Uot 004. 09 İmamverdiyev Y. N
Analysis, 2010, pp 73–86.
СЛУЧАЙ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ КОРАЛЛОВИДНОГО НЕФРОЛИТИАЗА У ПАЦИЕНТА С ДЕФИЦИТОМ VII ФАКТОРА Текст научной статьи по специальности «Клиническая медицина»
Аннотация научной статьи по клинической медицине, автор научной работы — Имамвердиев Судейф Башир Оглы, Талыбов Талыб Аталы Оглы, Гадимова Эльмира Абдулбаги Гызы, Талыбова Махлуга Зияд Гызы
В работе представлен клинический случай лечения коралловидного нефролитиаза, осложнённого в послеоперационном периоде кровотечением, вызванным скрыто протекающим недостатком VII фактора системы свёртывания крови. Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда диагноз ставят при профузных кровотечениях. Под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фуросемида, 0,2 мг верапамила и 1 мг метилэтилпиридинола. Из почки удалён камень размером 3,0×2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней. При установлении диагноза проверяют протромбиновое время и протромбиновый индекс. Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время – до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70-120%). После этого пациенту был поставлен диагноз «Дефицит VII фактора, или гипопроконвертинемия ». Во время лечения больному 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингибиторный коагулянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Похожие темы научных работ по клинической медицине , автор научной работы — Имамвердиев Судейф Башир Оглы, Талыбов Талыб Аталы Оглы, Гадимова Эльмира Абдулбаги Гызы, Талыбова Махлуга Зияд Гызы
Антиишемическая защита при открытых операциях по поводу коралловидного нефролитиаза
РЕЗУЛЬТАТЫ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ ДВУСТОРОННЕГО КОРАЛЛОВИДНОГО И МНОЖЕСТВЕННОГО НЕФРОЛИТИАЗА
Суперселективная эмболизация почечных артерий при ятрогенных кровотечениях после перкутанной нефролитотомии
Перкутанная нефролитотомия в лечении коралловидных камней почек
СУПЕРСЕЛЕКТИНАЯ ЭМБОЛИЗАЦИЯ ВЕТВЕЙ ПОЧЕЧНОЙ АРТЕРИИ – СПАСЕНИЕ ОРГАНА!
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.
A CASE OF OPEN SURGICAL TREATMENT OF STAGHORN CALCULUS IN A PATIENT WITH FACTOR VII DEFICIENCY
The paper presents a clinical case of treatment of staghorn nephrolithiasis complicated in the postoperative period by bleeding caused by a latent deficiency of factor VII of the blood coagulation system. Often the disease is latent and is detected in serious injuries or during the surgeries. Sometimes the diagnosis is made in profuse bleeding. Under endotracheal anesthesia, the left-sided nephrolithotomy and intrarenal stenting with clamping of the renal artery was performed. The time of clamping of the renal artery was 12 minutes. Before clamping the renal artery, 3 mg of furosemide 0.2 mg of verapamil and 1 mg of methylethylpiridinol were introduced intravenously per kilogram of patient’ weight. A stone sized 3.0×2.5 cm was removed from the kidney, and a number of small stones were washed out from the lower group of calyces. At the time of diagnosis, prothrombin time and prothrombin index were checked. The patient’s hemostasis system, including clotting factors, were examined. The results showed that the patient’s blood clotting time by Lee-White method increased to 15 minutes (reference, 7-13 minutes), and the time of activated partial thromboplastin time (aPTT) to 41.6 seconds (reference, 28-38 seconds), while the activity of factor VII decreased to 40% (reference, 70-120%). After that, the patient was diagnosed with factor VII deficiency or hypoproconvertinemia . During treatment, the patient was transfused twice a day with fresh frozen plasma and only once during the entire period, 1000 IU of antiinhibitoty coagulant complex (FEIBA) was administered intravenously. From the first day of treatment hematuria decreased, there was a reverse development of hemorrhagic syndrome . Obvious and latent comorbidities before and after the surgery should not be left out without attention. Only in this case it is possible to successfully complete the treatment and achieve the correct results.
Текст научной работы на тему «СЛУЧАЙ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ КОРАЛЛОВИДНОГО НЕФРОЛИТИАЗА У ПАЦИЕНТА С ДЕФИЦИТОМ VII ФАКТОРА»
DOI: 10.17816/KMJ2019-828 УДК 616. 613-089
Случай открытого хирургического лечения коралловидного нефролитиаза у пациента с дефицитом VII фактора
Судейф Башир оглы Имамвердиев1, Талыб Аталы оглы Талыбов1*, Эльмира Абдулбаги гызы Гадимова2, Махлуга Зияд гызы Талыбова3
‘Азербайджанский медицинский университет, г. Баку, Азербайджан; 2Азербайджанский государственный институт усовершенствования врачей им. А. Алиева, г. Баку, Азербайджан; 3Азербайджанская республиканская больница им. М.А. Миргасымова, г. Баку, Азербайджан
В работе представлен клинический случай лечения коралловидного нефролитиаза, осложнённого в послеоперационном периоде кровотечением, вызванным скрыто протекающим недостатком VII фактора системы свёртывания крови. Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда диагноз ставят при профузных кровотечениях. Под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фуросемида, 0,2 мг верапамила и 1 мг метилэтилпи-ридинола. Из почки удалён камень размером 3,0*2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней. При установлении диагноза проверяют протромбиновое время и протромби-новый индекс. Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время — до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70-120%). После этого пациенту был поставлен диагноз «Дефицит VII фактора, или гипопроконвертинемия». Во время лечения больному 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингибиторный коагу-лянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.
Ключевые слова: нефролитотомия, геморрагический синдром, гипопроконвертинемия.
Для цитирования: Имамвердиев С.Б., Талыбов Т.А., Гадимова Э.А., Талыбова М.З. Случай открытого хирургического лечения коралловидного нефролитиаза у пациента с дефицитом VII фактора. Казанский мед. ж. 2019; 100 (5): 828-832. DOI: 10.17816/KMJ2019-828.
A case of open surgical treatment of staghorn calculus in a patient with factor VII deficiency
S.B. Imamverdiev1, T.A. Talybov1, E.A. Gadimova2, M.Z. Talybova3 1Azerbaijan Medical University, Baku, Azerbaijan;
2Azerbaijan State Advanced Training Institute for Doctors n.a. A. Aliyev, Baku, Azerbaijan; 3 Azerbaijan Republican Hospital n.a. M.A. Mirgasymov, Baku, Azerbaijan
The paper presents a clinical case of treatment of staghorn nephrolithiasis complicated in the postoperative period by bleeding caused by a latent deficiency of factor VII of the blood coagulation system. Often the disease is latent and is detected in serious injuries or during the surgeries. Sometimes the diagnosis is made in profuse bleeding. Under endotracheal anesthesia, the left-sided nephrolithotomy and intrarenal stenting with clamping of the renal
Адрес для переписки: nauchnayastatya@yandex.ru Поступила 31.03.2019; принята в печать 02.09.2019.
artery was performed. The time of clamping of the renal artery was 12 minutes. Before clamping the renal artery, 3 mg of furosemide 0.2 mg of verapamil and 1 mg of methylethylpiridinol were introduced intravenously per kilogram of patient’ weight. A stone sized 3.0*2.5 cm was removed from the kidney, and a number of small stones were washed out from the lower group of calyces. At the time of diagnosis, prothrombin time and prothrombin index were checked. The patient’s hemostasis system, including clotting factors, were examined. The results showed that the patient’s blood clotting time by Lee-White method increased to 15 minutes (reference, 7-13 minutes), and the time of activated partial thromboplastin time (aPTT) to 41.6 seconds (reference, 28-38 seconds), while the activity of factor VII decreased to 40% (reference, 70-120%). After that, the patient was diagnosed with factor VII deficiency or hypoproconvertinemia. During treatment, the patient was transfused twice a day with fresh frozen plasma and only once during the entire period, 1000 IU of antiinhibitoty coagulant complex (FEIBA) was administered intravenously. From the first day of treatment hematuria decreased, there was a reverse development of hemorrhagic syndrome. Obvious and latent comorbidities before and after the surgery should not be left out without attention. Only in this case it is possible to successfully complete the treatment and achieve the correct results. Keywords: nephrolithotomy, hemorrhagic syndrome, hypoproconvertinemia.
For citation: Imamverdiev S.B., Talybov T.A., Gadimova E.A., Talybova M.Z. A case of open surgical treatment of stag-horn calculus in a patient with factor VII deficiency. Kazan medical journal. 100 (5): 828-832. DOI: 10.17816/KMJ2019-828.
Мочекаменная болезнь (МКБ), будучи одной из самых актуальных проблем современной медицины, занимает второе место во всём мире после воспалительных заболеваний мочевых путей. 30-40% урологических заболеваний выпадает на долю МКБ, которая встречается во всех возрастных группах, а в 65-70% случаев — у трудоспособных людей в возрасте 35-55 лет [1, 2].
Коралловидный нефролитиаз (КН) — одна из самых тяжёлых форм МКБ. Частота КН в структуре МКБ составляет 3-30%, а в структуре всех урологических заболеваний — 6-7% [1, 3].
Следует отметить, что КН во всех случаях сопровождается рядом сопутствующих заболеваний и вторичных осложнений. Всё это усложняет ход послеоперационного периода независимо от выбранной тактики хирургического лечения. Частота случаев смерти после операции у урологических больных увеличиваются в 2 раза при одном сопутствующем заболевании, в 4 раза — при двух, в 14 раз — при трёх [4].
В представленной работе исследованы причины гематурии после хирургического лечения КН.
Больной Г.С., мужчина 25 лет, история болезни №14 395, поступил 27.10.2017 в урологическое отделение с жалобами на тошноту, общую слабость и боль в поясничной области. По его словам, он уже 10 лет страдает двусторонним нефролитиазом.
Общий анализ крови: гемоглобин 115 г/л, лейкоциты 6,2х109/л, скорость оседания эритроцитов 5 мм/ч.
Биохимический анализ крови: креатинин 110 мкмоль/л, мочевина 6,1 моль/л.
Общий анализ мочи: реакция кислая, удельный вес 1015, лейкоциты покрывают всё поле зрения.
Рис. 1. Пациент Г.С. Данные ультразвукового исследования
Коагулограмма: время свёртывания по Ли-Уайту 5 мин, протромбиновый индекс 96%, фибриноген 3,99 г/л, гематокрит 0,44-0,46.
Ультразвуковое исследование. Размеры правой почки 106^39 мм, толщина паренхимы 17 мм, чашечно-лоханочная система (ЧЛС) не расширена. В нижней чашке обнаружен конкремент размером 6 мм, в средней — размером 5 мм. Размеры левой почки 112^47 мм, толщина паренхимы 15 мм, ЧЛС резко расширена. Обнаружены тени, присущие коралловидному камню, размерами 2,5×2,5 см в лоханке и 1,0×1,0 см в нижней чашке (рис. 1).
Экскреторная урография. На обзорной уро-грамме в проекции левой почки на уровне позвонков ТЪ ^ видны тени (КН) размером 2,5×2,5 см, охватывающие всю лоханку и шейку чашек, а также множественных мелких камней разных размеров в нижней группе чашек. В проекции правой почки нет теней, подозрительных на камень (рис. 2, а).
Рис. 2. Пациент Г.С. Данные экскреторной урографии (ЭУ): а — обзорная урограмма; б — ЭУ на 15-й минуте; в — ЭУ на 30-й минуте; г — ЭУ на 60-й минуте
На экскреторной урограмме, снятой на 15-й минуте, видно накопление контрастного вещества в обеих почках. На обеих сторонах вну-трипочечная лоханка, ЧЛС справа в норме, а слева — резко расширена. Левый мочеточник не визуализируется (рис. 2, б).
На экскреторной урограмме, снятой на 30-й минуте, функционирование правой почки удовлетворительное. Мочеточник визуализируется местами. ЧЛС слева резко расширена, левый мочеточник не визуализируется (рис. 2, в).
На урограмме, снятой через час, левая почка полностью опорожнена. ЧЛС слева не опорожняется. Визуализируется верхняя треть мочеточника (рис. 2, г).
Клинический диагноз: «Левосторонний КН, гидронефротическая трансформация II-III степени. Хронический пиелонефрит».
30.10.2017 под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фу-росемида, 0,2 мг верапамила и 1 мг метилэтил-пиридинола. После снятия зажима с почечной артерии эту процедуру вновь повторили [5, 6].
Из почки удалён камень размером 3,0*2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней (рис. 3).
В течение 5 дней после операции продолжали антиишемическое лечение. Следует отметить, что во время операции не было заметного кровотечения.
На 1-й день у больного была обнаружена гематурия, оценённая как послеоперационная (после нефротомии). Пациенту назначено интенсивное консервативное лечение с приме-
Рис. 3. Пациент Г.С.: а — камень, удалённый из почки; б — обзорная урограмма после операции, в левой почке не обнаружена тень камня
нением коагулянтов. Несмотря на проведённое лечение, гематурия продолжилась, общее состояние больного ухудшилось. На следующий день после операции уровень гемоглобина в крови больного составлял 110 г/л, а через 8 дней уменьшился до 72 г/л. Несмотря на продолжительное лечение коагулянтами, время свёртывания крови увеличилось до 15 мин. Больному 2 раза была перелита одногруппная [0 (I), Rh+] эритроцитарная масса по 250 мл. Несмотря на проведённое лечение, гематурия продолжалась. Отметим, что в послеоперационные дни из забрюшинного дренажа выделений не было.
Думая, что причиной кровотечения может быть стент в левой почке, на 15-е сутки после операции его удалили под внутривенной анестезией, а из мочевого пузыря удалили множество сгустков. Однако даже после этого гематурия продолжилась, скопились сгустки в мочевом пузыре. В связи с этим в мочевой пузырь установлен 3-канальный катетер Фолея,
проведена непрерывная ирригация с изотоническим раствором натрия хлорида.
Родные больного строго настаивали на удалении почки. Несмотря на давление и настойчивость пациента и его родных, повторное обследование мочевых путей подтвердило, что в операции нет необходимости. Учитывая общее состояние больного и противоположные изменения в системе гемостаза на фоне лечения коагулянтами, проведена консультация гематологом.
Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время — до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70120%). После этого больному был поставлен диагноз: «Дефицит VII фактора, или гипопро-конвертинемия».
Во время лечения пациенту 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингиби-торный коагулянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня такого лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. На 3-и сутки гематурия полностью прекратилась, общее состояние больного нормализовалось. После этого больной был выписан домой в удовлетворительном состоянии. На данный момент его состояние нормальное, гематурия отсутствует, гемоглобин в крови 112 г/л.
Дефицит VII фактора, или гипопроконвер-тинемия, — наследственная коагулопатия, передаваемая аутосомно-рецессивным путём. Её частота составляет 0,2-1% всех наследственных коагулопатий. Этот фактор синтезируется в печени с участием витамина К. Его синтез регулируется геном, расположенным в 13-й хромосоме.
Клинически болезнь выражается геморрагическим синдромом. Наблюдаемый в это время геморрагический диатез — единственный, когда в крови увеличивается только изолированное протромбиновое время. В результате протромбиновый индекс уменьшается. Другие показатели в коагулограмме абсолютно не меняются, остаются в пределах нормы.
Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда возникают профузные кровотечения. При установлении диагноза проверяют протромбиновое время и протромбиновый индекс. После этого при необходимости определя-
ют активность VII фактора в крови. В норме активность VII фактора-проконвертина в плазме крови составляет 70-120% [7].
Итак, учитывая признаки болезни и результаты проведённого лечения, у наблюдаемого нами больного симптомы и результаты обследования совпадают, то есть при лабораторных исследованиях до операции в коагулограмме больного не было заметных серьёзных изменений. Только геморрагический синдром, появившийся после операции, позволил выявить болезнь. На фоне правильно назначенного лечения геморрагический синдром был устранён, состояние больного нормализировалось, и он был выписан домой в удовлетворительном состоянии.
Следует отметить, что дефицит VII фактора очень редко встречается на практике. Если такой случай останется вне внимания хирурга, на фоне развивающегося геморрагического синдрома состояние больного постепенно ухудшится, и это даже может привести к повторной операции с потерей органа. А это в свою очередь может минимизировать результаты проведённой на высшем уровне органосохраняющей операции и снизить трудоспособность пациента. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.
Авторы заявляют об отсутствии конфликта интересов по представленной статье.
1. Лопаткин Н.А. Урология. Национальное руководство. М.: ГЭОТАР-Медиа. 2009; 1024 с. [Lopatkin N.A. Urologiya. Natsional’noe rukovodstvo. (Urology. National guide.) Moscow: GEOTAR-Media. 2009; 1024 р. (In Russ.)]
2. Гаджиев Н.К., Бровкин С.С., Григорьев В.Е. и др. Метафилактика мочекаменной болезни: новый взгляд, современный подход, мобильная реализация. Урология. 2017; (1): 124-129. [Gadzhiev N.K., Brovkin S.S., Gri-gor’ev V.Ye. et al. Metaphylaxis of urolithiasis: new view, modern approach, implementation in a mobile application. Urologiya. 2017; (1): 124-129. (In Russ.)] DOI: 10.18565/ urol.2017.1.124-129.
3. Кочкин А.Д., Мартов А.Г., Севрюков Ф.А. и др. Первый опыт лапароскопической анатрофической нефролитотомии. Урология. 2016; (3): 112-116. [Koch-kin A.D., Martov A.G., Sevryukov F.A. et al. Initial experience of laparoscopic anatrophic nephrolithotomy. Urologiya. 2016; (3): 112-116. (In Russ.)]
4. Гориловский Л.М. Наш опыт пред- и послеоперационного ведения больных пожилого и старческого возраста при урологическом оперативном вмешательстве. Терап. арх. 1995; 67 (10): 51-53. [Gorilovskiy L.M. Our experience in pre- and postoperative management of elderly and senile patients with urological surgery. Terapev-ticheskiy arkhiv. 1995; 67 (10): 51-53. (In Russ.)]
5. Имамвердиев С.Б., Мамедов Р.Н. Эмоксипин в комплексной фармакологической защите почки от ишемического и операционного стресса. Урология. 2003; (5): 40-42. [Imamverdiyev S.B., Mamedov R.N. The emoxipin in the integrated pharmacological protection of kidneys from ischemic and operating stress. Urologiya. 2003; (5): 40-42. (In Russ.)]
6. Мамаев А.Н. Практическая гемостазиология. Руководство для врачей. M.: Практическая медицина. 2014; 233 с. [Mamayev A.N. Prakticheskaya gemosta-
ziologiya. Rukovodstvo dlya vrachey. (Practical hemosta-siology. A guide for physicians.) Moscow: Prakticheskaya meditsina. 2014: 233. (In Russ.)]
7. Гадимова Э.А., Юсифова Н.Я., Кязимова М.М., Ализаде Г.А. Наследственные коагулопатии — гемофилия и болезнь Виллебранда. Баку. 2011; 53 с. [Gadimo-va E.A., Yusifova N.Ya., Kyazimova M.M., Alizade G.A. Nasledstvennye koagulopatii — gemofiliya i bolezn’ Vil-lebranda. (Hereditary coagulopathy — hemophilia and Willebrand disease.) Baku. 2011; 53 р. (In Russ.)]
Uot 004. 09 İmamverdiyev Y. N
intellektual olmasıdır. İntellektual dedikdə, süni intellekt metodlarının istifadəsi nəzərdə tutulur.
Şəbəkə təhlükəsizliyinin monitorinqi süni intellekt metodları tətbiq olunmadan da həyata keçirilə
bilər, amma bunun üçün çoxlu maddi vəsait və insan resursları tələb olunur. Süni intellekt
metodlarının tətbiqi ilə bu prosesi məqsədəuyğun olaraq qismən və ya tamamilə avtomatlaşdıraraq
maddi vəsaitlərə və insan əməyinə qənaət etmək olar. Xüsusi olaraq, şəbəkə təhlükəsizliyinin
intellektual monitorinqi sistemində sensorlardan başlayaraq, qərarların qəbul edilməsinə qədər
bütün prosesləri süni intellekt metodlarına əsaslanan aparat və proqram təminatlarının tətbiqi ilə
Kompüter şəbəkələrinin fəaliyyəti və təhlükəsizliyi haqqında lazımi verilənlərin toplanması,
dəqiq analiz edilməsi və şəbəkə təhlükəsizliyinin təmin edilməsi haqqında əsaslandırılmış
qərarların qəbul edilməsi üçün şəbəkə təhlükəsizliyinin monitorinqi zamanı verilənlərin
intellektual analizi texnologiyalarından istifadə edilməsi aktuallıq kəsb edir [1].
Bu istiqamətdə bir çox elmi-praktiki işlər aparılmışdır. Aparılan işlərin arasında təhdidlərin
aşkarlanması və aradan qaldırılması üçün aşağıdakı yanaşmaları misal göstərmək olar:
təhlükəsizlik əməliyyatları mərkəzləri (ingiliscə – security operation center, SOC), təhlükəsizlik
informasiyasının və hadisələrinin idarə olunması (ingiliscə – security information and event
management, SIEM) və kompüter təhlükəsizliyi insidentlərinə cavabvermə komandaları (ingiliscə
– Computer Security Incident Response Team, CSIRT).
Şəbəkə təhlükəsizliyi məsələlərinin idarə olunması sistemləri anomal hadisələrin
identifikasiyası və müxtəlif növ böyükhəcmli verilənlərin emalı prosesinin reallaşdırılması zamanı
çətinliklərlə üzləşir. Belə olduğu halda, alınan məlumatların və verilən qərarların dolğunluğu
şübhə doğurur. Şəbəkə təhlükəsizliyi monitorinqinin konseptual modelinin əsas vəzifəsi bu prosesi
asanlaşdırmağa və qərar qəbul edilməsinə kömək edərək, hesablama resurslarına və insan əməyinə
qənaət etməkdir. Bunun üçün də müxtəlif aparat, proqram və alət vasitələrindən istifadə olunur.
Bu işdə şəbəkə təhlükəsizliyinin intellektual monitorinqi üçün konseptual model təklif edilir.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Şəbəkə təhlükəsizliyi sistemləri
Şəbəkə təhlükəsizliyinin intellektual monitorinqi kompleks bir sistemdir. Bu cür sistemlər
daha geniş verilənlərlə və böyük miqyasda işlədiyi üçün hazır həllərin tapılması çox çətindir.
Şəbəkə təhlükəsizliyi üzrə birləşmiş sistemlər mərkəzləşdirilmiş, paylanmış və ya qismən
mərkəzləşmiş struktura malik ola bilərlər. Mərkəzləşdirilmiş sistemlərdə seqmentlər üzrə toplanan
bütün verilənlər analiz üçün mərkəzə ötürülür. Bu strukturun üstün cəhəti ondadır ki, verilənlər
tam ötürüldüyü üçün daha dəqiq cavab əldə etmək mümkündür. Mənfi cəhəti isə odur ki, analiz
aparatı mərkəzləşmiş olduğu üçün yüklənmə yüksək olduqda xidmətdən imtina qaçılmaz ola bilər.
Bu növ sistemlərdə yeganə imtina nöqtəsinin olması qəbulolunmazdır. Digər tərəfdən baxdıqda
isə, paylanmış, yəni verilənlərin analizi üçün yeganə mərkəzə bağlı olmayan strukturlar
mövcuddur. Paylanmış sistem tam və ya qismən mərkəzləşdirilmiş ola bilər. Tam paylanmış
strukturda ayrı-ayrılıqda bütün seqmentlər və onların fəaliyyət blokları eynihüquqludur. Yəni bir
seqmentin sıradan çıxması ümumi strukturun iş fəaliyyətinə cuzi təsir göstərəcək. Buna
baxmayaraq, verilənlərin və analiz prosesinin lokal seqmentlə məhdudluğu nəticələrin
dolğunluğuna mənfi təsir göstərir. Qismən mərkəzləşdirilmiş strukturda isə müəyyən hallarda bir
və ya bir neçə seqment analiz prosesini öz üzərinə götürür. Amma bu halda da analiz prosesini öz
üzərinə götürmüş seqment digərlərinə nisbətən daha çox yüklənmiş olur. Bunun üçün də tam
paylanmış və mərkəzləşdirilmiş sistemlər arasında balanslaşdırılmış və qismən mərkəzləşdirilmiş
sistem qurulması vacibdir.
Şəbəkə təhlükəsizliyinin təmin olunması üçün artıq lokal tədbirlərin lazımi qədər effektli
olmadığı [2]-də göstərilmişdir. Məsələn, artıq klassik müdaxilələrin aşkarlanması sistemlərinin
(ingiliscə – Intrusion Detection System, IDS) kifayət qədər effektli olmadığı məlumdur və bunun
üçün müdaxilələrin aşkarlanması şəbəkəsinin qurulması labüddür. Buna [3]-də qeyd olunan
DOMINO Overlay qlobal müdaxilələrin aşkarlanması şəbəkəsini misal göstərmək olar. DOMINO
Overlay müdaxilələrin aşkarlanması üzrə əməkdaşlıq sistemi olub, böyükmiqyaslı və genişzolaqlı
İnternet qovşaqlarında müdaxilələrin aşkarlanması prosesinə cavabdehdir. Bu sistem coğrafi
baxımdan müxtəlif yerlərdə yerləşib və iyerarxik-heterogen struktura malikdir, buna baxmayaraq,
şəbəkə aktorları arasında informasiya mübadiləsi mövcuddur.
Şəbəkə təhlükəsizliyi hadisələrinin aşkarlanması və aradan qaldırılması üçün daha bir
yanaşma SIEM-dir. SIEM vendorların təklif etdiyi həllərə uyğun olaraq müxtəlif funksionallıqda
ola bilər. Amma bütün bu SIEM-lərin hamısının ortaq cəhətləri vardır. SIEM-in fundamental və ya
aparıcı hissələri aşağıdakı kimidir: toplama, analiz/aqreqasiya, saxlama.
Təhlükəsizlik əməliyyatları mərkəzləri təşkilati və texniki təhlükəsizlik məsələləri ilə
məşğul olan mərkəzlərdir. Bu mərkəzin əməliyyat qabiliyyəti isə aşağıdakı bloklar əsasında
realizasiya olunur: verilənlərin generatoru olan sensorlar, verilənlərin saxlanılması üçün toplama
bloku, ümumi formata uyğunlaşdırılmış verilənlər bazası, insidentlərin analizi, biliklər bazası,
qərar və hesabat.
CSIRT informasiya təhlükəsizliyi insidentlərinə cavabvermə qrupudur. Onun əsas məqsədi
korporativ şəbəkədə informasiya təhlükəsizliyi risklərinin qəbul edilmiş səviyyədə idarə
edilməsini təmin etməkdir. Bu məqsədlə CSIRT informasiya təhlükəsizliyinin pozulmasına
yönəlmiş hərəkətlərin aşkarlanması, qarşısının alınması və istifadəçilərin məlumatlandırılması
prosesini yerinə yetirir. CSIRT korporativ şəbəkədə ziyanlı proqramların yayılması və şəbəkə
hücumları ilə əlaqədar statistik verilənlərin toplanmasını, saxlanılmasını və analizini həyata keçirir
[5]. Qarşıya qoyulmuş vəzifələrin yerinə yetirilməsi üçün CSIRT informasiya təhlükəsizliyi
sahəsində fəaliyyət göstərən digər təşkilatlarla qarşılıqlı əlaqə saxlamalıdır.
Yuxarıda informasiya təhlükəsizliyinin təmin olunması üçün təşkilati və praktiki sistemlər
göstərilmişdir. Bu sistemlərin əsas tərkib hissəsi, monitorinq və onun nəticəsində əldə olunan
məlumatlardır. Bu məqalədə təklif olunan konseptual model daha operativ və dolğun nəticələr əldə
etməyə şərait yaradacaqdır.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Konseptual modelin qurulması prinsipləri
Şəbəkə təhlükəsizliyinin intellektual monitorinqi şəbəkə haqqında informasiyanın
toplanması, analizi və nəticələri haqqında məlumatları əlaqədar şəxslər və ya sistemlərə
yönləndirən, müasir tələbləri ödəyən, proqram və aparat komplekslərindən ibarət olan mürəkkəb
bir sistemdir. Monitorinq sistemi bir çox funksiyaların yerinə yetirilməsini təmin edir ki, bu da
şəbəkənin səmərəliliyinin artırılmasına gətirib çıxarır.
Bu sistem lazım olan informasiyanı sensorların köməyi ilə kompüter şəbəkəsindən,
kompüter sistemlərindən, istifadəçilərdən və s. məlumat mənbələrindən toplayır. Həmin
məlumatların toplanması, saxlanması, emal olunması və vizuallaşdırılması ayrı-ayrılıqda ağır,
çətin və çoxlu insan əməyi tələb edən prosesdir. Amma heç də az vacib olmayan məsələlərdən biri
də verilənlərin düzgün interpretasiya olunmasıdır. Yuxarıda qeyd etdiyimiz kimi, burada da insan
amili, şübhəsiz, müstəsna əhəmiyyətə malikdir. Belə olduğu halda, tələb olunur ki, müdaxilələrin
aşkarlanması sistemi təhlükələri nəyə əsasən təyin etdiyini düzgün interpretasiya etsin. Bu
mərhələdə buraxılan hər hansı səhv kompüter şəbəkəsinin təhlükəsizliyinə nəzarətin itirilməsinə
gətirib çıxara bilər.
Şəbəkə təhlükəsizliyinin intellektual monitorinqi vəzifələrinə gəldikdə isə, əsas siyasət
müəyyən olunmalıdır. Bu siyasət istifadəçilərin qlobal və lokal şəbəkədən istifadəsini etibarlı və
təhlükəsiz etməklə yanaşı, informasiyanın toplanaraq analiz edilməsi üçün də vacibdir. Bu, baş
verəcək hadisənin qarşısını almaq və ya baş vermiş hadisəni tədqiq etmək üçün olduqca
Yuxarıda deyilənləri nəzərə alaraq, ilk növbədə, bu sistemin konseptual arxitekturunun
qurulması vacibdir. Bu, konseptual arxitektur əsasında hər blok üzrə tələblər müəyyən olunaraq,
reallaşdırma prosesinə asan keçid təmin olunacaq.
İntellektuallıq bloklarda ayrı-ayrılıqda süni intellekt modelinin tətbiqi ilə bitmir. Konseptual
arxitektur bir çox lokal, regional və bir qlobal mərkəzi özündə birləşdirir, bu isə iyerarxik quruluş
yaradır. Konseptual modeldə eyniranqlı bloklar müəyyən olunaraq onların arasında informasiya
mübadiləsinə şərait yaradılsa, problemin daha aşağı səviyyələrdə həll olunması mümkün olur.
Yəni səviyyəsindən asılı olaraq, baş verən problemlərin operativ və minimal maddi zərərlə aradan
qaldırılması üçün, ilkin olaraq, lokal səviyyədə həll olunmağa cəhd edilməlidir.
Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu vəzifə və
funksiyalar, proseslər və sensorlar, sistemlər, istifadə edilən müasir texnologiyalar da daxil
olmaqla yaradılır. Şəkil 1-dən göründüyü kimi, arxitektur ümumi olaraq toplama, analiz və qərar
bloklarından ibarətdir. Hər bir blok tərkibində müəyyən funksiyaları yerinə yetirən alt bloklardan
ibarətdir. Bunları geniş formada aşağıda izah etməyə çalışacağıq.
Şəkil 1. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Toplama bloku
Toplama (Sensorlar) – Şəbəkə haqqında informasiyanın toplanması üçün müxtəlif növ
sensorlar istifadə olunur. Bu sensorlar avtonom fəaliyyət göstərə və ya bir mərkəzdən idarə oluna
bilərlər. Sensorların sayları və növləri monitorinqi aparılan şəbəkənin profilinə və miqyasına görə
dəyişə bilər. Sensorların sinfi onların topladığı verilənlərin xarakterinə görə müəyyən olunur.
Ümumi formada sensorları 2 sinfə bölmək olar: aparat sensorları və proqram sensorları. Amma bu
sensorlar da toplanan informasiyanın tipinə görə altsiniflərə bölünürlər (trafik, proses, istifadəçi
aktivliyi sensorları və s.). Aparat sensorları dedikdə, ümumi qəbul olunmuş monitorinq sensoru
IPFIX, sFlow
və s. nəzərdə tutulur. İstehsalçıya aid xüsusi aparat sensorları da
mövcuddur, məsələn: Cisco-netflow, Microsoft – Windows Network Card Sensor və s. Proqram
sensorlarına, PRTG – Packet Sniffer Sensor, Core Health Sensor, ClusterState Sensor və s. misal
göstərmək olar. Bu sensorlar müəyyən olunmuş mənbələrdən generasiya olunan aktivliyi
Genişzolaqlı şəbəkələrin monitorinqi üçün trafik axınının toplanması və analizi çox yayılmış
metodlardan biridir. Bu yanaşma provayderlər səviyyəsində daha çox aktualdır. Trafik axının
toplanması üçün NetFlow, IPFIX və s. protokolları istifadə olunur. Trafik axınının monitorinq
mərhələləri bir-biri ilə sıx əlaqəlidir və hər bir mərhələ diqqətlə öyrənilməlidir [6]. Bu mərhələlərə
paketin müşahidəsi, axının ölçülməsi və ötürülməsi, verilənlərin toplanması və analizi aiddir.
Şəbəkədə yerləşdirilən sensorlar vasitəsilə trafiki paketlər səviyyəsində analiz etmək
mümkündür. Paketlər əsasında monitorinq, daha genişmiqyaslı trafik axınının monitorinqi
metoduna tam əks olan metoddur və daha detallı informasiya əldə etməyə imkan verir. Amma bu
prosesin reallaşdırılması istifadəçilərin şəxsi məlumatlarına təhlükə yaradır və emal prosesi üçün
güclü prosessor, böyük əməli yaddaş tələb edir. [7]-də paketin yalnız birinci dörd baytını qeyd
etməklə daha az resurs tələb edən monitorinq metodu təklif olunur.
İlkin emal – verilənlər müxtəlif sensorlardan və müxtəlif formatlarda generasiya olunduğu
üçün, ilkin olaraq, aqreqasiya prosesindən keçirilir və bir qayda olaraq, bütün verilənlər bir formata
çevrilir. Bu proses konsalidasiya adlanır. Aqreqasiya prosesindən keçən verilənləri korrelyasiya
edərək, hücumun müxtəlif hissələrini eyni şəkildə toplayaraq dolğun məlumat almaq mümkündür.
Saxlama – alınan məlumatlar korporativ siyasətə əsasən, müəyyən vaxt ərzində saxlanılır.
Şəbəkə strukturunun, xidmətlərin və istifadəçilərin generasiya etdiyi informasiya zaman keçdikcə
böyük informasiya kütləsinə çevriləcəyi hamıya məlumdur. Bunu bildiyimiz üçün oflayn rejimdə
informasiyanın saxlanılması üçün müəyyən təsnifat rejimindən keçərək qüvvədə olan siyasətə
uyğun olan və anomaliya aşkarlanmayan verilənlər daimi yaddaşda saxlanılmır.
Yalnız anomallıq aşkarlanan verilənlərin yaddaşda saxlanılması verilənlərin yenidən analizi
zamanı müəyyən informasiya çatışmazlıqlarına gətirib çıxara bilər, amma bu son nəticədə limitsiz
olmayan resursların düzgün istifadəsi üçün yararlı olacaqdır.
Şəbəkə trafiki verilənlərinin toplanması və saxlanması şəbəkələrin böyüməsi və
sürətlənməsi ilə əlaqədar olaraq daha çətin olur, SQL verilənlər bazası və xüsusi binar format kimi
həllər, daxil olan verilənlərin artma tempinə uyğun genişlənə bilmirlər. [8]-də nProbe şəbəkə
trafikinin toplanması alətinin və FastBit verilənlər bazasının sintezindən yaradılmış açıq kodlu
proqram təminatıdır. Bu metod vasitəsilə Gbit sürətə qədər şəbəkə trafiki axınının toplanılması və
lazımi anda hər hansı bir informasiyanın axtarılması və tapılması mümkün olur.
Vizuallaşdırma – şəbəkə trafiki haqqında ümumi ədədi məlumatların başa düşülməsi üçün
əyani görünüş forması olub, operatorlar üçün ilkin müşahidə vasitəsidir. Buna Cacti, Nagios və s.
açıq kodlu proqram təminatlarını misal göstərmək olar. Bu alətlər kompüter şəbəkəsi trafikini,
hesablama nöqtələrinin vəziyyətini və avadanlıqlar haqqında statistik informasiyanı müəyyən vaxt
intervalında SNMP vasitəsilə toplayaraq qrafiklər yaradır (Şəkil 2).
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Şəkil 2. Şəbəkə trafikinin diaqram formasında vizuallaşdırılması
Analiz bloku
Şəbəkə trafikinin identifikasiyası və kateqoriyalaşdırılması onun idarə olunmasının əsas
elemetlərindən biridir. Buna axının prioritetləşdirilməsi, trafikin formalaşdırılması və diaqnostik
monitorinqi misal göstərmək olar.
İnternet trafikinin ölçmələrini, adətən, yüksək hesablama gücünə malik olan serverdə həyata
keçirilir. Server trafik axını və paketləri toplayır və analiz edir. Nəzərə alsaq ki, uzunmüddətli,
böyükhəcmli və böyükmiqyaslı statistik verilənlərin monitorinqi zamanı Tera və Peta bayt həcmdə
verilənlər generasiya olunur və bu emal prosesinin bir serverdə aparılması məqsədəuyğun deyil.
Adətən, böyük həcmdə informasiyanın sıxılması üçün diskretizasiya və ya aqreqasiya metodları
istifadə edilir, bu halda trafik axınının müəyyən verilənləri ixtisar olunur. Son zamanlar bu
məsələnin həlli üçün bulud hesablama texnologiyaları və klaster fayl sistemlərindən istifadə edilir.
Buna misal olaraq, İnternet trafikinin analizi üçün bulud hesablamaları əsasında MapReduce
proqram platformasının istifadə olunması təklif olunur [9]. Açıq kodlu proqram təminatı olan
MapReduce və Hadoop əsasında aparılan təcrübələrə əsasən müəyyən olunmuşdur ki, bir serverli
hesablama alətinə nisbətən statistik trafikin hesablaması zamanı nəticə 72% daha sürətli əldə edilir.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Şəbəkənin idarə olunması və şəbəkə təhlükəsizliyinin səmərəliliyinin yüksəldilməsinə
yönəlmiş tədqiqatlarda trafikin klassifikasiyasından və klasterləşdirilməsindən geniş istifadə
olunur. İnternetdən geniş istifadə olunması, protokolların və tətbiqi proqramların inkişafı ilə
trafikin analizi sahəsində də tədqiqatların aparılması aktuallaşmışdır. İnformasiya təhlükəsizliyi
hadisələrinin və ya anomaliyalarının aşkarlanması üçün klassifikasiya və klasterləşdirmə
metodlarından geniş istifadə olunur. Misal olaraq, [10]-da Naive Bayes və neyron şəbəkə
metodlarından istifadə edərək operativliyi və ya dəqiqliyi azaltmadan klassifikasiya
xarakteristikalarını yüksəltmək məqsədilə iki mərhələli ardıcıl klassifikator təklif edilir.
Məlumdur ki, təhlükələrin yaranmasının əsas səbəblərindən biri şəbəkə trafikində anomal və
tematik profilə uyğun olmayan trafikin generasiya olunmasıdır. Bunları nəzərə alaraq [11]-də
şəbəkə trafikində davranış profilinin müəyyən olunması üçün vasitə işlənib hazırlanmışdır.
Davranış profilinin müəyyən olunması üçün k-ortalar klasterizasiya metodu tətbiq olunmuşdur.
[12]-da isə şəbəkə trafikinin real vaxt rejimində identifikasiyası və klassifikasiyası
prosesinin reallaşdırma metodu təklif olunur. Bunun üçün altı maşın təlimi alqoritmi
AdaboostM1, C4.5, Random Forest tree, MLP, RBF və Polykernel ilə SVM
) tətbiq edilir. Bu
reallaşdırma göstərir ki, ağac tipli maşın təlimi metodu trafikin klassifikasiyası və identifikasiyası
üçün effektlidir və İnternet trafikinin klassifikasiya dəqiqliyi 99.76.16% təşkil edir.
Qərar bloku
Qərarların qəbul olunması
– İnformasiya təhlükəsizliyinin emalı üzrə qəbul edilmiş qərarlar
bir çox halda əvvəllər qazanılmış təcrübəyə və qəbul edilmiş qərarlara əsaslanır, onları yeni
situasiya üçün adaptasiya edir. Bunları nəzərə alaraq, insanın iştirakını minimuma endirmək və
reaksiyanın operativliyinin yüksəldilməsi məqsədi ilə ekspert sistemlərindən istifadə olunmalıdır.
Bizim təklif etdiyimiz arxitektur daxilində bu prosesin idarə olunması üçün presedentlər
nəzəriyyəsi (ing., Case-Based Reasoning, CBR) seçilmişdir.
CBR metodologiyasının mahiyyəti aşağıdakından ibarətdir: Faktiki olaraq, presedent
cütüdür. Zaman keçdikcə meydana çıxan situasiyalar və onların həlli
yolları xüsusi bazada – presedentlər bazasında saxlanılır. Yeni situasiya yarandıqda presedentlər
bazasında oxşar situasiya axtarılıb tapılır və onun həll metodu baxılan situasiyaya adaptasiya
olunur. CBR metodologiyası diaqnostika, proqnozlaşdırma, müxtəlif predmet sahələrində
planlaşdırma və layihələndirmə işlərində və bir çox klassifikasiya məsələlərinin həllində istifadə
edilir. CBR informasiya təhlükəsizliyinin müxtəlif aspektlərinə [13]-də baxılmış, risklərin
qiymətləndirilməsinə, müdaxilələrin aşkarlanmasına, şəbəkə təhlükəsizliyi vəziyyətinin analizinə
də tətbiq edilmişdir.
Presedentlər bazası – əvvəlcədən aşkarlanmış və müvafiq tədbir görülmüş insidentlərin həlli
yolları bu bazada yerləşdirilir. Yəni, hazır həllər yaddaşı kimi mərkəzdə presedentlər bazası
yerləşdirilib. Yeni bir problem baş verdikdə o əlamətlərin vektor funksiyası ilə bazada
qeydiyyatdan keçirilir, bu da presedentlər bazasından problemlərin axtarılmasını təmin edir.
Aydındır ki, funksiyaların oxşarlıq səviyyəsi nə qədər çox olarsa, presedentlərin axtarış effektivliyi
də bir o qədər yüksək olar.
Qərarları qəbul edən şəxs və ya qrup
– presedentlər bazasında uyğun presedent tapılmadığı
halda qərar əvvəlcədən müəyyən olunmuş ekspertlər tərəfindən qəbul olunur.
Qərarlara dəstək sistemi hər iki halda – uyğun presedent tapıldığı və tapılmadığı halda qəbul
olunmuş qərarı təhlükəni zərərsizləşdirmək üçün proseslərə və eyni zamanda, hesabat formasında
aidiyyatı şəxslərə ötürür. Yeni insidentlər və onların həlləri dəqiqləşdirildikdən sonra bu həllər
yekun qərar vermək hüququ olan aidiyyatı şəxslər tərəfindən hazır həllər bazasına ötürülür.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Konseptual modelin makro-arxitekturu
Yuxarıda göstərilən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual
modelinin arxitekturunun təsir dairəsi bir lokal şəbəkə daxilindədir. Buna görə də, bir lokal şəbəkə
daxilində baş verən proseslərə nəzarət və ona uyğun qərarlar generasiya edə bilir. Bir korporativ
şəbəkə altında müxtəlif şəbəkələrin varlığını nəzərə alsaq, baş vermiş insident ya ümumiyyətlə,
vəziyyət haqqında şəbəkələrarası monitorinq verilənlərinin mübadiləsinin, informasiya
təhlükəsizliyi nöqteyi nəzərindən vacib olduğunu başa düşərik. Yuxarıda deyilənlərə əsaslanaraq,
iyerarxik struktura malik olan şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual
modelinin makro-arxitekturunun formalaşması vacibdir.
Şəkil 3-də konseptual modelin iyerarxik makro-arxitekturu göstərilmişdir və onun iki
səviyyəsi vardır: korporativ və lokal. Təklif olunan konseptual model hər bir səviyyə və onun
seqmentləri üzrə ayrı-ayrılıqda tətbiq olunur. Lokal səviyyədə yerləşən blokların hər biri ayrıca
korporativ şəbəkəni təmsil edir və müxtəlif böyüklükdə ola bilməklə yanaşı, müxtəlif regionda,
müxtəlif saat qurşaqlarında yerləşə bilər. Bundan asılı olmayaraq, hər bir blok ayrı-ayrılıqda
avtonom fəaliyyəti və informasiya mübadilə qabiliyyəti ilə təmin olunmalı və bütün infrastruktura
inteqrasiya edilməlidir. Yəni, bloklar ayrı-ayrılıqda lokal bir strukturun tərkib hissəsi olsalar da,
hər bir blok bütün konseptual arxitektur üzrə özünün analoqu olan bloklara aktiv informasiya
mübadiləsi edərək, anomallıq və özü haqqında aktual informasiyanı paylaşa bilməlidir.
Şəkil 3. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual makro-arxitekturu
Şəkil 3-dən göründüyü kimi, qlobal səviyyədə yerləşən blokun toplama funksiyası yoxdur.
Bu blokun əsas vəzifələri aşağı səviyyəli blokların iş fəaliyyətinə nəzarət, xüsusi hallarda lokal
səviyyədə yerləşən blokların emal edə bilmədiyi hadisələrə reaksiya vermək və həllər generasiya
Bu məqalədə korporativ şəbəkənin bütün elementlərini, istifadəçilərini, texnologiyalarını,
verilənlərini əhatə edən və informasiya təhlükəsizliyi hadisələrinin müəyyən olunmasını təmin
edən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual modeli təklif edilir. Əsas
məqsəd bütün korporativ şəbəkəni və onun altşəbəkələrini real zaman anında əhatə edərək,
şəbəkənin hər hansı bir yerində baş verə biləcək hadisəyə anında və dolğun reaksiya verməkdir.
Aktual olan şəbəkə təhlükəsizliyi məsələlərinin idarə olunması kommersiya məhsullarının
aşkarlama, emal etmə və qərar vermə proseslərini realizasiya etmək qabiliyyətindədir.
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Əliquliyev R.M., İmamverdiyev Y.N., Nəbiyev B.R. Şəbəkə təhlükəsizliyinin monitorinqi
metodlarının analizi // İnformasiya Texnologiyaları Problemləri, 2014, № 1, s. 60–68.
Fung C.J., Boutaba R. Design and management of collaborative intrusion detection networks
/ International Symposium on Integrated Network Management, 2013, pp. 955-961.
Yegneswaran V., Barford P., Jha S. Global Intrusion Detection in the DOMINO Overlay
System / Proc. of the Network and Distributed System Security Symposium, 2004, pp.1–17.
Fataliyev Z., Imamverdiyev Y.N. Security Operation Center Architecture for E-government
based on Big Data Analysis / Elektron dövlət quruculuğu problemləri I Respublika elmi-
praktiki konfransı. Bakı, 2014. pp. 140–144.
Hofstede R., Celeda P., Trammell B., Drago I., Sadre R., Sperotto A., Pras A. Flow
Monitoring Explained: From Packet Capture to Data Analysis with NetFlow and IPFIX //
IEEE Communications Surveys & Tutorials, 2014, vol. 16, pp. 2037-2064.
Deri L., Lorenzetti V., Mortimer S., Collection and Exploration of Large Data Monitoring
Sets Using Bitmap Databases / Second International Workshop Traffic Monitoring and
Analysis, 2010, pp 73–86.
Giura P., Memon N., NetStore: An Efficient Storage Infrastructure for Network Forensics and
Monitoring / Proc. of the International Symposium on Recent Advances in Intrusion
Detection, 2010, pp. 277–296.
Lee Y., Kang W., Son H., An Internet Traffic Analysis Method with MapReduce // Proc. of
the IEEE/IFIP Network Operations and Management Symposium Workshops (NOMS
Wksps), 2010, pp. 357 – 361.
İmamverdiyev Y.N., Nəbiyev B.R. Şəbəkə trafiki üçün multi-klassifikator modeli //
İnformasiya Texnologiyaları Problemləri, 2014, № 2, s. 60–68.
Nəbiyev B.R. Şəbəkə trafikinin klasterizasiya metodu haqqında / Beynəlxalq
telekommunikasiya İttifaqının 150 illiyinə həsr olunmuş İnformasiya təhlükəsizliyinin
multidissiplinar problemləri üzrə II respublika elmi-praktiki konfransı, Bakı, 2015, s. 213–215.
Jaiswal R. C., Lokhande S. D. Machine learning based internet traffic recognition with
statistical approach / Proc. of the Annual IEEE India Conference, 2013, pp. 1–16.
İmamverdiyev Y.N., Nəbiyev B.R. Presedentlər nəzəriyyəsi əsasında şəbəkə təhlükəsizliyinin
monitorinqi üzrə qərarların qəbulu metodu // İnformasiya Texnologiyaları Problemləri, 2012,
İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89
Имамвердиев Ядигар Н.
, Набиев Бабек Р.
Концептуальная модель интеллектуального мониторинга сетевой безопасности
В этой статье предлагается принципиально новая и более эффективная концептуальная
модель интеллектуального мониторинга сетевой безопасности. В этой статье
рассматриваются интеллектуальная модель процесса мониторинга, функциональные блоки,
процессы и тенденции в области применения. Кроме того, рассматриваются уязвимости и
недостатки системы мониторинга. Предложенная модель для устранения вышеупомянутых
проблем сочетает в себе функциональные возможности, мониторинг проблемно-
ориентированных информаций, первоначальную обработку собранных данных,
индексацию данных, структурирование данных, хранение и управление собранной
информацией, предоставление отчетов, которые могут быть проанализированы по запросам
лиц, принимающих решения.
Ключевые слова: сетевая безопасность, мониторинг, искусственный интеллект, сетевой
трафик, концептуальная модель.
Yadigar N. İmamverdiyev
, Babek R. Nabiyev
Institute of Information Technology of ANAS, Baku, Azerbaijan
Conceptual model of intelligent network security monitoring
This paper proposes fundamentally new and more effective conceptual model of intelligent
network security monitoring. General intellectual model of the monitoring process, functional
blocks, processes and trends in the application are considered. In addition, the gaps and weak
points of monitoring system are considered. The proposed model for the elimination of the above-
mentioned problems combines functional capabilities such as the monitoring of problem-oriented
information, initial processing of gathered data, data indexation and structuring, storage and
management of collected information, selection of information in accordance with decision
makers’ requirements generation of readable information that can be analyzed.
Keywords: network security, monitoring, artificial intelligence, network traffic, conceptual model.
Dostları ilə paylaş:
Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2023
rəhbərliyinə müraciət
Comments are closed, but trackbacks and pingbacks are open.