References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2019.24.1.011

594

ИНТЕЛЛЕКТУАЛЬНАЯ СИСТЕМА АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (НА ОСНОВЕ МЕТОДОЛОГИИ SIEM-СИСТЕМ С ПРИМЕНЕНИЕМ МЕХАНИЗМОВ ИММУНОКОМПЬЮТИНГА)

INTELLIGENT SYSTEM OF INFORMATION SECURITY INCIDENT ANALYSIS (BASED ON THE METHODOLOGY OF SIEMSYSTEMS USING IMMUNOCOMPUTING MECHANISMS)

Васильев

Владимир Иванович

Vasiliev

Vladimir Ivanovich

vasilyev@ugatu.ac.ru aff-1

Шамсутдинов

Ринат Рустемович

Shamsutdinov

Rinat Rustemovich

shamsutdinov.rinat.r@gmail.com aff-2

ФБГОУ ВО «Уфимский государственный авиационный технический университет» Ufa State Aviation Technical University

ФБГОУ ВО «Уфимский государственный авиационный технический университет», Ufa State Aviation Technical University

01 01 2026

1 1

10.26102/2310-6018/2019.24.1.011

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

Статья посвящена проблеме интеллектуального анализа инцидентов информационной безопасности с применением методологии, используемой в системах управления информационной безопасностью и событиями безопасности. Проанализирована сущность таких систем, состав основных модулей и порядок их взаимодействия, возможность интеграции с методами искусственного интеллекта. Описана разработанная распределенная система анализа инцидентов информационной безопасности, синтезирующая механизмы искусственной иммунной системы и корреляционного анализа данных для выявления известных и неизвестных аномалий, анализа их критичности и определения приоритетов в реагировании. Представлена схема взаимодействия модулей разработанной системы, математическая составляющая применяемого метода корреляционного анализа данных. Подробно описана серия проведенных вычислительных экспериментов, показавших высокий уровень эффективности системы в обнаружении аномалий и возможности дополнительного обучения друг друга клиентскими модулями, а также успешное выполнение серверной компонентой агрегации и корреляционного анализа данных, поступающих от клиентов, в заданном интервале времени, выделении наиболее существенных инцидентов за последний проанализированный интервал, а также за все время, как в комплексе, так и для каждой группы инцидентов. Графическое отображение сервером статистических данных позволяет наглядно оценить критичность тех или иных инцидентов и определить приоритеты в реагировании на них

The article is devoted to the problem of information security incidents intelligent analysis using the security information and event management system methodology. The essence of such systems, and its ability to interact with the methods of artificial intelligence were analyzed. The developed distributed information security incident analysis system was described, which synthesized the mechanisms of the artificial immune system and the correlation analysis of data to identify known and unknown anomalies, analyze their criticality and determine priorities in response. The modules interaction diagram of the developed system and the mathematical component of the applied method for correlation analysis of data were presented. A series of computational experiments was conducted, which showed a high level of system efficiency in detecting anomalies and the possibility of additional training of each other by client modules, as well as the successful implementation of correlation analysis of data from clients in a given time interval, highlighting the most significant incidents for last analyzed interval, as well as for all the time, both in the complex and for each group of incidents. A graphical display of statistical data by the server allows you to visually assess the criticality of certain incidents and to determine priorities in responding to them.

siem-система иммунокомпьютинг корреляционный анализ информационная безопасность безопасность сети

siem-system, immunocomputing correlation analysis information security network security

Исследование выполнено без спонсорской поддержки.

The study was performed without external funding.

References 1

Демидов А. А. Проблемы контроля безопасности информации на объектах телекоммуникационных систем органов государственного управления: учебное пособие. – СПб: Университет ИТМО, 2015. – 70 c.

ГОСТ Р 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. – Москва: Стандартинформ, 2014. – 16 с.

Kostrecova E., Bínova H. Security Information and Event Management // PARIPEX – Indian Journal of Research. – Vol 4. – No. 2. – 2015. – pp. 119- 120.

Goldstein M., Asanger S., Reif M., Hutchison A. Enhancing Security Event Management Systems with Unsupervised Anomaly Detection // ICPRAM. – No 3. – 2013. – pp. 530-538.

Shan Z., Liao B. Design and Implementation of a Network Security Management System // Cornell University Library [Electronic resource]. URL: https://arxiv.org/ftp/arxiv/papers/1609/1609.00099.pdf (accessed 20.11.2017). – p. 1-12

Kotenko I., Polubelova O., Chechulin A. Design and Implementation of a Hybrid Ontological-Relational Data Repository for SIEM Systems // Future Internet. – No. 5. – 2013. – pp. 355-375.

Шелестова О. Корреляция SIEM – это просто. Сигнатурные методы. // Securitylab [Электронный ресурс] URL: http://www.securitylab.ru/analytics/431459.php (дата обращения: 30.03.2018).

Hanemann, A., Marcu, P. Algorithm Design and Application of ServiceOriented Event Correlation // ResearchGate [Electronic resource]. URL: http://www.researchgate.net/publication/221033552_Algorithm_design_and _application_of_service-oriented_event_correlation (accessed: 25.05.2018).

Muller, A. Event Correlation Engine // Computer Engineering and Networks Laboratory [Electronic resource]. URL: ftp://ftp.tik.ee.ethz.ch/pub/students/2009-FS/MA-2009-01.pdf (accessed 25.05.2018).

Шамсутдинов Р. Р. Разработка подсистемы анализа данных и выявления аномалий на основе концепции искусственной иммунной системы // Материалы VII Всероссийской заочной Интернет-конференции «Проблемы информационной безопасности», Ростов-на-Дону, 20-21 февраля, 2018. С. 239-243

Васильев В.И., Шамсутдинов Р.Р. Распределенная система обнаружения атак на основе механизмов иммунной системы // Труды VI Всероссийской научной конференции «Информационные технологии интеллектуальной поддержки принятия решений» (с приглашением зарубежных ученых) Т. 1, Уфа, 28-31 мая, 2018. С. 237-244.

Kotenko I., Fedorchenko A., Saenko I., Kushnerevich A. Big Data Technologies for Security Event Correlation Based on Event Type Accounting // Вопросы кибербезопасности. – № 5(24). – 2017. – С. 2-16

KDD Cup 1999 Data [Electronic resource]. URL: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (accessed 05.02.2018).

The authors declare that there are no conflicts of interest present.