<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">pribor</journal-id><journal-title-group><journal-title xml:lang="ru">Известия высших учебных заведений. Приборостроение</journal-title><trans-title-group xml:lang="en"><trans-title>Journal of Instrument Engineering</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">0021-3454</issn><issn pub-type="epub">2500-0381</issn><publisher><publisher-name>Национальный исследовательский университет ИТМО</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.17586/0021-3454-2022-65-11-833-841</article-id><article-id custom-type="elpub" pub-id-type="custom">pribor-306</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>МАТЕМАТИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ  ИНФОРМАЦИОННЫХ СИСТЕМ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>MATHEMATICAL AND SOFTWARE SUPPORT  OF INFORMATION SYSTEMS</subject></subj-group></article-categories><title-group><article-title>Модель комбинированного применения интеллектуальных методов  корреляции событий информационной безопасности</article-title><trans-title-group xml:lang="en"><trans-title>Model of combined application of intelligent methods of information security events correlation</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Левшун</surname><given-names>Д. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Levshun</surname><given-names>D. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Диана Альбертовна Левшун — аспирант; лаборатория проблем компьютерной безопасности; мл. научный сотрудник</p><p>Санкт-Петербург</p></bio><bio xml:lang="en"><p>Diana A. Levshun — Post-Graduate Student; St. Petersburg Institute for Informatics and Automation of the RAS, Laboratory of Computer Security Problems; Junior Researcher</p><p>St. Petersburg</p></bio><email xlink:type="simple">gaifulina@comsec.spb.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Санкт-Петербургский федеральный исследовательский центр Российской академии наук</institution></aff><aff xml:lang="en"><institution>St. Petersburg Federal Research Center of the RAS</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2022</year></pub-date><pub-date pub-type="epub"><day>03</day><month>12</month><year>2024</year></pub-date><volume>65</volume><issue>11</issue><fpage>833</fpage><lpage>841</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Национальный исследовательский университет ИТМО, 2024</copyright-statement><copyright-year>2024</copyright-year><copyright-holder xml:lang="ru">Национальный исследовательский университет ИТМО</copyright-holder><copyright-holder xml:lang="en">Национальный исследовательский университет ИТМО</copyright-holder><license xlink:href="https://pribor.ifmo.ru/jour/about/submissions#copyrightNotice" xlink:type="simple"><license-p>https://pribor.ifmo.ru/jour/about/submissions#copyrightNotice</license-p></license></permissions><self-uri xlink:href="https://pribor.ifmo.ru/jour/article/view/306">https://pribor.ifmo.ru/jour/article/view/306</self-uri><abstract><p>Для решения задачи корреляции событий информационной безопасности предложена модель комбинированного применения интеллектуальных методов корреляции. Интеллектуальные методы корреляции событий безопасности способны анализировать как объемные исторические данные, так и события в реальном времени, а также автоматически обнаруживать изменяющиеся пороговые значения. Предложенная модель содержит два уровня обработки данных: уровень представления знаний и уровень корреляции событий безопасности. На уровне представления знаний осуществляется структурный и семантический анализ событий. На уровне корреляции для обработки событий применяются оценка подобия элементов векторов событий безопасности, нейросетевой графо-ориентированный метод и анализ данных при помощи рекуррентных нейронных сетей. Результатами работы модели являются последовательность взаимосвязанных событий безопасности, тип текущего состояния безопасности системы и прогнозируемые состояния. Эффективность подхода на основе предложенной модели проиллюстрирована результатами эксперимента по прогнозированию событий безопасности системы, показывающими низкие значения показателя ошибок.</p></abstract><trans-abstract xml:lang="en"><p>To solve the problem of information security event correlation, a model for the combined use of intelligent correlation methods is proposed. Intelligent security event correlation methods are able to analyze both historical data and real-time events and automatically detect changing thresholds. The proposed model contains two levels of data processing: the level of knowledge representation and the level of security event correlation. At the level of knowledge representation, structural and semantic analysis of events is carried out. At the correlation level, the similarity assessment of elements of security event vectors, a graph-oriented neural network method and data analysis using recurrent neural networks are used for event processing. The results of the model are the sequence of interrelated security events, the type of the current security state of the system and the predicted states. The performance of the approach based on the proposed model is illustrated by results of an experiment on predicting system security events, showing low values of the error indicator.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>корреляция событий</kwd><kwd>информационная безопасность</kwd><kwd>мониторинг состояния безопасности</kwd><kwd>интеллектуальный анализ данных</kwd></kwd-group><kwd-group xml:lang="en"><kwd>event correlation</kwd><kwd>information security</kwd><kwd>security monitoring</kwd><kwd>data mining</kwd></kwd-group><funding-group><funding-statement xml:lang="ru">работа выполнена при финансовой поддержке бюджетной темы FFZF-2022-0007.</funding-statement><funding-statement xml:lang="en">the work was carried out with the financial support of the budget theme FFZF-2022-0007.</funding-statement></funding-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Котенко И. В., Саенко И. Б., Коцыняк М. А., Лаута О. С. Оценка киберустойчивости компьютерных сетей на основе моделирования кибератак методом преобразования стохастических сетей // Информатика и автоматизация. 2017. Т. 6, № 55. С. 160—184.</mixed-citation><mixed-citation xml:lang="en">Kotenko I.V., Saenko I.B., Kotsynyak M.A., Lauta O.S. Informatics and Automation, 2017, no. 6(55), pp. 160–184. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Albasheer H., Siraj Md M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. Cyber-Attack Prediction Based on Network Intrusion Detection Systems for Alert Correlation Techniques: A Survey // Sensors. 2022. Vol. 22, N 4. P. 1494 (1—15).</mixed-citation><mixed-citation xml:lang="en">Albasheer H., Siraj Md M., Mubarakali A., Elsier Tayfour O., Salih S., Hamdan M., Kamarudeen S. Sensors, 2022, no. 4(22), pp. 1494(1–15).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Москвичев А. Д., Долгачев М. В. Алгоритмы корреляции событий информационной безопасности // Автоматизация процессов управления. 2020. № 3. С. 50—59.</mixed-citation><mixed-citation xml:lang="en">Moskvichev A.D., Dolgachev M. V. Automation of Control Processes, 2020, no. 3, pp. 50–59. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Гайфулина Д. А., Котенко И. В. Анализ моделей глубокого обучения для задач обнаружения сетевых аномалий интернета вещей // Информационно-управляющие системы. 2021. №. 1 (110). С. 28—37.</mixed-citation><mixed-citation xml:lang="en">Gaifulina D.A., Kotenko I.V. Information and Control Systems, 2021, no. 1(110), pp. 28–37. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Kovačević I., Groš S., Slovenec K. Systematic review and quantitative comparison of cyberattack scenario detection and projection / /Electronics. 2020. Vol. 9, N 10. P. 1722 (1—32).</mixed-citation><mixed-citation xml:lang="en">Kovačević I., Groš S., Slovenec K. Electronics, 2020, no. 10(9), pp. 1722(1-32).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. 2022. Vol. 10. P. 43387—43420.</mixed-citation><mixed-citation xml:lang="en">Kotenko I., Gaifulina D., Zelichenok I. IEEE Access., 2022, vol. 10, рр. 43387–43420.</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Охтилев М. Ю. Системы искусственного интеллекта и их применение в автоматизированных системах мониторинга состояния сложных организационно-технических объектов. СПб: СПбГУАП, 2018. 261 с.</mixed-citation><mixed-citation xml:lang="en">Okhtilev M.Yu. Sistemy iskusstvennogo intellekta i ikh primeneniye v avtomatizirovannykh sistemakh monitoringa sostoyaniya slozhnykh organizatsionno-tekhnicheskikh ob"yektov (Artificial Intelligence Systems and Their Application in Automated Systems for Monitoring the State of Complex Organizational and Technical Objects), St. Petersburg, 2018, 261 р. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Tanwar P., Prasad T. V., Aswal M. S. Comparative study of three declarative knowledge representation techniques // Intern. Journal on Computer Science and Engineering. 2010. Vol. 2, N 07. P. 2274—2281.</mixed-citation><mixed-citation xml:lang="en">Tanwar P., Prasad T.V., Aswal M.S. International Journal on Computer Science and Engineering, 2010, no. 07(2), pp. 2274–2281.</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Sikos L. F. AI in digital forensics: Ontology engineering for cybercrime investigations // Wiley Interdisciplinary Reviews: Forensic Science. 2021. Vol. 3, N 3. P. e1394 (1—11).</mixed-citation><mixed-citation xml:lang="en">Sikos L.F. Wiley Interdisciplinary Reviews: Forensic Science, 2021, no. 3(3), pp. e1394(1-11).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Zeng J., Wu S., Chen Y., Zeng R., Wu C. Survey of attack graph analysis methods from the perspective of data and knowledge processing // Security and Communication Networks. 2019. Vol. 2019. P. 1—16.</mixed-citation><mixed-citation xml:lang="en">Zeng J., Wu S., Chen Y., Zeng R., Wu C. Security and Communication Networks, 2019, vol. 2019, рр. 1–16.</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Lallie H. S., Debattista K., Bal J. A review of attack graph and attack tree visual syntax in cyber security // Computer Science Review. 2020. Vol. 35. P. 100219 (1—41).</mixed-citation><mixed-citation xml:lang="en">Lallie H.S., Debattista K., Bal J. Computer Science Review, 2020, vol. 35, рр. 100219(1-41).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Маликов А. В., Авраменко В. С., Саенко И. Б. Модель и метод диагностирования компьютерных инцидентов в информационно-коммуникационных системах, основанные на глубоком машинном обучении // Информационно-управляющие системы. 2019. № 6 (103). С. 32—42.</mixed-citation><mixed-citation xml:lang="en">Malikov A.V., Avramenko V.S., Saenko I.B. Information and Control Systems, 2019, no. 6(103), pp. 32–42. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Бутусов И. В., Романов А. А. Предупреждение инцидентов информационной безопасности в автоматизированных информационных системах // Вопр. кибербезопасности. 2020. № 5 (39). С. 45—51.</mixed-citation><mixed-citation xml:lang="en">Butusov I., Romanov A. Voprosy kiberbezopasnosti, 2020, no. 5(39), pp. 45–51. (in Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Ala-Laurinaho R., Keski-Heikkilä T. Driving smart crane with various loads // IEEE Dataport [Электронный ресурс]: https://ieee-dataport.org/documents/driving-smart-crane-various-loads.</mixed-citation><mixed-citation xml:lang="en">Ala-Laurinaho R., Keski-Heikkilä T. Driving smart crane with various loads, https://ieee-dataport.org/documents/driving-smart-crane-various-loads.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
