Исследование алгоритма прецедентного анализа в задаче классификации инцидентов информационной безопасности
Автор: Жуков В.Г., Шаляпин А.А., Соколов М.М.
Журнал: Сибирский аэрокосмический журнал @vestnik-sibsau
Рубрика: Математика, механика, информатика
Статья в выпуске: 3 т.16, 2015 года.
Бесплатный доступ
Представлено решение актуальной практической задачи определения стратегии реагирования на инциденты информационной безопасности в информационных системах с помощью прецедентного анализа. Рассмотрен процессный подход к управлению инцидентами и его основные стадии. Процесс управления инцидентами, согласно требованиям нормативных документов, включает четыре этапа: обнаружение инцидента, реагирование на инцидент, расследование, корректирующие действия. На втором этапе процесса управления инцидентами существует актуальная проблема оперативного реагирования на инциденты информационной безопасности. Необходимо решить, какую стратегию из множества заданных выбрать, либо определить, что подходящей стратегии не существует и ее необходимо сформировать. В качестве решения проблемы выбора стратегии реагирования предлагается использовать аппарат прецедентного анализа. Для решения данной задачи предполагается применение упрощенного цикла рассуждения на основе прецедентов, который не включает этап адаптации сценариев реагирования. Классификация основана на количестве найденных аналогий и значении степени подобия. Инциденты сопоставляются классам прецедентов на основе найденных аналогий в каждом классе. По значению степени подобия инциденту ставится в соответствие конкретный прецедент из класса и связанная с ним стратегия реагирования. В соответствии с предложенной концепцией анализа инцидентов разработан новый алгоритм классификации инцидентов информационной безопасности в информационных системах на базе прецедентного и статистического анализа. Разработанный алгоритм отличается от известных автоматизированным выбором оптимального порогового значения с помощью ROC-анализа. Алгоритм предусматривает возможность выбора критерия максимального качества классификатора в зависимости от допустимого значения ошибок первого и второго рода. Проведена оценка эффективности разработанного алгоритма на множестве тестовых данных. Предложенная концепция построения системы прецедентного анализа позволяет повысить оперативность реагирования и многократно использовать ранее накопленный опыт в процессе управления инцидентами информационной безопасности.
Информационная безопасность, инцидент, прецедент, стратегия реагирования, прецедентный анализ
Короткий адрес: https://sciup.org/148177455
IDR: 148177455
Список литературы Исследование алгоритма прецедентного анализа в задаче классификации инцидентов информационной безопасности
- ГОСТ Р ИСО/МЭК 20000-1:2005. Информационная технология. Управление услугами. Ч. 1. Спецификация.
- ГОСТ Р ИСО/МЭК 20000-2:2005. Информационная технология. Управление услугами. Ч. 2. Практическое руководство.
- Шаляпин А. А., Жуков В. Г. Алгоритм прецедентного анализа инцидентов информационной безопасности//Информационная безопасность -2013: материалы XIII Междунар. науч. конф. ЮФУ. Таганрог, 2013. Ч. 1. С. 96-104.
- Варшавский П. Р., Еремеев А. П. Методы правдоподобных рассуждений на основе аналогий и прецедентов для интеллектуальных систем поддержки принятия решений//Новости искусственного интеллекта. 2006. Вып. 3. С. 39-62.
- Концепция построения прецедентной экспертной системы/А. Ф. Берман //материалы XII Междунар. науч. конф. по вычислительной механике и современным прикладным программным системам. Владимир, 2003. Ч. 2. С. 110-111.
- Достоверный и правдоподобный вывод в интеллектуальных системах/В. Н. Вагин ; под ред. В. Н. Вагина, Д. А. Поспелова. 2-е изд. М.: Физматлит, 2008. 704 c.
- Варшавский П. Р., Еремеев А. П. Поиск решения на основе структурной аналогии для интеллектуальных систем поддержки принятия решений//Известия РАН. Теория и системы управления. 2005. Вып. 1. С. 97-109.
- Яхтеева Г. Э., Ясинская О. В. Применение методологии прецедентных моделей в системе риск-менеджмента, направленного на раннюю диагностику компьютерного нападения//Вестник НГУ. Сер. «Информационные технологии». 2012. Вып. 2. С. 106-115.
- Шаляпин А. А. Применение прецедентного анализа в задаче классификации инцидентов информационной безопасности//Актуальные проблемы авиации и космонавтики: тезисы VIII Всерос. науч.-практ. конф./Сиб. гос. аэрокосмич. ун-т. Красноярск, 2012. Т. 2. С. 381-382.
- Шаляпин А. А., Жуков В. Г. О прецедентном анализе инцидентов информационной безопасности//Решетневские чтения: материалы XVI Междунар. науч. конф./Сиб. гос. аэрокосмич. ун-т. Красноярск, 2012. Ч. 2. С. 213-214.
- Шаляпин А. А. О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности//Решетневские чтения: материалы XVII Междунар. науч. конф./Сиб. гос. аэрокосмич. ун-т. Красноярск, 2013. Ч. 2. С. 166-168.
- Шаляпин А. А., Жуков В. Г. Прецедентный анализ инцидентов информационной безопасности//Вестник СибГАУ. 2013. № 2 (48). С. 19-24.
- Соколов М. М. Исследование влияния функций нахождения расстояния на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности//Решетневские чтения: материалы XVII Междунар. науч. конф./Сиб. гос. аэрокосмич. ун-т. Красноярск, 2013. Ч. 2. С. 317-319.
- Файнзильберг Л. С., Жук Т. Н. Гарантированная оценка эффективности диагностических тестов на основе усиленного ROC-анализа//Управляющие системы и машины. 2009. Вып. 5. С. 3.
- Богомолов А. В., Кукушкин Ю. А. Математическое обеспечение метаанализа результатов независимых экспериментальных медико-биологических исследований//Информатика и системы управления. 2011. Вып. 4. С. 65-74.
- GOST R ISO/MEK 20000-1:2005. Informatsionnaya tehnologiya. Upravlenie uslugami. Ch. 1. “Spetsifikatsiya”. . Moscow, Standartinform Publ., 2007, 33 p.
- GOST R ISO/MEK 20000-2:2005. Informatsionnaya tehnologiya. Upravlenie uslugami. Ch. 2. “Practicheskoe rukovodstvo”. . Moscow, Standartinform Publ., 2007, 55 p.
- Shalyapin A. A., Zhukov V. G. Materialu XIII mezhdunarod. nauch. konf. “Informatsionnaya bezopasnost-2013” . Taganrog, 2013, Part 1, Р. 96-104 (In Russ.).
- Varshavskiy P. R., Eremeev A. P. . Novosti iskusstvennogo intellekta. 2006, Vol. 2, P. 39-62 (In Russ.).
- Berman A. F., Nikolaichuk O. A., Pavlov A. I., Yurin A. U. Materialy XII mezhdunarod. nauch. konf. po vyichislitelnoy mehanike i sovremennyim prikladnym programmnym sistemam . Vladimir, 2003, Part 2, P. 110-111 (In Russ.).
- Vagin V. N, Golovina E. U., Zagoryanskay A. A., Fomina М. V. Dostovernyiy i pravdopodobnyi vyvodiv intellektualnykh sistemakh. . Moscow, Fizmatlit Publ., 2008, 704 p.
- Varshavskiy P. R., Eremeev A. P. . Izvestiya RAN. Teoriya I sistemi upravleniya. 2005, Vol. 1, P. 97-109 (In Russ.).
- Yahteeva V. G., Yasinskaya O. V. . Vestnik NGU. Informatsionnie tehnologii. 2012, Vol. 2, Р. 106-115 (In Russ.).
- Shalyapin A. A. Materiali VIII vserossiyskoi nauch-prak. konf.
- “Aktualnyie problemy aviatsii i kosmonavtiki”. . Krasnoyarsk, 2012, Part 2, Р. 381-382 (In Russ.).
- Shalyapin A. A., Zhukov V. G. . Krasnoyarsk, 2012, Part 2, Р. 213-214 (In Russ.).
- Shalyapin A. A. . Materialy XVII mezhdunarod. nauch. konf. “Reshetnevskie chtenia” . Krasnoyarsk, 2013, Part 2, Р. 166-168 (In Russ.).
- Shalyapin A. A., Zhukov V. G. . Vestnik SibGAU. 2013, No. 2(48), P. 19-24 (In Russ.).
- Sokolov M. M. . Materialy XVII mezhdunarod. nauch. konf. “Reshetnevskie chtenia” . Krasnoyarsk, 2013, Part 2, Р. 317-319 (In Russ.).
- Faizilberg L. S., Zhuk T. N. . Upravlyayushie sistemi i mashini. 2009, Vol. 5, P. 3-11 (In Russ.).
- Bogomolov A. V., Kukushkin U. A. . Informatika I sistemi upravleniya. 2011, Vol. 4, P. 65-74 (In Russ.).