Academic Journal
Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью
| Title: | Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью |
|---|---|
| Publisher Information: | Вестник Российского нового университета серия «Сложные системы: модели, анализ, управление», 2019. |
| Publication Year: | 2019 |
| Subject Terms: | дискретно-событийное моделирование, компьютерная атака, monitoring, simulation experiment, мониторинг, information security, discrete-event modeling, имитационный эксперимент, информационная безопасность, computer attack |
| Description: | Применен метод дискретнособытийного моделирования для описания процессов мониторинга и управления информационной безопасностью. В ходе имитационных экспериментов показано, что именно эти модели позволяют наиболее адекватно, в режиме реального времени представить процесс реагирования на компьютерные атаки, рассчитать резко меняющуюся при их реализации нагрузку на информационную систему, персонал, обеспечивающий ее защиту, наглядно отобразить функционирование подсистемы мониторинга и управления информационной безопасностью. Дискретнособытийная модель построена в среде AnyLogic и отражает сообщения об атаках из двух источников информации (внутренних и внешних), приходящие от рабочих станций, сетевых устройств, webресурсов и средств защиты информации. Дается описание SIEM (Центр информационной безопасности и управления событиями), где последовательно производится сбор сообщений, их фильтрация, агрегация и корреляция. SIEM дает возможность распределить сообщения по степени риска высокий, средний, низкий. Далее моделируется SOC (Центр операций по обеспечению безопасности) с тремя линями обслуживания, отличающимися уровнями распознавания компьютерных атак и, соответственно, уровнями подготовки персонала. Результаты экспериментов с моделью включают изучение времени реагирования на компьютерные атаки, времени ожидания в очереди, времени обработки в блоках SIEM и SOC, количества сообщений с обнаруженными совпадениями сигнатур, отражающими компьютерные атаки, а также исследование ситуации, при которой происходит резкое увеличение количества сообщений, передаваемых от источников в Центр мониторинга информационной безопасности. Программное обеспечение Anylogic позволяет проигрывать различные сценарии с применением дискретнособытийной модели, производить интерпретацию результатов компьютерных атак, проводить различные виды имитационных экспериментов, обходя сложности их практической реализации и удешевляя получение оценок состояния информационной безопасности. Имитационные эксперименты позволяют прогнозировать время реагирования на компьютерные атаки, изучить блоки фильтрации, агрегации и корреляции. The article uses the method of discreteevent modeling to describe the processes of monitoring and management of information security. In the course of simulation experiments it is shown that these models allow the most adequate, in real time to present the process of responding to computer attacks, to calculate the rapidly changing load on information system and personnel providing its protection, to visualize the functioning of the subsystem of monitoring and management of information security. The discreteevent model is created in AnyLogic software environment and reflects messages about attacks from two sources of information (internal and external), coming from workstations, network devices, webresources and information security tools. SIEM (Security Information and Event Management) is described, where messages are sequentially collected, filtered, aggregated and correlated. SIEM makes it possible to distribute messages according to the degree of risk high, medium, low. Next, the SOC (Security Operations Center) is modeled with three lines of service, the levels of recognition of computer attacks and, accordingly, the levels of staff training. The results of experiments with the model include the study of the response time to computer attacks, the waiting time in the queue, the processing time in SIEM and SOC systems, the number of messages with detected signature matches, resulting in computer attacks, as well as the study of the situation in which there is a sharp increase in the number of messages transmitted from sources to the information security monitoring Center. AnyLogic software allows to play different scenarios using discreteevent model, to interpret the results of computer attacks, to carry out various types of simulation experiments, avoiding the complexity of their practical implementation and reducing the cost of obtaining estimates of the information security state. Simulation experiments make it possible to predict the response time to computer attacks, to study the blocks of filtering, aggregation and correlation. №3 (2019) |
| Document Type: | Article |
| Language: | Russian |
| DOI: | 10.25586/rnu.v9187.19.03.p.032 |
| Accession Number: | edsair.doi...........a27fd4ecded21e6ed96fa6b3a344856a |
| Database: | OpenAIRE |
| DOI: | 10.25586/rnu.v9187.19.03.p.032 |
|---|