Файловый архив студентов. Файловый архив студентов.
1309 вузов, 5229 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Тульский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Диплом. вариант_1.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
4.21 Mб
Скачать
►Содержание►

        1. Определение общего показателя «аномальности»

Существует несколько возможных методов определения общего показателя «аномальности», один из которых основан на использовании ковариантных матриц, а другой – на статистике Байеса.

Метод «статистика Байеса». Дано n-измерений, которые используются для определения факта вторжения. Тогда А1, А2 … Аn оценивают различные аспекты защищаемой системы, например, количество нарушений памяти, нажатие определённых комбинаций клавиш или активность ввода/вывода. Аi может принимать два значения:

0 – измерение находится в пределах допустимых значений;

1 – измерение аномальное.

Переменная I означает «гипотезу» о нахождения в системе процессов вторжения.

Тогда достоверность и чувствительность каждого конкретного измерения определяется следующими показателями:

При помощи теоремы Байеса вычисляют вероятность:

При предположении, что А1, А2 … Аn условно не зависят друг от друга, а зависят только от гипотезы I, для упрощения вычислений, получат соотношения:

На основе значений измерения аномалий и вероятности появления каждого из измерений «аномальности», определяют вероятность вторжения. Но для получения более корректных и реалистичных данных необходимо учитывать, что А1, А2 … Аn зависят друг от друга.

Ковариантные матрицы используют для того, чтобы учесть все зависимости между измерениями. Если измерения А1, А2 … Аn представляет собой вектор А, то составное измерение аномалии определяется как , где С является ковариантной матрицей, представляющей зависимость между каждой парой измерений.

        1. Методы обнаружения аномалий

К методам обнаружения аномалий относят:

  • статистические методы обнаружения:

  • описательная статистика

  • относительная частота последовательностей;

  • модель среднего значения и среднеквадратичного отклонения;

  • модель временных серий;

  • нейронные сети;

  • временные правила (паттерны).

Метод формирования образа нормального поведения системы в описательной статистике заключается в накоплении в структуре, называемой профайлом, измерений значений параметров оценки. К структуре предъявляются требования, соблюдение которых увеличивает эффективность использования метода: обновление профайла должно быть регулярным и происходить довольно часто, должен быть определен его минимальный конечный размер. В структуру заносятся некоторые типы измерений, к которым относят распределение активности (определенное действие в системе: доступ к файлам, операции ввода-вывода), показатели активности (при превышении конкретного предела данная активность считается быстро прогрессирующей), порядковые измерения (числовое значение, например, количество определенных операций, выполняемых каждым пользователем) и т.д. Пусть М1, М2 … Мn – измерения профайла, S1, S2 Sn – значения аномалий (результат сравнения между измерениями профайла и текущими значениями). Чем больше S1, тем больше и значение аномалии в 1‑показателе. Далее значения подставляются в некую общую функцию и на основе её делают заключение о возможной аномалии. К преимуществам такого метода относятся: хорошо развитая базовая теория; наличие небольшого объёма памяти для хранения множества контролируемых переменных; использование времени в качестве параметра при анализе. Недостатком считают трудность определения порога, превышение которого говорило бы о вторжении (его завышение ведёт к пропуску вторжения, а занижение – к ложному срабатыванию), так же необходимо учитывать, что поведение одно и того же пользователя может изменяться время от времени по разным причинам (например, при выполнении широкого спектра разнообразной работы). Специалисты отмечают нечувствительность метода на порядок событий в системе, что сказывается на анализе данных.

Метод относительной частоты последовательности основан на частотном распределении различных событий. Событие – это определенная последовательность системных вызовов. Каждое событие характеризуется числовым показателем, определяемым на основе частоты его появления при нормальном поведении в системе. Множество нормальных состояний программы образует «центр тяжести», относительно расстояния до которого, можно делать заключения об аномальности текущего состояния. Разработчики систем обнаружения вторжений рекомендуют для каждой последовательности событий хранить два значения: частоту появления события при «стандартном» поведении и вторжении. Последовательности обрабатываются как подозрительные, если они чаще встречаются при вторжениях, нежели при нормальном поведении. Однако главная трудность заключается в том, что информация о частоте системных вызовов возможных вторжений изначально не известна, а поэтому должна быть задана на основе предположений.

Метод среднего значения и среднеквадратичного отклонения основан на наблюдениях некоторой величины Х, о которой известны только её среднее значении и среднеквадратичное отклонение соответственно:

и

Новое наблюдение считают аномальным, если оно не укладывается в границах доверительного интервала . Так как аномальность поведения зависит от значения доверительного интервала, то понятие аномальности для пользователей системы может отличаться. Преимущество данного метода заключается в том, что оценка аномальности не зависит от априорных знаний.

В модели временных серий анализируются 3 составляющие: время, счётчик событий и измерения ресурсов. Новое наблюдение относят к аномалии, если вероятность его появления с учетом времени достаточно невелика. Преимуществом данной модели считается учет временного сдвига между событиями, недостатком – дополнительные вычисления при сравнении с моделью среднего значения и среднеквадратичного отклонения.

Другим способом формирования образа нормального поведения сети является использование нейронных сетей: входные данные сети, которые состоят из текущих и сохранённых (прошлых) информационных единиц, обрабатываются нейронной сетью с целью прогнозирования последующих команд. Обученная нейронная сеть представляет собой образ нормального поведения. Аномалией является любое отклонение от данного образа. Главным преимуществом является то, что в данном методе автоматически учитываются все связи между различными измерениями, которые влияют на результат оценки. К недостатку относят выбор количества информационных единиц. При небольшом количестве нейронная сеть будет недостаточно производительной, а при большом будет страдать от огромного количества данных.

Способ временных правил более чувствителен к обнаружению нарушений. Данные правила (паттерны) характеризуют нормальную работу системы. Паттерны формируются индуктивно и заменяются правилами с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы в процессе обучения. Образ в данном способе – это множество паттернов. Например, , где Оi – события безопасности. Из этого правила следует, что после наступления событий О1, О2, О3, вероятность наступления О4 = 78%, О5 = 12% и О6 = 10%. Если же в системе события О1, О2, О3 наступили, а события О4, О5 и О6 значительно отличаются от тех, что должны наступить от ожидаемых, то говорят о наличии аномалии. Минусом данного способа определения аномалий является то, что неузнаваемые правила поведения могут быть приняты за нормальное поведение только потому, что они не соответствуют ни одной из левых частей всех правил. Плюсом же является большая чувствительность к обнаружению нарушений, т.к. паттерны описывают семантику процессов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности