Аннотация:
Представлена классификация и сравнительный анализ методов интеллектуального анализа системных событий для обнаружения многошаговых кибератак, представляющих собой совокупность последовательных действий одного или нескольких злоумышленников, преследующих конкретную цель вторжения. Исследованы подходы к обнаружению многошаговых кибератак на основе баз знаний, такие как экспертные правила и методы на основе сценариев (последовательностей) событий. Рассмотренные подходы анализируются по следующим критериям: метод извлечения знаний о сценариях системных событий и атак, метод представления знаний о сценариях, метод анализа событий безопасности и решаемая задача безопасности. Приводятся основные достоинства и недостатки подходов к обнаружению многошаговых кибератак, а также возможные направления исследований в данной области.
Ключевые слова:
интеллектуальные системы, базы знаний, кибербезопасность, многошаговая атака, события безопасности, управление инцидентами.
Полный текст:
PDF файл (570 kB)