D. Lande, O. Puchkov, I. Subach, M. Boliukh, D. Nahornyi
OSINT investigation to detect and prevent cyber attacks and cyber security incidents
// Information Technology and Security. Том 9, N 2 (2021). - C. 209-218.
DOI: doi.org/10.20535/2411-1031.2021.9.2.249921
|
Запропоновано та об╜рунтовано методолог╕я розсл╕дування ╕ передбачення к╕бернетичних ╕нцидент╕в на баз╕ застосування в╕дкритих джерел ╕нформац╕╖ ╕ в╕льно доступного програмного забезпечення з в╕дкритим кодом. Запропонована методолог╕я, в╕дпов╕дно, ╓ методолог╕╓ю типу Open Source Intelligence (OSINT). Кр╕м того, методолог╕я базу╓ться на технолог╕ях мон╕торингу сучасного ╕нтернет-простору, концепц╕╖ обробки великих обсяг╕в даних (Big Data), складних мереж (Complex Networks), добування знань ╕з текстових масив╕в (Text Mining). Детально розглянут╕ компоненти технолог╕╖ виявлення ключових сл╕в (NLTK, Natural Language Toolkit), понять (SpaCy, NLP), системи в╕зуал╕зац╕╖ ╕ анал╕зу граф╕в. Основна ╕дея методолог╕╖ анал╕зу великих обсяг╕в даних з питань к╕бербезпеки ╕з ╕нтернет-простору поляга╓ у застосуванн╕ метод╕в ╕ засоб╕в збирання даних ╕з застосуванням глобальних пошукових систем, агрегування ╕нформац╕йних поток╕в та ╕нтелектуального анал╕зу добутих даних. Методолог╕я базу╓ться на реал╕зац╕╖ таких функц╕й, як зб╕р релевантно╖ ╕нформац╕╖ з визначених ╕нформац╕йних ресурс╕в ╕з використанням можливостей глобальних пошукових систем; автоматичне сканування ╕ первинна обробки ╕нформац╕╖ з веб сайт╕в; формування повнотекстових масив╕в ╕нформац╕╖; анал╕з текстових пов╕домлень, визначення тональност╕, формування анал╕тичних зв╕т╕в; ╕нтеграц╕ю з географ╕чною ╕нформац╕йною системою; анал╕з та в╕зуал╕зац╕ю ╕нформац╕йних зв╕т╕в; досл╕дження динам╕ки тематичних ╕нформац╕йних поток╕в; прогнозування розвитку под╕й на основ╕ анал╕зу динам╕ки публ╕кац╕й в ╕нтернет-простор╕. Практичне значення отриманих результат╕в поляга╓ в наданн╕ користувачам д╕╓во╖ методолог╕╖ ╕ набору готових для використання ╕нструментальних засоб╕в контент-мон╕торингу ╕ анал╕зу ╕нтернет-простору з питань к╕бербезпеки, який придатний до як до автономного застосування, так ╕ як компоненти у склад╕ систем п╕дтримки прийняття р╕шень щодо ╕нформац╕йно╖ та к╕бернетично╖ безпеки в ситуац╕йних центрах р╕зного р╕вня. Розглянуто ╕нтерфейси користувача, в яких доступн╕ функц╕╖ збору даних, анал╕зу та прогнозування появлення ╕нформац╕╖ в ╕нтернет-простор╕ щодо к╕бернетичних ╕нцидент╕в. В анал╕тичному режим╕ реал╕зовано низку ╕нструмент╕в для граф╕чного представлення динам╕ки даних, як╕ в╕дображуються у вигляд╕ часового ряду к╕лькост╕ в╕дпов╕дних конкретному к╕бернетичного ╕нциденту пов╕домлень на добу, перегляду сюжет╕в ╕з пов╕домлень за темою к╕бернетичних ╕нцидент╕в, кластер╕в, згрупованих за алгоритмом кластерного анал╕зу. В рамках методолог╕╖ передбачено формування ╕ включення до оперативних зведень мереж ╕з концепт╕в, що в╕дпов╕дають персонам, орган╕зац╕ям, ╕нформац╕йним джерелам, як╕ дозволяють досл╕джувати вза╓мозв.язки м╕ж ними. Ключов╕ слова: к╕бернетична безпека, к╕бернетичний ╕нцидент, розв╕дка з в╕дкритих джерел, ╕нтернет-ресурси, велик╕ дан╕, ╕нформац╕йн╕ потоки, мон╕торинг, методолог╕я |
