Альманах научных работ молодых ученых
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1
6
данными в цифровой форме, вычислительного интеллекта –
эвристических алгоритмов,
используемых, например, в нечеткой логике, искусственных нейронных сетях. Процесс
обнаружения аномалий представляет собой определение показателя неправильно
предсказанных команд, т.е. фактически обнаруживается отличие в поведении объекта за счет
поиска закономерностей в собранных данных и прогнозирования развития процессов [4].
Одними из
основных требований, предъявляемых к данным решениям, являются
обеспечение адаптивной и высоко масштабируемой аналитической обработки событий,
обеспечивающей интеллектуальное управление большими объемами данных о безопасности
в реальном или близком к реальному масштабу времени. Для анализа данных групп методов
обнаружения аномалий в работе предлагается провести их сравнение по следующим
характеристикам:
– однозначность выявления аномалии (ОВ);
– простота интерпретации результатов (И);
– адаптация к изменяющемуся поведению системы (А);
– необходимость большой выборки исходных данных для построения
нормальной модели
поведения (ВД);
– необходимость предварительного обучения для построения нормальной модели
поведения (ПОб);
– возможность работы с большим объемом входных и выходных данных (БД).
Сравнительная характеристика поведенческих методов обнаружения аномалий
приводится в таблице.
Таблица. Сравнительный анализ методов обнаружения аномалий
Наименование метода
ОВ
И
А
ВД
ПОб
БД
Поведенческие методы
Статистический анализ
цепи Маркова
+
+
+
–
+
–
метод хи-квадрат (χ
2
)
+
+
–
+
+
–
среднеквадратические отклонения
+
+
+
+
+
–
анализ распределений интенсивности
передачи/приема пакетов
–
+
–
+
–
–
анализ временных рядов
–
–
+
+
–
–
пороговый анализ
–
+
–
+
–
–
вейвлет-анализ
+
–
+
–
+
+
анализ энтропии
–
+
–
+
–
–
спектральный анализ
–
+
–
+
+
–
фрактальный анализ
+
–
–
+
+
–
кластерный анализ
+
–
–
+
+
–
Методы машинного обучения
Деревья решений
+
+
+
+
+
–
Байесовские сети
+
+
–
–
+
+
МАР-сплайны
+
–
–
+
+
+
Алгоритмы
кластеризации и регрессии
+
+
–
+
+
+
Методы вычислительного интеллекта
Нейронные сети
+
–
+
+
+
+
Генетические алгоритмы
–
–
+
+
+
+
Нечеткая логика
–
–
+
+
+
–
Иммунные системы
+
–
+
+
+
+
Метод опорных векторов
–
+
–
–
+
+
Роевые алгоритмы
+
–
+
+
+
+
Альманах научных работ молодых ученых
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1
7
Таким образом, преимуществами поведенческих методов являются простота
интерпретации результатов анализа состояния системы, и
как следствие, возможность
проследить динамику процессов для выявления новых типов аномалий. Недостатками
являются требования к наличию большого числа исходных данных для описания модели
нормального поведения системы. Сложность описания данной модели становится причиной
низкой достоверности обнаружения, так как важную роль играет правильный выбор данных
параметров, в результате модель нормального поведения может оказаться неполной или
избыточной, что приведет к пропуску атак или ложным срабатываниям.
Методы ИАД обладают большей адаптивностью к
изменению поведения системы, за
счет чего позволяют создавать и поддерживать системы обнаружения аномалий с меньшим
вмешательством человека. Данные методы позволяют более эффективно выполнить оценку
состояния наблюдаемых процессов, выявлять и ранжировать причины значимых изменений,
прогнозировать и вырабатывать рекомендации. При использовании методов ИАД,
аналогично поведенческим, возникает необходимость правильного выбора признаков
нормального поведения системы, пригодных для обучения и проверки моделей анализа для
минимизации пропусков аномалий и ложных срабатываний. Еще одним недостатком
применения методов ИАД является относительная сложность
интерпретации результатов в
связи с динамикой изменения модели обнаружения.
Перспективными направлениями при проектировании систем выявления аномалий в
настоящее время видится гибридизация подходов, которая позволила бы совмещать в себе
преимущества различных методов и нивелировать их недостатки. Одним из вариантов такой
гибридизации может являться использование методов ИАД для задания пороговых значений
или преобразования входных параметров тестовых данных для построения модели
нормального поведения системы.
Do'stlaringiz bilan baham: