Метод графовой корреляции инцидентов информационной безопасности с автоматическим построением цепочек атак

Авторы: Долгачев М. В., Костюнин В. А.

Аннотация: Представлен метод автоматизированной корреляции инцидентов информационной безопасности, поступающих от различных средств защиты информации (SIEM, EDR, NTA), на основе графовых моделей. Предложенный подход учитывает критичность инцидентов по метрикам CVSS (Common Vulnerability Scoring System), приоритетность техник MITRE ATT&CK, а также временную близость событий. Для фильтрации второстепенных сущностей ис-пользуется алгоритм TF-IDF. Алгоритм реализует графовую корреляцию инцидентов с формированием цепочек атак при минимальном участии аналитика, повышая точность и снижая количество ложноположительных связей. Эффективность метода подтверждена экспериментом в изолированной киберлаборатории: автоматическая корре-ляция позволила сократить время анализа на 99,82 % по сравнению с ручной обработкой. Полученные результаты демонстрируют перспективность применения графовых структур в системах обеспечения кибербезопасности.

Ключевые слова: анализ инцидентов, автоматизация анализа, tf-idf, mitre att&ck, cvss, nta, edr, siem, soc, информационная безопасность, корреляция инцидентов, графовые модели

Библиография статьи: Долгачев М. В. Метод графовой корреляции инцидентов информационной безопасности с автоматическим построением цепочек атак / М. В. Долгачев, В. А. Костюнин // Доклады ТУСУР. – 2025. – Т. 28, № 3. – С. 89–96. DOI: 10.21293/1818-0442-2025-28-3-89-96