Выявление рисков киберугроз на базе построения событийносущностных онтологий по текстам из открытых источников

Резюме. Цель. Основные результаты в области защиты от киберугроз в настоящее время получены в областях анализа трафика, выявлении зловредного программного обеспечения, блокировании злоумышленников от доступа во внутреннюю сеть, анализе инцидентов и других способах защиты корпоративного периметра. Между тем, эффективность этих методов зависит от своевременности и качества данных об угрозах. Целью работы является исследование способов повышения осведомленности о киберугрозах и возможностях анализа текстов в открытых источниках для задач прогнозирования кибератак, выявления и мониторинга новых угроз, обнаружения уязвимостей нулевого дня до их опубликования и обнаружения утечек. Методы. Для извлечения общественно доступных знаний о кибербезопасности используется непрерывный сбор данных из сети Интернет (включая фрагменты его неиндексируемой части и специализированные источники) и других сетей общего доступа (включая большое количество профильных ресурсов и площадок в сети TOR). Собранные тексты на разных языках анализируются с помощью методов обработки естественно-языковых текстов для извлечения из них сущностей и событий, которые затем группируются в канонические сущности и события, и вся эта информация используется для непрерывного наполнения событийно-сущностной онтологии, значимой для предметной области: в нее входят общие виды сущностей и событий, необходимые для контекста, и специализированные виды событий и сущностей для задач кибербезопасности (технические идентификаторы, векторы атаки, виды атак, хеши, идентификаторы и так далее). Такая онтология может функционировать как база знаний и использоваться для структурированных запросов от аналитиков в области компьютерной безопасности. Результаты. Предложенный метод и построенная на его базе система применимы для анализа информации о компьютерной безопасности, мониторинга, обнаружения уязвимостей нулевого дня до их официального опубликования и обнаружения утечек. Извлеченная системой информация может быть использована в качестве признаков с высокой информативностью в статистических моделях: на базе нее построен классификатор, определяющий риск появления эксплойтов для конкретной уязвимости, и балльная система скоринга IP-адресов, которая может использоваться для автоматической блокировки. Кроме того, был разработан метод рискового ранжирования событий и сущностей, связанных с киберугрозами, который позволяет выявить среди всего обилия информации сущности и события, которые требуют особого внимания, а также вовремя принимать соразмерные предупредительные меры. Заключение. Предложенный метод имеет непосредственную практическую ценность в задачах аналитики, рискового ранжирования киберугроз и мониторинга, а также может использоваться для анализа большого объема текстовой информации и создания информативных признаков для повышения качества работы моделей машинного обучения, используемых в компьютерной безопасности.

компьютерная безопасность, безопасность объектов железнодорожной инфраструктуры, извлечение знаний, семантическая разметка, онтология, обработка естественно-языковых текстов

1. Kühner H., Seider D. Security Engineering für den Schienenverkehr // Eisenbahn Ingenieur Kompendium. 2018. P. 245-264.

2. Макаров Б.А. Актуальность кибербезопасности на железнодорожном транспорте // Вестник Института проблем естественных монополий: Техника железных дорог. 2015. № 3 (31). С. 10-15.

3. Киселева Е.М. Железная дорога как объект киберза щиты // Международный студенческий научный вестник [Электронный ресурс]. URL: http://www.eduherald.ru/ ru/article/view?id=19179 (дата обращения: 15.06.2020).

4. McNeil N., Bridges R.A., Iannacone M.D. et al. Pace: Pattern accurate computationally efficient bootstrapping for timely discovery of cyber-security concepts // 12th International Conference on Machine Learning and Applications. 2013. Vol. 2. P. 60-65.

5. Кузьмина Н.М., Ридли М.К. Об автоматическом построении в информационных системах гражданской авиации онтологий предметной области по корпусу текстов // Научный вестник ГОСНИИ ГА. 2018. № 21. С. 122-131.

6. Кузьмина Н.М., Ридли М.К. Архитектура системы построения онтологий предметной области и смысло вого поиска в задачах совершенствования функциони рования авиатранспортной системы // Научный вестник ГОСНИИ ГА. 2019. № 28. С. 103-113.

7. Bergner S., Lechner U. Cybersecurity Ontology for Critical Infrastructures // Proceedings of the 9th International Joint Conference on Knowledge Discovery, Knowledge Engineering and Knowledge Management. 2017. Volume 2: KEOD. P. 80-85.

8. Trabelsi S., Plate H., Abida A. et al. Mining social networks for software vulnerabilities monitoring // 7th International Conference on New Technologies, Mobility and Security (NTMS). 2015. P. 1-7. DOI: 10.1109/ NTMS.2015.7266506