KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
1. KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG
YÖNETİMİ
Dr. Ertuğrul AKBAŞ
Kelimeler: Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, Log
Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,
SIEM, SYSLOG, SNMP, 5651 Sayılı Kanun, Karmaşık Olay İnceleme, Complex Event Processing, CEP,
Olaylar Akımı İnceleme, Event Stream Processing, ESP, RETE Algorithm, CEP, Event, ECA, Rules, İleri
Analitik ve Korelasyon Yetenekleri
OLAY VE KORELASYON TANIMI
Genellikle olay basitçe, zaman içerisinde herhangi bir anda olan herşey olarak tarif edilebilir
Örnek olarak:Bir telefonun zil çalması, bir trenin varışı, bir dosyaya erişilmesi veya olan herhangi birşey verilebilir.
Bilişim terminolojisi açısından bakarsak olay ne olduğu ve ne zaman olduğu ile ilgili bilgi içeren mesajdır.
Örnek vermek gerekirse: WEB sunucusuna yapılan isteğin sistem log dosyasına kaydı,network link down mesajı ya da
kullanıcı butona bastı olayları gibi
Korelasyon ise farklı olaylar arasındaki ilişkiyi ortaya çıkarma işlemine verilen addır.
Olay Korelasyonu (Event correlation) olaylardaki bilgilerden daha anlamlı ve yüksek seviye bilgi çıkarımına verilen
addır.
Örnek Senaryolar:
Olağanüstü durumları tespit etmek,
Bir sorunun kök nedenini (root cause) belirlemek,
veya gelecekle ilgili tahminler yapmak ve eğilimleri analiz etmek .
Korelasyon teknikleri pek çoktur.İleride bu tekniklerle ilgili bilgiler verilecektir. Uygulama alanları da çok çeşitlidir.
Piyasa ve işletme veri analizi (örneğin pazar eğilimleri tepiti),
Algoritmik alım satım (bir hisse senedi fiyatı gelişimi hakkında tahminler yapmak gibi),
Sahtekarlık algılama (örneğin bir kredi kartı kullanım alışkanlıklarındaki anormallik tespiti),
Sistem log analizi (örneğin benzer mesajları gruplama ve önemli olayları iletme)
veya ağ yönetimi ve hata analizi (örneğin bir ağ kök neden (root cause) tespit sorunu)
Log Yönetimindeki yeri ise ağ üzerindeki sayısız olay lar arasında birbiri ile bağlantılı olanları analiz ederek
yöneticiye daha anlamlı bilgiler sağlamaktır.
OLAY VE KORELASYON İLE İLGİLİ TERMİNOLOJİ
Her konuda olduğu gibi konunun daha iyi anlaşılabilmesi için terminolojinin bilinmesi gerekmektedir.
Geri plan yordamı (Deamon): Arka planda gelen isteklere cevap veren uygulama
Olumsuz olay (incident): Dikkat edilmesi gereken geçici anormal durum veya bilgi işleme sistemlerinde, gerçek ya
da potansiyel anlamda olumsuz etkisi olacak olay..Bir olumsuz olaydan birden fazla olay üretilebilir.
2. Yanlış kabul (False Positive) : Problem olmaması durumunu problem diye algılama. Sözlük anlamı ise: İstatistiksel
hipotez testinde boş varsayımı doğru iken boş varsayımının yadsınması hatası.
Yanlış Red Hatası (False Negative) : Problem olması durumunun problemsiz olarak algılanması. Sözlük anlamı ise:
İstatistiksel hipotez testinde boş varsayımı doğru değilken bunun kabul edilme hatası
Olay Kaynağı (Event Source) :
Olay Hedefi (Event Sink): Mesela veritabanı ve helpdesk sistemi
Ham olay (Raw Event) : Log sistemine yazıldığı format
Giriş Olayı (Input event) :Korelasyon safhasındaki olay
Çıkış olayı (Output event) :Olayın Korelasyon motorundan çıkan hali
Sonuç olayı (Derived event -Synthetic event)) : Korelasyon motoru tarafındna üretilen-Bir kurala bağlı olarak- olay
Sıkıştırılmış Olay (Compressed event) : Birden fazla aynı olayı temsil eden ama diğer olayları içermeyen olay
Komposit Olay (Composite event) :Korelasyon motoru tarafından üretilen ve ham olay,sonuç olayı vs.. içeren üst
seviye olay
Alarm (alarm - alert): Üretilen uyarı mesajları
Karmaşık Olay İnceleme (Complex Event Processing -CEP ) ve Olaylar Akımı İnceleme (Event
Stream Processing)
Karmaşık Olay İnceleme ve Olaylar Akımı İnceleme ayna manaye geliyormuş gibi algılanan ve birbirlerinin yerine
kullanılan iki farklı konsepttir.Ve konseptler korelasyon yöntemleri içeriisnd eönemli yer tutarlar
Karmaşık Olay İnceleme (Complex Event Processing -CEP )
Kurumsal olay inceleme büyük miktardaki olayları kontrol edecek, yönetecek ve gerçek zamanda optimize edecek
teknolojilere verilen addır. CEP metodları hep korelasyonun içerisinde karşılaşılan terimlerden biridir ve korelasyonla
ilintilidir.Pek çok ticari ve açık kaynak kodlu CEP motoru mevcuttur.[5]
Aurora (Brandeis University, Brown University and MIT)
Borealis (Brandeis University, Brown University and MIT)
Cayuga (Cornell University)
ETALIS (Forschungszentrum Informatik Karlsruhe and Stony Brook University)
Global Sensor Networks (EPFL)
NiagaraST (Portland State University)
PIPES (University of Marburg)
SASE (UC Berkeley/UMass Amherst)
STREAM (Stanford University)
Telegraph (UC Berkeley)
epZilla (University of Moratuwa)
ACAIA.org Acoustic Event Detection (AED) (Acoustic Computing for AI/AmI Applications)
http://www.streamcruncher.com/
Olaylar Akımı İnceleme (Event Stream Processing)
Olay Akımı İnceleme sürekli akışı halindeki verileri gerçek zamanlı işlemeye verilen addır
http://wiki.open-esb.java.net/Wiki.jsp?page=IEPSE
https://github.com/nathanmarz/storm
http://esper.codehaus.org/
3. Güvenlik Olayları Kayıt Sistemi (SIEM – SIM)
Olay Yönetim çözümü merkezi olarak kayıtların toplanması ve incelenmesini sağlayacak sistemin kurulamasını
hedefleyen yapıya verilen isimdir.En önemli bileşeni korelasyon motorudur.
Literatürde SEM, SIM, CSEM, CIEM, ve ESM kısaltmalarıyla ifade edilen çözümlerde aslında aynı amacı işarte
etmektedir.
Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan cihaz ve
yazılımlara ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. [6]
Mevcut Korelasyon Yöntemleri
Korelasyon Motoru Özellikleri
Bir korelasyon motorununu bilgi güvenliği ve log yönetimi açısından değerlendirirken öncelikle olarak bu alana
“Domain Awareness” özellşetirilmiş olup olmadığına bakmak gerekir.
Daha sonra kendi kendine öğrenebilen bir sistem mi yoksa mevcut sizin dışarıdan kural yazmak ya da benzeri
yöntemlere veri mi girmeniz gerekiyor “Self-Learning vs. External Knowledge” ona bakılır.
Sistemin gerçek zamanlı olarak mı çalıştığı yoksa kaydettiği veriler üzerinden mi işlem yaptığı son derece kritiktir.
Diğer çok önemli bir özellik durum bilgili (Stateful ) ya da durum bilgisiz (Stateless) olup olmadığı yani hafıza kullanıp
kullanmadığı çok çok önemlidir.
Sistemin aktif mi pasif mi olduğu çok önemlidir.Örnek olarak çıkarım kurallarına firewallda x sunucusunun çok trafik
olışturduğununtespit ediyorsan üzerindeki uygulamarın listesine de bak denebiliyor mu yoksa sadece gelen loglardan
mı işlem yapabilmektedir.
Sistem dağıtık mı merkezi mi çalışmaktadır?
Varsayılan politika (Default policy) destekliyor mu?.Mesela hiçbir kurala uymazsa logu sil gibi.
Veri kaybına sebep oluyor mu?
Transparan mı?. Kullanıcı aynı çıkarımı kendisi de oluşturamıyorsa (Benzer logları göndererek vs..) tek şansı motoro
güvenmektir ki bu da istenmeyen bir durumdur.
Gürbüzlük .Sistem daha önceden hiç karşılaşmadığı durumlarla karşılaşırsa bunu yönetebilmeli
Yönetilebilirlik.Sistemin açık bir yapıda olması, standart bir kural yazım ya da veri giriş formatının olması ve esnek bir
bir kural yazım ya da veri giriş formatının olması gerekir.
Bilgi Seviyesi. Korelasyon motorunun çok derin bir bilgiye ihtiyacının olup olmaması da önemlidir.
Korelasyon Motoru Operayonları
Sıkıştırma:Birden çok aynı olayaı teke indirme
Lojik Operatör Desteği:Korelasyon motorunun bütün lojik operatörleri desteklemesi büyük avantaj
Kurgulama: (Aggregation): Birden fazla olayı tek olay şeklinde ifade edebilme.
Filtreleme:Belli özelliklerdeki olayların korelasyona sokulmaması
4. Bastırma (Suppression): Bazı olaylar olduğunda diğer bazı olayları dikkate almama olarak açıklanabilir.
Maskeleme: Eğer router a ulaşılamıyorsa arkasındaki hosttan gelen unreachable olayını dikkate almama olarak
açıklanabilir.
Eşikleme:Belli bir sayıda olay olması yada olmaması durumunda olay üretebilme özelliği
Limitleme:
Artma: Olayın belirli parametrelerini arttırma.Mesela Önem derecesi
Zamansal İlişki (Temporal Relationship): Belli bir zaman dilimi içerisinde belli sayıda olayın oluşup oluşmadığının
takibi
Genelleştirme: Daha genel bir olaya dahil etme.Olayın skopunu genişletme
Özelleştirme: Geneleştirmenin tersi
Gruplandırma:karmaşık örüntülerden yeni olaylar oluşturma
Korelasyon Teknikleri
Sonlu Durumlu Makine (Finite State Machine-FSM): Sınırlı sayıda durumdan, durumlar arası geçişlerden ve
eylemlerin birleşmesiyle oluşan davranışların bir modelidir
Kural Tabanlı (Rule Based-RBR): Kural tabanlı sistemlerin genel amacı, belirlenen kurallar yoluyla yüksek
miktardaki verinin filtrelenmesi ve indirgenen verilere karar vericilerin erişimini sağlayarak aksiyon almalarının
sağlanmasıdır.
Durum Tabanlı Çıkarsama(CBR): Şu anki bir problemi çozmek için önceden karşılaşılan problemlerden
yararlanılan sistemdir.Diğer bir deyişle Geçmişte yaşanmış vey ayaşanmakta olan bir olayın verilecek kararlar için
kullanılmasıdır
Model Tabanlı Çıkarım (MBR):Sistemin yapısına ve davranışlarına göre
Kod Tablosu Tabanlı Çıkarım(Codebook Based Correlation): Problemin lokalizasyonu için gözlemlenebilir
belirtileri ve altında yatan problemlerin birbiriyle ilişkisi analiz edilir ve uygun bir belirtiler alt kümesi seçilir buna da
"codebook" denir [7]
Oylama Yaklaşımı (Voting Approaches) : Her eleman özel bir konuda görüş ifade etmelidir. Sonra, bir çoğunluk
kuralı (örneğin salt çoğunluk ya da k-çoğunluk) (yani oy) görüşleri bu sette uygulanır.
Belirgin Hata Lokalleştirme (Explicit Fault-localization): Alarmlar güvenilir ve ağda sadece tek bir hata olduğu
durumda arıza tespiti basittir: Hata her alarm tarafından belirtilen kümelerin kesiştiği yerde yatar. Böylece, sezgisel
olarak, ortak bir kesişim paylaşan alarmlar kore edilmelidir.
Bağımlılık Grafikleri: Bağımlılık grafiği yönetilen nesneler arasındaki bağımlılıkları modelleyen yönlendirilmiş
grafiklerdir.
Bayesian Network: Bir Bayesian ağ rasgele değişkenler tarafından temsil edilen şebeke elemanları arasındaki
olasılıksal ilişkilerin modeller yönlendirilmiş bir rastegele grafiktir
Yapay Sinir Ağları (ANN): Yapay sinir agi; insan beyninin sinir hücrelerinden olusmus katmanli ve paralel olan
yapisinin tüm fonksiyonlariyla beraber sayisal dünyada gerçeklenmeye çalisilan modellenmesidir. Sayisal dünya ile
belirtilmek istenen donanim ve yazilimdir. Bir baska ifadeyle yapay sinir agi hem donanimsal olarak hemde yazilim ile
modellenebilir. Bu baglamda, yapay sinir aglari ilk elektronik devreler yardimiyla kurulmaya çalisilmis ancak bu
5. girisim kendini yavas yavas yazilim sahasina birakmistir. Böylesi bir kisitlanmanin sebebi; elektronik devrelerin esnek
ve dinamik olarak degistirilememesi ve birbirinden farkli olan ünitelerin biraraya getirilememesi olarak ortaya
konmaktadir
Genetik Algoritmalar: Genetik algoritmalar, doğada gözlemlenen evrimsel sürece benzer bir şekilde çalışan arama ve
eniyileme yöntemidir. Karmaşık çok boyutlu arama uzayında en iyinin hayatta kalması ilkesine göre bütünsel en iyi
çözümü arar. Genetik algoritmalar, doğal seçim ilkelerine dayanan bir arama ve optimizasyon yöntemidir.
Bulanık Mantık: Bulanık mantığın temeli bulanık küme ve alt kümelere dayanır. Klasik yaklaşımda bir varlık ya
kümenin elemanıdır ya da değildir. Matematiksel olarak ifade edildiğinde varlık küme ile olan üyelik ilişkisi
bakımından kümenin elemanı olduğunda (1) kümenin elemanı olmadığı zaman (0) değerini alır. Bulanık mantık klasik
küme gösteriminin genişletilmesidir. Bulanık varlık kümesinde her bir varlığın üyelik derecesi vardır. Varlıkların üyelik
derecesi, [0,1] aralığında herhangi bir değer olabilir ve üyelik fonksiyonu M(x) ile gösterilir .
Yukarıdaki teknikleri bir arada kullanan teknikler vardır.Bu tekniklere hibrit teknikler denir.
Korelasyon Yöntemlerinin Karşılaştırması
FSM
Avantajlar: Basit bir sistem, anlaşılması ve modellenmesi ve uygulanması kolay
Dezavantajlar: Gerçekuygulamalar içi n çok basit, Kompleks problemleri adreslemekte zorlanır ve gürültüyü
gideremez.
RBR
Avantajlar: Bütün domainlere uygulanabilir,Doğal dile yakın bir dil, modüler ve problem modellemesi çok kolay
Dezavantajlar: Bakım tutumu zaman alır, eski tecrübelerden öğrenemez ve gürbüz değil
CBR
Avantajlar: eski tecrübelerden öğrenebilir
Dezavantajlar: Otomatik olarak çözüme adapte edilmesi ve yeniden kullanılması çok zor
MBR
Avantajlar: Çok derin bilgi ve tecrübe kullanır
Dezavantajlar: Yapının kurulması ve tanımlanması çok zor
Kod Tablosu Tabanlı Çıkarım -Codebook
Avantajlar: Hızlı,gürbüz ve topoloji değişiklikleirne kolay adapte olabilir
Dezavantajlar: Kullanıcı tarafından davranışların üretilmesi çok sıkıcı bir süreç ayrıca zaman mefhumu yok
Oylama-Voting
Avantajlar: Dağıtık sistemler için çok uygun
Dezavantajlar: Topolji ile ilgili bilgi gerektirir
Explicit Fault
Avantajlar: Kural tabanlıdan daha etkili ve genişletilebilir
Dezavantajlar: Çok ciddi bir ön bilgi gerektirir
Bağımlılık Grafikleri - Dependency Graphs
Avantajlar: Dinamik ve komplex sistemler için birebirdir.
Dezavantajlar: bir anda sadce bir olayla-problemle ilgilenebilir
Bayesian Networks
Avantajlar: En iyi teorik altyapı
6. Dezavantajlar: Olasılıksal çıkarımı NP-Zor (NP-hard)
Yapay Sinir Ağları -ANN
Avantajlar: İnsan beyni tarafından çözülen problemlere uygun
Dezavantajlar: Çok fazla işlem gücü gerektirir.Ayrıca davranışı anlamak zor
Yukarıdaki avantaj ve dezavantajlar analiz edilerek korelasyon motorundan beklenen özellikler:
Hafızada Korelasyon Yapabilme.
Tek Kaynak Korelasyon Kuralları.
Çoklu Kaynak Korelasyon Kuralları.
Negatif Condition Kuralları.
Context Base Korelasyon.
Hiyerarşik Korelasyon.
Çok esnek kural oluşturma yapısı.
Rule Base.
Complex Event Processing(CEP).
Forward Chaning.
Backward Chaining.
Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için
bellek içi korelasyon kullanır.
Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.
Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır.
Bütün bu özellikleri kapsaması en kolay olan ve Bilgi Güvenliği Sistemleri domainine uygulanabilecek olanı Kural
Tabanlı sistmlerdir.Aşağıdaki ticari uygulamaların çoğunluğu kural tabanlı sistemleri tercih etmişlerdir.
Açık Kaynak Kodlu Korelasyon Motorları ve Korelasyon Motorları İçeren Ürünler
Aşağıdaki ürünler açık kaynak kodlu olarak bulunabilecek ürünlerdir.
SWATCH[8]
LogSurfer[9]
SEC[10]
OSSEC[11]
Prelude[12]
OSSIM[13]
Drools[14]
Esper[15]
OpenSIMS[16]
Graylog[17]
LogStash[18]
Snare[19]
ProjectLasso[20]
Syslog-NG[21]
LogZilla[22]
LogWatch[23]
LogReport[24]
Log2TimeLine[25]
7. Ticari Korelasyon Motorları ve Korelasyon Motorları İçeren Ürünler
Aşağıdaki ticari ürünler korelasyon yeteneğine sahip ürünlerdir.
RuleCore:Kural Tabanlı bir sistem.[26]
IBM Tivoli Enterprise Console: Kural Tabanlı bir sistem ve prolog kullanıyor[27]
HP Event Correlation Services: Kural Tabanlı bir sistem olmakla birlikte Event Condition Action desteklemez
[28]
Splunk: SQL e benzer sadece kendisine özel bir yöntem uyguluyor.[29]
Novell Sentinel:Esper tabanlı CEP motoru. [30]
Q1Labs:Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.[31]
Trigeo. Kural tabanlı kendi patentini aldığı özel bir motor.[32]
NitroSecurity: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.
Tenable Log Correlation Engine.[33]
ArcSight SIEM Platform. lişkisel Olarak İyileştirilmiş Koruma ve Alma Motoru'nu (CORR-Engine) kullanan
ilk SIEM ürünüdür [34]
Symantec Security Information Manager. Kural Tabanlı bir sistem. [35]
RSA Envision. Kural Tabanlı bir sistem. [49]
Loglogic. Kural Tabanlı bir sistem. [52]
ANET Yazılım –FAUNA: Kural tabanlı RETE algoritmesının uygulaması. [36,50,51]
JSR 94 standardını da desteklemektedir[2,57]
Yukarıdaki listeye Türkiye’den sadece ANET Yazılım tarafından geliştirilen FAUNA ürünü girmiştir.Bunun sebebi
bu çalışma yapıldığında FAUNA hariç hiçbir yerli ürününü Korelasyon teknikleri ile ilgili uyduğu standartlar,
uygulanan algoritma(lar ) ve korelasyon motoru detaylarını internet ortamında veya genel ulaşılabilir şekilde
açıklamış olmamasıdır.Sadece ANET yazılım tarafından üretilen FAUNA nın detaylarına
ulaşılabilmektedir.[36,46,47]. ANET Yazılım 2003 yılından beri Fault Management konularında AR-GE
çalışmaları yapmakta olup[48] Kural Tabanlı RETE algoritmesının uygulamasını geliştirmişlerdir.
JAVA KORELASYON MOTORLARI
Java[38] dünyada en çok korelasyon motoru geliştirilen programlama dilidir.Aşağıda bazı java tabanlı uygulamaları
bulabilirsiniz.
Java based Rule Engine[39]
TermWare[40]
OpenRules[41]
SweetRules[42]
Mandarax[43]
Hammurapi[44]
DTRules[45]
Kaynakça
[1] http://en.wikipedia.org/wiki/Event_correlation
[2] http://en.wikipedia.org/wiki/JSR_94
[3] http://en.wikipedia.org/wiki/Complex_event_processing
[4] http://www.cs.brown.edu/research/aurora/
[5] http://www.complexevents.com/2008/08/31/event-processing-glossary-version-11/
[6] http://en.wikipedia.org/wiki/SIEM
[7] http://en.cnki.com.cn/Article_en/CJFDTOTAL-CCYD200904016.htm
[8] http://swatch.sourceforge.net/
[9] http://www.crypt.gen.nz/logsurfer/.
[10] http://kodu.neti.ee/~risto/sec/., http://simple-evcorr.sourceforge.net/
[11] http://www.ossec.net/main/supported-systems.
8. [12] http://www.prelude-technologies.com/en/development/documentation/compatibility/index.html
[13] http://www.alienvault.com/community
[14] http://www.jboss.org/drools/
[15] http://esper.codehaus.org.
[16] http://opensims.sourceforge.net/
[17] http://graylog2.org/
[18] http://logstash.net/
[19] intersectalliance.com/projects/index.html
[20] http://sourceforge.net/projects/lassolog/
[21] http://www.balabit.com/downloads/files/syslog-ng/sources/
[22] http://code.google.com/p/php-syslog-ng/
[23] http://sourceforge.net/projects/logwatch/files/
[24] http://www.logreport.org/
[25] http://log2timeline.net/
[26] http://www.rulecore.com/
[27] http://www-01.ibm.com/software/tivoli/products/enterprise-console/
[28] http://www.openview.hp.com/products/ecs/.
[29] http://www.splunk.com/
[30] http://www.novell.com/promo/slm/slm25.html
[31] www.q1labs.com/products
[32] http://www.trigeo.com/
[33] http://www.tenable.com/products/tenable-log-correlation-engine
[34] http://www.arcsight.com/products/
[35] www.symantec.com/business/security-information-manager
[36] http://www.anetyazilim.com.tr/Downloads/Fauna/Tr/Fauna_Datasheet_2.pdf
[37] http://www.softpanorama.org/Admin/Event_correlation/
[38] www.java.com
[39] http://www.jeops.org/ , http://sourceforge.net/projects/jeops/
[40] http://www.gradsoft.ua/prodprice_eng.html
[41] http://openrules.com/
[42] http://sweetrules.projects.semwebcentral.org/
[43] http://code.google.com/p/mandarax/
[44] http://www.hammurapi.biz/hammurapi-biz/ef/xmenu/hammurapi-group/index.html
[45] http://dtrules.com/wiki2/index.php?title=Downloads
[46] http://www.olympos.net/belgeler/siem/fauna-kural-motoru-29121322.html#axzz1mjfz81Qx
[47] http://www.docstoc.com/docs/112420968/FAUNA-Korelasyon
[48] E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and
Communications,30 June-3 July 2003, Antalya, Turkey., http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302
[49] http://www.rsa.com/node.aspx?id=3170
[50] http://www.anetyazilim.com.tr/fauna/4/286/1/1/
[51] http://en.wikipedia.org/wiki/Rete_algorithm
[52] www.loglogic.com
[53] Andreas Muller,Event Correlation Engine, Institut für Technische Informatik und Kommunikationsnetze,2009
[54] http://en.wikipedia.org/wiki/ILOG
[55] http://www.jessrules.com/
[56] http://www.oracle.com/technetwork/middleware/business-rules/overview/index.html
[57] http://jcp.org/en/jsr/detail?id=94
[58] Anatomy of a Security Operations Center, By John Wang, NASA SOC
[59] Afsaneh Madani, Saed Rezayi and Hossein Gharaee,Log Management comprehensive architecture in Security Operation Center(SOC)
[60] Jianqing Zhang,Outsourcing Security Analysis with Anonymized Logs