Метод формирования базовых детекционных правил для систем обнаружения вторжений

Abstract

Вследствие интенсивного развития цифрового бизнеса, вредоносное программное обеспечение и другие киберугрозы становятся все более распространенными. Для повышения уровня безопасности необходимы соответствующие специальные средства противодействия, которые способны оставаться эффективными при появлении новых видов угроз и позволяющие в нечетких условиях выявить кибератаки, ориентированные на множество ресурсов информационных систем. Различные атакующие воздействия на соответствующие ресурсы порождают различные множества аномалий в гетерогенной параметрической среде окружения. Известна кортежная модель формирования набора базовых компонент, которые позволяют выявить кибератаки. Для ее эффективного применения необходима формальная реализация подхода к формированию наборов базовых детекционных правил. С этой целью разработан метод, ориентированный на решение задач выявления кибератак в компьютерных системах, который реализуется посредством трех базовых этапов: формирование подмножеств идентификаторов аномальности; формирование решающих функций; формирование условных детекционных выражений. С помощью такого метода можно сформировать необходимое множество детекционных правил, по которым определяется уровень аномального состояния величин в гетерогенной параметрической среде окружения, характерный для воздействия определенного типа атак. Использование данного метода при построении систем обнаружения вторжений позволит расширить их функциональные возможности относительно выявления кибератак в слабоформализованной нечеткой среде окружения.