Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью

Минаев В.А., Бондарь К.М., Вайц Е.В., Беляков И.А.

Вестник Российского нового университета. Серия: сложные системы: модели, анализ и управление.2019.с.32-39

Применен метод дискретно-событийного моделирования для описания процессов мониторинга и управления информационной безопасностью. В ходе имитационных экспериментов показано, что именно эти модели позволяют наиболее адекватно, в режиме реального времени представить процесс реагирования на компьютерные атаки, рассчитать резко меняющуюся при их реализации нагрузку на информационную систему, персонал, обеспечивающий ее защиту, наглядно отобразить функционирование подсистемы мониторинга и управления информационной безопасностью. Дискретно-событийная модель построена в среде AnyLogic и отражает сообщения об атаках из двух источников информации (внутренних и внешних), приходящие от рабочих станций, сетевых устройств, web-ресурсов и средств защиты информации. Дается описание SIEM (Центр информационной безопасности и управления событиями), где последовательно производится сбор сообщений, их фильтрация, агрегация и корреляция. SIEM дает возможность распределить сообщения по степени риска — высокий, средний, низкий. Далее моделируется SOC (Центр операций по обеспечению безопасности) с тремя линями обслуживания, отличающимися уровнями распознавания компьютерных атак и, соответственно, уровнями подготовки персонала. Результаты экспериментов с моделью включают изучение времени реагирования на компьютерные атаки, времени ожидания в очереди, времени обработки в блоках SIEM и SOC, количества сообщений с обнаруженными совпадениями сигнатур, отражающими компьютерные атаки, а также исследование ситуации, при которой происходит резкое увеличение количества сообщений, передаваемых от источников в Центр мониторинга информационной безопасности. Программное обеспечение Anylogic позволяет проигрывать различные сценарии с применением дискретно-событийной модели, производить интерпретацию результатов компьютерных атак, проводить различные виды имитационных экспериментов, обходя сложности их практической реализации и удешевляя получение оценок состояния информационной безопасности. Имитационные эксперименты позволяют прогнозировать время реагирования на компьютерные атаки, изучить блоки фильтрации, агрегации и корреляции.