Статья:

Решение задачи классификации инцидентов информационной безопасности на основе прецедентного анализа

Конференция: XVIII Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»

Секция: Технические науки

Выходные данные
Михайлова Е.А. Решение задачи классификации инцидентов информационной безопасности на основе прецедентного анализа // Технические и математические науки. Студенческий научный форум: электр. сб. ст. по мат. XVIII междунар. студ. науч.-практ. конф. № 7(18). URL: https://nauchforum.ru/archive/SNF_tech/7(18).pdf (дата обращения: 13.10.2024)
Лауреаты определены. Конференция завершена
Эта статья набрала 0 голосов
Мне нравится
Дипломы
лауреатов
Сертификаты
участников
Дипломы
лауреатов
Сертификаты
участников
на печатьскачать .pdfподелиться

Решение задачи классификации инцидентов информационной безопасности на основе прецедентного анализа

Михайлова Елена Андреевна
магистрант, Уфимский Государственный Нефтяной Технический Университет, РФ, г. Уфа

 

Аннотация. В статье рассматривается процесс управления инцидентами, в частности, метод решения задачи классификации инцидентов информационной безопасности на основе прецедентного анализа.

 

Ключевые слова: информационная безопасность, инцидент, классификация, прецедентный анализ, CBR-цикл.

 

Инцидент информационной безопасности – это нежелательное событие или совокупность событий информационной безопасности, которое может угрожать информационной безопасности предприятия (стандарт ISO/IEC TR 18044:2004) [1].

Эффективность системы управления информационной безопасности зависит от количества и частота появления инцидентов.

Поэтому управление инцидентами играет немаловажную роль в обеспечении информационной безопасности. Именно во время анализа инцидентов проявляются уязвимости в информационной системе.

Инцидент может быть неучтенным в случае первичного появления или же в случае, когда несколько последовательно произошедших событий привели к нарушениям информационной безопасности, т.е. последовательные события не считаются инцидентами по отдельности.

Поэтому при автоматизации процессов управления инцидентами сложными задачами становятся их обнаружение и анализ.

Существует понятие «аномальный инцидент» – не известный ранее и не имеющий конкретной схемы реагирования.

Тогда задача классификации сводится к разбиению множества на две группы: нормальные инциденты, которые близки друг к другу по описывающим характеристикам [2] и аномальные инциденты, требующие дальнейшего детального изучения.

Этот подход позволит выявить среди множества инцидентов критичные аномалии.

Тогда формально классификация инцидентов будет основываться на кластеризации.

В этом случае применяется прецедентный анализ, состоящий из:

– описания проблемной ситуации;

– совокупности действий, предпринимаемых для решения задачи;

– в некоторых случаях – результата применения решения.

Процесс вывода на основе прецедентов включает в себя несколько этапов, образующих цикл рассуждения на основе прецедентов (CBR-цикл), также называемый циклом обучения по прецедентам.

Основные этапы CBR-цикла:

– извлечение подобного прецедента для сложившейся ситуации из библиотеки прецедентов;

– повторное использование извлеченного прецедента для попытки решения проблемы;

– пересмотр и адаптация в случае необходимости полученного решения в соответствии с проблемой;

– запоминание вновь принятого решения как части нового прецедента.

Таким образом решение задачи классификации инцидентов информационной безопасности на основе прецедентов позволит обнаружить аномальные инциденты и автоматизировать процесс получения решения для инцидентов.

 

Список литературы:
1. 1ISO/IEC TR 18044:2004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
2. А.А. Шаляпин «Применение прецедентного анализа в задаче классификации инцидентов информационной безопасности» Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева