ИНТЕЛЛЕКТУАЛЬНАЯ СИСТЕМА АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (НА ОСНОВЕ МЕТОДОЛОГИИ SIEM-СИСТЕМ С ПРИМЕНЕНИЕМ МЕХАНИЗМОВ ИММУНОКОМПЬЮТИНГА)

Статья посвящена проблеме интеллектуального анализа инцидентов информационной безопасности с применением методологии, используемой в системах управления информационной безопасностью и событиями безопасности. Проанализирована сущность таких систем, состав основных модулей и порядок их взаимодействия, возможность интеграции с методами искусственного интеллекта. Описана разработанная распределенная система анализа инцидентов информационной безопасности, синтезирующая механизмы искусственной иммунной системы и корреляционного анализа данных для выявления известных и неизвестных аномалий, анализа их критичности и определения приоритетов в реагировании. Представлена схема взаимодействия модулей разработанной системы, математическая составляющая применяемого метода корреляционного анализа данных. Подробно описана серия проведенных вычислительных экспериментов, показавших высокий уровень эффективности системы в обнаружении аномалий и возможности дополнительного обучения друг друга клиентскими модулями, а также успешное выполнение серверной компонентой агрегации и корреляционного анализа данных, поступающих от клиентов, в заданном интервале времени, выделении наиболее существенных инцидентов за последний проанализированный интервал, а также за все время, как в комплексе, так и для каждой группы инцидентов. Графическое отображение сервером статистических данных позволяет наглядно оценить критичность тех или иных инцидентов и определить приоритеты в реагировании на них

1. Демидов А. А. Проблемы контроля безопасности информации на объектах телекоммуникационных систем органов государственного управления: учебное пособие. – СПб: Университет ИТМО, 2015. – 70 c.

2. ГОСТ Р 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. – Москва: Стандартинформ, 2014. – 16 с.

3. Kostrecova E., Bínova H. Security Information and Event Management // PARIPEX – Indian Journal of Research. – Vol 4. – No. 2. – 2015. – pp. 119- 120.

4. Goldstein M., Asanger S., Reif M., Hutchison A. Enhancing Security Event Management Systems with Unsupervised Anomaly Detection // ICPRAM. – No 3. – 2013. – pp. 530-538.

5. Shan Z., Liao B. Design and Implementation of a Network Security Management System // Cornell University Library [Electronic resource]. URL: https://arxiv.org/ftp/arxiv/papers/1609/1609.00099.pdf (accessed 20.11.2017). – p. 1-12

6. Kotenko I., Polubelova O., Chechulin A. Design and Implementation of a Hybrid Ontological-Relational Data Repository for SIEM Systems // Future Internet. – No. 5. – 2013. – pp. 355-375.

7. Шелестова О. Корреляция SIEM – это просто. Сигнатурные методы. // Securitylab [Электронный ресурс] URL: http://www.securitylab.ru/analytics/431459.php (дата обращения: 30.03.2018).

8. Hanemann, A., Marcu, P. Algorithm Design and Application of ServiceOriented Event Correlation // ResearchGate [Electronic resource]. URL: http://www.researchgate.net/publication/221033552_Algorithm_design_and _application_of_service-oriented_event_correlation (accessed: 25.05.2018).

9. Muller, A. Event Correlation Engine // Computer Engineering and Networks Laboratory [Electronic resource]. URL: ftp://ftp.tik.ee.ethz.ch/pub/students/2009-FS/MA-2009-01.pdf (accessed 25.05.2018).

10. Шамсутдинов Р. Р. Разработка подсистемы анализа данных и выявления аномалий на основе концепции искусственной иммунной системы // Материалы VII Всероссийской заочной Интернет-конференции «Проблемы информационной безопасности», Ростов-на-Дону, 20-21 февраля, 2018. С. 239-243

11. Васильев В.И., Шамсутдинов Р.Р. Распределенная система обнаружения атак на основе механизмов иммунной системы // Труды VI Всероссийской научной конференции «Информационные технологии интеллектуальной поддержки принятия решений» (с приглашением зарубежных ученых) Т. 1, Уфа, 28-31 мая, 2018. С. 237-244.

12. Kotenko I., Fedorchenko A., Saenko I., Kushnerevich A. Big Data Technologies for Security Event Correlation Based on Event Type Accounting // Вопросы кибербезопасности. – № 5(24). – 2017. – С. 2-16

13. KDD Cup 1999 Data [Electronic resource]. URL: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (accessed 05.02.2018).