Author:
Васильев В.И.,Шамсутдинов Р.Р.
Abstract
Статья посвящена проблеме интеллектуального анализа инцидентов информационной безопасности с применением методологии, используемой в системах управления информационной безопасностью и событиями безопасности. Проанализирована сущность таких систем, состав основных модулей и порядок их взаимодействия, возможность интеграции с методами искусственного интеллекта. Описана разработанная распределенная система анализа инцидентов информационной безопасности, синтезирующая механизмы искусственной иммунной системы и корреляционного анализа данных для выявления известных и неизвестных аномалий, анализа их критичности и определения приоритетов в реагировании. Представлена схема взаимодействия модулей разработанной системы, математическая составляющая применяемого метода корреляционного анализа данных. Подробно описана серия проведенных вычислительных экспериментов, показавших высокий уровень эффективности системы в обнаружении аномалий и возможности дополнительного обучения друг друга клиентскими модулями, а также успешное выполнение серверной компонентой агрегации и корреляционного анализа данных, поступающих от клиентов, в заданном интервале времени, выделении наиболее существенных инцидентов за последний проанализированный интервал, а также за все время, как в комплексе, так и для каждой группы инцидентов. Графическое отображение сервером статистических данных позволяет наглядно оценить критичность тех или иных инцидентов и определить приоритеты в реагировании на них.
The article is devoted to the problem of information security incidents intelligent analysis using the security information and event management system methodology. The essence of such systems, and its ability to interact with the methods of artificial intelligence were analyzed. The developed distributed information security incident analysis system was described, which synthesized the mechanisms of the artificial immune system and the correlation analysis of data to identify known and unknown anomalies, analyze their criticality and determine priorities in response. The modules interaction diagram of the developed system and the mathematical component of the applied method for correlation analysis of data were presented. A series of computational experiments was conducted, which showed a high level of system efficiency in detecting anomalies and the possibility of additional training of each other by client modules, as well as the successful implementation of correlation analysis of data from clients in a given time interval, highlighting the most significant incidents for last analyzed interval, as well as for all the time, both in the complex and for each group of incidents. A graphical display of statistical data by the server allows you to visually assess the criticality of certain incidents and to determine priorities in responding to them.
Publisher
Voronezh Institute of High Technologies
Reference13 articles.
1. Демидов А. А. Проблемы контроля безопасности информации на объектах телекоммуникационных систем органов государственного управления: учебное пособие. – СПб: Университет ИТМО, 2015. – 70 c.
2. ГОСТ Р 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. – Москва: Стандартинформ, 2014. – 16 с.
3. Kostrecova E., Bínova H. Security Information and Event Management // PARIPEX – Indian Journal of Research. – Vol 4. – No. 2. – 2015. – pp. 119-120.
4. Goldstein M., Asanger S., Reif M., Hutchison A. Enhancing Security Event Management Systems with Unsupervised Anomaly Detection // ICPRAM. – No 3. – 2013. – pp. 530-538.
5. Shan Z., Liao B. Design and Implementation of a Network Security Management System // Cornell University Library [Electronic resource]. URL: https://arxiv.org/ftp/arxiv/papers/1609/1609.00099.pdf (accessed 20.11.2017). – p. 1-12
Cited by
1 articles.
订阅此论文施引文献
订阅此论文施引文献,注册后可以免费订阅5篇论文的施引文献,订阅后可以查看论文全部施引文献