Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей

Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей

Автор: Аникеев, Максим Владимирович

Год защиты: 2008

Место защиты: Таганрог

Количество страниц: 161 с.

Артикул: 4113517

Автор: Аникеев, Максим Владимирович

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Стоимость: 250 руб.

Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей  Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей 

Содержание
Введение
1 Анализ существующих методов обнаружения вторжений
1.1 Основные понятия.
1.2 Типовая структура СОВ
1.3 Методологии обнаружения вторжений
1.4 Обнаружение злоупотреблений
1.4.1 Сопоставление строк
1.4.2 Использование экспертных систем
1.4.3 Анализ переходов между состояниями.
1.4.4 Методы добычи данных.
1.5 Обнаружение аномалий .
1.5.1 Статистические методы
1.5.2 Предсказание поведения.
1.5.3 Методы добычи данных.
1.5.4 Нейросетевые методы
1.5.5 Обнаружение аномалий в последовательностях системных вызовов
1.6 Классификация СОВ
1.7 Цели и задачи исследования.
1.8 Выводы.
2 Разработка модели системы обнаружения вторжений на основе СММ
2.1 Сведения из теории СММ.
2.1Л Основные определения.
2.1.2. Постановка типовых задач, связанных с СММ
2.1.3 Решение задачи оценивания.
2.1.4 Решение задачи распознавания
2.1.5 Решение задачи обучения.
2.1.6 Применение масштабирования в алгоритмах СММ.
2Л .7 Решение задачи обучения для множественных последовательностей наблюдений
2.2 Принцип функционирования модели СОА.
2.2.1 Общая схема СОД.
2.2.2 Эганы функционирования системы
2.2.3 Выбор используемой подсистемы аудита
2.2.4 Формирование профиля нормального поведения процесса.
2.2.5 Алгоритм обнаружения аномалий в работе процесса.
2.3 Исследование возможности работы разработанной СОА в составе комплексной СОВ.
2.4 Выводы
3 Экспериментальное исследование модели системы обнаружения вторжений
ЗЛ Описание тестовой базы данных
3.1.1 Обоснование выбора тестовой базы данных.
3.1.2 Данные процесса 1рг.
3.1.3 Данные процесса .
3.1.4 Данные процесса x.
3.1.5 Данные процесса i.
3.1.6 Данные процесса .
3.1.7 Данные процесса i
3.1.8 Данные процесса i
3.2 Иллюстрация работы алгоритма обнаружения аномалий на примере данных процесса
3.3 Исследование зависимости эффективности обнаружения вторжений от выбранного числа состояний СММ.
3.3.1 Постановка задачи исследования.
3.3.2 Процесс 1рг
3.4 Обсуждение результатов экспериментов.
3.5 Выводы.
4 Разработка параллельного алгоритма обучения СММ
4.1 Известные решения по ускорению обучения СММ
4.2 Обоснование возможности эффективной организации параллельных вычислений в алгоритме обучения СММ
4.2.1 Анализ алгоритма обучения СММ для однократных последовательностей наблюдений.
4.2.2 Анализ алгоритма обучения для многократных последовательностей наблюдений.
4.3 Разработка параллельного алгоритма обучения СММ
4.4. Теоретическая оценка эффективности параллельного алгоритма
4.5 Особенности программной реализация параллельного алгоритма обучения СММ.
4.5.1 Выбор средств реализации
4.5.2 Описание программной реализации.
4.5.3 Экспериментальное подтверждение функционального соответствия параллельной и последовательной реализаций алгоритма обучения СММ.
4.6 Выводы.
5 Экспериментальное исследование эффективности параллельного алгоритма обучения СММ.
5.1 Условия проведения экспериментов.
5.2 Исследование эффективности работы параллельного алгоритма обучения СММ на сетевом кластере
5.3 Исследование эффективности работы параллельного алгоритма обучения СММ на многопроцессорном кластере
5.4 Выводы
Заключение
Список использованных источников


Во введен и н кратко рассматривается актуальность работы, цели и основные задачи, научная новизна и практическая ценность работы. В первой главе представлены основные сведения из теории СММ, позволяющие разработать алгоритмы обучения и обнаружения, используемые в разрабатываемой модели СОВ. Описана общая структура модели разработаны алгоритмы формирования профилей поведения процессов в виде СММ и обнаружения вторжений с их помощью. Во второй главе представлены основные сведения из теории скрытых марковских моделей, позволяющие разработать алгоритмы обучения и обнаружения, используемые в исследуемой модели системы обнаружения вторжений. Описана общая структура разрабатываемой модели системы, разработаны алгоритмы формирования профилей поведения процессов в виде скрытых марковских моделей и обнаружения вторжений с их помощью. В третьей главе описана тестовая база данных последовательностей системных вызовов, используемая во всех проведнных экспериментах. Проиллюстрована способность разработанного алгоритма обнаружения вторжений обнаруживать атаку на переполнение буфера без априорного знания е сигнатуры. Приведены результаты исследования зависимости показателей эффективности обнаружения вторжений от выбранного числа состояний СММ. Установлено, что процесс обучения СММ зачастую сходится к локальному минимуму целевой функции. Таким образом, задача сокращения времени обучения СММ становится ещ более актуальной. Четвртая глава посвящена разработке и реализации параллельного алгоритма обучения скрытых марковских моделей для множественных последовательностей наблюдений. В главе приведено краткое описание попыток быстрой реализации классического алгоритма обучения, проанализированы недостатки этих решений для использования в исследуемой системе обнаружения аномалий СОЛ. На основе анализа возможности эффективной декомпозиции стандартного алгоритма обучения СММ разработан параллельный алгоритм их обучения приводится описание реализации параллельного алгоритма на основе технологии I. В пятой главе исследована эффективность параллельного алгоритма обучения СММ. Показано, что он может быть реализован на недорогих сетевых кластерах, а также на многопроцессорных кластерах, с ускорением близким к предельно возможному теоретически. В заключении излагаются основные результаты диссертационной работы, полученные в процессе проводимых исследований, делаются общие выводы. В приложении приведены листинги программных модулей. Определим основные понятия, относящиеся к сфере обнаружения вторжений. Вторжением называется совокупность действий, направленная на нарушение целостности, конфиденциальности или доступности информационного ресурса 3. В технической литературе довольно часто используется также термин атака, в значении идентичном понятию вторжения 4, 5. При этом термин вторжение иногда понимается более узко, а именно только та атака, которая завершилась полным или частичным успехом. Далее мы будем употреблять понятие вторжение только в широком смысле, вне зависимости от степени успешности действий злоумышленника. Уязвимостью называется свойство или совокупность свойств системы, позволяющая злоумышленнику успешно осуществить вторжение. Обнаружением вторжений мы будем называть процесс установления факта проведения вторжения в реальном времени или постфактум, а также сбор дополнительной информации, позволяющей установить разновидность вторжения, его цели, источник и личность злоумышленника. Комплекс технических средств, автоматизирующий процесс обнаружения вторжения, называется системой обнаружения вторжения СОВ. Пропуском называется событие, при котором СОВ не удатся своевременно идентифицировать произошедшее вторжение. Ложное срабатывание событие, при котором СОВ сигнализирует о попытке вторжения, в то время как в действительности вторжение не осуществляется. Рассмотрим наиболее полную типовую структуру СОВ, приведнную, в частности, в 6 рисунок 1. Рисунок 1. В защищаемую систему встроены механизмы для сбора данных различного типа, таких как сетевой трафик, журналы операционной системы и приложений. Эта информация собирается генератором событий с помощью различных датчиков.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.198, запросов: 244