Модель эвристических правил на логико-лингвистических связках для обнаружения аномалий в компьютерных системах

Abstract

Недостатком современных систем обнаружения вторжений, построенных на принципе идентификации аномального состояния является то, что они в основном ориентированы на использование таких математических моделей, которые требуют много времени на подготовку статистических данных. Математические модели, основанные на экспертных подходах в этом отношении являются более эффективными, но для выполнения своих функций необходимо использование соответствующих решающих правил. Для решения этой задачи в работе предложена модель эвристических правил на нечеткой логике, которая за счет использования множества пар “атака->параметры” и “атака->набор логико-лингвистических связок”, а также универсальной модели эталонов параметров позволяет отображать аномальное состояние, порождаемое определенным типом кибератак в компьютерной сети. На основе этой модели были разработаны примеры правил для обнаружения сканирования, спуфинга и Dos-атак, которые могут практически использоваться для усовершенствования реальных систем выявления аномалий порожденных атакующими действиями в компьютерных системах.