М.В. Портянко1, Д.Н. Прачев2, И.В. Заводцев3, М.А. Борисов4
1–3 Краснодарское высшее военное училище имени генерала армии С.М. Штеменко (г. Краснодар, Россия)
4 Военный учебный центр при Московском государственном университете имени М.В. Ломоносова (Москва, Россия)

1 portynko.max@mail.ru, 2 prachef.deniz@mail.ru, 3 nilrs@rambler.ru, 4 bma_mv@rambler.ru

Постановка проблемы. Появление супермощных компьютеров, широкое распространение устройств, поддерживающих «Интернет вещей», усложнение цепочек взаимосвязей между компаниями создают новые вызовы, требующие новых решений. Анализ тренда развития защиты информации (от классической периметровой через комплексные корпоративные решения к глобальной кибербезопасности) показывает, что результат зависит от способности организации быстро адаптироваться к новым угрозам. Важным свойством этого непрерывного процесса эволюции в этой области становится готовность к постоянным изменениям. При этом одновременное слияние двух факторов (перманентности изменения инфраструктуры объекта информатизации органов исполнительной власти и быстроты трансформации ландшафта сложных угроз) обуславливает потребность в своевременном и адекватном соответствии планов реагирования на такие изменения, что делает задачу системной подстройки плейбуков к общей политике динамического реагирования на инциденты информационной безопасности актуальной. Следовательно, существующая методика формирования планов реагирования на инциденты информационной безопасности требует корректировки.

Цель. Провести апробацию усовершенствованной методики извлечения новых индикаторов компрометации с последующим их включением в планы реагирования для автоматизации процедур динамического реагирования на инциденты.

Результаты. Разработана методика, направленная на обоснование применения методов символьной аппроксимации временных рядов в виде суффиксного вероятностного дерева для выявления ранее неизвестных аномалий, которые затем формализуются в виде новых индикаторов компрометации. Отмечено, что такой подход позволяет адаптировать процедуру формирования плейбуков под изменяющиеся типы инцидентов информационной безопасности за счет динамического включения в них новых индикаторов. Осуществлена реализация разработанной методики на киберполигоне. Для исследования экспериментальным путем выбран программный комплекс Sandbox CAPE и PST-библиотека «R-Forge». В качестве анализируемых данных использованы последовательности вызовов операционной системы Astra Linux. Получены количественные и качественные оценки, которые подтвердили обоснованность применения методов символьной аппроксимации временных рядов в виде суффиксного вероятностного дерева для выявления ранее неизвестных аномалий с последующей формализацией новых индикаторов компрометации. Проведен анализ, который показал высокие значения выявления аномалий от вредоносных процессов при низкой доле ложных срабатываний. Установлено, что рассмотренный подход целесообразно использовать для выявления паттернов вирусных атак, которые затем можно применять для динамического формирования планов реагирования на инциденты информационной безопасности.

Практическая значимость. Реализован усовершенствованный подход к формированию новых индикаторов компрометации, позволяющий автоматизировать изменение в плейбуках состава процедур реагирования на основе включения в них новых индикаторов компрометации, что, в свою очередь, позволит улучшить эффективность всей системы защиты объектов информатизации и снизить риск успешного проведения целевых атак.

Портянко М.В., Прачев Д.Н., Заводцев И.В., Борисов М.А. Методика формирования целевых плейбуков, специализированных под конкретные типы инцидентов информационной безопасности // Нейрокомпьютеры: разработка, применение. 2026. Т. 28. № 1. С. 17–31. DOI: https://doi.org/10.18127/j19998554-202601-02

1. В России зафиксирован четырехкратный рост кибератак на объекты КИИ [Электронный ресурс] / URL: https://www.cableman.ru/ content/v-rossii-zafiksirovan-chetyrekhkratnyi-rost-kiberatak-na-obekty-kii (дата обращения: 17.11.2025).
2. ГОСТ Р 59709-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Термины и определения (утв. и введен в действие Приказом Росстандарта от 29.11.2022 № 1375-ст). М.: ФГБУ «Институт стандартизации». 2022.
3. ГОСТ Р 59710-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Общие положения (утв. и введен в действие Приказом Росстандарта от 29.11.2022 № 1376-ст). М.: ФГБУ «Институт стандартизации». 2022.
4. Баклановский М.В., Ханов А.Р., Комаров К.М., Лозов П.А. Оценка точности алгоритма распознавания вредоносных программ на основе поиска аномалий в работе процессов // Научно-технический вестник информационных технологий, механики и оптики. 2016. Т. 16. № 5. С. 823–830.
5. CODE RED 2026: Актуальные киберугрозы российских организаций // Positive Technologies. 2025 [Электронный ресурс] / URL: https://www.ptsecurity.com/research/analytics/russia-cyberthreat-landscape-2026 (дата обращения: 09.11.2025).
6. Сетевой натиск крепчает // Комерсантъ. 07.07.2025 [Электронный ресурс] // URL: https://www.kommersant.ru/doc/7870814 (дата обращения: 09.11.2025).
7. Прачев Д.Н., Портянко М.В. Методика формирования целевых плейбуков, специализированных под конкретные типы инцидентов информационной безопасности // Сб. материалов XV Междунар. науч. конф. «Технические и технологические системы» (20–22 ноября 2024 г.). Краснодар: Издательский Дом – Юг. 2024. C. 181–189.
8. Заводцев И.В., Борисов М.А., Бондаренко Н.Н., Мелешко В.А. Уточненный способ аналитического моделирования процессов распространения вирусного программного обеспечения для оценки защищенности объектов информатизации // Computa­tional Nanotechnology. 2022. Т. 9. № 1. С. 11–20.
9. Заводцев И.В., Рыбаков Д.А., Боев С.Ф., Борисов М.А. Оценка инцидентов безопасности в информационных системах с технологией контейнерной оркестрации программного обеспечения // Информация и космос. 2024. № 2. С. 121–126.
10. MITRE ATT&CK. Containers matrix [Электронный ресурс] / URL: https://MITRE.com (дата обращения: 19.09.2025).
11. Сазонов К.В., Татарка М.В., Шуваев Ф.Л. Метод сокращения размерности вероятностных суффиксных деревьев // Информация и космос. 2018. № 3. С. 55–61.
12. Karkkainen Ju., Sanders P., Burkhardt S. Linear work suffix array construction // Journal of the ACM. 2006. V. 53. № 6. P. 918–936.
13. Заводцев И.В., Борисов М.А., Бондаренко Н.Н., Мелешко В.А. Моделирование угроз безопасности информации и определение их актуальности для информационных систем объектов информатизации федеральных органов исполнительной власти // Computational nanotechnology. 2022. Т. 9. № 1. С. 106–114.
14. R-Forge [Электронный ресурс] / URL: https://r-forge.r-project.org/projects/pst (дата обращения: 19.09.2025).