Метод определения типичных временных характеристик событий безопасности на основе статистических данных для задач корреляционного анализа

Представлен метод определения типичных временных параметров событий информационной безопасности на основе анализа журналов событий. Метод ориентирован на обработку межсобытийных интервалов и позволяет выявлять характерные временные закономерности функционирования источников событий безопасности. Предложенный подход включает: формирование выборки временных интервалов, выделение структурного разрыва межсобытийных и межсессионных интервалов, фильтрацию выбросов с использованием межквартильного размаха, определение типичных значений на основе кластеризации и группового анализа. Для учета вариативности данных применяется оценка среднего значения и стандартного отклонения с последующим разбиением на интервальные окна. Проведен численный эксперимент по данным журналов реальных событий, подтверждающий работоспособность метода при анализе источников с различной интенсивностью генерации событий. Эксперимент проведен на журналах OPC-сервера, Windows Server, СУБД PostgreSQL. Полученные результаты демонстрируют устойчивость метода к выбросам, мультимодальности распределений и наличию нулевых интервалов. Разработанный метод может быть использован при построении правил корреляции в SIEM-системах, а также в задачах анализа поведения и выявления аномалий в инфраструктуре информационной безопасности.