МЕТОД ВИЯВЛЕННЯ КІБЕРІНЦИДЕНТІВ У SIEM НА ОСНОВІ НЕЧІТКОГО ГІПЕРГРАФОВОГО ПОДАННЯ ПОДІЙ БЕЗПЕКИ ТА ЛІНІЙНОЇ МОДЕЛІ ІНЦИДЕНТНОСТІ
DOI:
https://doi.org/10.31673/2412-4338.2026.029105Анотація
У статті запропоновано метод виявлення кіберінцидентів у журналах подій систем управління інформацією та подіями безпеки (SIEM), що ґрунтується на нечіткому гіперграфовому поданні подій безпеки та використанні лінійної моделі інцидентності події – приналежності події безпеки до кіберінциденту. На відміну від традиційних підходів, що використовують жорсткі кореляційні правила (сигнатурний аналіз) або прості статистичні пороги, запропонований метод дозволяє враховувати багатосутнісну природу подій, їх структурні взаємозв’язки та невизначеність інтерпретації. В основі підходу лежить подання подій безпеки у вигляді зважених гіперребер, що поєднують множину сутностей інформаційної інфраструктури (користувачів, хостів, процесів, IP-адрес та технік кібератак). Для кожної події обчислюється локальна інцидентність на основі лінійної моделі, яка агрегує такі характеристики, як рівень аномальності (відхилення від базової поведінки), критичність спрацювання правил безпеки, контекстну узгодженість, семантичну значущість та історичну підозрілість сутності. Процес виявлення кіберінциденту реалізовано шляхом пошуку зв’язних підструктур у гіперграфі, які формуються на основі часової близькості подій та нетривіального перетину множин їхніх сутностей. Кіберінцидент у межах методу інтерпретується як зв’язна підструктура у гіперграфі подій безпеки, для якої агрегована інцидентність перевищує задане порогове значення. Запропонований метод забезпечує системний перехід від ізольованого аналізу окремих подій до цілісного виявлення структурно пов’язаних сукупностей подій безпеки, що відповідають розвитку кібератаки. Наукова новизна отриманого результату полягає у поєднанні лінійної моделі інцидентності події з гіперграфовою кореляцією подій безпеки та формалізації кіберінциденту як зв’язної підструктури у нечіткому гіперграфі.
Ключові слова: кіберзахист, SIEM, кіберінцидент, нечіткий гіперграф, кореляція подій, інцидентність події.