РАЗРАБОТКА ПРОТОТИПА ИНТЕЛЛЕКТУАЛЬНОЙ СИСТЕМЫ АВТОМАТИЧЕСКОГО ПОТОКОВОГО АНАЛИЗА ДАННЫХ СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Разработаны: архитектура интеллектуальной системы автоматического потокового анализа данных событий информационной безопасности и его высокоуровневая спецификация; первые версии программных модулей прототипа интеллектуальной системы, реализующих методику оптимизации процессов на основе глубокого обучения с подкреплением в виде нейронной сети, а также систему обратной связи с защищаемой системой и функцией корректировки параметров. Первые версии программных модулей прототипа интеллектуальной системы включают шесть модулей, три из которых реализуют методику оптимизации процессов на основе глубокого обучения с подкреплением, выполненную в виде нейронной сети, один - систему обратной связи с защищаемой системой и функцией корректировки параметров, а еще два являются вспомогательными. Предложенная архитектура интеллектуальной системы автоматического потокового анализа данных событий информационной безопасности использована при формировании структуры интеллектуальной системы и ее взаимосвязей и определении количества, содержания и функций, выполняемых модулями прототипа интеллектуальной системы. Проведены: тестирование первой версии программных модулей прототипа интеллектуальной системы автоматического потокового анализа данных событий информационной безопасности, реализующих методику оптимизации процессов в сложных, постоянно меняющихся условиях на основе глубокого обучения с подкреплением, в виде нейронной сети, доработка и тестирование в виде единой системы; отладка и тестирование прототипа интеллектуальной системы в части выполнения заявленных функций. Отладка и тестирование прототипа интеллектуальной системы в части выполнения заявленных функций проводили путем проверки: пропускной способности интеллектуальной системы автоматического потокового анализа данных событий информационной безопасности не менее 750 EPM (events per minute) событий в секунду; возможности обработки «сырых» сведений из журналов автоматизированных рабочих мест (системного, безопасности, приложений для операционной системы Windows); наличия предобученной конфигурации искусственного интеллекта для автоматической обработки не менее чем 25 типов событий; возможности автоматического обнаружения не менее 10 типов инцидентов; наличия механизма задания различных реакций на инциденты; возможности автоматического реагирования на инциденты на основе предустановленной реакции; количества одновременно сопровождаемых хостов (не менее 10).Создается прототип продукта «Умный SIEM», который сможет обеспечивать информационную безопасность промышленных предприятий от современных компьютерных атак.