МОДЕЛЬ ХРАНЕНИЯ ДАННЫХ В NOSQL-СУБД «APACHE CASSANDRA» В ЗАДАЧАХ ОБНАРУЖЕНИЯ КОМПЛЕКСНЫХ КОМПЬЮТЕРНЫХ АТАК

В статье предлагается модель представления данных в NoSQL-СУБД «Apache Cassandra» для системы обнаружения комплексных компьютерных атак на основе анализа действий пользователей, сетевых взаимодействий и сопоставления с базой знаний MITRE ATT&CK. Сформулированы шесть целевых требований к системе хранения данных, такие как: высокая пропускная способность приема событий, предсказуемые ключ-ориентированные чтения, гибкость схемы для полуструктурированных данных, управление жизненным циклом, масштабируемость и совместимость с MLмодулями. На их основе разработана практическая модель с десятью ключевыми таблицами, предложены правила группировки по временным окнам, стратегия оптимизации хранения для временных рядов TWCS и механизмы автоматического удаления устаревших событий по времени жизни TTL для оперативного окна хранения. Приведено теоретическое обоснование проектных решений, выполнены расчеты объемов хранения и размеров партиций, а также построена аддитивная модель end-to-end задержки. Выполнено аналитическое моделирование трех сценариев нагрузки, показаны ориентировочные требования к ресурсам и p50/p95/p99 латентности. Обозначены ограничения моделирования.