Интеллектуальные системы управления инцидентами информационной безопасности
ИНТЕЛЛЕКТУАЛЬНЫЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Переработка регистрационных данных, генерируемых событий информационной безопасности, в современных информационных и коммуникационных сетях и информационных систем без использования специализированных систем не представляется возможным. В статье открывается структура системы управления инцидентами информационной безопасности, которая основана на методе моделирования интеллектуальной деятельности человека, направленная на обработку информации, полученной от сотрудников. Ключевые слова: искусственная нейронная сеть, инцидент информационной безопасности, система управления инцидентами информационной безопасности, нечеткая логика. Моделирование оперативный анализ и прогнозирование развития ситуаций, принятие эффективных управленческих решений, возложенных на государственные органы власти, в настоящее время невозможно без использования центров поддержки принятия решений, основанных, например, на основе национальных центров или ситуационных центров. Качественное выполнение задач и функций, возложенных на национальные центры (ситуационные центры), достигается за счет использования большого количества различных по структуре и составу информационных и телекоммуникационных сетей и информационных систем [1], защита которых обеспечивается комплексом разнородных средств защиты информации. Следствием этого является огромные потоки регистрационных данных, генерируемых событиями информационной безопасности [2]. Своевременная, качественная, безопасная обработка данных событиями информационной безопасности и идентификация среди них инцидентов информационной безопасности без использования специализированных систем (SIEM-систем) не представляется возможным. [3] Чтобы автоматизировать задачи управления инцидентами информационной безопасности на коммерческом рынке широко представлены различные SIEM-системы: LogLogic,RSA (EMC), IBM Tivoli Security, HP ArcSight, Q1 Labs, имеющие ряд недостатков и преимуществ. Основными источниками данных, которые используются SIEM- системами для решения указанных проблем, являются лог - файлы [3]. Ключевым процессом управления инцидентами информационной безопасности является обнаружение событий информационной безопасности и оповещение о них не только посредством лог - файлов, но и персонала (администраторов) [2]. В отличие от данных лог - файлов регистрационные данные, полученные от сотрудников, являются объемными, естественно - языковыми, плохо определенными для того, чтобы выразить математические соотношения, и их обработка требует много времени [4]. Следовательно, развитие научно-методических систем построения аппарата управления инцидентами информационной безопасности, которое обеспечивает своевременное и качественное обнаружение инцидентов информационной безопасности из данных событий информационной безопасности, зарегистрированных сотрудниками, является актуальной задачей. Рисунок 1 - Структура интеллектуальной системы управления инцидентами информационной безопасности Одним из возможных и наиболее оптимальных путей решения поставленной задачи является внедрение системы управления инцидентами информационной безопасности на основе сочетания нескольких методов моделирования интеллектуальной деятельности человека: экспертные системы, искусственные нейронные сети, нечеткая логика и генетические алгоритмы. Имея свои плюсы и минусы, ни один из компонентов или классов этих методов не может претендовать на универсальность. Преимущества некоторых представлений, компенсируя недостатки в других частях из-за взаимоотношений частей целого, придадут новое интегративное свойство [4]. Интеллектуальная система управления инцидентами информационной безопасности должна содержать следующие основные модули:модуль приобретения знаний: предназначен для анализа и извлечения входной информации в базу данных о событиях информационной безопасности, зарегистрированных персоналом (администраторами). Входные данные указанного модуля, преобразуются в форму прецедента и продукционного нечеткого правила; модуль-интегратор: используется для управления интеллектуальными компонентами системы управления инцидентами информационной безопасности; модуль обучения искусственной нейронной сети: предназначен для преобразования правила из продукционной нечеткой базы знаний в обучающие, текстовые и контрольные выборки для искусственной нейронной сети; продукционная нечеткая база знаний: предназначена для хранения правил обнаружения инцидентов информационной безопасности в виде нечетких продукций; модуль объяснения решений: предназначен для интерпретации решения и объяснения оператора; нейросетевая база знаний (НСБЗ): предназначена для хранения правил обнаружения инцидентов информационной безопасности в виде искусственной нейронной сети ; нейронечеткий модуль (ННМ) предназначен для осуществления нечеткого контроллера на основе нечеткой искусственной нейронной сети; нейросетевой модуль (НСМ) предназначен для осуществления нечеткого контроллера на основе классической искусственной нейронной сети; адаптация модуля данных (АД) предназначен для преобразования результатов нейронечетких механизм поиска в форму для нейросетевого механизма. Таким образом, дальнейшие исследования будут направлены на развитие научно-методического аппарата построения интеллектуальной системы УИИБ. Список литературы Ильин Н.И., Демидов Н.Н., Городничев П.Н. Ситуационные центры органов государственной власти: учебно-методическое пособие /Н.И. Ильин, И.И. Демидов, П.Н. Городничев. - М.: МИНИТ ФСБ России, 2007.-192с. ГОСТ 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах / И.В. Котенко, И.Б. Саенко, О.В. Полубелова, А.А. Чечулин. - Труды СПИИРАН. Вып.1 (20). - СПб.: Наука, 2012. - с. 27-56. Малыхина М.П., Бегман Ю.В. Нейросетевая экспертная система на основе прецедентов для решения проблем абонентов сотовой сети: монография / М.П. Малыхина, Ю.В. Бегман. - Краснодар: Издательский Дом - Юг, 2011. - 150 с. УДК 378.14
ПЕТРУНИНА АНАСТАСИЯ АЛЕКСАНДРОВНА, МАРКОВА ЕКАТЕРИНА СЕРГЕЕВНА, ПУЧКОВ АНДРЕЙ ЮРЬЕВИЧ Россия, г.Смоленск, ФГБОУ ВО «НИУ МЭИ» в г. Смоленске Nastya1495petrunina[AT]y andex. ru
инцидент информационный безопасность, управление инцидент информационный, система управление инцидент, событие информационный безопасность, интеллектуальный система управление, данный событие информационный, обнаружение инцидент информационный, знание предназначить хранение, база знание предназначить, информационный безопасность вид,
управление инцидент информационный безопасность, система управление инцидент информационный, обнаружение инцидент информационный безопасность, интеллектуальный система управление инцидент, данный событие информационный безопасность, править обнаружение инцидент информационный, инцидент информационный безопасность вид, продукционный нечеткий база знание, котенко саенко полубелов чечулина, хранение править обнаружение инцидент,
Количество показов: 939
|