RU2809929C1 - System for automatic updating and generation of techniques for implementing computer attacks for information security system - Google Patents

System for automatic updating and generation of techniques for implementing computer attacks for information security system Download PDF

Info

Publication number
RU2809929C1
RU2809929C1 RU2023118422A RU2023118422A RU2809929C1 RU 2809929 C1 RU2809929 C1 RU 2809929C1 RU 2023118422 A RU2023118422 A RU 2023118422A RU 2023118422 A RU2023118422 A RU 2023118422A RU 2809929 C1 RU2809929 C1 RU 2809929C1
Authority
RU
Russia
Prior art keywords
module
data
techniques
computer attacks
implementing computer
Prior art date
Application number
RU2023118422A
Other languages
Russian (ru)
Inventor
Михаил Михайлович Добрышин
Андрей Сергеевич Белов
Дмитрий Евгеньевич Шугуров
Юлия Андреевна Кирикова
Павел Владимирович Закалкин
Юрий Юрьевич Громов
Владимир Георгиевич Анисимов
Александр Александрович Бречко
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Application granted granted Critical
Publication of RU2809929C1 publication Critical patent/RU2809929C1/en

Links

Abstract

FIELD: computer technology.
SUBSTANCE: invention is aimed at increasing the validity of the formation of a security policy for a corporate communication network by taking into account previously described, but not formalized and unstructured techniques for implementing computer attacks. It is achieved by including a document primary processing module into the system for automatically updating and developing techniques for implementing computer attacks; module for generating a linguistic description of the technology for implementing computer attacks; linguistic data processing module; module for converting descriptions of computer attack implementation techniques; data comparison module; wherein the integration module is connected to external sources of unstructured data on the implementation of computer attacks, the integration module is also supplemented with a module for polling information resources about the appearance of new documents, connected to a module for generating automatic queries and searching, connected to a module for interacting with elements of the data transmission network; the information storage facility is supplemented with an address registry, a local linguistic database and a local database of techniques for implementing computer attacks, taking into account any vulnerabilities.
EFFECT: increasing the validity of the formation of a security policy for a corporate communication network by taking into account previously described, but not formalized and unstructured techniques for implementing computer attacks.
1 cl, 3 dwg

Description

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности.The invention relates to computer technology and the field of information security.

В настоящем описании далее будут использоваться следующие термины и определения.In the present description, the following terms and definitions will be used further.

Компьютерная атака - целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.Computer attack is a targeted unauthorized influence on information, on an information system resource, or gaining unauthorized access to them using software or hardware.

Внешние источники данных о компьютерных атаках - ресурсы и сервисы, предоставляющие данные об уязвимостях, эксплоитах, обновлениях безопасности, результатах сканирования внешнего периметра инфраструктуры.External sources of data on computer attacks - resources and services that provide data on vulnerabilities, exploits, security updates, and scanning results of the external perimeter of the infrastructure.

Ранее описанные, но неформализованная и неструктурированная техника реализации компьютерной атаки - описанная последовательность реализации компьютерная атака специалистами в сфере информационной безопасности в виде текста на специализированных информационных ресурсах (например, https://www.securitylab.ru/, https://xakep.ru/, https://www.kaspersky.ru/blog/targeted-attack-anatomy/4388/), но неструктурированная в формализованном виде (например, в формате MITRE ATT&CK).Previously described, but unformalized and unstructured techniques for implementing a computer attack - the described sequence of implementation of a computer attack by specialists in the field of information security in the form of text on specialized information resources (for example, https://www.securitylab.ru/, https://xakep.ru /, https://www.kaspersky.ru/blog/targeted-attack-anatomy/4388/), but unstructured in a formalized form (for example, in the MITER ATT&CK format).

Морфема - это минимальная значимая неделимая часть слова (https://russkiiyazyk.ru/sostav-slova/morfema-v-russkom-yazyike-opredelenie.html).A morpheme is the minimum significant indivisible part of a word (https://russkiiyazyk.ru/sostav-slova/morfema-v-russkom-yazyike-opredelenie.html).

Главная морфема - корень слова (https://russkiiyazyk.ru/sostav-slova/morfema-v-russkom-yazyike-opredelenie.html).The main morpheme is the root of the word (https://russkiiyazyk.ru/sostav-slova/morfema-v-russkom-yazyike-opredelenie.html).

Известно решение «Многоэтапное распознавание именованных сущностей в текстах на естественном языке на основе морфологических и семантических признаков» (патент RU 2 619 193 G06F 17/28 (2006.01) от 12.05.2017 Бюл. №14), заключающееся в том, что система распознавания именованных сущностей в текстах на естественном языке, основанный на использовании морфологических и семантических признаков, система, содержащая: память; процессор, связанный с данной памятью и выполненный с возможностью: выполнять лексико-морфологический анализ текста на естественном языке, содержащего множество токенов, где каждый токен содержит по крайней мере одно слово естественного языка; определять на основе лексико-морфологического анализа одно или более лексических значений и грамматических значений, связанных с каждым токеном в множестве токенов; вычислять для каждого токена в множестве токенов одну или более функций классификатора с использованием лексических и грамматических значений, ассоциированных с токеном, причем значение каждой функции классификатора указывает на оценку степени ассоциации токена с категорией именованных сущностей; выполнять синтактико-семантический анализ по крайней мере части текста на естественном языке для получения множества семантических структур, представляющих часть текста на естественном языке; и интерпретировать семантические структуры с использованием набора продукционных правил для определения, для одного или более токенов, входящих в часть текста на естественном языке, оценки степени ассоциации токена с категорией именованных сущностей.There is a known solution “Multi-stage recognition of named entities in natural language texts based on morphological and semantic features” (patent RU 2 619 193 G06F 17/28 (2006.01) dated 05/12/2017 Bulletin No. 14), which consists in the fact that the named entity recognition system entities in texts in natural language, based on the use of morphological and semantic features, a system containing: memory; a processor associated with this memory and configured to: perform lexical and morphological analysis of natural language text containing a plurality of tokens, where each token contains at least one natural language word; determine, based on lexical-morphological analysis, one or more lexical meanings and grammatical meanings associated with each token in the set of tokens; compute, for each token in the plurality of tokens, one or more classifier functions using lexical and grammatical values associated with the token, the value of each classifier function indicating an estimate of the degree of association of the token with a category of named entities; perform syntactic-semantic analysis of at least part of the natural language text to obtain a set of semantic structures representing part of the natural language text; and interpret semantic structures using a set of production rules to determine, for one or more tokens included in a piece of natural language text, an assessment of the degree of association of the token with a category of named entities.

Известно решение «Способ и система автоматического поиска и коррекции ошибок в текстах на естественном языке» (патент RU 2785207 G06F 40/205 (2020.01), G06F 40/232 (2020.01), G06N 3/08 (2006.01) от 05.12.2022 Бюл. №34), заключающееся в том, что система автоматического поиска и коррекции ошибок в текстах на естественном языке, содержит: вспомогательный модуль, выполненный с возможностью редактирования словарей правил для эвристического модуля проверки грамматической правильности; модуль генерации обучающего набора данных, выполненный с возможностью создания обучающего набора предложений, в которых алгоритмически порождены ошибки и помечены как ошибки разного типа с помощью тегов; модуль обучения нейросетевой модели, выполненный с возможностью: получения обучающего набора данных, полученного из модуля генерации обучающего набора данных, - инициализации модели машинного обучения и ее применения в процессе обучения к предложениям обучающего набора данных и формирования распределения вероятностей ошибок из набора тегов для каждого слова в обучающем наборе предложений; центральный управляющий модуль, выполненный с возможностью: получения исходных данных проверяемого текста от модулей системы, деления проверяемого текста на предложения, передачи фрагментов текста на проверку подключенным модулям, получения от подключенных модулей результатов проверки, объединения полученных на предыдущем шаге результатов проверки модулей в общую разметку текста, осуществляемую по единым принципам; эвристический модуль проверки грамматической правильности, выполненный с возможностью: получения на вход проверяемого текста, применения к нему правил поиска грамматических и других ошибок, передачи управляющему модулю информации о сработавших правилах; нейросетевой модуль, выполненный с возможностью получения на вход предложения на естественном языке, в котором нужно найти ошибки, формирования списка ошибок с их типом (тегом), начальной позицией в предложении, а также предлагаемых изменений этих фрагментов для получения правильного предложения, пояснений для пользователя и вероятностью ошибки на основании предварительно обученной модели машинного обучения, подготовленной при помощи модуля генерации обучающего набора данных.The known solution is “Method and system for automatically searching and correcting errors in texts in natural language” (patent RU 2785207 G06F 40/205 (2020.01), G06F 40/232 (2020.01), G06N 3/08 (2006.01) dated 12/05/2022 Bull. No. 34), which consists in the fact that the system for automatically searching and correcting errors in texts in natural language contains: an auxiliary module made with the ability to edit dictionaries of rules for the heuristic module for checking grammatical correctness; a training data set generation module, configured to create a training set of sentences in which errors are algorithmically generated and marked as errors of various types using tags; a neural network model training module configured to: obtain a training data set obtained from a training data set generation module, - initialize a machine learning model and apply it during the training process to sentences in the training data set and generate an error probability distribution from a set of tags for each word in training set of sentences; a central control module configured to: receive initial data of the text being checked from system modules, divide the text being checked into sentences, transfer fragments of text to connected modules for verification, receive verification results from connected modules, combine the module verification results obtained at the previous step into a common text markup carried out according to uniform principles; a heuristic module for checking grammatical correctness, configured to: receive the text being checked as input, apply rules for searching for grammatical and other errors to it, transfer information about the triggered rules to the control module; a neural network module configured to receive as input a sentence in natural language in which errors need to be found, generate a list of errors with their type (tag), initial position in the sentence, as well as proposed changes to these fragments to obtain the correct sentence, explanations for the user and probability of error based on a pre-trained machine learning model prepared using the training data set generation module.

Известна «Система интеллектуального управления киберугрозами» (Патент RU №2702269 C1, G06F 21/50 (2013.01), G06F 16/22 (2019.01), G06F 7/24 (2006.01). Опубликовано: 07.10.2019 Бюл. №28. Заявка: 2019117226, 04.06.2019) содержащая: по меньшей мере один процессор, обеспечивающий обработку информационных потоков между модулями системы; по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, исполняемые процессором; модуль получения данных, обеспечивающий сбор информации из внешних и внутренних источников данных, содержащих информацию о киберугрозах; фильтрацию полученных данных и преобразование полученной информации в единый формат представления; модуль обогащения данных, обеспечивающий дополнение данных об индикаторах компрометации киберугроз из внешних источников данных; выполнение поиска и сбора информации о вредоносном коде, связанном с известными киберугрозами; обновление информации о кибербезопасности, включающей по меньшей мере сведения: об уязвимости используемого программного обеспечения, о наличии вредоносного кода, связанного с по меньшей мере одной уязвимостью, и информацию об обновлении по меньшей мере одного программного обеспечения, обеспечивающего защиту от по меньшей мере одного типа уязвимости; выявление учетных записей пользователей, которые были задействованы при взаимодействии с ресурсами, связанными с индикаторами компрометации, информация по которым хранится в базе данных; базу данных, обеспечивающую хранение актуальной информации о киберугрозах, передаваемую от модулей получения данных и модуля обогащения данных; модуль интеграции, обеспечивающий передачу в унифицированном формате данных о киберугрозах во внутренние источники; модуль аналитики, обеспечивающий выполнение анализа уязвимостей ИТ-инфраструктуры в подключенных к модулю интеграции системах; выявление и отображение неявных связей между информационными сущностями, относящимися к по меньшей мере одному типу киберугрозы, с помощью анализа цепочек связей между упомянутыми сущностями и поиском общих узлов упомянутых сущностей.The “Intelligent Cyber Threat Management System” is known (Patent RU No. 2702269 C1, G06F 21/50 (2013.01), G06F 16/22 (2019.01), G06F 7/24 (2006.01). Published: 10/07/2019 Bulletin No. 28. Application: 2019117226, 06/04/2019) containing: at least one processor that provides processing of information flows between system modules; at least one data storage means containing machine-readable instructions executable by the processor; a data acquisition module that ensures the collection of information from external and internal data sources containing information about cyber threats; filtering the received data and converting the received information into a single presentation format; a data enrichment module that provides data on indicators of compromise of cyber threats from external data sources; searching and collecting information about malicious code associated with known cyber threats; an update of cybersecurity information that includes at least information about the vulnerability of the software being used, the presence of malicious code associated with at least one vulnerability, and information about the update of at least one software that provides protection against at least one type of vulnerability ; identification of user accounts that were involved in interaction with resources associated with indicators of compromise, information on which is stored in the database; a database that provides storage of up-to-date information about cyber threats transmitted from data acquisition modules and data enrichment modules; an integration module that ensures the transfer of data on cyber threats to internal sources in a unified format; an analytics module that provides analysis of IT infrastructure vulnerabilities in systems connected to the integration module; identifying and displaying implicit connections between information entities related to at least one type of cyber threat by analyzing the chains of connections between the mentioned entities and searching for common nodes of the mentioned entities.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленной является «Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры» (Патент RU №2747476 C1, G06F 17/00 (2006.01), G06F 21/00 (2013.01). Опубликовано: 05.05.2021 Бюл. №13. Заявка: 2020125916, 04.08.2020) содержащая: по меньшей мере один процессор; по меньшей мере одно запоминающее устройство; связанные с упомянутым процессором: модуль сбора данных с источников, выполненный с возможностью получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающих в себя функциональные и логические ЭИ, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ; логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы или функциональные подсистемы; модуль управления данными, выполненный с возможностью нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ; формирование профиля ЭИ, содержащего атрибутный состав ЭИ; модуль обогащения профилей ЭИ, выполненный с возможностью получения данных сканирования от модуля сбора данных для дополнения атрибутного состава сформированных профилей ЭИ информацией, включающей в себя: информацию о возможности сетевого взаимодействия между АИ на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ; данные о критичности функционирования логических ЭИ; сведения о выявленных рисках, а также мероприятиях по их устранению; модуль аналитики, выполненный с возможностью учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей ЭИ; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы; на основании данных обогащенных профилей ЭИ осуществлять расчет критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование; формирования списка уязвимых ЭИ и информации об устранениях выявленных уязвимостей с расчетом рейтинга и регистрацией риска выявленных уязвимостей; обработки поступающего потока данных от модуля управления данными и передачи списка ЭИ посредством модуля интеграции сканеру безопасности, осуществляющему сканирование и выявление ЭИ на основании упомянутого списка ЭИ; модуль интеграции, выполненный с возможностью управления режимом устранения выявленных уязвимостей, при котором во внешнюю систему управления обновлениями передаются данные об ЭИ на основании сформированного модулем аналитики списка уязвимых ЭИ для выполнения обновлений уязвимых ЭИ.The closest analog (prototype) to the declared one in technical essence and functions performed is the “System for intelligent management of risks and vulnerabilities of infrastructure elements” (Patent RU No. 2747476 C1, G06F 17/00 (2006.01), G06F 21/00 (2013.01). Published: 05/05/2021 Bulletin No. 13. Application: 2020125916, 08/04/2020) containing: at least one processor; at least one storage device; associated with the mentioned processor: a module for collecting data from sources, configured to obtain information from data sources containing information about the vulnerabilities of infrastructure elements (EI), including functional and logical EI, while the functional EI are infrastructure assets (AI), containing terminal physical or virtual equipment that provides the service, and network EI, representing devices that provide network interaction between all functional EI; logical EI are combinations of functional EI and logical EI, including entities that interact with the network infrastructure and are selected from the group: automated systems or functional subsystems; a data management module configured to normalize the data collected by the data collection module, ensuring the formation of a unified type of data and the formation of attribute composition depending on the type of EI; formation of an EI profile containing the attribute composition of EI; EI profile enrichment module, configured to receive scanning data from the data collection module to supplement the attribute composition of the generated EI profiles with information, including: information about the possibility of network interaction between AI based on these security rules (ACL), as well as translation rules (NAT) ) and routing defined on network EI; found AI vulnerabilities; data on the criticality of the functioning of logical EI; information about identified risks, as well as measures to eliminate them; an analytics module designed to account for, analyze and monitor the external perimeter of the network infrastructure; search by attribute composition of EI profiles; analyzing raw data coming from data sources; risk management for detected vulnerabilities; search and analysis of network routes between AI to determine possible ways of spreading the threat; based on data from enriched AI profiles, calculate the criticality of vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning; generating a list of vulnerable EI and information on eliminating identified vulnerabilities with rating calculations and registration of the risk of identified vulnerabilities; processing the incoming data stream from the data management module and transmitting the list of EI through the integration module to the security scanner, which scans and identifies EI based on the said list of EI; an integration module configured to control the mode for eliminating identified vulnerabilities, in which EI data is transferred to an external update management system based on the list of vulnerable EI generated by the analytics module to perform updates of vulnerable EI.

Техническая проблема: низкая обоснованность формирования политики безопасности корпоративной сети связи из-за отсутствия учета ранее описанных, но неформализованных и неструктурированных техник реализации компьютерных атак. Technical problem: low validity of the formation of a security policy for a corporate communication network due to the lack of consideration of previously described, but unformalized and unstructured techniques for implementing computer attacks.

Технический результат: повышение обоснованности формирования политики безопасности корпоративной сети связи за счет учета ранее описанных, но не формализованных и не структурированных техник реализации компьютерных атак. Technical result: increasing the validity of the formation of a security policy for a corporate communication network by taking into account previously described, but not formalized and unstructured techniques for implementing computer attacks.

Решение технической проблемы: за счет включения в состав системы автоматического обновления и формирования техник реализации компьютерных атак: модуля первичной обработки документа / текста (106); модуля формирования лингвистического описания техники реализации компьютерных атак (107); модуля лингвистической обработки данных (108); модуля преобразования описания техник реализации компьютерных атак (109); модуля сравнения данных (110); по средствам общей информационной шины (111) и сети передачи данных (201), модуль интеграции (103) соединен с внешними источниками неструктурированных данных о реализации компьютерных атак (204), также модуль интеграции (103) дополнен модулем опроса информационных ресурсов о появлении новых документов (103/3), соединенного с модулем формирования автоматических запросов и поиска (103/5), соединенного с модулем взаимодействия с элементами сети передачи данных (103/4); средство хранения информации (104) дополнено адресным реестром (104/1), локальной лингвистической базой (104/4) и локальной базой техник реализации компьютерных атак с учетом уязвимостей (104/5). Solving a technical problem: by including in the system the automatic updating and formation of techniques for implementing computer attacks: a module for primary document / text processing (106); module for generating a linguistic description of the technique for implementing computer attacks (107); linguistic data processing module (108); module for converting descriptions of techniques for implementing computer attacks (109); data comparison module (110); via a common information bus (111) and a data network (201), the integration module (103) is connected to external sources of unstructured data on the implementation of computer attacks (204), and the integration module (103) is supplemented with a module for polling information resources about the appearance of new documents (103/3), connected to the module for generating automatic requests and search (103/5), connected to the module for interaction with elements of the data transmission network (103/4); the information storage facility (104) is supplemented by an address registry (104/1), a local linguistic database (104/4) and a local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5).

Техническая проблема решается за счет разработки системы автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности состоящей из: общей информационной шины (111) обеспечивающей взаимодействие между модулем управления и администрирования (101); модулем визуализации (102); модулем интеграции (103), состоящего из модуля сбора данных о новых структурированных техниках реализации компьютерных атак (103/1), соединенного с общей информационной шины (111) и модулем взаимодействия с элементами сети передачи данных (103/4) соединенного с общей информационной шины (111), модуля обновления сведений о известных уязвимостях информационной безопасности (103/2) соединенного с общей информационной шины (111) и модулем взаимодействия с элементами сети передачи данных (103/4), соединенного с общей информационной шины (111); средством хранения информации (104) состоящего из локальной базы техник реализации компьютерных атак (104/2) и локальной базы уязвимостей (104/3); модулем управления данными (105); модулем интеграции (103) по средствам общей информационной шины (111) и сети передачи данных (201), соединен с внешними источниками данных об уязвимостях (202) и внешними источниками данных о техниках реализации компьютерных атак (203). The technical problem is solved by developing an automatic updating system and developing techniques for implementing computer attacks for an information security system consisting of: a common information bus (111) providing interaction between the control and administration module (101); visualization module (102); integration module (103), consisting of a data collection module about new structured techniques for implementing computer attacks (103/1), connected to a common information bus (111) and a module for interaction with data network elements (103/4) connected to a common information bus (111), a module for updating information about known information security vulnerabilities (103/2) connected to a common information bus (111) and a module for interacting with elements of the data network (103/4) connected to a common information bus (111); an information storage facility (104) consisting of a local database of techniques for implementing computer attacks (104/2) and a local database of vulnerabilities (104/3); data management module (105); integration module (103) via a common information bus (111) and a data transmission network (201), connected to external sources of data on vulnerabilities (202) and external sources of data on techniques for implementing computer attacks (203).

Согласно изобретению дополнительно: модулем первичной обработки документа / текста (106); модулем формирования лингвистического описания техники реализации компьютерных атак (107); модулем лингвистической обработки данных (108); модулем преобразования описания техник реализации компьютерных атак (109); модулем сравнения данных (110); модуль интеграции (103) дополнен модулем опроса информационных ресурсов о появлении новых документов (103/3), соединенного с общей информационной шиной (111) и модулем формирования автоматических запросов и поиска (103/5), соединенного с модулем взаимодействия с элементами сети передачи данных (103/4); средство хранения информации (104) дополнено адресным реестром (104/1), локальной лингвистической базой (104/4) и локальной базой техник реализации компьютерных атак с учетом уязвимостей (104/5), соединенных с общей информационной шиной (111); модуль интеграции (103) по средствам общей информационной шины (111) и сети передачи данных (201), соединен с внешними источниками неструктурированных данных о реализации компьютерных атак (204). According to the invention , additionally: a module for primary document / text processing (106); module for generating a linguistic description of the technique for implementing computer attacks (107); linguistic data processing module (108); module for converting descriptions of techniques for implementing computer attacks (109); data comparison module (110); the integration module (103) is supplemented with a module for polling information resources about the appearance of new documents (103/3), connected to a common information bus (111) and a module for generating automatic queries and searches (103/5), connected to a module for interaction with elements of the data transmission network (103/4); the information storage facility (104) is supplemented with an address registry (104/1), a local linguistic database (104/4) and a local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5), connected to a common information bus (111); the integration module (103) via a common information bus (111) and a data transmission network (201) is connected to external sources of unstructured data on the implementation of computer attacks (204).

Система может выполняться на базе одного или нескольких вычислительных устройств, с программной или программно-аппаратной реализацией модулей системы. Каждый модуль системы при этом может выполняться в виде ПЛИС, SoC (система на чипе), микроконтроллера, логических вентилей, программной логики и т.п. В общем случае необходимые процессы вычислительной логики в системе осуществляются с помощью одного или нескольких процессоров, которые обрабатывают команды, передаваемые по общей информационной шине, данных между модулями системы.The system can be executed on the basis of one or more computing devices, with software or hardware-software implementation of system modules. Each module of the system can be implemented in the form of an FPGA, SoC (system on a chip), microcontroller, logic gates, program logic, etc. In the general case, the necessary processes of computational logic in the system are carried out using one or more processors that process commands transmitted via a common information bus between system modules.

Перечисленная новая совокупность существенных признаков обеспечивает повышение обоснованности формирования политики безопасности корпоративной сети связи за счет учета ранее описанных, но не формализованных и не структурированных техник реализации компьютерных атак.The listed new set of essential features ensures an increase in the validity of the formation of a security policy for a corporate communication network by taking into account previously described, but not formalized and unstructured techniques for implementing computer attacks.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».The analysis of the state of the art made it possible to establish that there are no analogues characterized by sets of features identical to all the features of the claimed system. Consequently, the claimed invention meets the patentability condition of “novelty”.

«Промышленная применимость» разработанной системы обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.The “industrial applicability” of the developed system is due to the presence of an elemental base on the basis of which devices that implement this system can be made to achieve the result specified in the invention.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The results of a search for known solutions in this and related fields of technology in order to identify features that coincide with the features of the claimed invention that are distinctive from the prototypes, showed that they do not follow explicitly from the prior art. The prior art determined by the applicant does not reveal the impact of the essential features of the claimed invention on achieving the specified technical result. Therefore, the claimed invention meets the patentability requirement of “inventive step”.

Заявленные объекты системы поясняются:The declared objects of the system are explained:

Фиг. 1 - структурная схема системы автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности.Fig. 1 - block diagram of a system for automatically updating and generating techniques for implementing computer attacks for an information security system.

Фиг. 2 - структурная схема модуля интеграции.Fig. 2 - block diagram of the integration module.

Фиг. 3 - структурная схема средства хранения информации.Fig. 3 - block diagram of an information storage facility.

Система автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности (фиг. 1) состоит из: модуля управления и администрирования (101), модуля визуализации (102), модуля интеграции (103), средства хранения информации (104), модуля управления данными (105), модуля первичной обработки документа / текста (106), модуля формирования лингвистического описания техник реализации компьютерных атак (107), модуля лингвистической обработки данных (108), модуля преобразования описания техник реализации компьютерных атак (109), модуля сравнения данных (110), соединенных между собой общей информационной шиной (111), которая также обеспечивает соединения по средством сети передачи данных (201) с внешними источниками данных об уязвимостях (202), внешними источниками данных о техниках реализации компьютерных атак (203) и внешними источниками неструктурированных данных о реализации компьютерных атак (204).The system for automatically updating and generating techniques for implementing computer attacks for an information security system (Fig. 1) consists of: a control and administration module (101), a visualization module (102), an integration module (103), an information storage device (104), a module data management (105), module for primary document / text processing (106), module for generating a linguistic description of techniques for implementing computer attacks (107), module for linguistic data processing (108), module for converting descriptions of techniques for implementing computer attacks (109), data comparison module (110), interconnected by a common information bus (111), which also provides connections via a data network (201) with external sources of data on vulnerabilities (202), external sources of data on techniques for implementing computer attacks (203) and external sources unstructured data on the implementation of computer attacks (204).

Модуль интеграции (103) состоит из (фиг. 2): модуля сбора данных о новых структурированных техниках реализации компьютерных атак (103/1), соединенного с общей информационной шиной (111) и модулем взаимодействия с элементами сети передачи данных (103/4), модуля обновления сведений об известных уязвимостях информационной безопасности (103/2), соединенного с общей информационной шиной (111) и модулем взаимодействия с элементами сети передачи данных (103/4), модуля опроса информационных ресурсов о появлении новых документов (103/3), соединенного с общей информационной шиной (111) и модулем формирования автоматических запросов и поиска (103/5), соединенного с модулем взаимодействия с элементами сети передачи данных (103/4), модуля взаимодействия с элементами сети передачи данных (103/4), соединенного с общей информационной шиной (111).The integration module (103) consists of (Fig. 2): a data collection module about new structured techniques for implementing computer attacks (103/1), connected to a common information bus (111) and a module for interaction with elements of the data transmission network (103/4) , a module for updating information about known information security vulnerabilities (103/2), connected to a common information bus (111) and a module for interacting with elements of the data network (103/4), a module for polling information resources about the appearance of new documents (103/3) , connected to a common information bus (111) and a module for generating automatic queries and search (103/5), connected to a module for interaction with elements of a data transmission network (103/4), a module for interaction with elements of a data transmission network (103/4), connected to a common information bus (111).

Средство хранения информации (104) объединяет (фиг. 3): адресный реестр (104/1), локальную базу техник реализации компьютерных атак (104/2), локальную базу уязвимостей (104/3), локальную лингвистическую базу (104/4), локальную базу техник реализации компьютерных атак с учетом уязвимостей (104/5), соединенных с общей информационной шиной (111).The information storage facility (104) combines (Fig. 3): an address registry (104/1), a local database of techniques for implementing computer attacks (104/2), a local vulnerability database (104/3), a local linguistic database (104/4) , a local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5), connected to a common information bus (111).

Система автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности на System for automatic updating and generation of techniques for implementing computer attacks for the information security system on подготовительном этапеpreparatory stage функционирует следующим образом:functions as follows:

Администратор информационной безопасности посредством модуля управления и администрирования (101) через общую информационную шину (111), модуля управления данными (105) сохраняет в адресном реестре (104/1) сетевые адреса внешних источников данных об уязвимостях (например, https://cve.mitre.org/), техниках реализации атак (например, https://attack.mitre.org/), а также сетевые адреса информационных ресурсов, в публикациях которых присутствуют описания реализации компьютерных атак (например, https://www.securitylab.ru/). В ходе эксплуатации администратор информационной безопасности уточняет и дополняет сетевые адреса.The information security administrator, through the management and administration module (101) through the common information bus (111), data management module (105), saves in the address registry (104/1) the network addresses of external sources of data on vulnerabilities (for example, https://cve. mitre.org/), attack implementation techniques (for example, https://attack.mitre.org/), as well as network addresses of information resources, the publications of which contain descriptions of the implementation of computer attacks (for example, https://www.securitylab. ru/). During operation, the information security administrator clarifies and supplements network addresses.

Администратор информационной безопасности посредством модуля управления и администрирования (101), общей информационной шины (111), модуля управления данными (105), адресного реестра (104/1), модуля сбора данных о новых структурированных техниках реализации компьютерных атак (103/1), модуля взаимодействия с элементами сети передачи данных (103/4), через общую информационную шину (111), сеть передачи данных (201), обращается к внешним источникам данных о техниках реализации компьютерных атак (203) (например, https://attack.mitre.org/), для скачивания известных баз данных о техниках реализации компьютерных атак. Полученные данные через сеть передачи данных (201), общую информационную шину (111), модуля управления данными (105), сохраняются в локальной базе техник реализации компьютерных атак (104/2).Information security administrator through the management and administration module (101), the general information bus (111), the data management module (105), the address registry (104/1), the data collection module on new structured techniques for implementing computer attacks (103/1), module for interaction with elements of the data transmission network (103/4), through a common information bus (111), data transmission network (201), accesses external sources of data on techniques for implementing computer attacks (203) (for example, https://attack. mitre.org/), for downloading known databases on computer attack techniques. The received data through the data transmission network (201), the common information bus (111), and the data control module (105) are stored in the local database of techniques for implementing computer attacks (104/2).

Администратор информационной безопасности посредством модуля управления и администрирования (101), общей информационной шины (111), модуля управления данными (105), адресного реестра (104/1), модуля обновления сведений о известных уязвимостях информационной безопасности (103/2), модуля взаимодействия с элементами сети передачи данных (103/4), через общую информационную шину (111), сеть передачи данных (201), обращается к внешним источникам данных об известных уязвимостях (202) (например, https://cve.mitre.org/) для скачивания известных баз данных об известных уязвимостях. Полученные данные через сеть передачи данных (201), общую информационную шину (111), модуля управления данными (105), сохраняются в локальной базе уязвимостей (104/3).Information security administrator through the management and administration module (101), the general information bus (111), the data management module (105), the address registry (104/1), the module for updating information about known information security vulnerabilities (103/2), the interaction module with elements of the data network (103/4), through a common information bus (111), data network (201), accesses external sources of data on known vulnerabilities (202) (for example, https://cve.mitre.org/ ) to download known databases of known vulnerabilities. The received data via the data transmission network (201), the common information bus (111), and the data management module (105) are stored in the local vulnerability database (104/3).

После сохранения данных в локальной базе техник реализации компьютерных атак (104/2) и локальной базе уязвимостей (104/3), администратор информационной безопасности посредством модуля управления и администрирования (101), общей информационной шины (111), модуля лингвистической обработки данных (108), проводит лингвистический анализ полученных данных на основе морфологического анализа с учителем, с целью формирования лингвистического словаря, данные из которого через общую информационную шину (111), модуля управления данными (105), сохраняют в локальной лингвистической базе (104/4).After saving the data in the local database of techniques for implementing computer attacks (104/2) and the local database of vulnerabilities (104/3), the information security administrator through the control and administration module (101), the general information bus (111), the linguistic data processing module (108 ), conducts a linguistic analysis of the received data based on morphological analysis with a teacher, in order to form a linguistic dictionary, data from which, through a common information bus (111), a data management module (105), is stored in a local linguistic database (104/4).

Администратор информационной безопасности посредством компьютерных атак (104/2) посредством модуля управления и администрирования (101), общей информационной шины (111), модуля управления данными (105), задает в модуле опроса информационных ресурсов о появлении новых документов (103/3) расписание опросов внешних информационных ресурсов.The information security administrator, through computer attacks (104/2) using the control and administration module (101), the general information bus (111), the data management module (105), sets a schedule in the module for polling information resources about the appearance of new documents (103/3) surveys of external information resources.

Система автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности System for automatic updating and generation of techniques for implementing computer attacks for an information security system функционирует следующим образом:functions as follows:

Модуль опроса информационных ресурсов о появлении новых документов (103/3), через модуль формирования автоматических запросов и поиска (103/5), модуль взаимодействия с элементами сети передачи данных (103/4), через общую информационную шину (111) и сеть передачи данных (201), скачивает с внешних источников данных (202, 203, 204) «контрольные файлы», обрабатывает и анализирует содержание на предмет появления новых сведений.Module for polling information resources about the appearance of new documents (103/3), through the module for generating automatic queries and searching (103/5), module for interacting with elements of the data transmission network (103/4), through a common information bus (111) and transmission network data (201), downloads “control files” from external data sources (202, 203, 204), processes and analyzes the content for the emergence of new information.

Если изменений в «контрольном файле» внешних источниках данных (202, 203, 204) не произошло, то повторный опрос производится согласно заданного администратором информационной безопасности расписания.If there are no changes in the “control file” of external data sources (202, 203, 204), then a repeat poll is performed according to the schedule specified by the information security administrator.

Если выявлено изменение в «контрольном файле» внешнего источника данных об уязвимостях (202) и/или внешнего источника данных о техниках реализации компьютерных атак (203), то посредством модуля взаимодействия с элементами сети передачи данных (103/4), общей информационной шины (111), сети передачи данных (201), с внешнего источника данных об уязвимостях (202) и/или внешнего источника данных о техниках реализации компьютерных атак (203) скачиваются обновленные базы и сохраняют с помощью модуля управления данными (105), сохранятся в локальной базе уязвимостей (104/3) и/или в локальной базе техник реализации компьютерных атак (104/2) соответственно.If a change is detected in the “control file” of an external source of data on vulnerabilities (202) and/or an external source of data on techniques for implementing computer attacks (203), then through the module for interaction with elements of the data network (103/4), the common information bus ( 111), data network (201), from an external source of data on vulnerabilities (202) and/or an external source of data on techniques for implementing computer attacks (203), updated databases are downloaded and saved using the data management module (105), saved in the local vulnerability database (104/3) and/or in the local database of techniques for implementing computer attacks (104/2), respectively.

Если выявлено изменение в «контрольном файле» внешнего источника неструктурированных данных о реализации компьютерных атак (204) (например, https://www.securitylab.ru/), то посредством модуля взаимодействия с элементами сети передачи данных (103/4), общей информационной шины (111), сети передачи данных (201), с внешнего источника неструктурированных данных о реализации компьютерных атак (204) скачиваются файлы (например, *.pdf, *doc -файлы, html страницы и др.) которые были опубликованы после предыдущего обращения к выбранному информационному ресурсу. Указанные файлы через сеть передачи данных (201), общую информационную шину (111) поступают в модуль первичной обработки документа / текста (106), в котором вся текстовая информация распознается и преобразуется в формализованный вид.If a change is detected in the “control file” of an external source of unstructured data on the implementation of computer attacks (204) (for example, https://www.securitylab.ru/), then through the module for interaction with elements of the data transmission network (103/4), the common information bus (111), data transmission network (201), from an external source of unstructured data on the implementation of computer attacks (204), files are downloaded (for example, *.pdf, *doc files, html pages, etc.) that were published after the previous one accessing the selected information resource. The specified files, through a data network (201), a common information bus (111), enter the primary document / text processing module (106), in which all text information is recognized and converted into a formalized form.

Преобразованная информация с модуля первичной обработки документа / текста (106) через общую информационную шину (111) поступает в модуль лингвистической обработки данных (108) (например, https://code.***.com/archive/p/word2vec/) в котором с использованием локальной лингвистической базы данных (104/4) исследуют текст на наличие известных главных морфем. После выявления в тексте известных главных морфем, из текста исключаются слова, не имеющие морфологического упоминания в локальной лингвистической базе данных (104/4).The converted information from the primary document / text processing module (106) through a common information bus (111) enters the linguistic data processing module (108) (for example, https://code.***.com/archive/p/word2vec/) in which Using a local linguistic database (104/4), the text is examined for the presence of known main morphemes. After identifying known main morphemes in the text, words that do not have a morphological mention in the local linguistic database (104/4) are excluded from the text.

В случае если в тексте выявлена одна главная морфема или не выявлена ни одна из известных главных морфем, полученный файл удаляется.If one main morpheme is identified in the text or none of the known main morphemes are identified, the resulting file is deleted.

В случае если в тексте выявлены две и более главных морфемы, сокращенный текст из модуля лингвистической обработки данных (108) посредством общей информационной шины (111) передается в модуль формирования лингвистического описания техники реализации компьютерных атак (107), в котором с использованием нейросети (например, на основе технологии Bag of Words,), осуществляется сопоставление выявленных в тексте главных морфем относящихся к техникам реализации компьютерных атак и известным уязвимостей.If two or more main morphemes are identified in the text, the abbreviated text from the linguistic data processing module (108) via a common information bus (111) is transferred to the module for generating a linguistic description of the technique for implementing computer attacks (107), in which, using a neural network (for example , based on Bag of Words technology), a comparison of the main morphemes identified in the text related to techniques for implementing computer attacks and known vulnerabilities is carried out.

Сопоставленные пары: техника реализации компьютерной атаки - уязвимость, упорядочиваются и передаются с использованием общей информационной шины (111) передаются в модуль преобразования описания техник реализации компьютерных атак (109), где выделенные пары техника реализации компьютерной атаки - уязвимость сопоставляют (например, на основе технологии Bag of Words,) номерам известным техник реализации атак (например, MITRE ATT&CK) и уязвимостей (например, CVE) соответственно. После чего создают отчет в формальном (номерном) и текстовом описании реализации компьютерных атак с указанием используемых уязвимостей.Matched pairs: computer attack implementation technique - vulnerability, are ordered and transmitted using a common information bus (111) are transferred to the description conversion module for computer attack implementation techniques (109), where selected pairs of computer attack implementation technique - vulnerability are compared (for example, based on technology Bag of Words,) numbers of known attack implementation techniques (for example, MITER ATT&CK) and vulnerabilities (for example, CVE), respectively. After which they create a report in a formal (numbered) and textual description of the implementation of computer attacks, indicating the vulnerabilities used.

Формальное (номерное) и текстовое описания реализации компьютерных атак с указанием используемых уязвимостей из модуль преобразования описания техник реализации компьютерных атак (109), а также исходный текст, полученный из внешнего источника неструктурированных данных о реализации компьютерных атак (204) по средством общей информационной шины (111), модуля управления и администрирования (101) и модуля визуализации (102) представляются администратору информационной безопасности, для анализа.Formal (numerical) and textual descriptions of the implementation of computer attacks indicating the vulnerabilities used from the conversion module for describing techniques for implementing computer attacks (109), as well as source text obtained from an external source of unstructured data on the implementation of computer attacks (204) via a common information bus ( 111), management and administration module (101) and visualization module (102) are presented to the information security administrator for analysis.

Если результаты анализа соответствуют исходному тексту реализации компьютерной атаки, администратор информационной безопасности «поощряет» используемую в модуле формирования лингвистического описания техники реализации компьютерных атак (107) нейросеть, посредством передачи соответствующей команды от модуля управления и администрирования (101), через общую информационную шину (111) в модуль формирования лингвистического описания техники реализации компьютерных атак (107).If the results of the analysis correspond to the source text of the implementation of a computer attack, the information security administrator “encourages” the neural network used in the module for generating a linguistic description of the technique for implementing computer attacks (107), by transmitting the corresponding command from the control and administration module (101), through a common information bus (111 ) into the module for generating a linguistic description of the technique for implementing computer attacks (107).

В случае если результаты анализа не соответствуют исходному тексту реализации компьютерной атаки, администратор информационной безопасности исправляет несоответствия в формальном (номерном) и текстовом описании реализации компьютерных атак с указанием используемых уязвимостей. Соответствующие изменения передаются от модуля управления и администрирования (101), через общую информационную шину (111) в модуль формирования лингвистического описания техники реализации компьютерных атак (107), для уточнения работы нейросети.If the results of the analysis do not correspond to the source text of the implementation of a computer attack, the information security administrator corrects the inconsistencies in the formal (numerical) and textual description of the implementation of computer attacks, indicating the vulnerabilities used. The corresponding changes are transmitted from the control and administration module (101), through the common information bus (111) to the module for generating a linguistic description of the technique for implementing computer attacks (107), to clarify the operation of the neural network.

Одобренное администратором информационной безопасности формальное (номерное) описание реализации компьютерных атак с указанием используемых уязвимостей передаются из модуля преобразования описания техник реализации компьютерных атак (109) по средством общей информационной шины (111) в модуль сравнения данных (110). В котором осуществляется сопоставление сформированного формального (номерного) описания реализации компьютерных атак с указанием используемых уязвимостей и известных техник реализации компьютерных атак, хранящихся в локальной базе техник реализации компьютерных атак с учетом уязвимостей (104/5).A formal (numbered) description of the implementation of computer attacks, indicating the vulnerabilities used, approved by the information security administrator, is transferred from the module for converting the description of techniques for implementing computer attacks (109) via a common information bus (111) to the data comparison module (110). In which a comparison is made of the generated formal (numerical) description of the implementation of computer attacks, indicating the vulnerabilities used and known techniques for implementing computer attacks stored in the local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5).

Если в результате сравнения сформированное формальное (номерное) описание реализации компьютерных атак в локальной базе техник реализации компьютерных атак с учетом уязвимостей (104/5) отсутствует, то сформированное формальное (номерное) описание соответствуют в локальной базе техник реализации компьютерных атак с учетом уязвимостей (104/5).If, as a result of the comparison, the generated formal (numerical) description of the implementation of computer attacks in the local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5) is missing, then the generated formal (numerical) description corresponds to the local database of techniques for implementing computer attacks taking into account vulnerabilities (104 /5).

Если в результате сравнения сформированное формальное (номерное) описание реализации компьютерных атак в локальной базе техник реализации компьютерных атак с учетом уязвимостей (104/5) имеется, то сформированное формальное (номерное) описание удаляется.If, as a result of the comparison, there is a generated formal (numerical) description of the implementation of computer attacks in the local database of techniques for implementing computer attacks taking into account vulnerabilities (104/5), then the generated formal (numerical) description is deleted.

Расчет эффективности заявленной системы проводился следующим образом:The efficiency of the claimed system was calculated as follows:

Оценка обоснованности проводится путем сравнения коэффициентов Тэйла для системы прототипа и предлагаемой системы [Е.Ю. Пискунов «Модификация коэффициента Тэйла». Электронный журнал «Известия Иркутской государственной экономической академии» №5, 2012 г.]:Validity assessment is carried out by comparing the Theil coefficients for the prototype system and the proposed system [E.Yu. Piskunov “Modification of the Theil coefficient”. Electronic journal "News of the Irkutsk State Economic Academy" No. 5, 2012]:

; ;

где P i и A i - соответственно предсказанное и фактическое (реализованное) изменение переменной. Коэффициент , когда все P i = A i (случай совершенного прогнозирования); , когда процесс прогнозирования приводит к той же среднеквадратической ошибке, что и экстраполяция неизменности приростов; , когда прогноз дает худшие результаты, чем предположение о неизменности исследуемого явления.WhereP i AndA i - respectively predicted and actual (realized) change in the variable. Coefficient, when allP i =A i (case of perfect forecasting);, when the forecasting process leads to the same root-mean-square error as the extrapolation of constant growth;, when the forecast gives worse results than the assumption of the invariance of the phenomenon under study.

Система-прототип при формировании политики безопасности учитывает сведения об известных уязвимостях и техниках реализации компьютерных атак т.е. P i .=2, A i =2. Таким образом, предсказанные значения будут соответствовать фактическим только в этом случае и значение коэффициента Тэйла будет меньше единицы и стремиться к нулю:When forming a security policy, the prototype system takes into account information about known vulnerabilities and techniques for implementing computer attacks, i.e. P i .=2, A i =2. Thus, the predicted values will correspond to the actual ones only in this case and the value of the Theil coefficient will be less than one and tend to zero:

Предлагаемая система дополнительно обрабатывает и оценивает сведения о ранее описанных, но не формализованных и не структурированных техник реализации компьютерных атак т.е. P i .=2, A i =3.The proposed system additionally processes and evaluates information about previously described, but not formalized and unstructured techniques for implementing computer attacks, i.e. P i .=2, A i =3.

Исходя из этого коэффициента Тэйла примет следующее значение:Based on this coefficient, Theil will take the following value:

Далее производим сравнение рассчитанных коэффициентов Тэйла для прототипа и заявленной системы:Next, we compare the calculated Theil coefficients for the prototype and the proposed system:

Из произведенного сравнения рассчитанных коэффициентов Тэйла для системы-прототипа и заявленной системы, следует вывод, что обоснованность формирования политики безопасности корпоративной сети связи заявленной системы выше, чем у прототипа, что подтверждает достижение заявленного технического результата.From the comparison of the calculated Theil coefficients for the prototype system and the claimed system, it follows that the validity of the formation of a security policy for the corporate communication network of the claimed system is higher than that of the prototype, which confirms the achievement of the stated technical result.

Claims (1)

Система автоматического обновления и формирования техник реализации компьютерных атак для системы обеспечения информационной безопасности состоит из: общей информационной шины, обеспечивающей взаимодействие между модулем управления и администрирования; модулем визуализации; модулем интеграции, состоящим из модуля сбора данных о новых структурированных техниках реализации компьютерных атак, соединенного с общей информационной шиной и модулем взаимодействия с элементами сети передачи данных, соединенным с общей информационной шиной модуля обновления сведений об известных уязвимостях информационной безопасности, соединенного с общей информационной шиной и модулем взаимодействия с элементами сети передачи данных, соединенным с общей информационной шиной; средством хранения информации, состоящим из локальной базы техник реализации компьютерных атак и локальной базы уязвимостей; модулем управления данными; модулем интеграции посредством общей информационной шины и сети передачи данных, соединенным с внешними источниками данных об уязвимостях и внешними источниками данных о техниках реализации компьютерных атак, отличающаяся тем, что модуль интеграции дополнен модулем опроса информационных ресурсов о появлении новых документов, соединенным с общей информационной шиной и модулем формирования автоматических запросов и поиска, соединенным с модулем взаимодействия с элементами сети передачи данных; средство хранения информации дополнено адресным реестром, локальной лингвистической базой и локальной базой техник реализации компьютерных атак с учетом уязвимостей, соединенных с общей информационной шиной; модуль интеграции посредством общей информационной шины и сети передачи данных соединен с внешними источниками неструктурированных данных о реализации компьютерных атак: модулем первичной обработки текста; модулем формирования лингвистического описания техники реализации компьютерных атак; модулем лингвистической обработки данных; модулем преобразования описания техник реализации компьютерных атак; модулем сравнения данных.The system for automatically updating and generating techniques for implementing computer attacks for an information security system consists of: a common information bus that ensures interaction between the control and administration module; visualization module; an integration module consisting of a module for collecting data on new structured techniques for implementing computer attacks, connected to a common information bus and a module for interacting with elements of the data transmission network, connected to a common information bus, a module for updating information about known information security vulnerabilities, connected to a common information bus and a module for interaction with elements of a data transmission network connected to a common information bus; an information storage facility consisting of a local database of techniques for implementing computer attacks and a local database of vulnerabilities; data management module; an integration module through a common information bus and a data network, connected to external sources of data on vulnerabilities and external sources of data on techniques for implementing computer attacks, characterized in that the integration module is supplemented with a module for polling information resources about the appearance of new documents, connected to a common information bus and a module for generating automatic queries and searching, connected to a module for interacting with elements of the data transmission network; the information storage facility is supplemented with an address registry, a local linguistic database and a local database of techniques for implementing computer attacks, taking into account vulnerabilities connected to a common information bus; the integration module, through a common information bus and data transmission network, is connected to external sources of unstructured data on the implementation of computer attacks: a primary text processing module; module for generating a linguistic description of the technology for implementing computer attacks; linguistic data processing module; module for converting descriptions of computer attack implementation techniques; data comparison module.
RU2023118422A 2023-07-12 System for automatic updating and generation of techniques for implementing computer attacks for information security system RU2809929C1 (en)

Publications (1)

Publication Number Publication Date
RU2809929C1 true RU2809929C1 (en) 2023-12-19

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170085588A1 (en) * 2013-12-06 2017-03-23 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20170201424A1 (en) * 2016-01-11 2017-07-13 Equinix, Inc. Architecture for data center infrastructure monitoring
US20180103052A1 (en) * 2016-10-11 2018-04-12 Battelle Memorial Institute System and methods for automated detection, reasoning and recommendations for resilient cyber systems
RU2702269C1 (en) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent control system for cyberthreats
RU2747476C1 (en) * 2020-08-04 2021-05-05 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent risk and vulnerability management system for infrastructure elements

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170085588A1 (en) * 2013-12-06 2017-03-23 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20170201424A1 (en) * 2016-01-11 2017-07-13 Equinix, Inc. Architecture for data center infrastructure monitoring
US20180103052A1 (en) * 2016-10-11 2018-04-12 Battelle Memorial Institute System and methods for automated detection, reasoning and recommendations for resilient cyber systems
RU2702269C1 (en) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent control system for cyberthreats
RU2747476C1 (en) * 2020-08-04 2021-05-05 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent risk and vulnerability management system for infrastructure elements

Similar Documents

Publication Publication Date Title
US11520975B2 (en) Lean parsing: a natural language processing system and method for parsing domain-specific languages
Fu et al. WASTK: A weighted abstract syntax tree kernel method for source code plagiarism detection
US20190251159A1 (en) Table narration using narration templates
AU2017296412B2 (en) System and method for automatically understanding lines of compliance forms through natural language patterns
Dunietz et al. A new entity salience task with millions of training examples
US9684709B2 (en) Building features and indexing for knowledge-based matching
CN108874778B (en) Semantic entity relation extraction method and device and electronic equipment
Asiri et al. A survey of intelligent detection designs of HTML URL phishing attacks
US11017002B2 (en) Description matching for application program interface mashup generation
US11366843B2 (en) Data classification
Emami et al. A generalized knowledge hunting framework for the winograd schema challenge
CN111753171A (en) Malicious website identification method and device
US20140101259A1 (en) System and Method for Threat Assessment
CN113918794B (en) Enterprise network public opinion benefit analysis method, system, electronic equipment and storage medium
RU2809929C1 (en) System for automatic updating and generation of techniques for implementing computer attacks for information security system
Anthonysamy et al. Inferring semantic mapping between policies and code: the clue is in the language
CN117056347A (en) SQL sentence true injection detection method, SQL sentence true injection detection device, SQL sentence true injection detection computer equipment and SQL sentence true injection detection storage medium
US9613134B2 (en) Identifying mathematical operators in natural language text for knowledge-based matching
US11687574B2 (en) Record matching in a database system
Tanoli et al. Systematic machine translation of social network data privacy policies
WO2023003488A1 (en) Checking of a document for compliance with personal data requirements
Urbanska et al. Structuring a vulnerability description for comprehensive single system security analysis
US20210264113A1 (en) Automatically extending a domain taxonomy to the level of granularity present in glossaries in documents
Breit et al. An architecture for extracting key elements from legal permits
CN116775889B (en) Threat information automatic extraction method, system, equipment and storage medium based on natural language processing