriş formatının olması gerekir.

Bilgi Seviyesi. Korelasyon motorunun çok derin bir bilgiye ihtiyacının olup olmaması da önemlidir.

Korelasyon Motoru Operayonları

 

Sıkıştırma:Birden çok  aynı olayaı teke indirme

Lojik Operatör Desteği:Korelasyon motorunun bütün lojik operatörleri desteklemesi büyük avantaj

Kurgulama: (Aggregation): Birden fazla olayı tek olay şeklinde ifade edebilme.

Filtreleme:Belli özelliklerdeki olayların korelasyona sokulmaması

Bastırma (Suppression): Bazı olaylar olduğunda diğer bazı olayları dikkate almama olarak açıklanabilir.

Maskeleme: Eğer router a ulaşılamıyorsa arkasındaki hosttan gelen unreachable olayını dikkate almama olarak açıklanabilir.

Eşikleme:Belli bir sayıda olay olması yada olmaması durumunda olay üretebilme özelliği

Limitleme:

Artma: Olayın belirli parametrelerini arttırma.Mesela Önem derecesi

Zamansal İlişki (Temporal Relationship): Belli bir zaman dilimi içerisinde belli sayıda olayın oluşup oluşmadığının takibi

Genelleştirme: Daha genel bir olaya dahil etme.Olayın skopunu genişletme

Özelleştirme: Geneleştirmenin tersi

Gruplandırma:karmaşık örüntülerden yeni olaylar oluşturma

 

Korelasyon Teknikleri

 

Sonlu Durumlu Makine (Finite State Machine-FSM): Sınırlı sayıda durumdan, durumlar arası geçişlerden ve eylemlerin birleşmesiyle oluşan davranışların bir modelidir

Kural Tabanlı (Rule Based-RBR): Kural tabanlı sistemlerin genel amacı, belirlenen kurallar yoluyla yüksek miktardaki verinin filtrelenmesi  ve indirgenen  verilere karar vericilerin erişimini sağlayarak aksiyon almalarının sağlanmasıdır.

Durum Tabanlı Çıkarsama(CBR): Şu anki bir problemi  çozmek için önceden karşılaşılan problemlerden yararlanılan sistemdir.Diğer bir deyişle Geçmişte yaşanmış vey ayaşanmakta olan bir olayın verilecek kararlar için kullanılmasıdır

Model Tabanlı Çıkarım (MBR):Sistemin yapısına ve davranışlarına göre

Kod Tablosu Tabanlı Çıkarım(Codebook Based  Correlation):   Problemin lokalizasyonu için  gözlemlenebilir belirtileri ve altında yatan problemlerin birbiriyle ilişkisi analiz edilir ve uygun bir belirtiler alt kümesi seçilir buna da "codebook" denir [7]

Oylama Yaklaşımı (Voting Approaches) : Her eleman  özel bir konuda görüş ifade etmelidir. Sonra, bir çoğunluk kuralı (örneğin salt çoğunluk ya da k-çoğunluk) (yani oy) görüşleri bu sette uygulanır.

Belirgin Hata Lokalleştirme (Explicit Fault-localization): Alarmlar güvenilir ve ağda sadece tek bir hata olduğu durumda  arıza tespiti basittir: Hata her alarm tarafından belirtilen kümelerin  kesiştiği yerde yatar. Böylece, sezgisel olarak, ortak bir kesişim paylaşan alarmlar kore edilmelidir.

 

Bağımlılık Grafikleri: Bağımlılık grafiği yönetilen nesneler arasındaki bağımlılıkları modelleyen yönlendirilmiş  grafiklerdir.

Bayesian Network: Bir Bayesian ağ rasgele değişkenler tarafından temsil edilen şebeke elemanları arasındaki olasılıksal ilişkilerin modeller yönlendirilmiş bir rastegele grafiktir

Yapay Sinir Ağları (ANN): Yapay sinir agi; insan beyninin sinir hücrelerinden olusmus katmanli ve paralel olan yapisinin tüm fonksiyonlariyla beraber sayisal dünyada gerçeklenmeye çalisilan modellenmesidir. Sayisal dünya ile belirtilmek istenen donanim ve yazilimdir. Bir baska ifadeyle yapay sinir agi hem donanimsal olarak hemde yazilim ile  modellenebilir. Bu baglamda, yapay sinir aglari ilk elektronik devreler yardimiyla kurulmaya çalisilmis ancak bu girisim kendini yavas yavas yazilim sahasina birakmistir. Böylesi bir kisitlanmanin sebebi; elektronik devrelerin esnek ve dinamik olarak degistirilememesi ve birbirinden farkli olan ünitelerin biraraya getirilememesi olarak ortaya konmaktadir

Genetik Algoritmalar: Genetik algoritmalar, doğada gözlemlenen evrimsel sürece benzer bir şekilde çalışan arama ve eniyileme yöntemidir. Karmaşık çok boyutlu arama uzayında en iyinin hayatta kalması ilkesine göre bütünsel en iyi çözümü arar. Genetik algoritmalar, doğal seçim ilkelerine dayanan bir arama ve optimizasyon yöntemidir.

Bulanık Mantık: Bulanık mantığın temeli bulanık küme ve alt kümelere dayanır. Klasik yaklaşımda bir varlık ya kümenin elemanıdır ya da değildir. Matematiksel olarak ifade edildiğinde varlık küme ile olan üyelik ilişkisi bakımından kümenin elemanı olduğunda (1) kümenin elemanı olmadığı zaman (0) değerini alır. Bulanık mantık klasik küme gösteriminin genişletilmesidir. Bulanık varlık kümesinde her bir varlığın üyelik derecesi vardır. Varlıkların üyelik derecesi, [0,1] aralığında herhangi bir değer olabilir ve üyelik fonksiyonu M(x) ile gösterilir .

Yukarıdaki teknikleri bir arada kullanan teknikler vardır.Bu tekniklere hibrit teknikler denir.

 Korelasyon  Yöntemlerinin Karşılaştırması

 FSM

Avantajlar: Basit bir sistem, anlaşılması ve modellenmesi ve uygulanması kolay

Dezavantajlar: Gerçekuygulamalar içi n çok basit, Kompleks problemleri adreslemekte zorlanır ve gürültüyü gideremez.

 

RBR

 

Avantajlar: Bütün domainlere uygulanabilir,Doğal dile yakın bir dil, modüler ve problem modellemesi çok kolay

Dezavantajlar: Bakım tutumu zaman alır, eski tecrübelerden öğrenemez ve gürbüz değil

 

CBR

Avantajlar: eski tecrübelerden öğrenebilir

Dezavantajlar: Otomatik olarak çözüme adapte edilmesi ve yeniden kullanılması çok zor

 

MBR

 

Avantajlar: Çok derin bilgi ve tecrübe kullanır

Dezavantajlar: Yapının kurulması ve tanımlanması çok zor

 

Kod Tablosu Tabanlı Çıkarım -Codebook

 

Avantajlar: Hızlı,gürbüz ve topoloji değişiklikleirne kolay adapte olabilir

Dezavantajlar: Kullanıcı tarafından davranışların üretilmesi çok sıkıcı bir süreç ayrıca zaman mefhumu  yok

 

Oylama-Voting

 

Avantajlar: Dağıtık sistemler için çok uygun

Dezavantajlar: Topolji ile ilgili bilgi gerektirir

 

Explicit Fault

 

Avantajlar: Kural tabanlıdan daha etkili ve genişletilebilir

Dezavantajlar: Çok ciddi bir ön bilgi gerektirir

 

 

Bağımlılık Grafikleri - Dependency  Graphs

 

Avantajlar: Dinamik ve komplex sistemler için birebirdir.

Dezavantajlar: bir anda sadce bir olayla-problemle ilgilenebilir

 

Bayesian Networks

 

Avantajlar: En iyi teorik altyapı

Dezavantajlar: Olasılıksal çıkarımı NP-Zor (NP-hard)

 

Yapay Sinir Ağları -ANN

 

Avantajlar: İnsan beyni tarafından çözülen problemlere uygun

Dezavantajlar: Çok fazla işlem gücü gerektirir.Ayrıca davranışı anlamak zor

 

Yukarıdaki avantaj ve dezavantajlar analiz edilerek korelasyon motorundan beklenen özellikler:

• Hafızada Korelasyon Yapabilme.
• Tek Kaynak Korelasyon Kuralları.
• Çoklu Kaynak Korelasyon Kuralları.
• Negatif Condition Kuralları.
• Context Base Korelasyon.
• Hiyerarşik Korelasyon.
• Çok esnek kural oluşturma yapısı.
• Rule Base.
• Complex Event Processing(CEP).
• Forward Chaning.
• Backward Chaining.
• Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay  verilerinin alımını hızlandırmak için bellek içi korelasyon kullanır.
• Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.
• Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır.

Bütün bu özellikleri kapsaması en kolay olan ve Bilgi Güvenliği Sistemleri domainine uygulanabilecek  olanı Kural Tabanlı sistmlerdir.Aşağıdaki ticari uygulamaların çoğunluğu kural tabanlı sistemleri tercih etmişlerdir.

Açık Kaynak Kodlu Korelasyon Motorları ve  Korelasyon Motorları İçeren Ürünler

Aşağıdaki ürünler açık kaynak kodlu olarak bulunabilecek ürünlerdir.

• SWATCH[8]
• LogSurfer[9]
• SEC[10]
• OSSEC[11]
• Prelude[12]
• OSSIM[13]
• Drools[14]
• Esper[15]
• OpenSIMS[16]
• Graylog[17]
• LogStash[18]
• Snare[19]
• ProjectLasso[20]
• Syslog-NG[21]
• LogZilla[22]
• LogWatch[23]
• LogReport[24]
• Log2TimeLine[25]

 

 

 

Ticari Korelasyon Motorları ve  Korelasyon Motorları İçeren Ürünler

 

Aşağıdaki ticari ürünler korelasyon yeteneğine sahip ürünlerdir.

• RuleCore:Kural Tabanlı bir sistem.[26]
• IBM Tivoli Enterprise Console: Kural Tabanlı bir sistem ve prolog kullanıyor[27]
• HP Event Correlation Services: Kural Tabanlı bir sistem olmakla birlikte Event Condition Action desteklemez [28]
• Splunk: SQL e benzer sadece kendisine özel bir yöntem uyguluyor.[29]
• Novell Sentinel:Esper tabanlı CEP motoru. [30]
• Q1Labs:Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.[31]
• Trigeo. Kural tabanlı kendi patentini aldığı özel bir motor.[32]
• NitroSecurity: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.
• Tenable Log Correlation Engine.[33]
• ArcSight SIEM Platform. lişkisel Olarak İyileştirilmiş Koruma ve Alma Motoru'nu (CORR-Engine) kullanan ilk SIEM ürünüdür [34]
• Symantec Security Information Manager. Kural Tabanlı bir sistem. [35]
• RSA Envision. Kural Tabanlı bir sistem. [49]
• Loglogic. Kural Tabanlı bir sistem. [52]
• ANET Yazılım –FAUNA: Kural tabanlı RETE algoritmesının uygulaması. [36,50,51]

 JSR 94 standardını da desteklemektedir[2,57]

Yukarıdaki listeye Türkiye’den sadece ANET Yazılım tarafından geliştirilen FAUNA ürünü girmiştir.Bunun sebebi bu çalışma yapıldığında FAUNA hariç hiçbir yerli ürününü Korelasyon teknikleri ile ilgili uyduğu standartlar,  uygulanan algoritma(lar ) ve korelasyon motoru detaylarını internet ortamında veya genel ulaşılabilir şekilde açıklamış olmamasıdır.Sadece ANET yazılım tarafından üretilen FAUNA nın detaylarına ulaşılabilmektedir.[36,46,47]. ANET Yazılım 2003 yılından beri Fault Management konularında AR-GE çalışmaları yapmakta olup[48]  Kural Tabanlı RETE algoritmesının uygulamasını geliştirmişlerdir.

JAVA KORELASYON MOTORLARI

 

Java[38] dünyada en çok korelasyon motoru geliştirilen programlama dilidir.Aşağıda bazı java tabanlı uygulamaları bulabilirsiniz.

• Java based Rule Engine[39]
• TermWare[40]
• OpenRules[41]
• SweetRules[42]
• Mandarax[43]
• Hammurapi[44]
• DTRules[45]

Kelimeler: Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa,  Log Yönetimi,  Log Normalleştirme, SIEM, SYSLOG, SNMP,  5651 Sayılı Kanun, Karmaşık Olay İnceleme, Complex Event Processing, CEP, Olaylar Akımı İnceleme, Event Stream Processing, ESP, RETE Algorithm, CEP, Event, ECA, Rules, İleri Analitik ve Korelasyon Yetenekleri

 

 

Kaynakça

[1]     http://en.wikipedia.org/wiki/Event_correlation

[2]     http://en.wikipedia.org/wiki/JSR_94

[3]     http://en.wikipedia.org/wiki/Complex_event_processing

[4]     http://www.cs.brown.edu/research/aurora/

[5]     http://www.complexevents.com/2008/08/31/event-processing-glossary-version-11/

[6]     http://en.wikipedia.org/wiki/SIEM

[7]     http://en.cnki.com.cn/Article_en/CJFDTOTAL-CCYD200904016.htm

[8]     http://swatch.sourceforge.net/

[9]     http://www.crypt.gen.nz/logsurfer/.

[10]  http://kodu.neti.ee/~risto/sec/., http://simple-evcorr.sourceforge.net/

[11]  http://www.ossec.net/main/supported-systems.

[12]  http://www.prelude-technologies.com/en/development/documentation/compatibility/index.html

[13]  http://www.alienvault.com/community

[14]  http://www.jboss.org/drools/

[15]  http://esper.codehaus.org.

[16]  http://opensims.sourceforge.net/

[17]  http://graylog2.org/

[18]  http://logstash.net/

[19]  intersectalliance.com/projects/index.html

[20]  http://sourceforge.net/projects/lassolog/

[21]  http://www.balabit.com/downloads/files/syslog-ng/sources/

[22]  http://code.google.com/p/php-syslog-ng/

[23]  http://sourceforge.net/projects/logwatch/files/

[24]  http://www.logreport.org/

[25]  http://log2timeline.net/

[26]  http://www.rulecore.com/

[27]  http://www-01.ibm.com/software/tivoli/products/enterprise-console/

[28]  http://www.openview.hp.com/products/ecs/.

[29]  http://www.splunk.com/

[30]  http://www.novell.com/promo/slm/slm25.html

[31]  www.q1labs.com/products

[32]  http://www.trigeo.com/

[33]  http://www.tenable.com/products/tenable-log-correlation-engine

[34]  http://www.arcsight.com/products/

[35]  www.symantec.com/business/security-information-manager

[36]  http://www.anetyazilim.com.tr/Downloads/Fauna/Tr/Fauna_Datasheet_2.pdf  

[37]  http://www.softpanorama.org/Admin/Event_correlation/

[38]  www.java.com

[39]  http://www.jeops.org/ , http://sourceforge.net/projects/jeops/

[40]  http://www.gradsoft.ua/prodprice_eng.html

[41]  http://openrules.com/

[42]  http://sweetrules.projects.semwebcentral.org/

[43]  http://code.google.com/p/mandarax/

[44]  http://www.hammurapi.biz/hammurapi-biz/ef/xmenu/hammurapi-group/index.html

[45]  http://dtrules.com/wiki2/index.php?title=Downloads

[46]  http://www.olympos.net/belgeler/siem/fauna-kural-motoru-29121322.html#axzz1mjfz81Qx

[47]  http://www.docstoc.com/docs/112420968/FAUNA-Korelasyon

[48]  E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey., http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302

[49]  http://www.rsa.com/node.aspx?id=3170

[50]  http://www.anetyazilim.com.tr/fauna/4/286/1/1/

[51]   http://en.wikipedia.org/wiki/Rete_algorithm

[52]  www.loglogic.com

[53]  Andreas Muller,Event Correlation Engine, Institut für Technische Informatik und Kommunikationsnetze,2009

[54]  http://en.wikipedia.org/wiki/ILOG

[55]  http://www.jessrules.com/

[56]  http://www.oracle.com/technetwork/middleware/business-rules/overview/index.html

[57]  http://jcp.org/en/jsr/detail?id=94

[58]  Anatomy of a Security Operations Center, By John Wang, NASA SOC

[59]  Afsaneh Madani, Saed Rezayi and Hossein Gharaee,Log Management comprehensive architecture in Security Operation Center(SOC)

[60]  Jianqing Zhang,Outsourcing Security Analysis with Anonymized Logs

 

 

 

Dr. Ertuğrul AKBAŞ

İleri Analitik Yöntemler Korelasyon Motoru Bilgi Güvenliği ve Log Yönetimi