МЕЖДУНАРОДНЫЙ ЖУРНАЛ ИНФОРМАЦИОННЫХ И КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ

Аннотация

Быстрое расширение сетей Интернета вещей в средах «умных» городов создает фрагментированные поверхности атаки, которые традиционные архитектуры безопасности не могут адекватно контролировать. Существующие системы обнаружения и предотвращения вторжений работают изолированно, генерируя несогласованные форматы предупреждений, которые поступают в центры оперативной безопасности со значительными задержками и плохой нормализацией, что серьезно снижает эффективность корреляции и приводит к чрезмерному количеству ложных срабатываний. В данном исследовании разработан и проверен на практике независимый от поставщиков механизм, обеспечивающий стандартизированную коммуникацию в реальном времени между распределенными датчиками. Наша методология сочетает в себе аналитический обзор стандартов, включая STIX, TAXII и ISO/IEC 27001, с прототипной реализацией с использованием датчиков Suricata и Zeek, шины сообщений Apache Kafka и интеграции Elastic SIEM. Настраиваемый микросервис нормализации преобразует гетерогенные оповещения в формат JSON, совместимый с STIX, при этом обеспечивая соответствие требованиям GDPR и ISO 27001 за счет шифрования TLS 1.3. Экспериментальная проверка с использованием наборов данных BoT-IoT и TON_IoT показывает, что архитектура сокращает задержку корреляции оповещений примерно на 28 процентов и снижает количество ложных срабатываний примерно на 30 процентов по сравнению с базовыми подходами. Механизм двунаправленной обратной связи позволяет аналитикам SOC распространять обновленные правила обнаружения на пограничные датчики, обеспечивая адаптивное реагирование на угрозы. Результаты демонстрируют, что архитектуры, основанные на шине сообщений, эффективно решают проблему взаимодействия.