Press "Enter" to skip to content

Uot 004. 09 İmamverdiyev Y. N

Analysis, 2010, pp 73–86.

СЛУЧАЙ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ КОРАЛЛОВИДНОГО НЕФРОЛИТИАЗА У ПАЦИЕНТА С ДЕФИЦИТОМ VII ФАКТОРА Текст научной статьи по специальности «Клиническая медицина»

Аннотация научной статьи по клинической медицине, автор научной работы — Имамвердиев Судейф Башир Оглы, Талыбов Талыб Аталы Оглы, Гадимова Эльмира Абдулбаги Гызы, Талыбова Махлуга Зияд Гызы

В работе представлен клинический случай лечения коралловидного нефролитиаза, осложнённого в послеоперационном периоде кровотечением, вызванным скрыто протекающим недостатком VII фактора системы свёртывания крови. Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда диагноз ставят при профузных кровотечениях. Под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фуросемида, 0,2 мг верапамила и 1 мг метилэтилпиридинола. Из почки удалён камень размером 3,0×2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней. При установлении диагноза проверяют протромбиновое время и протромбиновый индекс. Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время – до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70-120%). После этого пациенту был поставлен диагноз «Дефицит VII фактора, или гипопроконвертинемия ». Во время лечения больному 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингибиторный коагулянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по клинической медицине , автор научной работы — Имамвердиев Судейф Башир Оглы, Талыбов Талыб Аталы Оглы, Гадимова Эльмира Абдулбаги Гызы, Талыбова Махлуга Зияд Гызы

Антиишемическая защита при открытых операциях по поводу коралловидного нефролитиаза

РЕЗУЛЬТАТЫ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ ДВУСТОРОННЕГО КОРАЛЛОВИДНОГО И МНОЖЕСТВЕННОГО НЕФРОЛИТИАЗА

Суперселективная эмболизация почечных артерий при ятрогенных кровотечениях после перкутанной нефролитотомии

Перкутанная нефролитотомия в лечении коралловидных камней почек
СУПЕРСЕЛЕКТИНАЯ ЭМБОЛИЗАЦИЯ ВЕТВЕЙ ПОЧЕЧНОЙ АРТЕРИИ – СПАСЕНИЕ ОРГАНА!
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

A CASE OF OPEN SURGICAL TREATMENT OF STAGHORN CALCULUS IN A PATIENT WITH FACTOR VII DEFICIENCY

The paper presents a clinical case of treatment of staghorn nephrolithiasis complicated in the postoperative period by bleeding caused by a latent deficiency of factor VII of the blood coagulation system. Often the disease is latent and is detected in serious injuries or during the surgeries. Sometimes the diagnosis is made in profuse bleeding. Under endotracheal anesthesia, the left-sided nephrolithotomy and intrarenal stenting with clamping of the renal artery was performed. The time of clamping of the renal artery was 12 minutes. Before clamping the renal artery, 3 mg of furosemide 0.2 mg of verapamil and 1 mg of methylethylpiridinol were introduced intravenously per kilogram of patient’ weight. A stone sized 3.0×2.5 cm was removed from the kidney, and a number of small stones were washed out from the lower group of calyces. At the time of diagnosis, prothrombin time and prothrombin index were checked. The patient’s hemostasis system, including clotting factors, were examined. The results showed that the patient’s blood clotting time by Lee-White method increased to 15 minutes (reference, 7-13 minutes), and the time of activated partial thromboplastin time (aPTT) to 41.6 seconds (reference, 28-38 seconds), while the activity of factor VII decreased to 40% (reference, 70-120%). After that, the patient was diagnosed with factor VII deficiency or hypoproconvertinemia . During treatment, the patient was transfused twice a day with fresh frozen plasma and only once during the entire period, 1000 IU of antiinhibitoty coagulant complex (FEIBA) was administered intravenously. From the first day of treatment hematuria decreased, there was a reverse development of hemorrhagic syndrome . Obvious and latent comorbidities before and after the surgery should not be left out without attention. Only in this case it is possible to successfully complete the treatment and achieve the correct results.

Текст научной работы на тему «СЛУЧАЙ ОТКРЫТОГО ХИРУРГИЧЕСКОГО ЛЕЧЕНИЯ КОРАЛЛОВИДНОГО НЕФРОЛИТИАЗА У ПАЦИЕНТА С ДЕФИЦИТОМ VII ФАКТОРА»

DOI: 10.17816/KMJ2019-828 УДК 616. 613-089

Случай открытого хирургического лечения коралловидного нефролитиаза у пациента с дефицитом VII фактора

Судейф Башир оглы Имамвердиев1, Талыб Аталы оглы Талыбов1*, Эльмира Абдулбаги гызы Гадимова2, Махлуга Зияд гызы Талыбова3

‘Азербайджанский медицинский университет, г. Баку, Азербайджан; 2Азербайджанский государственный институт усовершенствования врачей им. А. Алиева, г. Баку, Азербайджан; 3Азербайджанская республиканская больница им. М.А. Миргасымова, г. Баку, Азербайджан

В работе представлен клинический случай лечения коралловидного нефролитиаза, осложнённого в послеоперационном периоде кровотечением, вызванным скрыто протекающим недостатком VII фактора системы свёртывания крови. Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда диагноз ставят при профузных кровотечениях. Под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фуросемида, 0,2 мг верапамила и 1 мг метилэтилпи-ридинола. Из почки удалён камень размером 3,0*2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней. При установлении диагноза проверяют протромбиновое время и протромби-новый индекс. Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время — до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70-120%). После этого пациенту был поставлен диагноз «Дефицит VII фактора, или гипопроконвертинемия». Во время лечения больному 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингибиторный коагу-лянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.

Ключевые слова: нефролитотомия, геморрагический синдром, гипопроконвертинемия.

Для цитирования: Имамвердиев С.Б., Талыбов Т.А., Гадимова Э.А., Талыбова М.З. Случай открытого хирургического лечения коралловидного нефролитиаза у пациента с дефицитом VII фактора. Казанский мед. ж. 2019; 100 (5): 828-832. DOI: 10.17816/KMJ2019-828.

A case of open surgical treatment of staghorn calculus in a patient with factor VII deficiency

S.B. Imamverdiev1, T.A. Talybov1, E.A. Gadimova2, M.Z. Talybova3 1Azerbaijan Medical University, Baku, Azerbaijan;

2Azerbaijan State Advanced Training Institute for Doctors n.a. A. Aliyev, Baku, Azerbaijan; 3 Azerbaijan Republican Hospital n.a. M.A. Mirgasymov, Baku, Azerbaijan

The paper presents a clinical case of treatment of staghorn nephrolithiasis complicated in the postoperative period by bleeding caused by a latent deficiency of factor VII of the blood coagulation system. Often the disease is latent and is detected in serious injuries or during the surgeries. Sometimes the diagnosis is made in profuse bleeding. Under endotracheal anesthesia, the left-sided nephrolithotomy and intrarenal stenting with clamping of the renal

Адрес для переписки: nauchnayastatya@yandex.ru Поступила 31.03.2019; принята в печать 02.09.2019.

artery was performed. The time of clamping of the renal artery was 12 minutes. Before clamping the renal artery, 3 mg of furosemide 0.2 mg of verapamil and 1 mg of methylethylpiridinol were introduced intravenously per kilogram of patient’ weight. A stone sized 3.0*2.5 cm was removed from the kidney, and a number of small stones were washed out from the lower group of calyces. At the time of diagnosis, prothrombin time and prothrombin index were checked. The patient’s hemostasis system, including clotting factors, were examined. The results showed that the patient’s blood clotting time by Lee-White method increased to 15 minutes (reference, 7-13 minutes), and the time of activated partial thromboplastin time (aPTT) to 41.6 seconds (reference, 28-38 seconds), while the activity of factor VII decreased to 40% (reference, 70-120%). After that, the patient was diagnosed with factor VII deficiency or hypoproconvertinemia. During treatment, the patient was transfused twice a day with fresh frozen plasma and only once during the entire period, 1000 IU of antiinhibitoty coagulant complex (FEIBA) was administered intravenously. From the first day of treatment hematuria decreased, there was a reverse development of hemorrhagic syndrome. Obvious and latent comorbidities before and after the surgery should not be left out without attention. Only in this case it is possible to successfully complete the treatment and achieve the correct results. Keywords: nephrolithotomy, hemorrhagic syndrome, hypoproconvertinemia.

For citation: Imamverdiev S.B., Talybov T.A., Gadimova E.A., Talybova M.Z. A case of open surgical treatment of stag-horn calculus in a patient with factor VII deficiency. Kazan medical journal. 100 (5): 828-832. DOI: 10.17816/KMJ2019-828.

Мочекаменная болезнь (МКБ), будучи одной из самых актуальных проблем современной медицины, занимает второе место во всём мире после воспалительных заболеваний мочевых путей. 30-40% урологических заболеваний выпадает на долю МКБ, которая встречается во всех возрастных группах, а в 65-70% случаев — у трудоспособных людей в возрасте 35-55 лет [1, 2].

Коралловидный нефролитиаз (КН) — одна из самых тяжёлых форм МКБ. Частота КН в структуре МКБ составляет 3-30%, а в структуре всех урологических заболеваний — 6-7% [1, 3].

Следует отметить, что КН во всех случаях сопровождается рядом сопутствующих заболеваний и вторичных осложнений. Всё это усложняет ход послеоперационного периода независимо от выбранной тактики хирургического лечения. Частота случаев смерти после операции у урологических больных увеличиваются в 2 раза при одном сопутствующем заболевании, в 4 раза — при двух, в 14 раз — при трёх [4].

В представленной работе исследованы причины гематурии после хирургического лечения КН.

Больной Г.С., мужчина 25 лет, история болезни №14 395, поступил 27.10.2017 в урологическое отделение с жалобами на тошноту, общую слабость и боль в поясничной области. По его словам, он уже 10 лет страдает двусторонним нефролитиазом.

Общий анализ крови: гемоглобин 115 г/л, лейкоциты 6,2х109/л, скорость оседания эритроцитов 5 мм/ч.

Биохимический анализ крови: креатинин 110 мкмоль/л, мочевина 6,1 моль/л.

Общий анализ мочи: реакция кислая, удельный вес 1015, лейкоциты покрывают всё поле зрения.

Рис. 1. Пациент Г.С. Данные ультразвукового исследования

Коагулограмма: время свёртывания по Ли-Уайту 5 мин, протромбиновый индекс 96%, фибриноген 3,99 г/л, гематокрит 0,44-0,46.

Ультразвуковое исследование. Размеры правой почки 106^39 мм, толщина паренхимы 17 мм, чашечно-лоханочная система (ЧЛС) не расширена. В нижней чашке обнаружен конкремент размером 6 мм, в средней — размером 5 мм. Размеры левой почки 112^47 мм, толщина паренхимы 15 мм, ЧЛС резко расширена. Обнаружены тени, присущие коралловидному камню, размерами 2,5×2,5 см в лоханке и 1,0×1,0 см в нижней чашке (рис. 1).

Экскреторная урография. На обзорной уро-грамме в проекции левой почки на уровне позвонков ТЪ ^ видны тени (КН) размером 2,5×2,5 см, охватывающие всю лоханку и шейку чашек, а также множественных мелких камней разных размеров в нижней группе чашек. В проекции правой почки нет теней, подозрительных на камень (рис. 2, а).

Рис. 2. Пациент Г.С. Данные экскреторной урографии (ЭУ): а — обзорная урограмма; б — ЭУ на 15-й минуте; в — ЭУ на 30-й минуте; г — ЭУ на 60-й минуте

На экскреторной урограмме, снятой на 15-й минуте, видно накопление контрастного вещества в обеих почках. На обеих сторонах вну-трипочечная лоханка, ЧЛС справа в норме, а слева — резко расширена. Левый мочеточник не визуализируется (рис. 2, б).

На экскреторной урограмме, снятой на 30-й минуте, функционирование правой почки удовлетворительное. Мочеточник визуализируется местами. ЧЛС слева резко расширена, левый мочеточник не визуализируется (рис. 2, в).

На урограмме, снятой через час, левая почка полностью опорожнена. ЧЛС слева не опорожняется. Визуализируется верхняя треть мочеточника (рис. 2, г).

Клинический диагноз: «Левосторонний КН, гидронефротическая трансформация II-III степени. Хронический пиелонефрит».

30.10.2017 под эндотрахеальным наркозом проведены левосторонняя нефролитотомия и внутрипочечное стентирование с пережатием почечной артерии. Время пережатия артерии составило 12 мин. Перед пережатием почечной артерии на каждый килограмм массы тела больного внутривенно было введено 3 мг фу-росемида, 0,2 мг верапамила и 1 мг метилэтил-пиридинола. После снятия зажима с почечной артерии эту процедуру вновь повторили [5, 6].

Из почки удалён камень размером 3,0*2,5 см, а из нижней группы чашек вымыванием удалено множество мелких камней (рис. 3).

В течение 5 дней после операции продолжали антиишемическое лечение. Следует отметить, что во время операции не было заметного кровотечения.

На 1-й день у больного была обнаружена гематурия, оценённая как послеоперационная (после нефротомии). Пациенту назначено интенсивное консервативное лечение с приме-

Рис. 3. Пациент Г.С.: а — камень, удалённый из почки; б — обзорная урограмма после операции, в левой почке не обнаружена тень камня

нением коагулянтов. Несмотря на проведённое лечение, гематурия продолжилась, общее состояние больного ухудшилось. На следующий день после операции уровень гемоглобина в крови больного составлял 110 г/л, а через 8 дней уменьшился до 72 г/л. Несмотря на продолжительное лечение коагулянтами, время свёртывания крови увеличилось до 15 мин. Больному 2 раза была перелита одногруппная [0 (I), Rh+] эритроцитарная масса по 250 мл. Несмотря на проведённое лечение, гематурия продолжалась. Отметим, что в послеоперационные дни из забрюшинного дренажа выделений не было.

Думая, что причиной кровотечения может быть стент в левой почке, на 15-е сутки после операции его удалили под внутривенной анестезией, а из мочевого пузыря удалили множество сгустков. Однако даже после этого гематурия продолжилась, скопились сгустки в мочевом пузыре. В связи с этим в мочевой пузырь установлен 3-канальный катетер Фолея,

проведена непрерывная ирригация с изотоническим раствором натрия хлорида.

Родные больного строго настаивали на удалении почки. Несмотря на давление и настойчивость пациента и его родных, повторное обследование мочевых путей подтвердило, что в операции нет необходимости. Учитывая общее состояние больного и противоположные изменения в системе гемостаза на фоне лечения коагулянтами, проведена консультация гематологом.

Была обследована система гемостаза больного, в том числе факторы свёртывания. Результаты показали, что время свёртывания крови больного по методу Ли-Уайта увеличилось до 15 мин (норма 7-13 мин), а активированное частичное тромбопластиновое время — до 41,6 с (норма 28-38 с), в то же время активность VII фактора уменьшилась до 40% (норма 70120%). После этого больному был поставлен диагноз: «Дефицит VII фактора, или гипопро-конвертинемия».

Во время лечения пациенту 2 раза в день переливали свежезамороженную плазму и 1 раз за весь период внутривенно ввели антиингиби-торный коагулянтный комплекс (Фейбу) в дозе 1000 МЕ. С 1-го дня такого лечения гематурия уменьшилась, произошло обратное развитие геморрагического синдрома. На 3-и сутки гематурия полностью прекратилась, общее состояние больного нормализовалось. После этого больной был выписан домой в удовлетворительном состоянии. На данный момент его состояние нормальное, гематурия отсутствует, гемоглобин в крови 112 г/л.

Дефицит VII фактора, или гипопроконвер-тинемия, — наследственная коагулопатия, передаваемая аутосомно-рецессивным путём. Её частота составляет 0,2-1% всех наследственных коагулопатий. Этот фактор синтезируется в печени с участием витамина К. Его синтез регулируется геном, расположенным в 13-й хромосоме.

Клинически болезнь выражается геморрагическим синдромом. Наблюдаемый в это время геморрагический диатез — единственный, когда в крови увеличивается только изолированное протромбиновое время. В результате протромбиновый индекс уменьшается. Другие показатели в коагулограмме абсолютно не меняются, остаются в пределах нормы.

Часто болезнь протекает скрыто, выявляется при серьёзных травмах или во время операций. Иногда возникают профузные кровотечения. При установлении диагноза проверяют протромбиновое время и протромбиновый индекс. После этого при необходимости определя-

ют активность VII фактора в крови. В норме активность VII фактора-проконвертина в плазме крови составляет 70-120% [7].

Итак, учитывая признаки болезни и результаты проведённого лечения, у наблюдаемого нами больного симптомы и результаты обследования совпадают, то есть при лабораторных исследованиях до операции в коагулограмме больного не было заметных серьёзных изменений. Только геморрагический синдром, появившийся после операции, позволил выявить болезнь. На фоне правильно назначенного лечения геморрагический синдром был устранён, состояние больного нормализировалось, и он был выписан домой в удовлетворительном состоянии.

Следует отметить, что дефицит VII фактора очень редко встречается на практике. Если такой случай останется вне внимания хирурга, на фоне развивающегося геморрагического синдрома состояние больного постепенно ухудшится, и это даже может привести к повторной операции с потерей органа. А это в свою очередь может минимизировать результаты проведённой на высшем уровне органосохраняющей операции и снизить трудоспособность пациента. Явные и скрытые сопутствующие болезни до и после операции по мере возможности не должны оставаться вне внимания. Только в этом случае можно успешно завершить лечение и добиться правильных результатов.

Авторы заявляют об отсутствии конфликта интересов по представленной статье.

1. Лопаткин Н.А. Урология. Национальное руководство. М.: ГЭОТАР-Медиа. 2009; 1024 с. [Lopatkin N.A. Urologiya. Natsional’noe rukovodstvo. (Urology. National guide.) Moscow: GEOTAR-Media. 2009; 1024 р. (In Russ.)]

2. Гаджиев Н.К., Бровкин С.С., Григорьев В.Е. и др. Метафилактика мочекаменной болезни: новый взгляд, современный подход, мобильная реализация. Урология. 2017; (1): 124-129. [Gadzhiev N.K., Brovkin S.S., Gri-gor’ev V.Ye. et al. Metaphylaxis of urolithiasis: new view, modern approach, implementation in a mobile application. Urologiya. 2017; (1): 124-129. (In Russ.)] DOI: 10.18565/ urol.2017.1.124-129.

3. Кочкин А.Д., Мартов А.Г., Севрюков Ф.А. и др. Первый опыт лапароскопической анатрофической нефролитотомии. Урология. 2016; (3): 112-116. [Koch-kin A.D., Martov A.G., Sevryukov F.A. et al. Initial experience of laparoscopic anatrophic nephrolithotomy. Urologiya. 2016; (3): 112-116. (In Russ.)]

4. Гориловский Л.М. Наш опыт пред- и послеоперационного ведения больных пожилого и старческого возраста при урологическом оперативном вмешательстве. Терап. арх. 1995; 67 (10): 51-53. [Gorilovskiy L.M. Our experience in pre- and postoperative management of elderly and senile patients with urological surgery. Terapev-ticheskiy arkhiv. 1995; 67 (10): 51-53. (In Russ.)]

5. Имамвердиев С.Б., Мамедов Р.Н. Эмоксипин в комплексной фармакологической защите почки от ишемического и операционного стресса. Урология. 2003; (5): 40-42. [Imamverdiyev S.B., Mamedov R.N. The emoxipin in the integrated pharmacological protection of kidneys from ischemic and operating stress. Urologiya. 2003; (5): 40-42. (In Russ.)]

6. Мамаев А.Н. Практическая гемостазиология. Руководство для врачей. M.: Практическая медицина. 2014; 233 с. [Mamayev A.N. Prakticheskaya gemosta-

ziologiya. Rukovodstvo dlya vrachey. (Practical hemosta-siology. A guide for physicians.) Moscow: Prakticheskaya meditsina. 2014: 233. (In Russ.)]

7. Гадимова Э.А., Юсифова Н.Я., Кязимова М.М., Ализаде Г.А. Наследственные коагулопатии — гемофилия и болезнь Виллебранда. Баку. 2011; 53 с. [Gadimo-va E.A., Yusifova N.Ya., Kyazimova M.M., Alizade G.A. Nasledstvennye koagulopatii — gemofiliya i bolezn’ Vil-lebranda. (Hereditary coagulopathy — hemophilia and Willebrand disease.) Baku. 2011; 53 р. (In Russ.)]

Uot 004. 09 İmamverdiyev Y. N

intellektual olmasıdır. İntellektual dedikdə, süni intellekt metodlarının istifadəsi nəzərdə tutulur.

Şəbəkə təhlükəsizliyinin monitorinqi süni intellekt metodları tətbiq olunmadan da həyata keçirilə

bilər, amma bunun üçün çoxlu maddi vəsait və insan resursları tələb olunur. Süni intellekt

metodlarının tətbiqi ilə bu prosesi məqsədəuyğun olaraq qismən və ya tamamilə avtomatlaşdıraraq

maddi vəsaitlərə və insan əməyinə qənaət etmək olar. Xüsusi olaraq, şəbəkə təhlükəsizliyinin

intellektual monitorinqi sistemində sensorlardan başlayaraq, qərarların qəbul edilməsinə qədər

bütün prosesləri süni intellekt metodlarına əsaslanan aparat və proqram təminatlarının tətbiqi ilə

Kompüter şəbəkələrinin fəaliyyəti və təhlükəsizliyi haqqında lazımi verilənlərin toplanması,

dəqiq analiz edilməsi və şəbəkə təhlükəsizliyinin təmin edilməsi haqqında əsaslandırılmış

qərarların qəbul edilməsi üçün şəbəkə təhlükəsizliyinin monitorinqi zamanı verilənlərin

intellektual analizi texnologiyalarından istifadə edilməsi aktuallıq kəsb edir [1].

Bu istiqamətdə bir çox elmi-praktiki işlər aparılmışdır. Aparılan işlərin arasında təhdidlərin

aşkarlanması və aradan qaldırılması üçün aşağıdakı yanaşmaları misal göstərmək olar:

təhlükəsizlik əməliyyatları mərkəzləri (ingiliscə – security operation center, SOC), təhlükəsizlik

informasiyasının və hadisələrinin idarə olunması (ingiliscə – security information and event

management, SIEM) və kompüter təhlükəsizliyi insidentlərinə cavabvermə komandaları (ingiliscə

Computer Security Incident Response Team, CSIRT).

Şəbəkə təhlükəsizliyi məsələlərinin idarə olunması sistemləri anomal hadisələrin

identifikasiyası və müxtəlif növ böyükhəcmli verilənlərin emalı prosesinin reallaşdırılması zamanı

çətinliklərlə üzləşir. Belə olduğu halda, alınan məlumatların və verilən qərarların dolğunluğu

şübhə doğurur. Şəbəkə təhlükəsizliyi monitorinqinin konseptual modelinin əsas vəzifəsi bu prosesi

asanlaşdırmağa və qərar qəbul edilməsinə kömək edərək, hesablama resurslarına və insan əməyinə

qənaət etməkdir. Bunun üçün də müxtəlif aparat, proqram və alət vasitələrindən istifadə olunur.

Bu işdə şəbəkə təhlükəsizliyinin intellektual monitorinqi üçün konseptual model təklif edilir.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Şəbəkə təhlükəsizliyi sistemləri

Şəbəkə təhlükəsizliyinin intellektual monitorinqi kompleks bir sistemdir. Bu cür sistemlər

daha geniş verilənlərlə və böyük miqyasda işlədiyi üçün hazır həllərin tapılması çox çətindir.

Şəbəkə təhlükəsizliyi üzrə birləşmiş sistemlər mərkəzləşdirilmiş, paylanmış və ya qismən

mərkəzləşmiş struktura malik ola bilərlər. Mərkəzləşdirilmiş sistemlərdə seqmentlər üzrə toplanan

bütün verilənlər analiz üçün mərkəzə ötürülür. Bu strukturun üstün cəhəti ondadır ki, verilənlər

tam ötürüldüyü üçün daha dəqiq cavab əldə etmək mümkündür. Mənfi cəhəti isə odur ki, analiz

aparatı mərkəzləşmiş olduğu üçün yüklənmə yüksək olduqda xidmətdən imtina qaçılmaz ola bilər.

Bu növ sistemlərdə yeganə imtina nöqtəsinin olması qəbulolunmazdır. Digər tərəfdən baxdıqda

isə, paylanmış, yəni verilənlərin analizi üçün yeganə mərkəzə bağlı olmayan strukturlar

mövcuddur. Paylanmış sistem tam və ya qismən mərkəzləşdirilmiş ola bilər. Tam paylanmış

strukturda ayrı-ayrılıqda bütün seqmentlər və onların fəaliyyət blokları eynihüquqludur. Yəni bir

seqmentin sıradan çıxması ümumi strukturun iş fəaliyyətinə cuzi təsir göstərəcək. Buna

baxmayaraq, verilənlərin və analiz prosesinin lokal seqmentlə məhdudluğu nəticələrin

dolğunluğuna mənfi təsir göstərir. Qismən mərkəzləşdirilmiş strukturda isə müəyyən hallarda bir

və ya bir neçə seqment analiz prosesini öz üzərinə götürür. Amma bu halda da analiz prosesini öz

üzərinə götürmüş seqment digərlərinə nisbətən daha çox yüklənmiş olur. Bunun üçün də tam

paylanmış və mərkəzləşdirilmiş sistemlər arasında balanslaşdırılmış və qismən mərkəzləşdirilmiş

sistem qurulması vacibdir.

Şəbəkə təhlükəsizliyinin təmin olunması üçün artıq lokal tədbirlərin lazımi qədər effektli

olmadığı [2]-də göstərilmişdir. Məsələn, artıq klassik müdaxilələrin aşkarlanması sistemlərinin

(ingiliscə – Intrusion Detection System, IDS) kifayət qədər effektli olmadığı məlumdur və bunun

üçün müdaxilələrin aşkarlanması şəbəkəsinin qurulması labüddür. Buna [3]-də qeyd olunan

DOMINO Overlay qlobal müdaxilələrin aşkarlanması şəbəkəsini misal göstərmək olar. DOMINO

Overlay müdaxilələrin aşkarlanması üzrə əməkdaşlıq sistemi olub, böyükmiqyaslı və genişzolaqlı

İnternet qovşaqlarında müdaxilələrin aşkarlanması prosesinə cavabdehdir. Bu sistem coğrafi

baxımdan müxtəlif yerlərdə yerləşib və iyerarxik-heterogen struktura malikdir, buna baxmayaraq,

şəbəkə aktorları arasında informasiya mübadiləsi mövcuddur.

Şəbəkə təhlükəsizliyi hadisələrinin aşkarlanması və aradan qaldırılması üçün daha bir

yanaşma SIEM-dir. SIEM vendorların təklif etdiyi həllərə uyğun olaraq müxtəlif funksionallıqda

ola bilər. Amma bütün bu SIEM-lərin hamısının ortaq cəhətləri vardır. SIEM-in fundamental və ya

aparıcı hissələri aşağıdakı kimidir: toplama, analiz/aqreqasiya, saxlama.

Təhlükəsizlik əməliyyatları mərkəzləri təşkilati və texniki təhlükəsizlik məsələləri ilə

məşğul olan mərkəzlərdir. Bu mərkəzin əməliyyat qabiliyyəti isə aşağıdakı bloklar əsasında

realizasiya olunur: verilənlərin generatoru olan sensorlar, verilənlərin saxlanılması üçün toplama

bloku, ümumi formata uyğunlaşdırılmış verilənlər bazası, insidentlərin analizi, biliklər bazası,

qərar və hesabat.

CSIRT informasiya təhlükəsizliyi insidentlərinə cavabvermə qrupudur. Onun əsas məqsədi

korporativ şəbəkədə informasiya təhlükəsizliyi risklərinin qəbul edilmiş səviyyədə idarə

edilməsini təmin etməkdir. Bu məqsədlə CSIRT informasiya təhlükəsizliyinin pozulmasına

yönəlmiş hərəkətlərin aşkarlanması, qarşısının alınması və istifadəçilərin məlumatlandırılması

prosesini yerinə yetirir. CSIRT korporativ şəbəkədə ziyanlı proqramların yayılması və şəbəkə

hücumları ilə əlaqədar statistik verilənlərin toplanmasını, saxlanılmasını və analizini həyata keçirir

[5]. Qarşıya qoyulmuş vəzifələrin yerinə yetirilməsi üçün CSIRT informasiya təhlükəsizliyi

sahəsində fəaliyyət göstərən digər təşkilatlarla qarşılıqlı əlaqə saxlamalıdır.

Yuxarıda informasiya təhlükəsizliyinin təmin olunması üçün təşkilati və praktiki sistemlər

göstərilmişdir. Bu sistemlərin əsas tərkib hissəsi, monitorinq və onun nəticəsində əldə olunan

məlumatlardır. Bu məqalədə təklif olunan konseptual model daha operativ və dolğun nəticələr əldə

etməyə şərait yaradacaqdır.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Konseptual modelin qurulması prinsipləri

Şəbəkə təhlükəsizliyinin intellektual monitorinqi şəbəkə haqqında informasiyanın

toplanması, analizi və nəticələri haqqında məlumatları əlaqədar şəxslər və ya sistemlərə

yönləndirən, müasir tələbləri ödəyən, proqram və aparat komplekslərindən ibarət olan mürəkkəb

bir sistemdir. Monitorinq sistemi bir çox funksiyaların yerinə yetirilməsini təmin edir ki, bu da

şəbəkənin səmərəliliyinin artırılmasına gətirib çıxarır.

Bu sistem lazım olan informasiyanı sensorların köməyi ilə kompüter şəbəkəsindən,

kompüter sistemlərindən, istifadəçilərdən və s. məlumat mənbələrindən toplayır. Həmin

məlumatların toplanması, saxlanması, emal olunması və vizuallaşdırılması ayrı-ayrılıqda ağır,

çətin və çoxlu insan əməyi tələb edən prosesdir. Amma heç də az vacib olmayan məsələlərdən biri

də verilənlərin düzgün interpretasiya olunmasıdır. Yuxarıda qeyd etdiyimiz kimi, burada da insan

amili, şübhəsiz, müstəsna əhəmiyyətə malikdir. Belə olduğu halda, tələb olunur ki, müdaxilələrin

aşkarlanması sistemi təhlükələri nəyə əsasən təyin etdiyini düzgün interpretasiya etsin. Bu

mərhələdə buraxılan hər hansı səhv kompüter şəbəkəsinin təhlükəsizliyinə nəzarətin itirilməsinə

gətirib çıxara bilər.

Şəbəkə təhlükəsizliyinin intellektual monitorinqi vəzifələrinə gəldikdə isə, əsas siyasət

müəyyən olunmalıdır. Bu siyasət istifadəçilərin qlobal və lokal şəbəkədən istifadəsini etibarlı və

təhlükəsiz etməklə yanaşı, informasiyanın toplanaraq analiz edilməsi üçün də vacibdir. Bu, baş

verəcək hadisənin qarşısını almaq və ya baş vermiş hadisəni tədqiq etmək üçün olduqca

Yuxarıda deyilənləri nəzərə alaraq, ilk növbədə, bu sistemin konseptual arxitekturunun

qurulması vacibdir. Bu, konseptual arxitektur əsasında hər blok üzrə tələblər müəyyən olunaraq,

reallaşdırma prosesinə asan keçid təmin olunacaq.

İntellektuallıq bloklarda ayrı-ayrılıqda süni intellekt modelinin tətbiqi ilə bitmir. Konseptual

arxitektur bir çox lokal, regional və bir qlobal mərkəzi özündə birləşdirir, bu isə iyerarxik quruluş

yaradır. Konseptual modeldə eyniranqlı bloklar müəyyən olunaraq onların arasında informasiya

mübadiləsinə şərait yaradılsa, problemin daha aşağı səviyyələrdə həll olunması mümkün olur.

Yəni səviyyəsindən asılı olaraq, baş verən problemlərin operativ və minimal maddi zərərlə aradan

qaldırılması üçün, ilkin olaraq, lokal səviyyədə həll olunmağa cəhd edilməlidir.

Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu vəzifə və

funksiyalar, proseslər və sensorlar, sistemlər, istifadə edilən müasir texnologiyalar da daxil

olmaqla yaradılır. Şəkil 1-dən göründüyü kimi, arxitektur ümumi olaraq toplama, analiz və qərar

bloklarından ibarətdir. Hər bir blok tərkibində müəyyən funksiyaları yerinə yetirən alt bloklardan

ibarətdir. Bunları geniş formada aşağıda izah etməyə çalışacağıq.

Şəkil 1. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual arxitekturu.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Toplama bloku

Toplama (Sensorlar) Şəbəkə haqqında informasiyanın toplanması üçün müxtəlif növ

sensorlar istifadə olunur. Bu sensorlar avtonom fəaliyyət göstərə və ya bir mərkəzdən idarə oluna

bilərlər. Sensorların sayları və növləri monitorinqi aparılan şəbəkənin profilinə və miqyasına görə

dəyişə bilər. Sensorların sinfi onların topladığı verilənlərin xarakterinə görə müəyyən olunur.

Ümumi formada sensorları 2 sinfə bölmək olar: aparat sensorları və proqram sensorları. Amma bu

sensorlar da toplanan informasiyanın tipinə görə altsiniflərə bölünürlər (trafik, proses, istifadəçi

aktivliyi sensorları və s.). Aparat sensorları dedikdə, ümumi qəbul olunmuş monitorinq sensoru

IPFIX, sFlow

və s. nəzərdə tutulur. İstehsalçıya aid xüsusi aparat sensorları da

mövcuddur, məsələn: Cisco-netflow, MicrosoftWindows Network Card Sensor və s. Proqram

sensorlarına, PRTG – Packet Sniffer Sensor, Core Health Sensor, ClusterState Sensor və s. misal

göstərmək olar. Bu sensorlar müəyyən olunmuş mənbələrdən generasiya olunan aktivliyi

Genişzolaqlı şəbəkələrin monitorinqi üçün trafik axınının toplanması və analizi çox yayılmış

metodlardan biridir. Bu yanaşma provayderlər səviyyəsində daha çox aktualdır. Trafik axının

toplanması üçün NetFlow, IPFIX və s. protokolları istifadə olunur. Trafik axınının monitorinq

mərhələləri bir-biri ilə sıx əlaqəlidir və hər bir mərhələ diqqətlə öyrənilməlidir [6]. Bu mərhələlərə

paketin müşahidəsi, axının ölçülməsi və ötürülməsi, verilənlərin toplanması və analizi aiddir.

Şəbəkədə yerləşdirilən sensorlar vasitəsilə trafiki paketlər səviyyəsində analiz etmək

mümkündür. Paketlər əsasında monitorinq, daha genişmiqyaslı trafik axınının monitorinqi

metoduna tam əks olan metoddur və daha detallı informasiya əldə etməyə imkan verir. Amma bu

prosesin reallaşdırılması istifadəçilərin şəxsi məlumatlarına təhlükə yaradır və emal prosesi üçün

güclü prosessor, böyük əməli yaddaş tələb edir. [7]-də paketin yalnız birinci dörd baytını qeyd

etməklə daha az resurs tələb edən monitorinq metodu təklif olunur.

İlkin emal verilənlər müxtəlif sensorlardan və müxtəlif formatlarda generasiya olunduğu

üçün, ilkin olaraq, aqreqasiya prosesindən keçirilir və bir qayda olaraq, bütün verilənlər bir formata

çevrilir. Bu proses konsalidasiya adlanır. Aqreqasiya prosesindən keçən verilənləri korrelyasiya

edərək, hücumun müxtəlif hissələrini eyni şəkildə toplayaraq dolğun məlumat almaq mümkündür.

Saxlama alınan məlumatlar korporativ siyasətə əsasən, müəyyən vaxt ərzində saxlanılır.

Şəbəkə strukturunun, xidmətlərin və istifadəçilərin generasiya etdiyi informasiya zaman keçdikcə

böyük informasiya kütləsinə çevriləcəyi hamıya məlumdur. Bunu bildiyimiz üçün oflayn rejimdə

informasiyanın saxlanılması üçün müəyyən təsnifat rejimindən keçərək qüvvədə olan siyasətə

uyğun olan və anomaliya aşkarlanmayan verilənlər daimi yaddaşda saxlanılmır.

Yalnız anomallıq aşkarlanan verilənlərin yaddaşda saxlanılması verilənlərin yenidən analizi

zamanı müəyyən informasiya çatışmazlıqlarına gətirib çıxara bilər, amma bu son nəticədə limitsiz

olmayan resursların düzgün istifadəsi üçün yararlı olacaqdır.

Şəbəkə trafiki verilənlərinin toplanması və saxlanması şəbəkələrin böyüməsi və

sürətlənməsi ilə əlaqədar olaraq daha çətin olur, SQL verilənlər bazası və xüsusi binar format kimi

həllər, daxil olan verilənlərin artma tempinə uyğun genişlənə bilmirlər. [8]-də nProbe şəbəkə

trafikinin toplanması alətinin və FastBit verilənlər bazasının sintezindən yaradılmış açıq kodlu

proqram təminatıdır. Bu metod vasitəsilə Gbit sürətə qədər şəbəkə trafiki axınının toplanılması və

lazımi anda hər hansı bir informasiyanın axtarılması və tapılması mümkün olur.

Vizuallaşdırma – şəbəkə trafiki haqqında ümumi ədədi məlumatların başa düşülməsi üçün

əyani görünüş forması olub, operatorlar üçün ilkin müşahidə vasitəsidir. Buna Cacti, Nagios və s.

açıq kodlu proqram təminatlarını misal göstərmək olar. Bu alətlər kompüter şəbəkəsi trafikini,

hesablama nöqtələrinin vəziyyətini və avadanlıqlar haqqında statistik informasiyanı müəyyən vaxt

intervalında SNMP vasitəsilə toplayaraq qrafiklər yaradır (Şəkil 2).

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Şəkil 2. Şəbəkə trafikinin diaqram formasında vizuallaşdırılması

Analiz bloku

Şəbəkə trafikinin identifikasiyası və kateqoriyalaşdırılması onun idarə olunmasının əsas

elemetlərindən biridir. Buna axının prioritetləşdirilməsi, trafikin formalaşdırılması və diaqnostik

monitorinqi misal göstərmək olar.

İnternet trafikinin ölçmələrini, adətən, yüksək hesablama gücünə malik olan serverdə həyata

keçirilir. Server trafik axını və paketləri toplayır və analiz edir. Nəzərə alsaq ki, uzunmüddətli,

böyükhəcmli və böyükmiqyaslı statistik verilənlərin monitorinqi zamanı Tera və Peta bayt həcmdə

verilənlər generasiya olunur və bu emal prosesinin bir serverdə aparılması məqsədəuyğun deyil.

Adətən, böyük həcmdə informasiyanın sıxılması üçün diskretizasiya və ya aqreqasiya metodları

istifadə edilir, bu halda trafik axınının müəyyən verilənləri ixtisar olunur. Son zamanlar bu

məsələnin həlli üçün bulud hesablama texnologiyaları və klaster fayl sistemlərindən istifadə edilir.

Buna misal olaraq, İnternet trafikinin analizi üçün bulud hesablamaları əsasında MapReduce

proqram platformasının istifadə olunması təklif olunur [9]. Açıq kodlu proqram təminatı olan

MapReduceHadoop əsasında aparılan təcrübələrə əsasən müəyyən olunmuşdur ki, bir serverli

hesablama alətinə nisbətən statistik trafikin hesablaması zamanı nəticə 72% daha sürətli əldə edilir.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Şəbəkənin idarə olunması və şəbəkə təhlükəsizliyinin səmərəliliyinin yüksəldilməsinə

yönəlmiş tədqiqatlarda trafikin klassifikasiyasından və klasterləşdirilməsindən geniş istifadə

olunur. İnternetdən geniş istifadə olunması, protokolların və tətbiqi proqramların inkişafı ilə

trafikin analizi sahəsində də tədqiqatların aparılması aktuallaşmışdır. İnformasiya təhlükəsizliyi

hadisələrinin və ya anomaliyalarının aşkarlanması üçün klassifikasiya və klasterləşdirmə

metodlarından geniş istifadə olunur. Misal olaraq, [10]-da Naive Bayes və neyron şəbəkə

metodlarından istifadə edərək operativliyi və ya dəqiqliyi azaltmadan klassifikasiya

xarakteristikalarını yüksəltmək məqsədilə iki mərhələli ardıcıl klassifikator təklif edilir.

Məlumdur ki, təhlükələrin yaranmasının əsas səbəblərindən biri şəbəkə trafikində anomal və

tematik profilə uyğun olmayan trafikin generasiya olunmasıdır. Bunları nəzərə alaraq [11]-də

şəbəkə trafikində davranış profilinin müəyyən olunması üçün vasitə işlənib hazırlanmışdır.

Davranış profilinin müəyyən olunması üçün k-ortalar klasterizasiya metodu tətbiq olunmuşdur.

[12]-da isə şəbəkə trafikinin real vaxt rejimində identifikasiyası və klassifikasiyası

prosesinin reallaşdırma metodu təklif olunur. Bunun üçün altı maşın təlimi alqoritmi

AdaboostM1, C4.5, Random Forest tree, MLP, RBF və Polykernel ilə SVM

) tətbiq edilir. Bu

reallaşdırma göstərir ki, ağac tipli maşın təlimi metodu trafikin klassifikasiyası və identifikasiyası

üçün effektlidir və İnternet trafikinin klassifikasiya dəqiqliyi 99.76.16% təşkil edir.

Qərar bloku

Qərarların qəbul olunması

– İnformasiya təhlükəsizliyinin emalı üzrə qəbul edilmiş qərarlar

bir çox halda əvvəllər qazanılmış təcrübəyə və qəbul edilmiş qərarlara əsaslanır, onları yeni

situasiya üçün adaptasiya edir. Bunları nəzərə alaraq, insanın iştirakını minimuma endirmək və

reaksiyanın operativliyinin yüksəldilməsi məqsədi ilə ekspert sistemlərindən istifadə olunmalıdır.

Bizim təklif etdiyimiz arxitektur daxilində bu prosesin idarə olunması üçün presedentlər

nəzəriyyəsi (ing., Case-Based Reasoning, CBR) seçilmişdir.

CBR metodologiyasının mahiyyəti aşağıdakından ibarətdir: Faktiki olaraq, presedent

cütüdür. Zaman keçdikcə meydana çıxan situasiyalar və onların həlli

yolları xüsusi bazada – presedentlər bazasında saxlanılır. Yeni situasiya yarandıqda presedentlər

bazasında oxşar situasiya axtarılıb tapılır və onun həll metodu baxılan situasiyaya adaptasiya

olunur. CBR metodologiyası diaqnostika, proqnozlaşdırma, müxtəlif predmet sahələrində

planlaşdırma və layihələndirmə işlərində və bir çox klassifikasiya məsələlərinin həllində istifadə

edilir. CBR informasiya təhlükəsizliyinin müxtəlif aspektlərinə [13]-də baxılmış, risklərin

qiymətləndirilməsinə, müdaxilələrin aşkarlanmasına, şəbəkə təhlükəsizliyi vəziyyətinin analizinə

də tətbiq edilmişdir.

Presedentlər bazası – əvvəlcədən aşkarlanmış və müvafiq tədbir görülmüş insidentlərin həlli

yolları bu bazada yerləşdirilir. Yəni, hazır həllər yaddaşı kimi mərkəzdə presedentlər bazası

yerləşdirilib. Yeni bir problem baş verdikdə o əlamətlərin vektor funksiyası ilə bazada

qeydiyyatdan keçirilir, bu da presedentlər bazasından problemlərin axtarılmasını təmin edir.

Aydındır ki, funksiyaların oxşarlıq səviyyəsi nə qədər çox olarsa, presedentlərin axtarış effektivliyi

də bir o qədər yüksək olar.

Qərarları qəbul edən şəxs və ya qrup

– presedentlər bazasında uyğun presedent tapılmadığı

halda qərar əvvəlcədən müəyyən olunmuş ekspertlər tərəfindən qəbul olunur.

Qərarlara dəstək sistemi hər iki halda – uyğun presedent tapıldığı və tapılmadığı halda qəbul

olunmuş qərarı təhlükəni zərərsizləşdirmək üçün proseslərə və eyni zamanda, hesabat formasında

aidiyyatı şəxslərə ötürür. Yeni insidentlər və onların həlləri dəqiqləşdirildikdən sonra bu həllər

yekun qərar vermək hüququ olan aidiyyatı şəxslər tərəfindən hazır həllər bazasına ötürülür.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Konseptual modelin makro-arxitekturu

Yuxarıda göstərilən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual

modelinin arxitekturunun təsir dairəsi bir lokal şəbəkə daxilindədir. Buna görə də, bir lokal şəbəkə

daxilində baş verən proseslərə nəzarət və ona uyğun qərarlar generasiya edə bilir. Bir korporativ

şəbəkə altında müxtəlif şəbəkələrin varlığını nəzərə alsaq, baş vermiş insident ya ümumiyyətlə,

vəziyyət haqqında şəbəkələrarası monitorinq verilənlərinin mübadiləsinin, informasiya

təhlükəsizliyi nöqteyi nəzərindən vacib olduğunu başa düşərik. Yuxarıda deyilənlərə əsaslanaraq,

iyerarxik struktura malik olan şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual

modelinin makro-arxitekturunun formalaşması vacibdir.

Şəkil 3-də konseptual modelin iyerarxik makro-arxitekturu göstərilmişdir və onun iki

səviyyəsi vardır: korporativ və lokal. Təklif olunan konseptual model hər bir səviyyə və onun

seqmentləri üzrə ayrı-ayrılıqda tətbiq olunur. Lokal səviyyədə yerləşən blokların hər biri ayrıca

korporativ şəbəkəni təmsil edir və müxtəlif böyüklükdə ola bilməklə yanaşı, müxtəlif regionda,

müxtəlif saat qurşaqlarında yerləşə bilər. Bundan asılı olmayaraq, hər bir blok ayrı-ayrılıqda

avtonom fəaliyyəti və informasiya mübadilə qabiliyyəti ilə təmin olunmalı və bütün infrastruktura

inteqrasiya edilməlidir. Yəni, bloklar ayrı-ayrılıqda lokal bir strukturun tərkib hissəsi olsalar da,

hər bir blok bütün konseptual arxitektur üzrə özünün analoqu olan bloklara aktiv informasiya

mübadiləsi edərək, anomallıq və özü haqqında aktual informasiyanı paylaşa bilməlidir.

Şəkil 3. Şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual makro-arxitekturu

Şəkil 3-dən göründüyü kimi, qlobal səviyyədə yerləşən blokun toplama funksiyası yoxdur.

Bu blokun əsas vəzifələri aşağı səviyyəli blokların iş fəaliyyətinə nəzarət, xüsusi hallarda lokal

səviyyədə yerləşən blokların emal edə bilmədiyi hadisələrə reaksiya vermək və həllər generasiya

Bu məqalədə korporativ şəbəkənin bütün elementlərini, istifadəçilərini, texnologiyalarını,

verilənlərini əhatə edən və informasiya təhlükəsizliyi hadisələrinin müəyyən olunmasını təmin

edən şəbəkə təhlükəsizliyinin intellektual monitorinqinin konseptual modeli təklif edilir. Əsas

məqsəd bütün korporativ şəbəkəni və onun altşəbəkələrini real zaman anında əhatə edərək,

şəbəkənin hər hansı bir yerində baş verə biləcək hadisəyə anında və dolğun reaksiya verməkdir.

Aktual olan şəbəkə təhlükəsizliyi məsələlərinin idarə olunması kommersiya məhsullarının

aşkarlama, emal etmə və qərar vermə proseslərini realizasiya etmək qabiliyyətindədir.

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Əliquliyev R.M., İmamverdiyev Y.N., Nəbiyev B.R. Şəbəkə təhlükəsizliyinin monitorinqi

metodlarının analizi // İnformasiya Texnologiyaları Problemləri, 2014, № 1, s. 60–68.

Fung C.J., Boutaba R. Design and management of collaborative intrusion detection networks

/ International Symposium on Integrated Network Management, 2013, pp. 955-961.

Yegneswaran V., Barford P., Jha S. Global Intrusion Detection in the DOMINO Overlay

System / Proc. of the Network and Distributed System Security Symposium, 2004, pp.1–17.

Fataliyev Z., Imamverdiyev Y.N. Security Operation Center Architecture for E-government

based on Big Data Analysis / Elektron dövlət quruculuğu problemləri I Respublika elmi-

praktiki konfransı. Bakı, 2014. pp. 140–144.

Hofstede R., Celeda P., Trammell B., Drago I., Sadre R., Sperotto A., Pras A. Flow

Monitoring Explained: From Packet Capture to Data Analysis with NetFlow and IPFIX //

IEEE Communications Surveys & Tutorials, 2014, vol. 16, pp. 2037-2064.

Deri L., Lorenzetti V., Mortimer S., Collection and Exploration of Large Data Monitoring

Sets Using Bitmap Databases / Second International Workshop Traffic Monitoring and

Analysis, 2010, pp 73–86.

Giura P., Memon N., NetStore: An Efficient Storage Infrastructure for Network Forensics and

Monitoring / Proc. of the International Symposium on Recent Advances in Intrusion

Detection, 2010, pp. 277–296.

Lee Y., Kang W., Son H., An Internet Traffic Analysis Method with MapReduce // Proc. of

the IEEE/IFIP Network Operations and Management Symposium Workshops (NOMS

Wksps), 2010, pp. 357 – 361.

İmamverdiyev Y.N., Nəbiyev B.R. Şəbəkə trafiki üçün multi-klassifikator modeli //

İnformasiya Texnologiyaları Problemləri, 2014, № 2, s. 60–68.

Nəbiyev B.R. Şəbəkə trafikinin klasterizasiya metodu haqqında / Beynəlxalq

telekommunikasiya İttifaqının 150 illiyinə həsr olunmuş İnformasiya təhlükəsizliyinin

multidissiplinar problemləri üzrə II respublika elmi-praktiki konfransı, Bakı, 2015, s. 213–215.

Jaiswal R. C., Lokhande S. D. Machine learning based internet traffic recognition with

statistical approach / Proc. of the Annual IEEE India Conference, 2013, pp. 1–16.

İmamverdiyev Y.N., Nəbiyev B.R. Presedentlər nəzəriyyəsi əsasında şəbəkə təhlükəsizliyinin

monitorinqi üzrə qərarların qəbulu metodu // İnformasiya Texnologiyaları Problemləri, 2012,

İnformasiya cəmiyyəti problemləri, 2017, №1, 81–89

Имамвердиев Ядигар Н.

, Набиев Бабек Р.

Концептуальная модель интеллектуального мониторинга сетевой безопасности

В этой статье предлагается принципиально новая и более эффективная концептуальная

модель интеллектуального мониторинга сетевой безопасности. В этой статье

рассматриваются интеллектуальная модель процесса мониторинга, функциональные блоки,

процессы и тенденции в области применения. Кроме того, рассматриваются уязвимости и

недостатки системы мониторинга. Предложенная модель для устранения вышеупомянутых

проблем сочетает в себе функциональные возможности, мониторинг проблемно-

ориентированных информаций, первоначальную обработку собранных данных,

индексацию данных, структурирование данных, хранение и управление собранной

информацией, предоставление отчетов, которые могут быть проанализированы по запросам

лиц, принимающих решения.

Ключевые слова: сетевая безопасность, мониторинг, искусственный интеллект, сетевой

трафик, концептуальная модель.

Yadigar N. İmamverdiyev

, Babek R. Nabiyev

Institute of Information Technology of ANAS, Baku, Azerbaijan

Conceptual model of intelligent network security monitoring

This paper proposes fundamentally new and more effective conceptual model of intelligent

network security monitoring. General intellectual model of the monitoring process, functional

blocks, processes and trends in the application are considered. In addition, the gaps and weak

points of monitoring system are considered. The proposed model for the elimination of the above-

mentioned problems combines functional capabilities such as the monitoring of problem-oriented

information, initial processing of gathered data, data indexation and structuring, storage and

management of collected information, selection of information in accordance with decision

makers’ requirements generation of readable information that can be analyzed.

Keywords: network security, monitoring, artificial intelligence, network traffic, conceptual model.

Dostları ilə paylaş:

Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2023
rəhbərliyinə müraciət

Comments are closed, but trackbacks and pingbacks are open.