Система выявления аномального состояния в компьютерных сетях

Abstract

Эффективное обнаружение новых типов кибератак, например, "нулевого дня", а также атак, которые не имеют сигнатур, связано с широким применением соответствующих средств защиты. Существующие системы обнаружения вторжений используют для решения задач безопасности математические модели, которые требуют много ресурсов и затрат различного характера, например, связанными с выборкой статистических данных, обучении систем, ее адаптацией и др. Более эффективные в этом отношении являются экспертные подходы, основанные на использовании знаний и опыта специалистов соответствующей предметной области. Для решения этой задачи на основании метода идентификации аномалий построенного на нечеткой логике предложено структурное решение системы выявления аномального состояния в компьютерных сетях, порожденного несигнатурными атаками. Система состоит из подсистем первичной обработки, формирования нечетких эталонов и эвристических правил, а также модулей нечеткой арифметики, лингвистического вывода и визуализации, которые позволяют идентифицировать уровень аномального состояния в сетевом трафике, порожденного определенным типом кибератак. Результат работы системы представляется в лингвистической и графических формах.