МОДЕЛЬ ДВОРІВНЕВОЇ ОРГАНІЗАЦІЇ ЗНАНЬ В ІНТЕЛЕКТУАЛЬНИХ СИСТЕМАХ КІБЕРЗАХИСТУ НА ОНТОЛОГІЧНІЙ ОСНОВІ

Анотація

У контексті підвищення ефективності управління знаннями в інтелектуальних системах кіберзахисту (ІСК) вирішується завдання організації знань на основі онтології кіберзагроз із використанням таксономій MITRE ATT&CK, MITRE CAPEC та наборів даних від European Repository of Cyber Incidents (EuRepoC).
Актуальність зазначеного обумовлена необхідністю оперативної інтеграції зростаючих обсягів отриманих даних про кібератаки з наявним семантичним ядром ІСК. До того ж, існуючі підходи до уніфікації та формалізації гетерогенних даних у домені кіберзахисту не забезпечують оперативної та контрольованої інтеграції нових знань у семантичне ядро повноцінного формування єдиного когерентного, семантично інтероперабельного простору знань, натомість зосереджені виключно на поверхневій консолідації онтологічних ресурсів окремих постачальників, що супроводжується обмеженою гнучкістю масштабування та високим рівнем абстракції, який ускладнює відображення причинно-наслідкових зв’язків між елементами кіберзагроз.
У зв’язку з цим, розроблено модель дворівневої організації знань в ІСК на онтологічній основі. Суть запропонованої моделі полягає у формалізації процесу контрольованої інтеграції динамічних потоків фрагментованих даних з домену кіберзахисту через процедуру контекстної узгодженості між динамічним і статичним рівнями на основі розрахунку комплексного показника готовності кандидатів у знання. Оцінка ефективності застосування запропонованої моделі проводилася шляхом автоматизованого послідовного надходження 36 824 векторів даних з 4 наборів даних (MITRE та EuRepoC). В результаті до онтології було додано 23 830 нових сутностей з середнім показником їх готовності до формалізації 0,76 та загальним показником узгодженості онтології на рівні 99 %, що свідчить про збереження здатності онтології підтримувати формування логічних висновків в межах поточного контексту при істотному збагаченні
фактологічного змісту.