D. Lande, O. Puchkov, I. Subach, M. Boliukh, D. Nahornyi
OSINT investigation to detect and prevent cyber attacks and cyber security incidents
// Information Technology and Security. Том 9, N 2 (2021). - C. 209-218.
DOI: doi.org/10.20535/2411-1031.2021.9.2.249921

Запропоновано та обґрунтовано методологія розслідування і передбачення кібернетичних інцидентів на базі застосування відкритих джерел інформації і вільно доступного програмного забезпечення з відкритим кодом. Запропонована методологія, відповідно, є методологією типу Open Source Intelligence (OSINT). Крім того, методологія базується на технологіях моніторингу сучасного інтернет-простору, концепції обробки великих обсягів даних (Big Data), складних мереж (Complex Networks), добування знань із текстових масивів (Text Mining). Детально розглянуті компоненти технології виявлення ключових слів (NLTK, Natural Language Toolkit), понять (SpaCy, NLP), системи візуалізації і аналізу графів. Основна ідея методології аналізу великих обсягів даних з питань кібербезпеки із інтернет-простору полягає у застосуванні методів і засобів збирання даних із застосуванням глобальних пошукових систем, агрегування інформаційних потоків та інтелектуального аналізу добутих даних. Методологія базується на реалізації таких функцій, як збір релевантної інформації з визначених інформаційних ресурсів із використанням можливостей глобальних пошукових систем; автоматичне сканування і первинна обробки інформації з веб сайтів; формування повнотекстових масивів інформації; аналіз текстових повідомлень, визначення тональності, формування аналітичних звітів; інтеграцію з географічною інформаційною системою; аналіз та візуалізацію інформаційних звітів; дослідження динаміки тематичних інформаційних потоків; прогнозування розвитку подій на основі аналізу динаміки публікацій в інтернет-просторі. Практичне значення отриманих результатів полягає в наданні користувачам дієвої методології і набору готових для використання інструментальних засобів контент-моніторингу і аналізу інтернет-простору з питань кібербезпеки, який придатний до як до автономного застосування, так і як компоненти у складі систем підтримки прийняття рішень щодо інформаційної та кібернетичної безпеки в ситуаційних центрах різного рівня. Розглянуто інтерфейси користувача, в яких доступні функції збору даних, аналізу та прогнозування появлення інформації в інтернет-просторі щодо кібернетичних інцидентів. В аналітичному режимі реалізовано низку інструментів для графічного представлення динаміки даних, які відображуються у вигляді часового ряду кількості відповідних конкретному кібернетичного інциденту повідомлень на добу, перегляду сюжетів із повідомлень за темою кібернетичних інцидентів, кластерів, згрупованих за алгоритмом кластерного аналізу. В рамках методології передбачено формування і включення до оперативних зведень мереж із концептів, що відповідають персонам, організаціям, інформаційним джерелам, які дозволяють досліджувати взаємозв.язки між ними. Ключові слова: кібернетична безпека, кібернетичний інцидент, розвідка з відкритих джерел, інтернет-ресурси, великі дані, інформаційні потоки, моніторинг, методологія