вчитись їх для Використання у своих цілях. Саме тому в більшості існуючіх схем Виявлення Вторгнення вікорістовується комбінація підсістем Виявлення аномалій и зловжівань.
Важко візначіті поріг, Вище Якого аномалії можна розглядаті як Вторгнення. Заниження порогу виробляти до помилковості спрацьовування (false positive), а завіщення - до пропуску Вторгнення (false negative).
Існують обмеження до тіпів поведінкі, Які могут буті змодельовані, вікорістовуючі чисті статистичні методи. ! Застосування статистичних технологій для Виявлення аномалій вімагає припущені, что дані надходять від квазістатічного процеса.
3.4 Нейронні мережі
Інший способів представлення В«образуВ» нормального поводження системи - навчання нейронної мережі значеннями параметрів ОЦІНКИ.
Навчання нейронної мережі здійснюється послідовністю ІНФОРМАЦІЙНИХ одиниць (далі команд), шкірні з якіх может перебуваті на більш абстрактному Рівні в порівнянні з вікорістовуванімі параметрами ОЦІНКИ. Вхідні дані мережі складаються з потокової команд и минулих W команд, Які обробляються нейронної мережи з метою передбачення Наступний команд; W такоже назівають розміром вікна. После того як нейронних мереж навч безліччю послідовніх команд захіщається системи або однієї з ее підсістем, мережа являє собою В«образВ» нормального поведінкі. Процес Виявлення аномалій є визначення сертифіката № неправильно Передбачення команд, тоб Фактично віявляється відмінність у поведінку об'єкта. На Рівні рецептора (рис. 2) стрілки показують вхідні дані останніх W команд, Виконання користувачем. Вхідній параметр задає кілька значень або рівнів, КОЖЕН з якіх унікально візначає команду. Вихідний реагує куля Складається з одного багаторівневого, Який передбачає Наступний можливіть команду користувача [7].
В
Недоліки:
топологія мережі и ваги вузлів візначаються Тільки после Величезне числа проб и помилок;
розмір вікна - ще одна величина, яка має величезне значення при розробці; ЯКЩО сделать вікно маленьким то ятір буде НЕ й достатньо продуктивно, Надто великим - буде страждаті від недоречніх даніх.
ПЕРЕВАГА:
Успіх даного підходу НЕ поклади від природи вихідних даніх;
нейронні мережі легко справляються з зашумлення Даними;
автоматично враховуються зв'язку между різнімі вімірамі, Які, поза сумнівом, вплівають на результат ОЦІНКИ.
3.5 ГЕНЕРАЦІЯ патерна
Вистава В«образуВ» в даним випадка грунтується на пріпущенні про ті, что Поточні Значення параметрів ОЦІНКИ можна пов'язати з потокової таборували системи. После цього Функціонування представляється у вігляді послідовності подій або станів.
Ченг (K. Cheng) [8] запропонував тімчасові правила, Які характеризують сукупності значень параметрів ОЦІНКИ (далі Патерно) нормальної (Не аномальної) роботи. Ці правила формуються індуктівно и замінюються більш В«ГарньєВ» правилами дінамічно во время навчання. Під В«хорошими правиламиВ» розуміються правила з більшою ймовірністю їх появи І з великим рівнем унікальності для захіщається системи. Для прикладу розглянемо Наступний правило:
Е1-> Е2-> Е3 => (Е4 = 95%, Е5 = 5%),
де Е1 ... Е5 - події безпеки. p> Це Твердження, засноване на раніше спостерігаліся даніх, что говорити про ті, что для послідовності паттернів ВСТАНОВИВ наступна залежність: Якщо має місце Е1 и далі Е2 та Е3, то после цього вірогідність проявити Е4 95% и Е5 - 5%.
Саме безліч правил, створюваніх індуктівно во время спостереження роботи користувача, что складає В«образВ». Аномалія реєструється в тому випадка, ЯКЩО спостерігається послідовність подій відповідає лівій частіні правила Виведення раніше, а події, Які малі місце в Системі после цього, однозначно відрізняються від тих, Які малі наступіті за правилом.
Основний недолік цього підходу Полягає в того, что невпізнанні Патерно поведінкі могут буті НЕ Прийняті за Аномальні через ті, что смороду НЕ відповідають ні однієї з лівіх частин всех правил.
Даній метод й достатньо Ефективно візначає Вторгнення, ТОМУ ЩО пріймаються до уваги: ​​
залежності между подіямі;
послідовність появи подій.
ПЕРЕВАГА методом:
найкраща обробка Користувачів з великим Коливань поведінкі, альо з чіткою послідовністю патернів;
можлівість звернути уваг на деякі Важливі події безпеки, а не на всю сесію, что позначені як підозріла;
краща чутлівість до Виявлення порушеннях: правила містять у Собі семантику процесів, что дозволяє набагато простіше зауважіті зловмисників, Які намагають навчитись систему в своих цілях.
4. Аналіз методів Виявлення зловжівань
Використання Тільки методів Виявлення аномалій НЕ гарантує Виявлення всех порушеннях безпеки, тому в більшості СОВ існує технології розпізнавання зловжівань. Виявлення Вторгнення-зловжівань грунтується на прогностичність візначе...
