Прецедентный анализ инцидентов информационной безопасности
Журнал: Научный журнал «Студенческий форум» выпуск №24(75)
Рубрика: Технические науки
Научный журнал «Студенческий форум» выпуск №24(75)
Прецедентный анализ инцидентов информационной безопасности
В соответствии с международным стандартом ISO 27001:2005 [1] создание процедуры управления инцидентами информационной безопасности является важным элементом в обеспечении непрерывности процессов. Под инцидентом информационной безопасности понимается нежелательное событие или совокупность событий информационной безопасности, которое может угрожать информационной безопасности предприятия (стандарт ISO/IEC TR 18044:2004) [2]. Количество и частота появления инцидентов зависят от эффективности системы управления информационной безопасности. Процесс управления инцидентами является важным аспектом в обеспечении информационной безопасности. Именно во время реагирования и анализа инцидентов проявляются уязвимости в информационной системе, обнаруживаются следы вмешательств, проверяется качество архитектуры системы информационной безопасности и ее управления.
Инцидент может происходить впервые и не быть учтенным. Или же несколько последовательно произошедших событий так же могут привести к нарушениям информационной безопасности, но не считаться инцидентами по отдельности. Поэтому при автоматизации процессов управления инцидентами сложной задачей становится их обнаружение и анализ. Инциденты, не известные ранее и для которых нет конкретной схемы реагирования, будем называть аномальными инцидентами [3]. Тогда множество инцидентов разбивается на два подмножества: нормальные инциденты, которые близки друг к другу по описывающим характеристикам и аномальные инциденты, требующие дальнейшего детального изучения. Этот подход позволит выявить среди множества инцидентов критичные аномалии.
Задача обнаружения аномальных инцидентов является частной задачей классификации – разбиения множества инцидентов на заранее заданные группы, внутри каждой из которых имеют примерно одинаковые свойства и признаки [4].
В основе метода решения задачи прецедентного анализа лежит оценка расстояния между всеми наблюдениями в n-мерном пространстве признаков.
Как правило, прецедент состоит из [5]:
– описания проблемной ситуации;
– совокупности действий, предпринимаемых для решения задачи;
– в некоторых случаях – результата применения решения.
В этом случае под прецедентом понимается набор параметров, описывающих множество инцидентов или же отдельный инцидент.
Формально классификация инцидентов основывается на кластеризации: разбиении множества признаков на области, в которых инциденты рассматриваются как идентичные. Существует несколько методов извлечения прецедентов. Наиболее распространенные методы – метод ближайшего соседа [6], позволяющий легко вычислить степень сходства инцидентов на основе заранее выбранной метрики, и метод извлечения прецедентов на основе дерева решений [7], базирующийся на нахождении требуемых прецедентов путем разрешения вершин дерева решений.
Процесс вывода на основе прецедентов включает в себя четыре этапа, образующих цикл рассуждения на основе прецедентов или CBR-цикл, также называемый циклом обучения по прецедентам [8, 9]. Основные этапы CBR-цикла:
– извлечение подобного прецедента для сложившейся ситуации из библиотеки прецедентов;
– повторное использование извлеченного прецедента для попытки решения проблемы;
– пересмотр и адаптация в случае необходимости полученного решения в соответствии с проблемой;
– запоминание вновь принятого решения как части нового прецедента.
Таким образом решения задач классификации инцидентов информационной безопасности на основе прецедентов позволит обнаружить аномальные инциденты и автоматизировать процесс получения решения для инцидентов, информация о которых содержится в базе прецедентов.
