Файловый архив студентов. Файловый архив студентов.
1323 вуза, 5396 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Донбасский государственный технический университет
Предмет:
Безопасность информационных технологий и систем
Файл:
Вся работа 16,05.docx
Скачиваний:
3
Добавлен:
28.06.2025
Размер:
3.07 Mб
Скачать
►Содержание►

2.3. Разработка алгоритмов анализа рисков

Разработка алгоритмов анализа рисков является центральным этапом проектирования системы, предназначенной для автоматизированного выявления и оценки угроз на основе данных журналов событий. Основная задача алгоритмов — преобразовать необработанные лог-файлы в структурированную информацию, позволяющую определить степень риска по заданным критериям. В рамках данной системы было спроектировано два алгоритмических подхода, представленных в виде блок-схем, каждая из которых реализует отдельную стратегию обработки и анализа логов [25].

Поскольку источниками информации являются лог-файлы различного типа (веб-серверы, приложения, системные процессы), структура входных данных может отличаться, что требует гибкой архитектуры обработки. При этом основой алгоритмов служат общие принципы риск-менеджмента, заимствованные из стандартов ISO 31000 и ISO/IEC 27005, адаптированные к технической среде.

Разработка алгоритма велась с ориентацией на следующие принципы [26]:

  • автоматизация — отказ от ручного вмешательства в процесс интерпретации логов;

  • масштабируемость — возможность применения как в малых, так и в крупных системах;

  • адаптивность — поддержка различных форматов логов и настроек анализа;

  • обоснованность — классификация рисков на основе фактической частоты и характера событий.

Первая схема {рисунок 8} представляет собой универсальный алгоритм анализа, построенный на основе логических условий. Он ориентирован на случаи, когда логи поступают в потоковом режиме или с переменной структурой. Такой подход позволяет динамически оценивать полноту данных и проводить корректирующую обработку при необходимости.

Рисунок 8 - Условно-логическая модель принятия решения

Ключевые этапы:

  1. Получение данных — осуществляется сбор логов из указанных источников. На этом этапе производится извлечение сырых текстовых записей, часто имеющих разнородный формат и временные несовпадения.

  2. Оценка достаточности данных — проводится проверка на наличие минимально необходимого объема информации. Это позволяет избежать ситуаций, когда анализ строится на неполных или некорректных логах.

  3. Предобработка данных — включает парсинг строк, удаление дубликатов, фильтрацию по уровням значимости (например, исключение отладочной информации) и приведение данных к унифицированному виду.

  4. Обнаружение потенциальных рисков — реализуется с помощью эвристик: например, резкое увеличение количества 5xx-ошибок или множественные попытки входа с разных IP-адресов в короткий промежуток времени.

  5. Анализ рисков — проводится классификация событий по шкале воздействия и вероятности. На этом этапе используются предварительно заданные модели или эмпирические пороговые значения, позволяющие выделить события высокого риска.

Этот алгоритм полезен в системах с переменными условиями работы, когда необходима гибкая адаптация к входному потоку данных.

Второй алгоритм (рисунок 9) реализует строгую последовательность этапов и ориентирован на систематический анализ заранее структурированных логов (например, логов веб-серверов или приложений). Он подходит для периодического анализа, встраиваемого в автоматические процессы (cron-задачи, CI/CD-пайплайны и пр.).

Ключевые этапы:

  1. Загрузка конфигурации — происходит считывание параметров анализа из конфигурационного файла. Это обеспечивает универсальность и настраиваемость алгоритма без изменения исходного кода.

  2. Поиск логов — система рекурсивно обходит директорию, выбирает нужные файлы по маске или расширению и определяет их релевантность на основе временных меток.

Рисунок 9 - Последовательная модель обработки логов

  1. Парсинг и фильтрация — извлекаются события с заданными признаками (например, ошибки, сбои авторизации, превышение лимитов запросов). При этом используется регулярный анализ, словари ключевых слов и шаблоны поведения.

  2. Классификация по риску — каждому событию присваивается условная метка риска (низкий, средний, высокий) на основании частоты, тяжести последствий и соответствия заданным правилам.

  3. Формирование отчета — агрегированные данные консолидируются в отчёт, содержащий:

    • общее количество событий,

    • число уникальных IP-адресов,

    • временные пики активности,

    • список инцидентов с пометкой риска.

  4. Сохранение результата и уведомления — итоговый файл формируется в форматах CSV, JSON или HTML, а в случае критических рисков запускается механизм оповещения через почту или API.

Такой подход обладает высокой производственной стабильностью и позволяет встраивать модуль в инфраструктуру предприятия без необходимости принятия логических решений во время анализа.

Обе модели могут использоваться как отдельные сценарии в зависимости от типа обрабатываемой информации. Однако в рамках единой системы они могут быть объединены:

  • модель 1 — используется для потокового и непредсказуемого анализа;

  • модель 2 — служит для регулярного анализа структурированных данных.

Эта интеграция позволяет реализовать многоуровневый механизм анализа рисков, начиная от первичной очистки логов и заканчивая формированием итоговой метрики угроз, адаптированной под конкретную организационную среду.

Таким образом, разработанные алгоритмы охватывают весь жизненный цикл обработки логов — от получения до формирования управленческих решений, обеспечивая надёжную основу для функционирования системы автоматизированного анализа рисков.

Соседние файлы в предмете Безопасность информационных технологий и систем
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности