10.36724/2409-5419-2020-12-5-53-61
МЕТОДИКА АНАЛИТИЧЕСКОЙ ОБРАБОТКИ РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОРОЛЕВ Игорь Дмитриевич1
ПОПОВ
Владимир Игоревич2
КОНОВАЛЕНКО Сергей Александрович3
Сведения об авторах:
д.т.н., профессор, профессор Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменное училища имени генерала армии С.М.Штеменко, г. Краснодар, Россия, pl_korolev@mall.ru
2адъюнкт Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменное училища имени генерала армии С.М.Штеменко, г. Краснодар, Россия, ya28vlp@mall.ru
3преподаватель Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменное училища имени генерала армии С.М.Штеменко, г. Краснодар, Россия, konovalenko_rcf@mall.ru
АННОТАЦИЯ
Процесс аналитической обработки инцидентов информационной безопасности обладает рядом недостатков, описанных в данной статье. Построена структурная модель подсистемы аналитической обработки данных системы мониторинга угроза информационной безопасности объектов критически важной информационной инфраструктуры и описан процесс ее функционирования. На основе теории вероятности описан процесс заблаговременного прогнозирования наступления инцидента информационной безопасности, обусловленного как случайными и независимыми событиями информационной безопасности, так и целенаправленной атакой на информационные ресурсы. Предмет статьи - методика аналитической обработки событий информационной безопасности в системе мониторинга угроза информационной безопасности объектов критически важной информационной инфраструктуры. Цель статьи - повысить вероятность обнаружения инцидента информационной безопасности за счет ретроспективного анализа событий информационной безопасности, распределенных во времени, а также своевременно предупредить о возможном наступлении инцидента информационной безопасности за счет прогнозирования его появления, что в свою очередь приводит к повышению безопасности информационных систем. Тем самым, в отличие от существующей модели корреляции событий информационной безопасности, сократить время обнаружения инцидента информационной безопасности в заданный временной интервал. Методология проведения исследований позволяет решить две связанные, но различные задачи: «учетная задача» и «вероятностная задача». В рамках «учетной задачи» решение сводится к одной цели - определить долю наступления инцидента информационной безопасности на различных уровнях его наступления. В рамках решения «вероятностной задачи» в методике определяется вероятность наступления инцидента информационной безопасности, исходя из случайного поступления на вход цепочек событий информационной безопасности. Результаты исследований позволяют устранить недостатки существующих систем выявления компьютерных атак, таких как, распределенных во времени, а также применить разработанную методику на создание перспективных средств автоматизированных систем, способных устойчиво функционировать в условиях ведения распределенных во времени компьютерных атак.
КЛЮЧЕВЫЕ СЛОВА: методика; инцидент информационной безопасности; событие информационной безопасности; система мониторинга угроз информационной безопасности.
Для цитирования: Королев И.Д., Попов В.И., Коноваленко С.А. Методика аналитической обработки распределенных во времени инцидентов информационной безопасности // Наукоемкие технологии в космических исследованиях Земли. 2020. Т. 12. № 5. С. 53-61. с^: 10.36724/2409-5419-2020-12-5-53-61
Введение
В условиях постоянного совершенствования различных типов компьютерных угроз, в частности появления новых, распределенных во времени атак, важно иметь защищенную систему, которая будет соответствовать современным требованиям нормативно-правовых актов в области защиты информации критически важных информационных ресурсов. В рамках мониторинга угроз информационной безопасности (УИБ) в настоящее время используется подсистема аналитической обработки данных (ПАОД) объектов критически важной информационной инфраструктуры (КИИ).
Анализ существующих технических решений, входящих в состав ПАОД КИИ, проведенный в [1-3, 5-7] показал, что поступающие события информационной безопасности (СИБ) из различных источников разнородны и не систематизированы для анализа; технический анализ данных затруднен большим потоком СИБ; правила корреляции, заложенные в систему, направлены на выявление конкретных инцидентов информационной безопасности (ИИБ) и не учитывают возможных комбинаций СИБ; отсутствует ретроспективный анализ СИБ, распределенных во времени ИИБ.
Под распределенными во времени ИИБ понимается появление одного или нескольких нежелательных или неожиданных СИБ, распределенных во времени, с которыми
связана значительная вероятность компрометации проводимых операций и создания УИБ.
Анализ существующих способов, методик и алгоритмов обработки данных в ПАОД [4, 8-15] указал на невозможность обнаружения распределенных во времени ИИБ с одной стороны и необходимостью в оперативном реагировании на поступающие УИБ во времени с другой.
В связи с указанным возникает теоретически и практически значимая актуальная необходимость в разработке методики аналитической обработки данных (АОД) в условиях распределенных ИИБ, решение которой позволит в целом повысить эффективность ПАОД КИИ.
Разработку методики АОД в условиях распределенных во времени ИИБ реализуем в два этапа:
1 этап—построение структурной модели ПАОД КИИ.
2 этап — моделирование процесса функционирования ПАОД КИИ.
I этап—построение структурной модели ПАОД КИИ
Для разработки методики АОД КИИ построим структурную модель ПАОД КИИ, представленную на (рис. 1).
ПАОД, представленная на рис. 1, предназначена для реализации процесса обнаружения распределенных во времени ИИБ в ПАОД КИИ.
Отметим, что в представленной структурной модели ПАОД КИИ (рис. 1):
Рис. 1. Структурная модель ПАОД КИИ
1. Блок приема СИБ предназначен для сбора информации о происходящих событиях на различных узлах сети, которые хранятся в виде журнала событий и передачи поступивших СИБ в модуль хранения и присвоения меток СИБ и ИИБ, в котором им присваиваются уникальные метки.
2. Модуль хранения и присвоения меток СИБ и ИИБ обеспечивает хранение меток СИБ и цепочек меток СИБ, последовательность которых приводит к ИИБ (где метка СИБ представляет собой натуральное целое число п от 1 до +<»).
3. Блок сравнения меток СИБ с правилом директивы корреляции первого уровня обеспечивает прием и обработку текущих меток СИБ по правилу директивы корреляции первого уровня.
4. Блок сравнения меток СИБ с правилом директивы корреляции второго уровня обеспечивает прием и обработку текущих меток СИБ по правилу директивы корреляции второго уровня, а также отправку текущих меток СИБ в блок буферизации текущих меток СИБ модуля сравнения меток СИБ третьего уровня и в счетчик меток СИБ.
5. Таймер № 1 обеспечивает прием от блока сравнения меток СИБ с правилом директивы корреляции первого уровня и от блока интерфейса управляющих сигналов запуска и настройки, отправку в счетчик меток СИБ и блок буферизации текущих меток СИБ сигнала обнуления, а также разрешающего сигнала в блок сравнения меток СИБ с правилом директивы корреляции первого уровня, переводящего его в рабочее состояние.
6. Модуль сравнения меток СИБ третьего уровня обеспечивает буферизацию текущих меток СИБ, подсчет значения показателя вероятности наступления ИИБ в блоке подсчета вероятности наступления ИИБ и задержку цепочек меток СИБ в блоке задержки меток СИБ по которым достигнуты заданные значения показателя вероятности наступления ИИБ свыше установленного порогового значения.
7. Счетчик меток СИБ обеспечивает прием меток СИБ, поступающих от блока сравнения меток СИБ с правилом директивы корреляции второго уровня, их подсчет в порядковом исчислении, отправку в блок генерации тревоги и прием от таймера № 1 сигнала обнуления.
8. Модуль оповещения обеспечивает предупреждение и генерацию тревоги по заданным значениям показателя вероятности наступления ИИБ, устанавливаемым специалистом по информационной безопасности (ИБ).
9. Модуль взаимодействия со специалистом по ИБ обеспечивает настройку системы, ее визуализацию и обновление меток ИИБ.
10. Таймер № 2 обеспечивает прием от блока интерфейса управляющих сигналов и сигналов настройки, взаимодействие с блоком задержки меток СИБ по текущим цепочкам задержанных меток СИБ для установления временного интервала жизни каждой из задержанных цепочек
меток СИБ, отправку сигнала обнуления строки цепочки меток СИБ блока задержки меток СИБ.
11. Блок прогнозирования ИИБ обеспечивает прием цепочек меток СИБ от блока предупреждения тревоги, прием неизвестных меток СИБ от блока сравнения меток СИБ с правилом директивы корреляции первого уровня и взаимодействие с блоком интерфейса.
II этап — моделирование процесса
функционирования ПАОД КИИ
Процесс функционирования ПАОД заключается в предварительном задании оператором множества параметров работы системы:
• временных—в таймере № 1 и таймере № 2, определяющие выделенные временные интервалы, затрачиваемые на обработку ИИБ;
• количественных—в счетчике меток СИБ, определяющие максимальное количество меток СИБ, возникающих за выделенный временной интервал; в блоке подсчета вероятности наступления ИИБ, определяющие значения показателя вероятности наступления ИИБ, исходя из которых, во взаимодействии с блоком хранения меток ИИБ, подсистема АОД осуществляет перемещение цепочки меток СИБ из блока буферизации текущих меток СИБ в блок задержки меток СИБ, предупреждение тревоги, либо генерацию тревоги посредством модуля оповещения;
• качественных — в блоках сравнения меток СИБ с правилами директивы корреляции первого и второго уровней, определяющие правила обработки поступающих меток СИБ;
• комбинированных—в блоке хранения меток ИИБ в виде таблицы хранения меток ИИБ и в блоке хранения меток СИБ в виде таблицы хранения меток СИБ, определяющие вид меток ИИБ и СИБ.
Блок приема СИБ передает поступившие СИБ в модуль хранения и присвоения меток СИБ и ИИБ, в котором им присваиваются уникальные метки. Затем в блоках сравнения меток СИБ проводится обработка текущих меток СИБ по правилам директивы корреляции первого и второго уровней, при выполнении которых производится подсчет текущих меток СИБ в счетчике меток СИБ до достижения их максимального количества за выделенный временной интервал с последующим формированием сигнала тревоги в блок генерации тревоги, а также их хранение в блоке буферизации текущих меток СИБ и подсчет значения показателя вероятности наступления ИИБ в блоке подсчета вероятности наступления ИИБ. При условии, что значение текущей метки СИБ не удовлетворяет правилам директивы корреляции первого и второго уровней, производится их перемещение в блок задержки меток СИБ, который во взаимодействии с блоком подсчета вероятности наступления ИИБ и с блоком хранения меток ИИБ проверяет
соответствие значения текущей метки СИБ значениям последующих элементов задержанных цепочек меток СИБ.
Блок предупреждения тревоги принимает от блока задержки меток СИБ незавершенные цепочки меток СИБ, по которым достигнуты заданные значения показателя вероятности наступления ИИБ, и передает их в блок прогнозирования ИИБ, осуществляющего их анализ с метками СИБ, не отвечающих правилам директивы корреляции первого и второго уровней, не являющихся последующими элементами задержанных цепочек меток СИБ в блоке задержки меток СИБ и поступающих от блока сравнения меток СИБ с правилом директивы корреляции первого уровня. Оператор на основе результатов функционирования блока прогнозирования ИИБ и сигналов, поступающих от модуля оповещения, посредством блока интерфейса приминает решение о состоянии ИС и обнаружении нового ИИБ, который посредством блока обновления меток ИИБ поступает в блок хранения меток ИИБ.
Далее описание процесса функционирования ПАОД КИИ (см. рис. 1) осуществим при следующих ограничениях:
1. База данных ИИБ, состоящая из цепочек последовательных меток СИБ, является актуальной на момент реализации процесса АОД.
2. Метки СИБ появляются равновероятно и независимо.
3. Правила корреляции меток СИБ первого и второго уровней заданы.
4. Процессы функционирования модулей хранения и присвоения меток, оповещения, взаимодействия со специалистом по ИБ, а также блоков приема СИБ, сравнения меток СИБ с правилами директивы корреляции 1-го и 2-го уровней, счетчика меток СИБ, буферизации текущих меток СИБ, задержки меток СИБ, генерации тревоги, про-
гнозирования, таймеров № 1 и № 2 обеспечивают выполнение возложенных на них функций и не будут в полном объеме рассматриваться в настоящей работе.
С учетом указанных ограничений, в рамках описания вероятности обнаружения ИИБ в ПАОД КИИ, представим процесс функционирования блока подсчета вероятности наступления ИИБ модуля сравнения меток СИБ 3-го уровня ПАОД КИИ в виде его математического описания.
Для реализации математического описания процесса подсчёта вероятности наступления ИИБ в блоке подсчета вероятности наступления ИИБ ПАОД КИИ определим исходные данные, необходимые для дальнейшего моделирования: пусть произвольный /-й ИИБ состоит из П меток СИБ, где/ = 1, 2, .., т. Количество ИИБ (т). Пусть наступили первые к. меток СИБ из/-го ИИБ (1 < к. < п.). Тогда можно говорить о том, что наступило (к/п)-100%/-го ИИБ.
В данной ситуации есть две связанных, но различных задачи: «учетная задача» и «вероятностная задача».
В рамках «учетной задачи» решение сводится к одной цели — определить долю наступления /-го ИИБ на 1-м уровне (Р/.), в виде:
Ъи _
Р = } = 1,т, (1)
П
к.={1, если метка СИБ /-го уровня /-го ИИБ получена; 0, в противном случае},
где / — номер уровня; / — номер ИИБ; к. .—метки СИБ /-го уровня /-го ИИБ.
Решение «учетной задачи» схематично представлено на рис. 3. Вычисление Р. в (1) производится в блоке подсчета вероятности наступления ИИБ модуля сравнения меток СИБ 3-го уровня. В случае, если вычисленное зна-
Рис. 3. Схема «учетной задачи» подсчета доли наступления ИИБ
чение (Р) превосходит определенное пороговое значение (например, Р. > 0,8), то ПАОД генерирует сигнал оповещения о предупреждении тревоги.
В рамках решения «вероятностной задачи» определим вероятность наступления .-го ИИБ, исходя из случайного поступления на вход цепочек СИБ.
Для решения «вероятностной задачи» будем рассматривать всю базу данных ИИБ целиком и рассчитаем вероятность случайного наступления .-го ИИБ при условии наступления первых к] меток СИБ.
Обозначим количество различных первых элементов меток всех ИИБ через gl, различных вторых элементов меток ИИБ — g2, различных ]-х элементов меток ИИБ — g Количество всех различных меток ИИБ — N. Количество ИИБ — т. Различные метки ИИБ появляются равновероятно и независимо.
Вероятность того, что текущая метка СИБ удовлетворяет правилу директивы корреляции 1-го уровня, равна:
Р — К± Р = N'
элементу меток ИИБ, для которого есть решение(я) «Да» в блоке сравнения меток СИБ 1-го уровня.
Вероятность поступления на вход СИБ, не удовлетворяющему правилу директивы корреляции 3-го уровня, равна:
P 3i =1 - P 3i =1
-'12 -'12 N
g3i2 -
U = 1,.
При необходимости условные вероятности (при условии решений «Да» на 1, 2, ..., (5-1)-м уровнях) решений «Да» и «Нет» при сравнении меток СИБ s-го уровня рассчитываются по формулам (2) и (3) соответственно:
Ps
Ps = 1-
8s-
N
N
i i = 1>g,
(2)
(3)
Вероятность того, что текущая метка СИБ не удовлетворяет правилу директивы корреляции 1-го уровня, равна соответственно: Р,=1 - Р,=1 -
Вероятность того, что текущая метка СИБ удовлетворяет правилу директивы корреляции 2-го уровня, при условии решения «Да» на первом уровне, равна:
P = -
g
2i,
N
i, = 1 gl,
где g 2
- количество различных вторых элементов меток
ИИБ, соответствующих г^-му (из различных) первому элементу меток ИИБ.
Вероятность того, что текущая метка СИБ не удовлетворяет правилу директивы корреляции 2-го уровня, при условии решения «Да» на первом уровне, равна:
P 2i
P 2i
§2^ N
i, §
Аналогично, вероятность того, что текущая метка СИБ удовлетворяет правилу директивы корреляции 3-го уровня, при условии решения «Да» на первом и втором уровнях, равна:
где g определяется аналогично g и g .
Вероятность случайного получения решения «Да» на 1 и 2 уровне (совместно), то есть вероятность того, что в итоге ИИБ не произойдет, равна:
gl•g 2.
h = 1 gi. (4)
Вероятность того, что решение «Да» на 1 и 2 уровнях (совместно) были получены неслучайно (то есть вероятность того, что наблюдается ИИБ) вычислим как вероятность противоположного события, используя (4) по формуле (5):
Р = P -1-P -1-
Г1,2(ИИБ)- l,2j l,2j
h = 1 S\.
g 1-9 2
(5)
Вероятность случайного получения решений «Да» на 1, 2 и 3 уровне (совместно), то есть вероятность того, что в итоге ИИБ не произойдет, вычисляется по формуле (6):
P1\\ = PlP 2i1P3i 2
2,,* 3i 2
' N '
(6)
P =
3i2 N
Ь 1 g2,
h 1 g1, 4 1 g2 '
где g - количество различных третьих элементов меток ИИБ, соответствующих г2-му (из различных) второму
Вероятность(и) же того, что решение «Да» на 1, 2 и 3 уровнях (совместно) были получены неслучайно (то есть ве-
ls-1
роятность того, что наблюдается ИИБ) вычислим как вероятность противоположного исхода событий по формуле (7):
3 = Р = 1 - Р = 1 --
1,2,3(ИИБ) 12 3 1,2|1,3|2
91 ■ 9 2 ■ 9з
N
(7)
Ч 1, g1, Ь 1,g 2 ■
Введем допущение, что в различных ИИБ могут быть одни и те же СИБ. Сгруппируем повторяющиеся СИБ и рассмотрим «вероятностную задачу» для сгруппированных событий. Для этого введем дополнительные исходные данные.
Пусть есть т ИИБ. Все вместе они содержат N меток СИБ, из которых к — различные, а остальные повторяются. То есть имеем к видов (групп) СИБ, внутри каждой из которых СИБ одинаковые, а в любых двух группах—СИБ разные.
Пусть в 1-й группе СИБ их п1, во 2-й группе СИБ их п2, в к-й группе СИБ их пЬ, очевидно, что п1 + п2 +...+пи = N.
Введем модельное предположение (упрощение) — пусть вероятности наступления СИБ равны: СИБ из 1-й группы: р1 = —, СИБ из 2-й группы р2 = —, СИБ из к-й группы
п, ^
Рк = —,очевидно, что р1 + р2+...+рк = 1.
Пусть первые уровни СИБ всех т ИИБ содержат к1 (1 < к1 < к) различных СИБ, то есть на 1-м уровне всех ИИБ содержатся СИБ из /^-й, /2-й,..., ih -й групп СИБ: 1 < < /2 < . < / < . < < к и числа {/1, /2,..., ¡к } — это подмножество чисел {1, 2, ..., к}.
Пусть количество ИИБ с СИБ 1-го уровня: из /^-й группы (СИБ) = т1, из /2-й группы (СИБ) = т2, ..., из ^ -й группы (СИБ) = т^ , очевидно, что т1+т2+.+ т^ = т.
Тогда для произвольного /-го ИИБ (1 < / < т) вероятность того, что случайный СИБ будет СИБ 1-го уровня /-го ИИБ, равна:
1 П 1
Р = Р — = Т7 — > 1 т1 N т1
а вероятность того, что не будет:
— Пг 1
Р = 1 - Р = 1--—,
1 1 N т1
(8)
(9)
= Р,
п. + п. +... + п.
~Р1 = ■
N
(10)
Соответственно, вероятность того, что случайный СИБ не будет СИБ 1-го уровня никакого из ИИБ на основании (10), определяется формулой (11):
п, + п. +... + п.
Р,1=1 - Р,1=1 --
N
(11)
Для анализа вероятности того, что второй (по порядку наступления) случайный СИБ будет СИБ 2-го уровня для ИИБ, рассмотрим только те ИИБ, для которых уже наступил СИБ 1-го уровня. Их количество равно т1.
Пусть количество различных СИБ на 2-м уровне у рассматриваемых ИИБ равно к2 (1 < к2 < т), то есть на 2-м уровне рассматриваемых ИИБ содержится СИБ из/1-й, /2-й,., Д -й групп СИБ: 1 </ </ < . < jh < к и множество чисел 2-го уровня {/ /2,..., } — это подмножество чисел {1, 2, ..., к}.
Пусть количество ИИБ с СИБ 2-го уровня из /1-й группы СИБ 11, из /2-й группы СИБ 12, ..., из у^ -й группы СИБ /^, очевидно, что 11+12+...+1^ = т, тогда для произвольного /-го ИИБ из рассматриваемых т1 ИИБ, вероятность того, что случайное СИБ будет СИБ 2-го уровня/-го ИИБ, определяется формулой (12):
1 1
р = р_ — = ,
(12)
; N I,
вероятность же того, что случайное СИБ не будет СИБ 2-го уровня/-го ИИБ, определяется формулой (13):
— п, 1
Р = 1 - Р, = 1 -—
72 72 N I
(13)
где / — это группа СИБ, к которой принадлежит СИБ 2-го уровня/-го ИИБ,/1 </ < ; ^ — количество ИИБ, у которых СИБ 2-го уровня соответствует случайному СИБ.
Вероятность же того, что второй (по порядку наступления) случайный СИБ будет СИБ 2-го уровня какого-либо из рассматриваемых т1 ИИБ равна:
РМ = Ри
-р. = "
Г
N
(14)
где 11 — это группа СИБ, к которой принадлежит СИБ 1-го уровня, /-го ИИБ,
1Х < < , т 1 — количество ИИБ, у которых СИБ 1-го уровня соответствует случайному СИБ.
Вероятность же того, что первый по порядку наступления СИБ будет СИБ 1-го уровня какого-либо ИИБ, равна:
Соответственно, вероятность того, что случайный СИБ не будет СИБ 2-го уровня никакого из рассматриваемых т ИИБ, равна:
РМ = 1 - Р2 = 1 -
N
(15)
"1
п
п
Далее аналогично формулам (14), (15) рассчитывается вероятность для 3-го и дальнейших уровней СИБ по ИИБ.
Вероятность того, что 5-й (по порядку поступления) случайный СИБ будет СИБ 5-го уровня какого-либо из рассматриваемых ИИБ, равна:
P = Р
h s Гц,
- p = -
N
(16)
где д2, ., qh — номера групп СИБ (1 < q1 < q2 < ... < Ц < Л), в которых содержатся СИБ s-го уровня оставшихся для анализа ИИБ.
Вероятность же того, что s-й (по порядку поступления) случайный СИБ не будет СИБ s-го уровня какого-либо ИИБ, определяется формулой (17):
P,s = 1 - PKs = 1 -
N
(17)
Для подсчета вероятностей наступления ИИБ по результатам анализа СИБ на 1-м, 2-м, ..., 5-м, ... уровнях с использованием формул (10), (14), (16) вычисляются следующие выражения:
P = 1 - P
■м 1 hl \ '
P = 1 - P P
r2 1 /^l h2 2 '
P = 1 - P P P
2s 1 1h,l1 h,2---1h,s-
(18)
(19)
(20)
В случае, если Р. (г = 1, 2, ..., s, ...) в (18)-(20) будет больше некоторых пороговых значений (например, Р. > 0,6; Р. > 0,8), то ПАОД генерирует сигнал оповещения о предупреждении тревоги и необходимо выполнить соответствующие защитные действия.
Заключение
Методика аналитической обработки распределенных во времени ИИБ, рассмотренная в статье, позволяет повысить вероятность обнаружения ИИБ за счет ретроспективного анализа СИБ, распределенных во времени, а также своевременно предупредить о возможном наступлении ИИБ за счет прогнозирования его появления, что в свою очередь приводит к повышению безопасности информационных систем. Тем самым, в отличие от существующей модели корреляции СИБ, сокращено время обнаружения ИИБ.
Литература
1. Бейтлич Р. Практика мониторинга сетевой безопасности: понимание обнаружения и реагирования на инциденты. Сан-Франциско: Нет Страч Пресс, 2013.
2. Ермакова А. Ю. Разработка методов прогнозирования на примере анализа средств вычислительной техники // Промышленные АСУ и контроллеры. 2017. № 1. С. 28-34. ISBN1561-1531.
3. Заркумова-РайхельР.Н., АбденовА. Ж. Прогнозирование количества инцидентов в системе информационной безопасности предприятия при помощи динамической модели // Фундаментальные исследования. 2012. № 6-2. С. 429-434. URL: http://fundamental-research.ru/ru/article/view?id=30007 (дата обращения: 26.02.20).
4. Патент RU2017 109 914. Способ устройство для иерархического анализа данных на основе взаимной корреляции / Чиау Ч. Ч., Линь Ц. Ч., Чань Т. М., Цзы Ю. Заявл. 27.18.2015, опубл. 03.10.2018. Бюл. № 28. 2 с.
5. Зюзин А. С. Современные тенденции оценки защиты информации // Научный журнал КубГАУ. 2015. № 107(03). URL: http://ej.kubagro.ru/2015/03/pdf/35.pdf (дата обращения: 15.06.2020).
6. Каширин И. Ю., Семченков С. Ю. Интерактивная аналитическая обработка данных в современных OLAP системах // Бизнес-информатика. 2009. № 2 (08). С. 12-19
7. Коноваленко С. А., Королев И. Д. Выявление уязви-мостей информационных систем // Инновации в науке. 2016. № 9(58). С. 12-20.
8. Михальченко С. В. Анализ источников событий и определение наиболее значимых событий для мониторинга информационной безопасности // Международный студенческий научный вестник. 2018. № 2. URL: http://eduherald.ru/ru/article/ view?id=18335 (дата обращения: 07.04.2020).
9. Патент 166348 РФ. Устройство корреляции событий информационной безопасности / Марков А. С., Цирлов В. А., Фадин А. А., Титов А. В., Марков Г. А. Заявл. 01.08.2016, опубл. 20.11.2016. Бюл. № 32. 5 с.
10. Патент 180789 РФ. Устройство аудита информационной безопасности в автоматизированных системах / Таразевич Е. С., Володина Н. И., Рыжов Б. С., Киселев В. В. Заявл. 31.10.2017, опубл. 22.06.2018. Бюл. № 18. 10 с.
11. Патент 186198 РФ. Средство обнаружения вторжений уровня узла сети / Зайков А. В., Душа И. Ф., Залькарнаев Р. Ф., Фесенко С. Д. Заявл. 07.03.2018, опубл. 11.01.2019. Бюл. № 2. 5 с.
12. Патент 2610395 РФ. Способ расследования распределенных событий компьютерной безопасности / Гайнов А. Е., Заводцев И. В. Заявл. 24.12.2015, опубл. 09.02.2017. Бюл. № 4. 15 с.
13. Попов В. И., Королев И. Д., Ларионов В. А. Анализ проблематики системы управления информацией и событиями безопасности в информационных системах // Инновации в науке. 2018. № 12 (88). C. 19-26.
14. Попов В. И., Королёв И. Д., Санджиев М. С., Коноваленко С. А., Розанов К. И. Исследование комплексной open sourse системы управления безопасностью (OSSIM) // Сборник научных трудов XXXVIII всероссийской научно-технической
n
п
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
конференции «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем»/ ФГКВУ ВО «Военная академия ракетных войск стратегического назначения имени Петра Великого». Серпухов, 2019. Ч. III. С. 77-81.
15. Попов В. И., Королев И. Д., Ларионов В. А., Литвинов Е. С. Обзор SIEM-систем: проприетарные ArcSight и Maxpatrol против open-source решений // Дневник науки. 2019. № 4. C.1-12. URL: http://dnevniknauki.rU/images/publications/2019/4/technics/Korolev_ Popov_Larionov_Litvinov.pdf (дата обращения: 07.04.2020).
ANALYTICAL TREATMENT TECHNIQUE DISTRIBUTED DURING INFORMATION SECURITY INCIDENTS IN TIME
IGOR D. KOROLEV
Krasnodar, Russia, pl_korolev@mall.ru
VLADIMIR I. POPOV
Krasnodar, Russia, ya28vlp@mall.ru
SERGEY A. KONOVALENKO
Krasnodar, Russia, konovalenko_rcf@mall.ru
KEYWORDS: methodology; information security incident; information security event; warning detection system and elimination of the consequences of computer attacks.
ABSTRACT
The process of analytical processing of information security incidents has several drawbacks described in this article. A structural model of the subsystem of analytical data processing of the monitoring system of a threat to the information security of the objects of critical information infrastructure is built and the process of its functioning is described. Based on probability theory, a process is described for predicting the occurrence of an information security incident in advance, due to both random and independent information security events, and a targeted attack on information resources. The subject of the article is the methodology of analytical processing of information security events in the monitoring system, a threat to the information security of critical information infrastructure facilities. The purpose of the article is to increase the likelihood of detecting an information security incident by retrospectively analyzing information security events distributed over time, and to timely warn of a possible occurrence of an information security incident by predicting its occurrence, which in turn leads to an increase in the security of information systems. Thus, in contrast to the existing model of correlation of information security events, to reduce the time
of detection of an information security incident in a given time interval. The research methodology allows us to solve two related but different tasks: "accounting problem" and "probabilistic problem". Within the framework of the "accounting task", the solution boils down to one goal - to determine the proportion of the occurrence of an information security incident at various levels of its occurrence. As part of the solution of the "probabilistic problem", the methodology determines the probability of an information security incident on the basis of an accidental receipt of information security event chains at the entrance. The research results allow us to eliminate the shortcomings of existing systems for detecting computer attacks, such as distributed over time, and also to apply the developed methodology to create advanced tools for automated systems that can function stably under conditions of conducting distributed time attacks of computer attacks.
REFERENCES
1. Beitlich R. Practice of Network Security Monitoring: Understanding Incident Detection and Response. San Francisco: No Strach Press,
2013. 376 p.
2. Ermakova A. Yu. Development of forecasting methods on the example of the analysis of computer technology. Industrial ACS and controllers. 2017. No. 1. Pp. 28-34. (In Rus)
3. Zarkumova-Raikhel R.N., Abdenov A. Zh. Forecasting the number of incidents in the enterprise information security system using a dynamic model. Fundamental Research. 2012. No. 6-2. Pp. 429-434. URL: http://fundamental-research.ru/ru/article/view?id=30007 (date of access: 02/26/2020). (In Rus)
4. Pat. 2107109914 RF. Method device for hierarchical data analysis based on cross-correlation / Chiau Ch. Ch., Lin Ts. Ch., Chan TM, Zi Y. Declared 27.18.2015, publ. 03.10.2018. Bul. No. 28. 2 p. (In Rus)
5. Zyuzin A. S. Modern trends in the assessment of information security. Scientific journal of KubSAU. 2015. No. 107(03). URL: http://ej.kuba-gro.ru/2015/03/pdf/35.pdf (date of access: 15.06.2020). (In Rus)
6. Kashirin I. Yu., Semchenkov S. Yu. Interactive analytical data processing in modern OLAP systems. I. Yu. Kashirin, S. Yu. Semchenkov. Business Informatics. 2009. № 2 (08). Pp. 12-19. (In Rus)
7. Konovalenko S. A., Korolev I. D. Identification of vulnerabilities of information systems. Innovations in Science. 2016. No. 9 (58). Pp. 12-20. (In Rus)
8. Mikhalchenko, S. V. Analysis of event sources and identification of the most significant events for information security monitoring. International student scientific bulletin. 2018. No. 2. URL: http://eduherald. ru/ru/article/view? id=18335 (date of access: 04/07/2020). (In Rus)
9. Pat. 166348 RF. Correlation device for information security events / Markov A. S., Tsirlov V. A., Fadin A.A., Titov A. V., Markov G.A. Declared 01.08.2016, publ. 20.11.2016. Bul. No. 32. 5 p. (In Rus)
10. Pat. 180789 RF. Information security audit device in automated systems / Tarazevich ES, Volodina N. I., Ryzhov B. S., Kiselev V. V. Declared 31.10.2017, publ. 22.06.2018 Bul. No. 18. 10 p. (In Rus)
11. Pat. 186198 RF. Intrusion detection tool at the network node level / Zaykov A. V., Dusha I. F., Zalkarnaev R. F., Fesenko S. D. Declared 07.03.2018, publ. 11.01.2019 Bul. No. 2. 5 p. (In Rus)
12. Pat. 2610395 RF. Method of investigation of distributed computer security events / Gainov A. E., Zavodtsev I. V. Declared 12.24.2015, publ.02.09.2017. Bul. No. 4. 15 p. (In Rus)
13. Popov V. I., Korolev I. D., Larionov V. A. Analysis of the problems of information management and security events in information systems. Innovations in Science. 2018. № 12 (88). Pp. 19-26. (In Rus)
14. Popov V. I., Korolev I. D., Sandzhiev M. S., Konovalenko S. A., Ro-zanov K. I. Research of an integrated open source security management system (OSSIM). Collection of scientific papers of the XXXVIII All-Russian Scientific and Technical Conference "Problems of the Efficiency and Safety of Functioning of Complex Technical and Information Systems", FGKVU VO "Peter the Great Military Academy of Strategic Missile Forces". Serpukhov, 2019. Pt. III. Pp. 77-81. (In Rus)
15. Popov V. I., Korolev V. A., Larionov E. S., Litvinov E. S. SIEM systems overview: proprietary ArcSight and Maxpatrol versus open-source solutions. Science Diary. 2019. No. 4. Novosibirsk, 2019. URL: http:// dnevniknauki.ru/images/publications/2019/4/technics/Korolev_ Popov_Larionov_Litvinov.pdf (date of access: 04/07/2020). (In Rus)
INFORMATION ABOUT AUTHORS:
Korolev I.D., PhD, Full Professor, Professor of the Department of Information Security with Special Methods and Means, Krasnodar Higher Military School
Popov V.I., postqraduate student of the Krasnodar Higher Military School;
Konovalenko S.A., Lecturer at the Department of Information Security using special methods and means of the Krasnodar Higher Military School.
For citation: Korolev I.D., Popov V.I., Konovalenko S.A. Analytical treatment technique distributed during information security incidents in time. H&ES Research. 2020. Vol. 12. No. 5. Pp. 53-61. doi: 10.36724/2409-5419-2020-12-5-53-61 (In Rus)
(
M &
II