METHOD FOR PROCESSING INFORMATION SECURITY EVENTS PRIOR TO TRANSMISSION FOR ANALYSIS

METHOD FOR PROCESSING INFORMATION SECURITY EVENTS PRIOR TO TRANSMISSION FOR ANALYSIS

FIELD: computing technology.SUBSTANCE: server-implemented method for processing information security events (hereinafter events) prior to transmission for analysis, wherein the events are received, wherein each event comprises at least one security notification received from a security tool installe...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: Filonov Pavel Vladimirovich, Udimov Daniil Alekseevich, Soldatov Sergej Vladimirovich
Format: Patent
Sprache:eng ; rus
Schlagworte:
CALCULATING
COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:FIELD: computing technology.SUBSTANCE: server-implemented method for processing information security events (hereinafter events) prior to transmission for analysis, wherein the events are received, wherein each event comprises at least one security notification received from a security tool installed on the computer apparatus of the user; a verdict is issued for each event, applying a trained machine learning model to determine the probability of false triggering, wherein a "false triggering" verdict is issued if the probability of false triggering for the corresponding event exceeds the preset first threshold, and otherwise an "information security incident" (hereinafter "incident") verdict is issued; the "false triggering" verdict is changed for a certain part of the events (hereinafter the first set of events) to the "incident" verdict, wherein the first set of events is selected, in particular, randomly among the events with the "false triggering" verdict; events with the lowest value of probability of false triggering are selected and sent for analysis to the analytical centre so that the amount of sent events does not exceed the preset fifth threshold.EFFECT: reduction in the amount of events sent for analysis.15 cl, 7 dwg Изобретение относится к вычислительной технике. Технический результат заключается в снижении количества событий, отправляемых на анализ. Реализуемый на сервере способ обработки событий информационной безопасности (далее - событий) перед передачей на анализ, в котором получают события, при этом каждое событие содержит по меньшей мере одно уведомление безопасности, полученное от средства защиты, установленного на компьютерном устройстве пользователя; выносят вердикт для каждого события, применяя обученную модель машинного обучения для определения вероятности ложного срабатывания, при этом выносят вердикт «ложное срабатывание», если вероятность ложного срабатывания для соответствующего события превышает заданный первый порог, а в ином случае выносят вердикт «инцидент информационной безопасности» (далее - «инцидент»); изменяют вердикт «ложное срабатывание» для определенной части событий (далее - первое множество событий) на вердикт «инцидент», при этом первое множество событий выбирают, в частности, случайным образом среди событий с вердиктом «ложное срабатывание»; выбирают и отправляют на анализ в аналитический центр события с наименьшим значением вероятности ложного срабатывания таким образом, чтобы количество отправляемых событий не