Классификация систем поддержки принятия решений для использования в системе управления событиями и информацией о безопасности

В статье представлен обзор типов систем поддержки принятия решений (СППР) с целью определения оптимального решения для использования в SIEM-системах, рассмотрены возможные способы интеграции СППР в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Ключевые слова: система поддержки принятия решений, SIEM-система, база данных, машинное обучение, нейронная сеть, информационная безопасность, ГосСопка.

Системы SIEM (Security Information and Event Management) предоставляют централизованную платформу для сбора, анализа и управления информацией о безопасности в реальном времени. Одним из ключевых компонентов SIEM систем является возможность принимать эффективные решения основываясь на анализе полученных данных [1]. Для этого рекомендуется использовать систему поддержки принятия решений (СППР). Однако, не каждая СППР подходит для SIEM систем.

Существует несколько классификаций систем поддержки принятия решений (СППР), некоторые из них включают [2]:

1. Классификация по методам решения проблемы:

— Экспертные системы : используют знания экспертов для принятия решений.

— Нейронные сети : моделируют работу человеческого мозга для анализа данных и принятия решений.

— Генетические алгоритмы : используют эволюционные методы для нахождения оптимального решения.

— Математические модели : используют математические алгоритмы и модели для анализа данных и принятия решений.

— Интеллектуальный анализ данных : используют алгоритмы машинного обучения и статистический анализ для анализа больших объемов данных.

— Системы опорных решений : предлагают ряд алгоритмов и инструментов для анализа проблемы и принятия решения на основе доступных данных.

2. Классификация по степени автоматизациих [3]:

— Квази-автоматические СППР : требуют минимального участия пользователя, но требуют уточнения и контроля внешней системы.

— Полностью автоматические СППР : не требуют участия пользователя в процессе принятия решения.

3. Классификация по областям применения:

— Финансовые СППР : используются в финансовых институтах для анализа рисков, прогнозирования рынков, оптимизации инвестиций и других финансовых задач [4].

— Медицинские СППР : используются в медицинских учреждениях для диагностики, прогнозирования лечения и принятия других медицинских решений.

— Промышленные СППР : используются в производственной сфере для оптимизации процессов, планирования производства и принятия других решений в производстве.

Перед тем, как определить наиболее оптимальную СППР для SIEM систем, необходимо понять особенности SIEM систем. SIEM системы предназначены для объединения данных о безопасности из различных источников, таких как логи событий, уведомления систем мониторинга, устройств и сетей [5]. Однако, важно отметить, что просто сбор данных недостаточно, поскольку обработка и анализ данных являются основными составляющими SIEM систем.

СППР, используемая в SIEM системах, должна учитывать следующие требования:

1. Способность обрабатывать большие объемы данных:

SIEM системы обрабатывают огромные объемы событий и логов безопасности. СППР должна обладать высокой производительностью и масштабируемостью для эффективной обработки и анализа данных.

2. Автоматизация анализа данных:

3. Интеграция с другими системами безопасности:

SIEM системы обычно взаимодействуют с другими системами безопасности, такими как системы управления угрозами (Threat Intelligence) [6], системы обнаружения вторжений (Intrusion Detection Systems), системы защиты периметра (Firewall) и т. д. СППР должна предоставлять возможность интеграции с этими системами для обмена информацией и координации действий.

Существует несколько возможных способов интеграции системы поддержки принятия решений (СППР) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), которая в свою очередь использует SIEM-системы [7]:

1. Интеграция через API: СППР может быть интегрирована в ГосСОПКА с помощью API, предоставляющего стандартные программные интерфейсы для взаимодействия. Это позволит передавать данные о компьютерных атаках из ГосСОПКА в СППР для анализа и принятия решений.
2. Использование единой информационной платформы: Создание единой информационной платформы, объединяющей ГосСОПКА и СППР, позволит обмениваться данными и обрабатывать их вместе. Это может включать обмен информацией о компьютерных атаках, средствах защиты, а также аналитические возможности для принятия решений.
3. Интеграция на уровне баз данных: СППР может быть интегрирована в ГосСОПКА на уровне баз данных [8], позволяющий синхронизировать информацию о компьютерных атаках, угрозах с данными в СППР и ГосСОПКА. Это позволит получать данные в реальном времени из обоих систем и анализировать их для принятия решений.
4. Использование облачных технологий: СППР и ГосСОПКА могут быть интегрированы с помощью облачных технологий. Облачные ресурсы позволяют обмениваться данными и вычислительными возможностями, обеспечивая гибкость и масштабируемость системы.
5. Развитие стандартов и протоколов: Разработка и использование стандартов и протоколов для взаимодействия между СППР и ГосСОПКА позволит обеспечить совместимость и согласованность данных, облегчая интеграцию и обмен информацией.

Выбор оптимального способа интеграции СППР в ГосСОПКА зависит от конкретных требований и возможностей системы, а также от политики и регулирования в данной области.

Заключение

Для предупреждения компьютерных атак наиболее эффективна система поддержки принятия решений, основанная на анализе поведения и мониторинге сетевого трафика. Эта система может использовать методы машинного обучения и анализа больших данных для определения необычного или вредоносного поведения в сети.

Такие системы безопасности могут автоматически обнаруживать потенциальные атаки, анализировать сетевой трафик на предмет подозрительной активности, определять аномалии и воздействия в режиме реального времени, и предупреждать о возможных угрозах безопасности компьютера или сети.

Также важно, чтобы система поддержки принятия решений осуществляла постоянное обновление сигнатур вредоносных программ, анализировала новые методы атак и обновляла свои алгоритмы, чтобы быть в курсе последних угроз.

Использование интеллектуальных систем поддержки принятия решений в сочетании с прокси-серверами, брандмауэрами, средствами аутентификации и другими средствами безопасности может обеспечить комплексный подход к предотвращению компьютерных атак и обеспечить более высокий уровень безопасности.

Литература:

1. Котенко И. В., Саенко И. Б. SIEM-системы для управления информацией и событиями безопасности // Защита информации. Инсайд. 2012. № 5(47). С. 54–65.
2. Кузнецов Михаил Андреевич, Пономарев Сергей Сергеевич. «Современная классификация систем поддержки принятия решений» // Прикаспийский журнал: управление и высокие технологии, № 3, 2009, С. 52–58.
3. Кравченко Т. К. «Экспертная система поддержки принятия решений» // Открытое образование, № 6, 2010, С. 147–156.
4. Хисамова А. Р. Область применения систем поддержки принятия решений // Материалы IX Международной студенческой научной конференции «Студенческий научный форум».
5. НПО «ЭШЕЛОН» [Электронный ресурс]. Режим доступа: npo-echelon.ru(дата обращения 9.09.2023)
6. Kaspersky daily. Как снизить нагрузку на SIEM и повысить практическую пользу от потоков Threat Intelligence [Электронный ресурс]. Режим доступа: kaspersky.ru/blog/threat-intelligence-platform-siem/33901/ (дата обращения 9.09.2023)
7. SearchInform Information security [Электронный ресурс]. Режим доступа: searchinform.ru/news/products-news/2021/11/22/novoe-v-serchinform-siem-integraciya-s-gossopka-task-menedzhment-i-veb-interfejs/ (дата обращения 9.09.2023)
8. FIS Финансовые информационные системы. Электронный ресурс]. Режим доступа: fisgroup.ru/blog/fis-dss/ (дата обращения 9.09.2023)