Архітектурні принципи побудови системи моніторингу подій безпеки в комп’ютерно-інтегрованих системах на базі платформи Wazuh

Скорочена інформація про документ
dc.contributor.authorБогдан Г. А.
dc.contributor.authorТрохимчук Д. В.
dc.contributor.authorBogdan Halina A.
dc.contributor.authorTrokhymchuk Dzhamil V.
dc.date.accessioned2026-06-05T08:22:54Z
dc.date.issued2025
dc.descriptionБогдан, Г. А. Архітектурні принципи побудови системи моніторингу подій безпеки в комп’ютерно-інтегрованих системах на базі платформи Wazuh = Architectural principles of security event monitoring system development in computer-integrated systems based on Wazuh platform / Г. А. Богдан, Д. В. Трохимчук // Зб. наук. пр. НУК. – Миколаїв : Гельветика, 2025. – № 4 (502). – С. 211–216.
dc.description.abstractМета. Аналіз принципів побудови систем моніторингу безпеки в комп’ютерно-інтегрованих системах, визначення специфічних вимог до таких систем та обґрунтування гібридної архітектури моніторингу на базі платформи Wazuh як ефективного засобу виявлення загроз у гетерогенних середовищах. Методика. Проаналізовано актуальну проблематику забезпечення інформаційної безпеки сучасних комп’ютерно-інтегрованих систем, які характеризуються глибокою конвергенцією інформаційних та операційних технологій. Проведено детальний аналіз ландшафту загроз, що виникають внаслідок підключення раніше ізольованих промислових мереж до корпоративної інфраструктури та глобальної мережі Інтернет. Визначено, що традиційні підходи до моніторингу, орієнтовані насамперед на забезпечення конфіденційності даних, є недостатніми та подекуди небезпечними для комп’ютерно-інтегрованих систем, де пріоритетами виступають доступність сервісів, цілісність технологічного процесу та фізична безпека персоналу і обладнання. Досліджено особливості застосування систем управління інформацією про безпеку та подіями (SIEM) в умовах обмежених обчислювальних ресурсів та специфічних вимог промислових протоколів передачі даних. Виявлено, що наявні комерційні рішення часто мають надмірну вартість ліцензування, яка залежить від обсягу даних, та закриту архітектуру, що ускладнює їх адаптацію до гетерогенних середовищ промислових підприємств. Особливу увагу приділено аналізу вразливостей застарілого обладнання, яке не підлягає оновленню, та необхідності застосування компенсаційних заходів захисту. Результати. На основі проведеного порівняльного аналізу функціональних можливостей обґрунтовано доцільність використання платформи з відкритим кодом Wazuh як базового компонента системи моніторингу. Запропоновано архітектурний підхід, що поєднує агентський моніторинг критичних вузлів, таких як станції оператора та інженерні сервери, з пасивним аналізом мережевого трафіку на рівні промислових контролерів. Розроблено та описано рекомендації щодо налаштування правил кореляції подій та сценаріїв активного реагування, які враховують принцип участі людини в контурі управління (Human-in-the-Loop) для уникнення аварійного зупинення технологічних процесів через помилкові спрацьовування системи захисту. Результати дослідження підтверджують, що використання запропонованої архітектури дозволяє створити економічно ефективну, масштабовану та гнучку систему виявлення вторгнень, здатну ідентифікувати складні цільові атаки на ранніх етапах їх реалізації. Наукова новизна. У роботі набув подальшого розвитку підхід до побудови систем моніторингу для промислових середовищ, який базується на поєднанні активного моніторингу цілісності файлів (FIM) та пасивного аналізу промислових протоколів, що дозволяє усунути «сліпі зони» в захисті комп’ютерно-інтегрованих систем. Практична значимість роботи полягає у розробці типової архітектури та рекомендацій, які можуть бути імплементовані на підприємствах критичної інфраструктури з мінімальними фінансовими витратами завдяки використанню відкритого програмного забезпечення.
dc.description.abstract1Purpose. The purpose of the article is to analyze the principles of building security monitoring systems in computer-integrated systems, define specific requirements for such systems, and substantiate a hybrid monitoring architecture based on the Wazuh platform as an effective means of threat detection in heterogeneous environments. Methodology. The current issues of ensuring information security of modern computer-integrated systems characterized by deep convergence of information and operational technologies are analyzed. A detailed analysis of the threat landscape resulting from connecting previously isolated industrial networks to corporate infrastructure and the global Internet is conducted. It is determined that traditional monitoring approaches, focused primarily on data confidentiality, are insufficient and sometimes dangerous for computer-integrated systems, where the priorities are service availability, technological process integrity, and physical safety of personnel and equipment. The features of applying Security Information and Event Management (SIEM) systems under conditions of limited computing resources and specific requirements of industrial data transmission protocols are investigated. It is revealed that existing commercial solutions often have excessive licensing costs dependent on data volume and closed architecture, complicating their adaptation to heterogeneous industrial environments. Special attention is paid to analyzing vulnerabilities of legacy equipment that cannot be updated and the need for compensatory protection measures. Results. Based on a comparative analysis of functional capabilities, the feasibility of using the open-source platform Wazuh as a base component of the monitoring system is justified. An architectural approach combining agent-based monitoring of critical nodes, such as operator stations and engineering servers, with passive network traffic analysis at the level of industrial controllers is proposed. Recommendations for configuring event correlation rules and active response scenarios considering the “Human-in-the-Loop” principle to avoid emergency shutdown of technological processes due to false positives are developed and described. The research results confirm that using the proposed architecture allows creating a cost-effective, scalable, and flexible intrusion detection system capable of identifying complex targeted attacks at early implementation stages. Scientific novelty. The approach to building monitoring systems for industrial environments has been further developed. It is based on combining active file integrity monitoring (FIM) and passive analysis of industrial protocols, which allows eliminating “blind spots” in the protection of computer-integrated systems. Practical importance. The practical value of the work lies in the development of a typical architecture and recommendations that can be implemented at critical infrastructure enterprises with minimal financial costs due to the use of open-source software.
dc.identifier.issn3154-8245 (Print)
dc.identifier.issn3154-8253 (Online)
dc.identifier.urihttps://eir.nuos.edu.ua/handle/123456789/12942
dc.language.isouk
dc.relation.ispartofseriesУДК; 004.056.53:681.5
dc.subjectкомп’ютерно-інтегровані системи
dc.subjectопераційні технології
dc.subjectінформаційна безпека
dc.subjectWazuh
dc.subjectмоніторинг інцидентів
dc.subjectсистема виявлення вторгнень
dc.subjectSCADA
dc.subjectмодель Пердью
dc.subjectcomputer-integrated systems
dc.subjectoperational technologies
dc.subjectinformation security
dc.subjectincident monitoring
dc.subjectintrusion detection system
dc.subjectPurdue model
dc.titleАрхітектурні принципи побудови системи моніторингу подій безпеки в комп’ютерно-інтегрованих системах на базі платформи Wazuh
dc.title.alternativeArchitectural principles of security event monitoring system development in computer-integrated systems based on Wazuh platform
dc.typeArticle

Файли

Контейнер файлів

Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
Bogdan.pdf
Розмір:
362.02 KB
Формат:
Adobe Portable Document Format
Завантажити

Ліцензійна угода

Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
license.txt
Розмір:
4.38 KB
Формат:
Item-specific license agreed upon to submission
Опис:
Завантажити

Зібрання

№ 4 (502) 2025