МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ
У статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими з...
| Main Authors: | , |
|---|---|
| Format: | Article |
| Language: | English |
| Published: |
Borys Grinchenko Kyiv University
2023-06-01
|
| Series: | Кібербезпека: освіта, наука, техніка |
| Subjects: | |
| Online Access: | https://csecurity.kubg.edu.ua/index.php/journal/article/view/469 |
| _version_ | 1797665048290656256 |
|---|---|
| author | Ігор Субач Володимир Кубрак |
| author_facet | Ігор Субач Володимир Кубрак |
| author_sort | Ігор Субач |
| collection | DOAJ |
| description | У статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими загального процесу кореляції подій, що відбуваються в ІКС. Проведено аналіз методів процесу кореляції, направлених на видалення, об’єднання та зв’язування даних про події в ІКС з встановленням її причинності та пріоритетності. Зроблено висновок про неефективність застосування існуючих методів в умовах неповноти та неточності інформації про кіберінциденти. Проаналізовано кортежну модель розпізнавання кіберінцидентів та для усунення її недоліків запропоновано удосконалену модель, що ґрунтується на теорії нечітких множин та лінгвістичних термів. Запропонована нова постановка задачі розпізнавання кіберінцидентів, яка зводиться до їхньої ідентифікації. Проаналізовано методи її рішення та виділено низку суттєвих їхніх недоліків, які утруднюють їх використання на практиці. Запропоновано підхід до рішення сформульованої задачі ідентифікації кіберінцидентів SIEM-системою на основі формування нечіткої бази знань SIEM-системи про їхні ознаки на основі збору експертної інформації та її подальшої обробки шляхом застосування теорії нечітких множин. Сформульовано основні принципи, які мають бути використаними під час розробки математичної моделі ідентифікації кіберінцидентів SIEM-системою. Запропонована модель нечіткої бази знань про кіберінцидентіи у вигляді багатовимірної таблиці з ознаками кіберінцидентів, представлених лінгвістичними термами та класами, що їм відповідають. Наведено представлення нечіткої бази (матриці) знань у вигляді системи нечітких правил виду “ЯКЩО-ТО” та на їх основі, шляхом застосування операцій min та max, запропоновано модель ідентифікації кіберінцидентів SIEM-системою. Зроблено висновок про доцільність застосування представленої в роботі моделі для захисту інформаційно-комунікаційних систем в умовах неповноти та неточності інформації про кіберінциденти, що виникають в ході їхнього функціонування. |
| first_indexed | 2024-03-11T19:39:17Z |
| format | Article |
| id | doaj.art-183cf12088b3454d8ae150384f864f07 |
| institution | Directory Open Access Journal |
| issn | 2663-4023 |
| language | English |
| last_indexed | 2024-03-11T19:39:17Z |
| publishDate | 2023-06-01 |
| publisher | Borys Grinchenko Kyiv University |
| record_format | Article |
| series | Кібербезпека: освіта, наука, техніка |
| spelling | doaj.art-183cf12088b3454d8ae150384f864f072023-10-06T13:05:06ZengBorys Grinchenko Kyiv UniversityКібербезпека: освіта, наука, техніка2663-40232023-06-01420819210.28925/2663-4023.2023.20.8192530МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМІгор Субач0https://orcid.org/0000-0002-9344-713XВолодимир Кубрак1https://orcid.org/0000-0001-8877-5289Київський політехнічний інститут імені Ігоря СікорськогоКиївський політехнічний інститут імені Ігоря СікорськогоУ статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими загального процесу кореляції подій, що відбуваються в ІКС. Проведено аналіз методів процесу кореляції, направлених на видалення, об’єднання та зв’язування даних про події в ІКС з встановленням її причинності та пріоритетності. Зроблено висновок про неефективність застосування існуючих методів в умовах неповноти та неточності інформації про кіберінциденти. Проаналізовано кортежну модель розпізнавання кіберінцидентів та для усунення її недоліків запропоновано удосконалену модель, що ґрунтується на теорії нечітких множин та лінгвістичних термів. Запропонована нова постановка задачі розпізнавання кіберінцидентів, яка зводиться до їхньої ідентифікації. Проаналізовано методи її рішення та виділено низку суттєвих їхніх недоліків, які утруднюють їх використання на практиці. Запропоновано підхід до рішення сформульованої задачі ідентифікації кіберінцидентів SIEM-системою на основі формування нечіткої бази знань SIEM-системи про їхні ознаки на основі збору експертної інформації та її подальшої обробки шляхом застосування теорії нечітких множин. Сформульовано основні принципи, які мають бути використаними під час розробки математичної моделі ідентифікації кіберінцидентів SIEM-системою. Запропонована модель нечіткої бази знань про кіберінцидентіи у вигляді багатовимірної таблиці з ознаками кіберінцидентів, представлених лінгвістичними термами та класами, що їм відповідають. Наведено представлення нечіткої бази (матриці) знань у вигляді системи нечітких правил виду “ЯКЩО-ТО” та на їх основі, шляхом застосування операцій min та max, запропоновано модель ідентифікації кіберінцидентів SIEM-системою. Зроблено висновок про доцільність застосування представленої в роботі моделі для захисту інформаційно-комунікаційних систем в умовах неповноти та неточності інформації про кіберінциденти, що виникають в ході їхнього функціонування.https://csecurity.kubg.edu.ua/index.php/journal/article/view/469формаційно-комунікаційа система; кіберзахист; кіберінцидент; siem; багатопараметрична ідентифікація; теорія нечітких множин; база знань |
| spellingShingle | Ігор Субач Володимир Кубрак МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ Кібербезпека: освіта, наука, техніка формаційно-комунікаційа система; кіберзахист; кіберінцидент; siem; багатопараметрична ідентифікація; теорія нечітких множин; база знань |
| title | МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ |
| title_full | МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ |
| title_fullStr | МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ |
| title_full_unstemmed | МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ |
| title_short | МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ |
| title_sort | модель ідентифікації кіберінцидентів siem системою для захисту інформаційно комунікаційних систем |
| topic | формаційно-комунікаційа система; кіберзахист; кіберінцидент; siem; багатопараметрична ідентифікація; теорія нечітких множин; база знань |
| url | https://csecurity.kubg.edu.ua/index.php/journal/article/view/469 |
| work_keys_str_mv | AT ígorsubač modelʹídentifíkacííkíberíncidentívsiemsistemoûdlâzahistuínformacíjnokomuníkacíjnihsistem AT volodimirkubrak modelʹídentifíkacííkíberíncidentívsiemsistemoûdlâzahistuínformacíjnokomuníkacíjnihsistem |