Методы обнаружения аномалий.

⇐ ПредыдущаяСтр 4 из 11Следующая ⇒

К методам обнаружения аномалий относят:

- статистические методы обнаружения:

- описательная статистика

- относительная частота последовательностей;

- модель среднего значения и среднеквадратичного отклонения;

- модель временных серий;

- нейронные сети;

- временные правила (паттерны).

Метод формирования образа нормального поведения системы в описательной статистике заключается в накоплении в структуре, называемой профайлом, измерений значений параметров оценки. К структуре предъявляются требования, соблюдение которых увеличивает эффективность использования метода: обновление профайла должно быть регулярным и происходить довольно часто, должен быть определен его минимальный конечный размер. В структуру заносятся некоторые типы измерений, к которым относят распределение активности (определенное действие в системе: доступ к файлам, операции ввода-вывода), показатели активности (при превышении конкретного предела данная активность считается быстро прогрессирующей), порядковые измерения (числовое значение, например, количество определенных операций, выполняемых каждым пользователем) и т.д. Пусть М₁, М₂… М_n – измерения профайла, S₁, S₂… S_n – значения аномалий (результат сравнения между измерениями профайла и текущими значениями). Чем больше S₁, тем больше и значение аномалии в 1‑ показателе. Далее значения подставляются в некую общую функцию и на основе её делают заключение о возможной аномалии. К преимуществам такого метода относятся: хорошо развитая базовая теория; наличие небольшого объёма памяти для хранения множества контролируемых переменных; использование времени в качестве параметра при анализе. Недостатком считают трудность определения порога, превышение которого говорило бы о вторжении (его завышение ведёт к пропуску вторжения, а занижение – к ложному срабатыванию), так же необходимо учитывать, что поведение одно и того же пользователя может изменяться время от времени по разным причинам (например, при выполнении широкого спектра разнообразной работы). Специалисты отмечают нечувствительность метода на порядок событий в системе, что сказывается на анализе данных.

Метод относительной частоты последовательности основан на частотном распределении различных событий. Событие – это определенная последовательность системных вызовов. Каждое событие характеризуется числовым показателем, определяемым на основе частоты его появления при нормальном поведении в системе. Множество нормальных состояний программы образует «центр тяжести», относительно расстояния до которого, можно делать заключения об аномальности текущего состояния. Разработчики систем обнаружения вторжений рекомендуют для каждой последовательности событий хранить два значения: частоту появления события при «стандартном» поведении и вторжении. Последовательности обрабатываются как подозрительные, если они чаще встречаются при вторжениях, нежели при нормальном поведении. Однако главная трудность заключается в том, что информация о частоте системных вызовов возможных вторжений изначально не известна, а поэтому должна быть задана на основе предположений.

Метод среднего значения и среднеквадратичного отклонения основан на наблюдениях некоторой величины Х, о которой известны только её среднее значении и среднеквадратичное отклонение соответственно:

Новое наблюдение считают аномальным, если оно не укладывается в границах доверительного интервала . Так как аномальность поведения зависит от значения доверительного интервала, то понятие аномальности для пользователей системы может отличаться. Преимущество данного метода заключается в том, что оценка аномальности не зависит от априорных знаний.

В модели временных серий анализируются 3 составляющие: время, счётчик событий и измерения ресурсов. Новое наблюдение относят к аномалии, если вероятность его появления с учетом времени достаточно невелика. Преимуществом данной модели считается учет временного сдвига между событиями, недостатком – дополнительные вычисления при сравнении с моделью среднего значения и среднеквадратичного отклонения.

Другим способом формирования образа нормального поведения сети является использование нейронных сетей: входные данные сети, которые состоят из текущих и сохранённых (прошлых) информационных единиц, обрабатываются нейронной сетью с целью прогнозирования последующих команд. Обученная нейронная сеть представляет собой образ нормального поведения. Аномалией является любое отклонение от данного образа. Главным преимуществом является то, что в данном методе автоматически учитываются все связи между различными измерениями, которые влияют на результат оценки. К недостатку относят выбор количества информационных единиц. При небольшом количестве нейронная сеть будет недостаточно производительной, а при большом будет страдать от огромного количества данных.

Способ временных правил более чувствителен к обнаружению нарушений. Данные правила (паттерны) характеризуют нормальную работу системы. Паттерны формируются индуктивно и заменяются правилами с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы в процессе обучения. Образ в данном способе – это множество паттернов. Например, , где О_i – события безопасности. Из этого правила следует, что после наступления событий О₁, О₂, О₃, вероятность наступления О₄ = 78%, О₅ = 12% и О₆ = 10%. Если же в системе события О₁, О₂, О₃ наступили, а события О₄, О₅ и О₆ значительно отличаются от тех, что должны наступить от ожидаемых, то говорят о наличии аномалии. Минусом данного способа определения аномалий является то, что неузнаваемые правила поведения могут быть приняты за нормальное поведение только потому, что они не соответствуют ни одной из левых частей всех правил. Плюсом же является большая чувствительность к обнаружению нарушений, т.к. паттерны описывают семантику процессов.

⇐ Предыдущая 1 2 345 6 7 8 9 10 Следующая ⇒