МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

У статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими з...

Full description

Bibliographic Details
Main Authors: Ігор Субач, Володимир Кубрак
Format: Article
Language:English
Published: Borys Grinchenko Kyiv University 2023-06-01
Series:Кібербезпека: освіта, наука, техніка
Subjects:
формаційно-комунікаційа система; кіберзахист; кіберінцидент; siem; багатопараметрична ідентифікація; теорія нечітких множин; база знань
Online Access:https://csecurity.kubg.edu.ua/index.php/journal/article/view/469
Description
Summary:У статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими загального процесу кореляції подій, що відбуваються в ІКС. Проведено аналіз методів процесу кореляції, направлених на видалення, об’єднання та зв’язування даних про події в ІКС з встановленням її причинності та пріоритетності. Зроблено висновок про неефективність застосування існуючих методів в умовах неповноти та неточності інформації про кіберінциденти. Проаналізовано кортежну модель розпізнавання кіберінцидентів та для усунення її недоліків запропоновано удосконалену модель, що ґрунтується на теорії нечітких множин та лінгвістичних термів. Запропонована нова постановка задачі розпізнавання кіберінцидентів, яка зводиться до їхньої ідентифікації. Проаналізовано методи її рішення та виділено низку суттєвих їхніх недоліків, які утруднюють їх використання на практиці. Запропоновано підхід до рішення сформульованої задачі ідентифікації кіберінцидентів SIEM-системою на основі формування нечіткої бази знань SIEM-системи про їхні ознаки на основі збору експертної інформації та її подальшої обробки шляхом застосування теорії нечітких множин. Сформульовано основні принципи, які мають бути використаними під час розробки математичної моделі ідентифікації кіберінцидентів SIEM-системою. Запропонована модель нечіткої бази знань про кіберінцидентіи у вигляді багатовимірної таблиці з ознаками кіберінцидентів, представлених лінгвістичними термами та класами, що їм відповідають. Наведено представлення нечіткої бази (матриці) знань у вигляді системи нечітких правил виду “ЯКЩО-ТО” та на їх основі, шляхом застосування операцій min та max, запропоновано модель ідентифікації кіберінцидентів SIEM-системою. Зроблено висновок про доцільність застосування представленої в роботі моделі для захисту інформаційно-комунікаційних систем в умовах неповноти та неточності інформації про кіберінциденти, що виникають в ході їхнього функціонування.
ISSN:2663-4023

Similar Items