<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">oo</journal-id><journal-title-group><journal-title xml:lang="ru">Открытое образование</journal-title><trans-title-group xml:lang="en"><trans-title>Open Education</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1818-4243</issn><issn pub-type="epub">2079-5939</issn><publisher><publisher-name>Plekhanov Russian University of Economics</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21686/1818-4243-2025-1-65-76</article-id><article-id custom-type="elpub" pub-id-type="custom">oo-1072</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ПРОБЛЕМЫ ИНФОРМАТИЗАЦИИ ЭКОНОМИКИ И УПРАВЛЕНИЯ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>PROBLEMS OF INFORMATIZATION OF ECONOMICS AND MANAGEMENT</subject></subj-group></article-categories><title-group><article-title>Задача детектирования недопустимых событий информационной безопасности в информационной инфраструктуре</article-title><trans-title-group xml:lang="en"><trans-title>The Task of Detecting Unacceptable Information Security Events in the Information Infrastructure</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0009-0003-1387-3177</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Евдокимова</surname><given-names>Д. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Evdokimova</surname><given-names>Darya A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Евдокимова Дарья Александровна, аспирант кафедры прикладной информатики и информационной безопасности,</p><p>Москва.</p></bio><bio xml:lang="en"><p>Evdokimova Darya Alexandrovna, Postgraduate student of the Department of Applied Informatics and Information Security,</p><p>Moscow.</p></bio><email xlink:type="simple">Evdokimova.DA@rea.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Микрюков</surname><given-names>А. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Mikryukov</surname><given-names>Andrey A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Микрюков Андрей Александрович, к.т.н., доцент кафедры прикладной информатики и информационной безопасности,</p><p>Москва.</p></bio><bio xml:lang="en"><p>Mikryukov Andrey Aleksandrovich, Candidate of Technical Sciences, Associate Professor of the Department of Applied Informatics and Information Security,</p><p>Moscow.</p></bio><email xlink:type="simple">mikrukov.aa@rea.ru</email><xref ref-type="aff" rid="aff-2"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Российский экономический университет  им. Г.В. Плеханова</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Plekhanov Russian University of Economics</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>Российский экономический университет им. Г.В. Плеханова</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Plekhanov Russian University of Economics</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>14</day><month>02</month><year>2025</year></pub-date><volume>29</volume><issue>1</issue><fpage>65</fpage><lpage>76</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Евдокимова Д.А., Микрюков А.А., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Евдокимова Д.А., Микрюков А.А.</copyright-holder><copyright-holder xml:lang="en">Evdokimova D.A., Mikryukov A.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://openedu.rea.ru/jour/article/view/1072">https://openedu.rea.ru/jour/article/view/1072</self-uri><abstract><p>Целью исследования является разработка усовершенствованного подхода к решению задачи детектирования недопустимых событий в области информационной безопасности для повышения точности обнаружения инцидентов и снижения числа ложных срабатываний. Недопустимым событием является событие в результате кибератаки, делающее невозможным достижение стратегических целей организации или приводящее к значительному нарушению ее основной деятельности. В основе предложенного решения задачи детектирования недопустимых событий лежит нейросетевой классификатор, обученный на данных о недопустимых событиях, таких как атрибуты, прекурсоры и индикаторы компрометации недопустимых событий. Данное решение обеспечивает всесторонний анализ событий и снижение вероятности пропуска недопустимых событий, что делает его актуальным для защиты критической информационной инфраструктуры.</p><p>Актуальность данного исследования обусловлена быстрым ростом количества и сложности кибератак, а также необходимостью внедрения автоматизированных методов детектирования угроз, сопровождающимися недопустимыми событиями, которые приводят к негативным последствиям. В условиях увеличивающейся сложности киберугроз и многообразия атак традиционные методы обнаружения становятся недостаточно эффективными, что требует совершенствование существующих технологий для защиты информационных систем.</p><p>Новизна разработанных предложений заключается в повышении точности детектирования недопустимых событий за счет использования методов машинного обучения и нейросетевого классификатора, а также сокращении времени реагирования с использованием инструмента сбора, обработки, агрегирования и визуализации Elastic Stack.</p><p>Материалы и методы исследования. Для решения задачи детектирования недопустимых событий использован инструмент Elastic Stack, обеспечивающий сбор, агрегацию и визуализацию данных о событиях. Основным инструментом анализа является нейросетевой классификатор, обученный на наборе атрибутов, прекурсоров и индикаторов компрометации недопустимых событий. Методы исследования включают применение механизмов корреляции событий, анализа аномалий и машинного обучения, которые интегрируются в единую систему.</p><sec><title>Результаты</title><p>Результаты: предложено решение задачи детектирования недопустимых событий, основанное на применении выявленных атрибутов, прекурсоров и индикаторов компрометации недопустимых событий информационной безопасности.</p></sec><sec><title>Заключение</title><p>Заключение: выявленные атрибуты, прекурсоры и индикаторы компрометации недопустимых событий обеспечивают решение задачи детектирования недопустимых событий. Применение предложенного решения способствует совершенствованию защиты информационных систем и снижению рисков, связанных с кибератаками, что особенно важно для обеспечения безопасности критической информационной инфраструктуры.</p></sec></abstract><trans-abstract xml:lang="en"><p>The purpose of the study is to develop an advanced approach to solving the task of detecting unacceptable events in the field of information security to improve incident detection accuracy and reduce the number of false positives. An unacceptable event is defined as an event resulting from a cyberattack that either makes it impossible to achieve the strategic goals of an organization or significantly disrupts its core activities. The proposed solution for detecting unacceptable events is based on a neural network classifier trained on data related to unacceptable events, including attributes, precursors, and compromise indicators of unacceptable events. This solution provides comprehensive event analysis and reduces the likelihood of missing unacceptable events, making it particularly relevant for protecting critical information infrastructure. The relevance of the study is driven by the rapid increase in the number and complexity of cyberattacks and the necessity to implement automated threat detection methods associated with unacceptable events that lead to negative consequences. As cyber threats grow more complex and diverse, traditional detection methods are becoming increasingly ineffective, necessitating improvements in existing technologies to protect information systems.</p><p>The novelty of the proposed solutions lies in improving the accuracy of detecting unacceptable events through the use of machine learning methods and a neural network classifier, as well as reducing response time by utilizing the Elastic Stack tool for data collection, processing, aggregation, and visualization.</p><sec><title>Materials and methods</title><p>Materials and methods. To address the task of detecting unacceptable events, the Elastic Stack tool was employed, enabling the collection, aggregation, and visualization of event data. The primary analytical tool is a neural network classifier trained on a set of attributes, precursors, and compromise indicators of unacceptable events. The research methods include the application of event correlation mechanisms, anomaly analysis, and machine learning, all integrated into a unified system.</p></sec><sec><title>Results</title><p>Results. A solution for detecting unacceptable events was proposed, based on the use of identified attributes, precursors, and compromise indicators of unacceptable information security events.</p></sec><sec><title>Conclusion</title><p>Conclusion. The identified attributes, precursors, and compromise indicators of unacceptable events provide an effective solution for detecting such events. The application of the proposed solution contributes to improving the protection of information systems and reducing risks associated with cyberattacks, which is particularly critical for ensuring the security of critical information infrastructure.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>информационная безопасность</kwd><kwd>детектирование недопустимых событий</kwd><kwd>машинное обучение</kwd><kwd>аномальный анализ</kwd><kwd>сигнатурный анализ</kwd><kwd>нейросетевой классификатор</kwd><kwd>атрибуты недопустимых событий.</kwd></kwd-group><kwd-group xml:lang="en"><kwd>information security</kwd><kwd>detection of unacceptable events</kwd><kwd>machine learning</kwd><kwd>anomaly analysis</kwd><kwd>signature analysis</kwd><kwd>neural network classifier</kwd><kwd>attributes of unacceptable events</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Евдокимова Д.А., Микрюков А.А. Актуальные задачи выявления недопустимых событий на объектах критической информационной инфраструктуры. // Журнал «Открытое образование», Том 28, № 4 (2024).</mixed-citation><mixed-citation xml:lang="en">Evdokimova D.A., Mikryukov A.A. Actual tasks of identifying unacceptable events at critical information infrastructure facilities. Otkrytoye obrazovaniye = Open education. 2024; 28; 4: 33-42. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">ООО «ЛианМедиа». Что такое реестр недопустимых событий в информационной безопасности // Новости LianMedia.ru. – URL: https://lianmedia.ru/ (дата обращения: 20.12.2024).</mixed-citation><mixed-citation xml:lang="en">Chto takoye reyestr nedopustimykh sobytiy v informatsionnoy bezopasnosti = What is the register of unacceptable events in information security [Internet]. LianMedia.ru News. Available from: https://lianmedia.ru/ (Cited: 20.12.2024). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Труды СПИИРАН. 2017. Т. 6. №1. С. 45-59.</mixed-citation><mixed-citation xml:lang="en">Kotenko I.V., Saenko I.B., Yusupov R.M. New generation of security incident monitoring and management systems. Trudy SPIIRAN = Proceedings of SPIIRAS. 2017; 6; 1: 45-59. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Котенко И.В., Кулешов А.А., Ушаков И.А. Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack // СПИИРАН. 2021. Т. 65. №2. С. 5-27.</mixed-citation><mixed-citation xml:lang="en">Kotenko I.V., Kuleshov A.A., Ushakov I.A. System for collecting, storing and processing information and security events based on Elastic Stack. SPIIRAN = SPIIRAS. 2021; 65; 2: 5-27. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Жаксыбай С.М. Управление событиями информационной безопасности с помощью SIEM-системы. // Intellectud Technologies on Transport. 2023. № S1. Special Issue. MMIS-2023.</mixed-citation><mixed-citation xml:lang="en">Zhaksybay S.M. Information security event management using a SIEM system. Intellectual Technologies on Transport. 2023; S1. Special Issue. MMIS-2023: 66-69.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Токарев М.Н. SIEM-система как инструмент обеспечения информационной безопасности в организации. // Актуальные исследования № 2 (184), январь 2024 г.</mixed-citation><mixed-citation xml:lang="en">Tokarev M.N. SIEM system as a tool for ensuring information security in an organization. Aktual’nyye issledovaniya = Current research. 2024; 2 (184). Part I: 51-53. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Как работают системы обнаружения и предотвращения вторжений (IDS и IPS). URL: https://habr.com/ru/articles/710378/ (дата обращения: 23.12.2024).</mixed-citation><mixed-citation xml:lang="en">Kak rabotayut sistemy obnaruzheniya i predotvrashcheniya vtorzheniy (IDS i IPS) = How intrusion detection and prevention systems (IDS and IPS) work. [Internet]. Habr.com. Available from: https://habr.com/ru/articles/710378/ (Cited: 23.12.2024). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 59547—2021. Защита информации. Мониторинг информационной безопасности. Общие положения. – Москва: Стандартинформ, 2022.</mixed-citation><mixed-citation xml:lang="en">GOST R 59547-2021. Zashchita informatsii. Monitoring informatsionnoy bezopasnosti. Obshchiye polozheniya = Information protection. Information security monitoring. General provisions. Moscow: Standartinform; 2022. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Kaspersky. Индикаторы компрометации в Kaspersky Endpoint Security для Windows 12.0. URL: https://support.kaspersky.com/KESWin/12.0/ru-RU/213408.htm (дата обращения: 13.01.2025).</mixed-citation><mixed-citation xml:lang="en">Indikatory komprometatsii v Kaspersky Endpoint Security dlya Windows 12.0. = Indicators of compromise in Kaspersky Endpoint Security for Windows 12.0.. Support.kaspersky.com. Available from: https://support.kaspersky.com/KESWin/12.0/ru-RU/213408.htm (Cited: 13.01.2025). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Батюк А. Использование ИИ в средствах обнаружения компьютерных атак и реагирования на инциденты ИБ. Презентация Positive Technologies. URL: https://www.ptsecurity.com/ (дата обращения: 20.12.2024).</mixed-citation><mixed-citation xml:lang="en">Batyuk A. Using AI in detecting computer attacks and responding to information security incidents [Internet]. Positive Technologies. Available from: https://www.ptsecurity.com/ (Cited: 20.12.2024). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Positive Technologies. "Жизненный цикл атак: этапы, методы, и защита". URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q2/ (дата обращения: 20.12.2024).</mixed-citation><mixed-citation xml:lang="en">Zhiznennyy tsikl atak: etapy, metody, i zashchita = Life cycle of attacks: stages, methods, and protection. [Internet]. Positive Technologies. Available from: https://www.ptsecurity.com/ruru/research/analytics/cybersecurity-threatscape-2022-q2/ (Cited: 20.12.2024). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.</mixed-citation><mixed-citation xml:lang="en">Metodika opredeleniya aktual’nykh ugroz bezopasnosti personal’nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal’nykh dannykh, utverzhdena zamestitelem direktora FSTEK Rossii = Methodology for determining current threats to the security of personal data when processing them in personal data information systems, approved by the Deputy Director of the FSTEC of Russia on February 14; 2008. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1. // Труды СПИИРАН. – 2016. – Вып. 4(47). – С. 5–27.</mixed-citation><mixed-citation xml:lang="en">Fedorchenko A.V., Levshun D.S., Chechulin A.A., Kotenko I.V. Analysis of methods for correlating security events in SIEM systems. Part 1. Trudy SPIIRAN = Proceedings of SPIIRAS. 2016; 4 (47): 5-27. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Elastic Stack [Электронный ресурс] URL: https://www.elastic.co/ (дата обращения: 02.10.2024).</mixed-citation><mixed-citation xml:lang="en">Elastic Stack [Internet]. Elastic.co. Available from: https://www.elastic.co/ (Cited: 02.10.2024).</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Positive Technologies. MaxPatrol O2 — автопилот для результативной кибербезопасности. 2023. [Электронный ресурс] URL: https://www.ptsecurity.com/upload/corporate/ru-ru/products/o2/maxpatrol-o2-pb.pdf (дата обращения: 02.10.2024).</mixed-citation><mixed-citation xml:lang="en">Positive Technologies. MaxPatrol O2 — avtopilot dlya rezul’tativnoy kiberbezopasnosti = Positive Technologies. MaxPatrol O2 — an autopilot for effective cybersecurity. 2023. [Internet]. Positive Technologies. Available from: https://www.ptsecurity.com/upload/corporate/ru-ru/products/o2/maxpatrol-o2-pb.pdf (Cited: 02.10.2024). (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ ISO/IEC 27001-2013. Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования (ISO/IEC 27001:2013, IDT). – Москва: Стандартинформ, 2014.</mixed-citation><mixed-citation xml:lang="en">GOST ISO/IEC 27001-2013. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Sistemy upravleniya informatsionnoy bezopasnost’yu. Trebovaniya = Information technology. Security methods and tools. Information security management systems. Requirements (ISO/ IEC 27001:2013, IDT). Moscow: Standartinform; 2014. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ ISO/IEC 27002-2013. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью (ISO/IEC 27002:2013, IDT). – Москва: Стандартинформ, 2014.</mixed-citation><mixed-citation xml:lang="en">GOST ISO/IEC 27002-2013. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Prakticheskiye pravila upravleniya informatsionnoy bezopasnost’yu = Information technology. Security methods and tools. Practical rules for information security management (ISO/IEC 27002:2013, IDT). Moscow: Standartinform; 2014. (In Russ.)</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
