МЕТОД ХРОНОЛОГІЧНОЇ РЕКОНСТРУКЦІЇ ПОДІЙ В ІНФОРМАЦІЙНО КОМУНІКАЦІЙНИХ СИСТЕМАХ ДЛЯ ПОТРЕБ КІБЕРЗАХИСТУ НА ОСНОВІ УЗГОДЖЕННЯ ЛОКАЛЬНИХ ЧАСОВИХ ПРОСТОРІВ

Анотація

У статті розглянуто актуальне наукове завдання хронологічної реконструкції подій в інформаційно
комунікаційних системах (ІКС) в умовах асинхронності їх підсистем (компонентів) і похибок часових міток.
На практиці порядок подій, зафіксований у журналах моніторингу, часто не відповідає реальній послідовності
внаслідок дрейфу системних годинників, затримок передавання чи обробки даних, а також асинхронності
часових шкал різних джерел подій. Сучасні системи кіберзахисту, орієнтовані на кореляцію подій, нерідко
покладаються на таку спотворену хронологію, що призводить до хибних висновків під час аналізу
кіберінцидентів і значно ускладнює побудову причинно-наслідкових зв’язків між подіями.
Запропоновано метод хронологічної реконструкції подій, який ґрунтується на відмові від припущення про
єдиний глобальний час системи, не потребує синхронізації джерел моніторингу, а також відновлює глобальний
порядок на основі опорних зв’язків між подіями з різних журналів подій. Передбачено формування множини
локальних часових просторів з журналів подій, визначення опорних та стабілізуючих зв’язків між ними, пошук
оптимальних часових зсувів засобами методу сіткового пошуку та інтеграцію результатів у єдину хронологію
подій ІКС. Проведене експериментальне дослідження із використанням згенерованих даних на основі технік
кібератак MITRE ATT&CK підтверджує ефективність запропонованого підходу – досягнуто точності
реконструкції 96 %. Отримані результати свідчать, що метод забезпечує високу достовірність відтворення
послідовностей подій за відсутності синхронізації годинників між підсистемами.
Запропонований метод може бути використаний у системах моніторингу та аналізу кіберінцидентів у
ІКС для підвищення точності кореляції подій і достовірності реконструкції причинно-наслідкових ланцюгів між
ними.