Inventory number | IRN | Number of state registration | ||
---|---|---|---|---|
0321РК00589 | AP06851243-KC-21 | 0120РК00174 | ||
Document type | Terms of distribution | Availability of implementation | ||
Краткие сведения | Gratis | Number of implementation: 0 Not implemented |
||
Publications | ||||
Native publications: 2 | ||||
International publications: 6 | Publications Web of science: 0 | Publications Scopus: 5 | ||
Patents | Amount of funding | Code of the program | ||
0 | 30295000 | AP06851243 | ||
Name of work | ||||
Разработка методов, моделей и средств управления событиями и инцидентами безопасности для обнаружения и предупреждения кибератак на критически важные инфраструктуры цифровой экономики | ||||
Type of work | Source of funding | Report authors | ||
Applied | Бердибаев Рат Шындалиевич | |||
1
2
1
1
|
||||
Customer | МОАП РК | |||
Information on the executing organization | ||||
Short name of the ministry (establishment) | МЦРОАП РК | |||
Full name of the service recipient | ||||
Некоммерческое акционерное общество "Алматинский университет энергетики и связи имени Гумарбека Даукеева" | ||||
Abbreviated name of the service recipient | НАО АУЭС имени Гумарбека Даукеева | |||
Abstract | ||||
Объектом исследования являются системы мониторинга киберугроз и управления (выявление, идентификация, корреляция, реагирование) событиями и инцидентами безопасности критически важных объектов информационно-коммуникационной инфраструктуры. Зерттеу объектісі ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінде киберқауіптерді мониторингтеу және қауіпсіздік оқиғалары мен инциденттерін басқару (анықтау, сәйкестендіру, корреляция, ден қою) жүйелері болып табылады. Цель работы - анализ применяемых в SIEM-системах и разработка моделей, методик и алгоритмов функционирования гибридного хранилища данных безопасности, а также функционирования надежной распределенной шины данных Жұмыстың мақсаты - SIEM-жүйелерінде қолданылатын қауіпсіздік деректері гибридті қоймасының, сондай-ақ сенімді таратылған деректер шинасының жұмыс істеу модельдерін, әдістемелері мен алгоритмдерін талдау және әзірлеу Были использованы методы многокритериального, сравнительного и структурного анализа для исследования существующих СУБД и распределенных шин данных, с целью использования их преимуществ для дальнейшей разработки моделей, методик и алгоритмов функционирования гибридно-онтологического хранилища данных безопасности, а также надежной распределенной шины данных для SIEM-системы в критической инфраструктуре. Қолданыстағы ДҚБЖ және таратылған деректер шиналарын зерттеу және олардың артықшылықтарын сыни инфрақұрылымдағы SIEM жүйесі үшін гибридті-онтологиялық қауіпсіздік деректері қоймасы мен сенімді таратылған деректер шинасының жұмыс істеу модельдерін, әдістері мен алгоритмдерін әзірлеу кезінде пайдалану мақсатында көп өлшемді, салыстырмалы және құрылымдық талдау әдістері қолданылды. 1. Проведен сравнительный анализ существующих и разработаны новые модели функционирования гибридного хранилища данных безопасности, которые отличаются от аналогов тем, что совмещают два разные типы БД – в частности для быстрой обработки журналов используется масштабируемый полнотекстовый поисковый движок с открытым исходным кодом Elasticsearch (использующий библиотеку Lucene, написанный на Java, формат документов JSON), а также открытая документоориентированная СУБД MongoDB (использует JSON-подобные документы и схему БД, написана на C++). Такой подход позволяет сервису индексации получать доступ к внешним хранилищам данных и с различными типами данных, позволяет делать агрегацию, проводить анализ, собрать сущности, закономерности, упростить поиск и обеспечить высокую скорость поиска. 2. Проведен анализ существующих и разработаны новые модели, методики и алгоритмы функционирования распределенной ШД, которые отличаются от аналогов тем, что для сбора информации (событий) используют собственные агенты, устанавливаемые в контролируемые системы, а также стандартные существующие механизмы сбора событий, используют сценарии интеграции с возможностью модификации с минимальным вмешательством разработчиков; ШД для контроля сети может использоваться как коллектор NetFlow статистики данных, получаемых с сетевого оборудования, а также для анализа сетевого трафика с использованием зеркалированного трафика с сетевого оборудования, либо пропуская трафик через себя. 1. Қолданыстағы дерекқорларға салыстырмалы талдау жасалып, қауіпсіздік деректер гибридті қоймасының жұмыс істеу модельдері әзірленді. Олардың қолданыстағы басқа модельдерден ерекшелігі - екі түрлі мәліметтер базасын біріктіруде, атап айтқанда, журналдарды жылдам өңдеу үшін Elasticsearch (Java-да жазылған Lucene кітапханасын, JSON құжат форматын пайдалану), сондай-ақ MongoDB ашық құжатқа бағытталған ДҚБЖ қолдану (JSON-ға ұқсас құжаттар мен мәліметтер базасының схемасын қолданады, C++тілінде жазылған). Бұл тәсіл индекстеу қызметіне сыртқы деректер қоймаларына және әртүрлі деректер түрлеріне қол жеткізуге мүмкіндік береді, агрегаттауға, талдауға, нысандарды, үлгілерді жинауға, іздеуді жеңілдетуге және жоғары іздеу жылдамдығын қамтамасыз етуге мүмкіндік береді. 2. Таратылған мәліметтер шинасының қолданыстағы түрлеріне талдау жасалып, жаңадан жұмыс істеу модельдері, әдістемелері мен алгоритмдері әзірленді. Қолданыстағы мәліметтер шинасынан ерекшелігі - олар ақпаратты (оқиғаларды) жинау үшін бақыланатын жүйелерге орнатылатын меншікті агенттерді, сондай-ақ оқиғаларды жинаудың стандартты қолданыстағы тетіктерін пайдаланады, әзірлеушілердің ең аз араласуымен түрлендіру мүмкіндігі бар интеграция сценарийлерін пайдаланады; желіні басқаруға арналған мәліметтер шинасы желілік жабдықтан алынған NetFlow статистикасының коллекторы ретінде, сондай-ақ желілік жабдықтан айналы трафикті пайдалану немесе трафикті өздері арқылы өткізу арқылы желілік трафикті талдау үшін пайдаланылуы мүмкін. Проведен анализ 6 категорий онтологико-реляционных хранилищ данных (БД): которые используются в SIEM-системах, в результате которого было принято решение использовать гибридное онтологико-реляционное хранилище данных безопасности (связки нескольких БД, таких как MySQL и NoSQL), что обеспечит удобство хранения данных и их классификацию, а также высокую скорость получение больших объемов информации благодаря предварительной индексации. Таким образом, разработанные модели функционирования гибридного хранилища данных безопасности совмещают два разные упомянутые типы БД. Проведен анализ 4 современных подходов к построению распределенной шины данных (ШД) как системообразующего звена сервис-ориентированной архитектуры информационной инфраструктуры предприятия (в том числи и для эффективной работы SIEM-системы) – Fuse, Talend, Mule. WSO2. В результате, анализ показал, что у каждого из продуктов есть свои особенности, которые диктуют оптимальные сферы для его применения. Разработанные распределенной ШД совмещают лучшие качества проанализированных подходов. Кәсіпорынның ақпараттық инфрақұрылымының сервистік-бағдарланған архитектурасының жүйе құраушы буыны ретінде Fuse, Talend, Mule, WSO2 сынды деректердің таратылған шинасын (ДШ) құрудың 4 заманауи тәсілдеріне талдау жүргізілді (соның ішінде Siem – жүйесінің тиімді жұмысы үшін де). Нәтижесінде, талдау көрсеткендей, әрбір өнімнің өзіндік ерекшеліктері бар, олар оны қолданудың оңтайлы бағыттарын белгілейді. Таратылған ШД-ның әзірленген варианты талданған тәсілдердің ең жақсы қасиеттерін біріктіреді. На текущем этапе проводилась апробация полученных результатов на международных научных конференциях, а также их публикация в статьях международных сборников. Внедрение разработок, согласно календарному плану проекта, планируется на заключительном этапе выполнения работы. Ағымдағы кезеңде халықаралық ғылыми конференцияларда алынған нәтижелерді апробациялау, сондай-ақ нәтижелерді халықаралық жинақтарда жариялау жүргізілді. Жоба жаңалықтарын енгізу шаралары жобаның күнтізбелік жоспарына сәйкес жұмысты орындаудың ақырғы кезеңінде жоспарлануда. Предусмотрено оценивание эффективности полноценной SIEM-системы после ее разработки на следующем (заключительном) этапе реализации проекта. Толыққанды SIEM-жүйесінің тиімділігін оны әзірлегеннен кейін жобаны іске асырудың келесі (қорытынды) кезеңінде бағалау көзделген. Полученные результаты будут использованы для разработки SIEM-системы, которая в свою очередь, может применяться для мониторинга угроз информационной безопасности и обеспечения устойчивости элементов критической инфраструктуры национального сегмента Интернета и центров обработки данных, аппаратно-программных комплексов, обеспечивающих функционирование электронных информационных ресурсов. Алынған нәтижелер SIEM-жүйесін әзірлеу үшін пайдаланылатын болады, ол өз кезегінде ақпараттық қауіпсіздік қатерлерін мониторингтеу және Интернеттің ұлттық сегменті мен деректерді өңдеу орталықтарының сыни инфрақұрылымы элементтерінің, электрондық ақпараттық ресурстардың жұмыс істеуін қамтамасыз ететін аппараттық-бағдарламалық кешендердің орнықтылығын қамтамасыз ету үшін қолданылуы мүмкін. |
||||
UDC indices | ||||
004.056.5 | ||||
International classifier codes | ||||
81.93.29; | ||||
Key words in Russian | ||||
Информационная безопасность; SIEM-системы; СУСИБ; КВОИКИ; КВИ; База данных; | ||||
Key words in Kazakh | ||||
Ақпараттық қауіпсіздік; SIEM-жүйелер; ҚОИБЖ; АКИМО; АМИҚ; Деректер қоры; | ||||
Head of the organization | Саухимов Алмаз Абжалиевич | Доктор философии (PhD) / нет | ||
Head of work | Бердибаев Рат Шындалиевич | Кандидат политических наук / нет |