Статья:

Прецедентный анализ инцидентов информационной безопасности

Журнал: Научный журнал «Студенческий форум» выпуск №24(75)

Рубрика: Технические науки

Выходные данные
Михайлова Е.А. Прецедентный анализ инцидентов информационной безопасности // Студенческий форум: электрон. научн. журн. 2019. № 24(75). URL: https://nauchforum.ru/journal/stud/75/55652 (дата обращения: 23.12.2024).
Журнал опубликован
Мне нравится
на печатьскачать .pdfподелиться

Прецедентный анализ инцидентов информационной безопасности

Михайлова Елена Андреевна
магистрант, Уфимский Государственный Нефтяной Технический Университет, РФ, г. Уфа

 

В соответствии с международным стандартом ISO 27001:2005 [1] создание процедуры управления инцидентами информационной безопасности является важным элементом в обеспечении непрерывности процессов. Под инцидентом информационной безопасности понимается нежелательное событие или совокупность событий информационной безопасности, которое может угрожать информационной безопасности предприятия (стандарт ISO/IEC TR 18044:2004) [2]. Количество и частота появления инцидентов зависят от эффективности системы управления информационной безопасности. Процесс управления инцидентами является важным аспектом в обеспечении информационной безопасности. Именно во время реагирования и анализа инцидентов проявляются уязвимости в информационной системе, обнаруживаются следы вмешательств, проверяется качество архитектуры системы информационной безопасности и ее управления.

Инцидент может происходить впервые и не быть учтенным. Или же несколько последовательно произошедших событий так же могут привести к нарушениям информационной безопасности, но не считаться инцидентами по отдельности. Поэтому при автоматизации процессов управления инцидентами сложной задачей становится их обнаружение и анализ. Инциденты, не известные ранее и для которых нет конкретной схемы реагирования, будем называть аномальными инцидентами [3]. Тогда множество инцидентов разбивается на два подмножества: нормальные инциденты, которые близки друг к другу по описывающим характеристикам и аномальные инциденты, требующие дальнейшего детального изучения. Этот подход позволит выявить среди множества инцидентов критичные аномалии.

Задача обнаружения аномальных инцидентов является частной задачей классификации – разбиения множества инцидентов на заранее заданные группы, внутри каждой из которых имеют примерно одинаковые свойства и признаки [4].

В основе метода решения задачи прецедентного анализа лежит оценка расстояния между всеми наблюдениями в n-мерном пространстве признаков.

Как правило, прецедент состоит из [5]:

– описания проблемной ситуации;

– совокупности действий, предпринимаемых для решения задачи;

– в некоторых случаях – результата применения решения.

В этом случае под прецедентом понимается набор параметров, описывающих множество инцидентов или же отдельный инцидент.

Формально классификация инцидентов основывается на кластеризации: разбиении множества признаков на области, в которых инциденты рассматриваются как идентичные. Существует несколько методов извлечения прецедентов. Наиболее распространенные методы – метод ближайшего соседа [6], позволяющий легко вычислить степень сходства инцидентов на основе заранее выбранной метрики, и метод извлечения прецедентов на основе дерева решений [7], базирующийся на нахождении требуемых прецедентов путем разрешения вершин дерева решений.

Процесс вывода на основе прецедентов включает в себя четыре этапа, образующих цикл рассуждения на основе прецедентов или CBR-цикл, также называемый циклом обучения по прецедентам [8, 9]. Основные этапы CBR-цикла:

– извлечение подобного прецедента для сложившейся ситуации из библиотеки прецедентов;

– повторное использование извлеченного прецедента для попытки решения проблемы;

– пересмотр и адаптация в случае необходимости полученного решения в соответствии с проблемой;

– запоминание вновь принятого решения как части нового прецедента.

Таким образом решения задач классификации инцидентов информационной безопасности на основе прецедентов позволит обнаружить аномальные инциденты и автоматизировать процесс получения решения для инцидентов, информация о которых содержится в базе прецедентов. 

 

Список литературы:
1. ISO/IEC 27001:2005 Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования/
2. ISO/IEC TR 18044:2004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
3. В.Г. Жуков, А.А. Шаляпин «Прецедентный анализ инцидентов информационной безопасности» Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева
4. А.А. Шаляпин «Применение прецедентного анализа в задаче классификации инцидентов информационной безопасности» Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева
5. Aamodt A., Plaza E. Case-Based Reasoning: Foundation Issues, methodological Variations, and System Approaches // AI Communications. 1994. Vol. 7, № 1. Р. 39-59.
6. Люгер Д.Ф. Искусственный интеллект: стратегии и методы решения сложных проблем. М : Вильямс, 2002.
7. Вагин В.Н., Головина Е.Ю., Загорянская А.А., Фомина М.В. Достоверный и правдоподобный вывод в интеллектуальных системах. 2-е издание // Под редакцией В.Н. Вагина, Д.А. Поспелова. – М.:ФИЗМАТЛИТ, 2008. – 712 с.
8. Берман А.Ф., Николайчук О.А., Павлов А.И., Юрин А.Ю. Концепция построения прецедентной экспертной системы // Материалы XII международной конференции по вычислительной механике и современным прикладным программным системам, Владимир, 30 июня – 5 июля 2003 г. М., 203, Т.2.С.110-111.
9. П.П. Варшавский, А.П. Еремеев Моделирования рассуждений на основе прецедентов в интеллектуальных системах поддержки принятия решений. Московский энергетический институт.