Статьи

Цель статьи: проведение системного анализа требований к подсистеме предупреждения компьютерных атак на объекты критической информационной инфраструктуры с целью обоснования направлений дальнейшего совершенствования научно-методического аппарата для полноценного функционирования подсистемы предупреждения компьютерных атак.Метод исследования: теоретический и системный анализ требований нормативно-правовых актов, научных публикаций, технологий защиты и средств их реализации в ведомственных системах обнаружения, предупреждения и ликвидации последствий компьютерных атак. Полученный результат: проведено обоснование необходимости построения механизмов предупреждения компьютерных атак на объекты критической информационной инфраструктуры и требований к подсистеме предупреждения компьютерных атак, предложен подход к предупреждению компьютерных атак на этапах разведки злоумышленником объектов критической информационной инфраструктуры, основанный на внедрении механизма корреляции событий безопасности с автоматической адаптацией к анализируемой информационной инфраструктуре и выполняемым ею функциям в текущий момент времени и детальной спецификацией правил корреляции.Область применения предложенного подхода: подсистема предупреждения компьютерных атак ведомственных систем обнаружения, предупреждения и ликвидации последствий компьютерных атак, которая должна заблаговременно выявлять и предупреждать попытки проведения компьютерных атак на объекты критической информационной инфраструктуры.Научная новизна заключается в проведенном всестороннем анализе необходимости построения механизмов предупреждения компьютерных атак на объекты критической информационной инфраструктуры, анализе требований к подсистеме предупреждения компьютерных атак, ее функций и средств реализации. Показано, что функции предупреждения компьютерных атак в отечественных технических решениях реализованы не в полном объеме, и что существует подмена понятия «подсистема предупреждения компьютерных атак» понятием «контрольно-технические мероприятия». Обосновано, что для реализации функций предупреждения компьютерных атак имеется технологический задел в виде готовой технологии на базе технологии построения SIEM-систем. Показано, что существует необходимость доработки научно-методического аппарата реализации функций предупреждения компьютерных атак на базе методов искусственного интеллекта и технологий больших данных.Вклад: Котенко И.В. - анализ функциональных возможностей подсистемы предупреждения компьютерных атак, постановка задачи и предложения по развитию функциональности подсистемы предупреждения компьютерных атак на объекты критической информационной инфраструктуры; Саенко И.Б. - анализ подсистемы предупреждения компьютерных атак в общем контексте теории информационной безопасности, обоснование реализации функций предупреждения компьютерных на базе технологии построения SIEM-систем и больших данных; Захарченко Р.И. - анализ технических решений, обеспечивающих реализацию подсистемы предупреждения компьютерных атак, Величко Д.В. - подход к выявлению компьютерных атак на этапах разведки злоумышленником объектов критической информационной инфраструктуры. Все авторы участвовали в написании статьи.

Объектом исследования является новый методологический подход к гранулированию информации, а также к построению и применению гранулярных моделей вычислений как к новому математическому и методологическому инструментарию повышения точности идентификации и оценки уровня вредоносной активности в инфраструктуре Умного города. Предложенный подход основан на практическом приложении элементов теории нечетких множеств в сочетании с элементами информационного гранулирования к задачам оценки признаков вредоносной активности. Произведен подробный анализ отличительных черт этого подхода, определяющих целесообразность и условия его применения для идентификации и оценки уровня вредоносной активности в инфраструктуре Умного города. Изучены и описаны теоретические аспекты применения гранулирования информации и гранулярных моделей вычислений в задачах оценки вредоносной активности, сочетающей различные признаки для различных категорий потенциальных угроз инфраструктуре и субъектам Умного города: категорий «кибератака», «вредоносная вирусная угроза» или «утечка (потеря) данных». Проведен анализ особенностей предложенного подхода, позволяющего учитывать мнения экспертов и устранять нечеткость, связанную с зашумленностью, неупорядоченностью и неформализованностью данных наблюдения, собираемых и предварительно обрабатываемых в интересах оценки угроз и последствий негативного проявления вредоносной активности. Выработана и детально изложена последовательность вычислений и аналитические выражения для расчета оценочных значений признаков наличия вредоносной активности для различных категорий потенциальных угроз инфраструктуре и субъектам Умного города. Подход предполагает практическую возможность оценки признаков вредоносной активности с использованием информационных гранул, образованных на основе учета минимального численного расстояния между значениями функций принадлежности, характеризующими нечетко заданные данные о наличии либо отсутствии наблюдаемых признаков (атрибутов) вредоносной активности, а также гранулярного суммирования и определения функции следа гранулярной суммы. При этом предложенный подход позволяет получать оценки признаков вредоносной активности, адекватные задачам мониторинга политики безопасности Умного города и в конечном итоге обеспечивает повышение достоверности проактивного контроля угроз и анализа возможных последствий негативного проявления подозрительной активности.