Аннотации:
В настоящее время наиболее широкое распространение на рынке SIEM-систем получили
системы, использующие сигнатурные методы корреляции событий информационной безопасности, что обусловлено простотой их реализации и гибкостью при настройке и дальнейшей
эксплуатации. Однако системы, построенные по этому принципу, не способны адаптироваться к условиям быстро изменяющегося ИТ-ландшафта в силу предопределенности инцидентов
информационной безопасности, на которые они могут реагировать. К числу недостатков таких систем относятся большое количество ложных срабатываний и относительная сложность
настройки и внедрения. В статье рассматривается способ применения аппарата нечеткой логики для построения самообучающейся системы корреляции событий информационной безопасности в качестве альтернативы широко распространенным сигнатурным методам. В рамках настоящей статьи обоснована схема реализации самообучающейся системы корреляции
событий, описаны преимущества данной системы перед сигнатурными методами корреляции. Currently, the most widely used on the market SIEM-systems using the signature event correlation
methods of information security, which is due, ease of implementation and flexibility in configuring
and further exploitation. This system, built on this principle, are not able to adapt to the rapidly
changing IT-landscape by virtue of predetermined information security incidents to which they
can respond. The disadvantages of such systems include a large number of false positives and
the relative complexity of the configuration and implementation. The article discusses how to use
fuzzy logic to construct a self-learning system of information security event correlation as an alternative
to the widespread signature methods. The article explains the scheme of the self-learning system
event correlation and its advantages over signature-based correlation.
Описание:
Астахова Людмила Викторовна, д-р пед. наук, профессор, профессор кафедры безопасности информационных систем, Южно-Уральский государственный университет, г. Челябинск;
lvastachova@mail.ru.
Цимбол Владимир Игоревич, студент кафедры безопасности информационных систем,
Южно-Уральский государственный университет, г. Челябинск; yuashick@mail.ru. L.V. Astakhova, lvastachova@mail.ru,
V.I. Tsimbol, yuashick@mail.ru
South Ural State University, Chelyabinsk, Russian Federation