The object of research, development or design (in Russian) : Объектом исследования являются системы мониторинга киберугроз и управления (выявление, идентификация, корреляция, реагирование) событиями и инцидентами безопасности критически важных объектов информационно-коммуникационной инфраструктуры.

The object of research, development or design (in Kazakh) : Зерттеу объектісі ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінде киберқауіптерді мониторингтеу және қауіпсіздік оқиғалары мен инциденттерін басқару (анықтау, сәйкестендіру, корреляция, ден қою) жүйелері болып табылады.

Aim of work (in Russian) : Цель работы - анализ применяемых в SIEM-системах и разработка моделей, методик и алгоритмов функционирования гибридного хранилища данных безопасности, а также функционирования надежной распределенной шины данных

Aim of work (in Kazakh) : Жұмыстың мақсаты - SIEM-жүйелерінде қолданылатын қауіпсіздік деректері гибридті қоймасының, сондай-ақ сенімді таратылған деректер шинасының жұмыс істеу модельдерін, әдістемелері мен алгоритмдерін талдау және әзірлеу

Методы исследования (на русском) : Были использованы методы многокритериального, сравнительного и структурного анализа для исследования существующих СУБД и распределенных шин данных, с целью использования их преимуществ для дальнейшей разработки моделей, методик и алгоритмов функционирования гибридно-онтологического хранилища данных безопасности, а также надежной распределенной шины данных для SIEM-системы в критической инфраструктуре.

Методы исследования (на казахском) : Қолданыстағы ДҚБЖ және таратылған деректер шиналарын зерттеу және олардың артықшылықтарын сыни инфрақұрылымдағы SIEM жүйесі үшін гибридті-онтологиялық қауіпсіздік деректері қоймасы мен сенімді таратылған деректер шинасының жұмыс істеу модельдерін, әдістері мен алгоритмдерін әзірлеу кезінде пайдалану мақсатында көп өлшемді, салыстырмалы және құрылымдық талдау әдістері қолданылды.

Obtained results and novelty (in Russian) : 1. Проведен сравнительный анализ существующих и разработаны новые модели функционирования гибридного хранилища данных безопасности, которые отличаются от аналогов тем, что совмещают два разные типы БД – в частности для быстрой обработки журналов используется масштабируемый полнотекстовый поисковый движок с открытым исходным кодом Elasticsearch (использующий библиотеку Lucene, написанный на Java, формат документов JSON), а также открытая документоориентированная СУБД MongoDB (использует JSON-подобные документы и схему БД, написана на C++). Такой подход позволяет сервису индексации получать доступ к внешним хранилищам данных и с различными типами данных, позволяет делать агрегацию, проводить анализ, собрать сущности, закономерности, упростить поиск и обеспечить высокую скорость поиска. 2. Проведен анализ существующих и разработаны новые модели, методики и алгоритмы функционирования распределенной ШД, которые отличаются от аналогов тем, что для сбора информации (событий) используют собственные агенты, устанавливаемые в контролируемые системы, а также стандартные существующие механизмы сбора событий, используют сценарии интеграции с возможностью модификации с минимальным вмешательством разработчиков; ШД для контроля сети может использоваться как коллектор NetFlow статистики данных, получаемых с сетевого оборудования, а также для анализа сетевого трафика с использованием зеркалированного трафика с сетевого оборудования, либо пропуская трафик через себя.

Obtained results and novelty (in Kazakh) : 1. Қолданыстағы дерекқорларға салыстырмалы талдау жасалып, қауіпсіздік деректер гибридті қоймасының жұмыс істеу модельдері әзірленді. Олардың қолданыстағы басқа модельдерден ерекшелігі - екі түрлі мәліметтер базасын біріктіруде, атап айтқанда, журналдарды жылдам өңдеу үшін Elasticsearch (Java-да жазылған Lucene кітапханасын, JSON құжат форматын пайдалану), сондай-ақ MongoDB ашық құжатқа бағытталған ДҚБЖ қолдану (JSON-ға ұқсас құжаттар мен мәліметтер базасының схемасын қолданады, C++тілінде жазылған). Бұл тәсіл индекстеу қызметіне сыртқы деректер қоймаларына және әртүрлі деректер түрлеріне қол жеткізуге мүмкіндік береді, агрегаттауға, талдауға, нысандарды, үлгілерді жинауға, іздеуді жеңілдетуге және жоғары іздеу жылдамдығын қамтамасыз етуге мүмкіндік береді. 2. Таратылған мәліметтер шинасының қолданыстағы түрлеріне талдау жасалып, жаңадан жұмыс істеу модельдері, әдістемелері мен алгоритмдері әзірленді. Қолданыстағы мәліметтер шинасынан ерекшелігі - олар ақпаратты (оқиғаларды) жинау үшін бақыланатын жүйелерге орнатылатын меншікті агенттерді, сондай-ақ оқиғаларды жинаудың стандартты қолданыстағы тетіктерін пайдаланады, әзірлеушілердің ең аз араласуымен түрлендіру мүмкіндігі бар интеграция сценарийлерін пайдаланады; желіні басқаруға арналған мәліметтер шинасы желілік жабдықтан алынған NetFlow статистикасының коллекторы ретінде, сондай-ақ желілік жабдықтан айналы трафикті пайдалану немесе трафикті өздері арқылы өткізу арқылы желілік трафикті талдау үшін пайдаланылуы мүмкін.

The main constructive and technical economic indicators (in Russian) : Проведен анализ 6 категорий онтологико-реляционных хранилищ данных (БД): которые используются в SIEM-системах, в результате которого было принято решение использовать гибридное онтологико-реляционное хранилище данных безопасности (связки нескольких БД, таких как MySQL и NoSQL), что обеспечит удобство хранения данных и их классификацию, а также высокую скорость получение больших объемов информации благодаря предварительной индексации. Таким образом, разработанные модели функционирования гибридного хранилища данных безопасности совмещают два разные упомянутые типы БД. Проведен анализ 4 современных подходов к построению распределенной шины данных (ШД) как системообразующего звена сервис-ориентированной архитектуры информационной инфраструктуры предприятия (в том числи и для эффективной работы SIEM-системы) – Fuse, Talend, Mule. WSO2. В результате, анализ показал, что у каждого из продуктов есть свои особенности, которые диктуют оптимальные сферы для его применения. Разработанные распределенной ШД совмещают лучшие качества проанализированных подходов.

The main constructive and technical economic indicators (in Kazakh) : Кәсіпорынның ақпараттық инфрақұрылымының сервистік-бағдарланған архитектурасының жүйе құраушы буыны ретінде Fuse, Talend, Mule, WSO2 сынды деректердің таратылған шинасын (ДШ) құрудың 4 заманауи тәсілдеріне талдау жүргізілді (соның ішінде Siem – жүйесінің тиімді жұмысы үшін де). Нәтижесінде, талдау көрсеткендей, әрбір өнімнің өзіндік ерекшеліктері бар, олар оны қолданудың оңтайлы бағыттарын белгілейді. Таратылған ШД-ның әзірленген варианты талданған тәсілдердің ең жақсы қасиеттерін біріктіреді.

Level of implementation (in Russian) : На текущем этапе проводилась апробация полученных результатов на международных научных конференциях, а также их публикация в статьях международных сборников. Внедрение разработок, согласно календарному плану проекта, планируется на заключительном этапе выполнения работы.

Level of implementation (in Kazakh) : Ағымдағы кезеңде халықаралық ғылыми конференцияларда алынған нәтижелерді апробациялау, сондай-ақ нәтижелерді халықаралық жинақтарда жариялау жүргізілді. Жоба жаңалықтарын енгізу шаралары жобаның күнтізбелік жоспарына сәйкес жұмысты орындаудың ақырғы кезеңінде жоспарлануда.

Efficiency (in Russian) : Предусмотрено оценивание эффективности полноценной SIEM-системы после ее разработки на следующем (заключительном) этапе реализации проекта.

Efficiency (in Kazakh) : Толыққанды SIEM-жүйесінің тиімділігін оны әзірлегеннен кейін жобаны іске асырудың келесі (қорытынды) кезеңінде бағалау көзделген.

Field of application (in Russian) : Полученные результаты будут использованы для разработки SIEM-системы, которая в свою очередь, может применяться для мониторинга угроз информационной безопасности и обеспечения устойчивости элементов критической инфраструктуры национального сегмента Интернета и центров обработки данных, аппаратно-программных комплексов, обеспечивающих функционирование электронных информационных ресурсов.

Field of application (in Kazakh) : Алынған нәтижелер SIEM-жүйесін әзірлеу үшін пайдаланылатын болады, ол өз кезегінде ақпараттық қауіпсіздік қатерлерін мониторингтеу және Интернеттің ұлттық сегменті мен деректерді өңдеу орталықтарының сыни инфрақұрылымы элементтерінің, электрондық ақпараттық ресурстардың жұмыс істеуін қамтамасыз ететін аппараттық-бағдарламалық кешендердің орнықтылығын қамтамасыз ету үшін қолданылуы мүмкін.