Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью
Автор: Минаев Владимир Александрович, Бондарь Константин Михайлович, Вайц Екатерина Викторовна, Беляков Иван Александрович
Рубрика: Математическое моделирование
Статья в выпуске: 3, 2019 года.
Бесплатный доступ
Применен метод дискретно-событийного моделирования для описания процессов мониторинга и управления информационной безопасностью. В ходе имитационных экспериментов показано, что именно эти модели позволяют наиболее адекватно, в режиме реального времени представить процесс реагирования на компьютерные атаки, рассчитать резко меняющуюся при их реализации нагрузку на информационную систему, персонал, обеспечивающий ее защиту, наглядно отобразить функционирование подсистемы мониторинга и управления информационной безопасностью. Дискретно-событийная модель построена в среде AnyLogic и отражает сообщения об атаках из двух источников информации (внутренних и внешних), приходящие от рабочих станций, сетевых устройств, web-ресурсов и средств защиты информации. Дается описание SIEM (Центр информационной безопасности и управления событиями), где последовательно производится сбор сообщений, их фильтрация, агрегация и корреляция. SIEM дает возможность распределить сообщения по степени риска - высокий, средний, низкий. Далее моделируется SOC (Центр операций по обеспечению безопасности) с тремя линями обслуживания, отличающимися уровнями распознавания компьютерных атак и, соответственно, уровнями подготовки персонала. Результаты экспериментов с моделью включают изучение времени реагирования на компьютерные атаки, времени ожидания в очереди, времени обработки в блоках SIEM и SOC, количества сообщений с обнаруженными совпадениями сигнатур, отражающими компьютерные атаки, а также исследование ситуации, при которой происходит резкое увеличение количества сообщений, передаваемых от источников в Центр мониторинга информационной безопасности. Программное обеспечение Anylogic позволяет проигрывать различные сценарии с применением дискретно-событийной модели, производить интерпретацию результатов компьютерных атак, проводить различные виды имитационных экспериментов, обходя сложности их практической реализации и удешевляя получение оценок состояния информационной безопасности. Имитационные эксперименты позволяют прогнозировать время реагирования на компьютерные атаки, изучить блоки фильтрации, агрегации и корреляции.
Дискретно-событийное моделирование, информационная безопасность, мониторинг, имитационный эксперимент, компьютерная атака
Короткий адрес: https://sciup.org/148309539
IDR: 148309539 | DOI: 10.25586/RNU.V9187.19.03.P.032
Список литературы Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью
- Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации 5 дек. 2016 г. № 646.
- Zimmerman C. Ten Strategies of a World-Class Cybersecurity Operations Center. The MITRE Corporation, 2014. 334 p.
- Gordon S. Operationalizing Information Security: Putting the Top 10 SIEM Best Practices to Work. URL: https://ru.scribd.com/read/206534734/ Operationalizing-Information-Security-Putting-the-Top-10-SIEM-Best-Practices-to-Work#.
- Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Ч. 1. // Труды СПИИРАН. 2016. Вып. 47. C. 5-27.
- Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Ч. 2 // Труды СПИИРАН. 2016. Вып. 6(49). C. 208-225.
