МОДЕЛЬ ІДЕНТИФІКАЦІЇ КІБЕРІНЦИДЕНТІВ SIEM-СИСТЕМОЮ ДЛЯ ЗАХИСТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

Ігор Субач; Володимир Кубрак

doi:10.28925/2663-4023.2023.20.8192

Автор(и)

Ігор Субач Київський політехнічний інститут імені Ігоря Сікорського https://orcid.org/0000-0002-9344-713X
Володимир Кубрак Київський політехнічний інститут імені Ігоря Сікорського https://orcid.org/0000-0001-8877-5289

DOI:

https://doi.org/10.28925/2663-4023.2023.20.8192

Ключові слова:

формаційно-комунікаційа система; кіберзахист; кіберінцидент; SIEM; багатопараметрична ідентифікація; теорія нечітких множин; база знань

Анотація

У статті представлено модель ідентифікації кіберінцидентів SIEM-системою, які відбуваються в ході функціонування інформаційно-комунікаційних систем (ІКС). Наведено перелік задач, які виконує SIEM-система в контурі захисту ІКС та механізмів, що складають її основу та які, у свою чергу, є складовими загального процесу кореляції подій, що відбуваються в ІКС. Проведено аналіз методів процесу кореляції, направлених на видалення, об’єднання та зв’язування даних про події в ІКС з встановленням її причинності та пріоритетності. Зроблено висновок про неефективність застосування існуючих методів в умовах неповноти та неточності інформації про кіберінциденти. Проаналізовано кортежну модель розпізнавання кіберінцидентів та для усунення її недоліків запропоновано удосконалену модель, що ґрунтується на теорії нечітких множин та лінгвістичних термів. Запропонована нова постановка задачі розпізнавання кіберінцидентів, яка зводиться до їхньої ідентифікації. Проаналізовано методи її рішення та виділено низку суттєвих їхніх недоліків, які утруднюють їх використання на практиці. Запропоновано підхід до рішення сформульованої задачі ідентифікації кіберінцидентів SIEM-системою на основі формування нечіткої бази знань SIEM-системи про їхні ознаки на основі збору експертної інформації та її подальшої обробки шляхом застосування теорії нечітких множин. Сформульовано основні принципи, які мають бути використаними під час розробки математичної моделі ідентифікації кіберінцидентів SIEM-системою. Запропонована модель нечіткої бази знань про кіберінцидентіи у вигляді багатовимірної таблиці з ознаками кіберінцидентів, представлених лінгвістичними термами та класами, що їм відповідають. Наведено представлення нечіткої бази (матриці) знань у вигляді системи нечітких правил виду “ЯКЩО-ТО” та на їх основі, шляхом застосування операцій min та max, запропоновано модель ідентифікації кіберінцидентів SIEM-системою. Зроблено висновок про доцільність застосування представленої в роботі моделі для захисту інформаційно-комунікаційних систем в умовах неповноти та неточності інформації про кіберінциденти, що виникають в ході їхнього функціонування.

Завантаження

Дані завантаження ще не доступні.

Посилання

Herasymov, B.M., Subach, I.Iu., Khusainov, P.V., Mishchenko, V.O. (2008) Analiz zadach monitorynhu informatsiinykh merezh ta metodiv pidvyshchennia efektyvnosti yikh funktsionuvannia. Suchasni informatsiini tekhnolohii u sferi bezpeky ta oborony, 3(3), 24−27.

Subach, I., Kubrak, V., Mykytiuk, A. (2019) Arkhitektura ta funktsionalna model perspektyvnoi proaktyvnoi intelektualnoi systemy SIEM-systemy dlia kberzakhystu obiektiv krytychnoi infrastruktury. Information Technology and Security, 7(2), 208-215. https://doi.org/10.20535/2411-1031.2019.7.2.190570.

Samokhvalov, Yu., Toliupa, C. (2017). Koreliatsyia sobыtyi v SIEM-systemakh na osnove nemonotonnoho vыvoda. Zakhyst informatsii, 19(1), 5-9.

Jakobson, G., Weissman M. (1993). Alarm correlation. IEEE Network, 7(6), 52 59.

Tiffany, M. (2002). A survey of event correlation techniques and related topics. http://www.tiffman.com/netman/netman.html.

Sadoddin, R., Ghorbani, A. (2006). Alert Correlation Survey: Framework and Techniques, In Proceedings of International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services (PST`06), October, 2006. Article no. 37. (pp. 1–10).

Borkar, P. (2018). SIEM Rules or Models for Threat Detection? Exabeam. https://www.exabeam.com/siem/siem-threat-detection-rules-or-models/.

Salo, F., Injadat, M., Nassif, A., Shami, A., Essex, (2018). A Data Mining Techniques in Intrusion Detection Systems: A Systematic Literature Review, In Proc. IEEEAccess, September 2018, 6,(pp. 56046–56058).

Muller, A. (2009). Event Correlation Engine. Master`s Thesis. Swiss Federal Institute of Technology Zurich.

Hanemann, A., Marcu, P. (2008). Algorithm Design and Application of ServiceOriented Event Correlation, In Proceedings of Conference BDIM 2008, 3rd IEEE/IFIP International Workshop on Business-Driven IT Management. (pp. 61–70).

Elshoush, H., Osman, I.M. (2011). Alert correlation in collaborative intelligent intrusion detection systems. A survey. Applied Soft Computing, 4349–4365.

Zadeh, L. (1976). The concept of a linguistic variable and its application to approximate decision making. Mir.

Rothstein, A.P. (1996). Medical Diagnostics on Fuzzy Logic. Continent-PRIM.

Rothstein, A.P. (1999). Intelligent Identification Technologies: Fuzzy Sets, Genetic Algorithms, Neural Networks. UNIVERSUM.

Zaichenko, Y.P. (1991). Operations Research: Fuzzy Optimisation. Vyshcha Shkola.

Borisov, A.N., Krumberg, O.A., Fedorov, I.P. (1990). Decision-Making on the Basis of Fuzzy Models: Examples of Use. Zinatne.

Fesokha, V., Subach, I., Kubrak, V., Mykytiuk, A., Korotaiev, S. (2020). Zero-day polymorphic cyberattacks detection using fuzzy inference system. Austrian Journal of Technical and Natural Sciences, 5-6, 8-13. https://doi.org/10.29013/AJT-20-5.6-8-13.

Subach, I, Zdorenko, Yu., Fesokha, V. (2018). Metodyka vyiavlennia kiberatak typu JS(HTML)/Scrinject na osnovi zastosuvannia matematychnoho aparatu teorii nechitkykh mnozhyn. Zbirnyk naukovykh prats Viiskovoho instytutu telekomunikatsii ta informatyzatsii imeni Heroiv Krut, 4, 125–131.

Herasymov, B, Subach, I., Nikiforov, Ye. (2005). Modeli nadannia znan dlia vykorystannia v systemakh pidtrymky pryiniattia rishen. Naukovo-tekhnichna informatsiia, 1, 7 – 11.

Kalnish, V. (2019). Monitoring psychophysiological functions of operators in the process of their work activity. Ukrainian journal of occupational healt, 15(3), 204-215. https://doi.org/10.33573/ujoh2019.03.204.

Subach, I., Herasymov, B. (2008). Pokaznyky yakosti informatsiinoho zabezpechennia ta yikh vplyv na efektyvnist zastosuvannia ISPPR. Visnyk Natsionalnoho universytetu im. Tarasa Shevchenka, 20, 27–29.