доліки, того в більшості існуючіх СОВ застосовуються комбіновані решение, засновані на сінтезі відповідніх методів. Ідея методів, что Використовують для Виявлення аномалій, Полягає в того, щоб розпізнаті, чі є процес, что віклікав Зміни в работе системи, діямі зловмісніка. Методи поиска аномалій наведені в таблиці 1 і 2. p> Віділяються Дві групи методів: з контрольованім Навчання (В«навчання з учителемВ»), І з неконтрольованім Навчання (В«навчання без учителяВ»). Основна відмінність между ними Полягає в того, что методи контрольованого навчання Використовують фіксований набор параметрів ОЦІНКИ и якісь апріорні Відомості про Значення параметрів ОЦІНКИ. Година навчання фіксовано. У неконтрольованому ж навчанні безліч параметрів ОЦІНКИ может змінюватіся з Плінія годині, а процес навчання відбувається Постійно.
Мета іншого Напрямки (Виявлення зловжівань) - Поиск на послідовностей подій, визначених (адміністратором безпеки або експертом во время навчання СОВ) як етап реалізації Вторгнення. Методи поиска зловжівань наведені в табліці 3. У теперішній час віділяються позбав методи з контрольованім навчання.
Реалізовані в Данії годину в СОВ методи засновані на загально уявленнях Теорії розпізнавання образів. Відповідно до них для Виявлення аномалії на Основі експертної ОЦІНКИ формується образ нормального Функціонування ІНФОРМАЦІЙНОЇ системи. Цею образ Виступає як сукупність значень параметрів ОЦІНКИ. Его зміна вважається проявити аномального Функціонування системи. После Виявлення аномалії та ОЦІНКИ ее мірою формується суджень про природу змін: чг є смороду наслідком Вторгнення або допустимих відхіленням. Для Виявлення зловжівань такоже вікорістовується образ (сигнатура), протікання тут ВІН відображає заздалегідь відомі Дії атакуючого.
3. Аналіз методів Виявлення аномалій
Методи Виявлення аномалій спрямовані на Виявлення невідоміх атак и Вторгнення. Для захіщається системи СОВ на Основі сукупності параметрів ОЦІНКИ формується В«образВ» нормального Функціонування. У СУЧАСНИХ СОВ віділяють кілька способів побудова В«образуВ»:
Накопичення найбільш характерною статистичної ІНФОРМАЦІЇ для шкірного параметра ОЦІНКИ;
навчання нейронних мереж значеннями параметрів ОЦІНКИ;
подієве Подання.
Легко помітіті, что у віявленні Дуже значний роль відіграє безліч параметрів ОЦІНКИ. Тому у віявленні аномалій одним з Головня Завдання є вибір оптимального безлічі параметрів ОЦІНКИ.
Інший, не менше ВАЖЛИВО Завдання є визначення загально сертифіката № аномальності. Складність Полягає в тому, что ця величина винна Характеризувати загальний стан В«аномальностіВ» в захіщається Системі.
3.1 Вибір оптімальної сукупності ознакой ОЦІНКИ захіщається системи
У теперішній час вікорістовується еврістічне визначення (вибір) безлічі параметрів вимірювань, что захіщається системи, Використання Якого винне дати найбільш Ефективне и точне розпізнавання Вторгнення. Складність Вибори безлічі можна поясніті тім, что складові его підмножіні залежався від тіпів віявляються Вторгнення. Тому одна й та ж сукупність параметрів не якщо Адекватне для всіх тіпів Вторгнення.
Будь-яку систему, что Складається Зі звичних апаратних и програмних ЗАСОБІВ, можна розглядаті як Унікальний комплекс Зі своими Особливе. Це є поясненням возможности пропуску спеціфічніх для захіщається системи Вторгнення Тімі СОВ, Які Використовують один и тієї ж набор параметрів ОЦІНКИ. Найбільш детально визначеня решение - визначення необхідніх параметрів ОЦІНКИ в процесі роботи. Труднощі ефективного дінамічного Формування параметрів ОЦІНКИ Полягає в тому, что розмір области поиска експоненціально покладів від потужності початкова безлічі. Если є початковий список з N параметрів, актуальних для пророкує Вторгнення, то кількість підмножін цього списком становіть 2N. Тому не представляється можливіть Використання алгорітмів перебору для знаходження оптимального безлічі. Одне з можливіть РІШЕНЬ - Використання генетичного алгоритму [4].
3.2 Отримання єдиної ОЦІНКИ стану захіщається системи
Загальна оцінка аномальності винна візначається з розрахунку безлічі параметрів ОЦІНКИ. Если це безліч формується так, Як було запропоновано в попередня параграфі, то Отримання єдиної ОЦІНКИ Видається Дуже нелегким Завдання. Один з можливіть методів - Використання статистики Байеса. Інший способ, Який застосовується в NIDES, Заснований на вікорістанні коваріантність матрицю [5].
Статистика Байєса
Нехай А1 .. Аn - n вімірів, Які Використовують для визначення фактом Вторгнення в будь-який момент годині. Кожне АI оцінює різній аспект системи, Наприклад - кількість активностей ВСТУП-Виведення, кількість порушеннях пам'яті и т.д. Нехай Кожне вімірювання АI має два значення 1 - вімірювання аномально, 0 - немає. Нехай I - це гіпотеза того, что в Системі є Процеси Вторгнення. Достовірність та чутлівість шкірн...
