Обнаружение аномалий на основе анализа однородности параметров компьютерных систем

Обнаружение аномалий на основе анализа однородности параметров компьютерных систем

Автор: Баранов, Петр Александрович

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Год защиты: 2007

Место защиты: Санкт-Петербург

Количество страниц: 155 с. ил.

Артикул: 3316468

Автор: Баранов, Петр Александрович

Стоимость: 250 руб.

Обнаружение аномалий на основе анализа однородности параметров компьютерных систем  Обнаружение аномалий на основе анализа однородности параметров компьютерных систем 

СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ГЛАВА 1. АНОМАЛИИ КАК ОБОБЩЕНИЕ НАРУШЕНИЙ БЕЗОПАСНОСТИ.
Систематизация нарушений безопасности в распределенных сетях
Обобщение понятия аномалии
Основные положения предлагаемого метода обнаружения аномалий
ГЛАВА 2. ВЫБОР ОБЪЕКТОВ НАБЛЮДЕНИЙ, ХАРАКТЕРИЗУЮЩИХ НОРМАЛЬНОЕ И АНОМАЛЬНОЕ СОСТОЯНИЯ СИСТЕМЫ а
Построение теоретиковероятностной модели поведения системы.
Классификация характеристик системы.
Выбор наблюдаемых характеристик системы и его обоснование.
ГЛАВА 3. МАТЕМАТИЧЕСКОЕ ОПИСАНИЕ И ТЕОРЕТИКОВЕРОЯТНОСТНЫЕ ОСНОВЫ АЛГОРИТМА ОБНАРУЖЕНИЯ АНОМАЛИЙ
Критерий однородности данных
Алгоритмы выявления неоднородности
Средние и дисперсия применяемых статистик.
ГЛАВА 4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СТАТИСТИЧЕСКИХ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ
АЛГОРИТМЫ работы и принципы программирования программного комплекса обнаружения
аномалий.
Результаты работы программного комплекса на клиентских машинах.
Результаты работы программного комплекса на сервере
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА


Сюда относятся свойства системы, на которые напрямую оказывают влияние исключительно локально обрабатываемые программные процессы. Характеристики, описывающие взаимодействие системы с внешним миром. К этой категории относятся свойства системы, изменения которых обусловлены в первую очередь процессами взаимодействия системы с другими подобными системами. Характеристики первой категории отражают состояние ресурсов системы на момент наблюдения. Наблюдаемые параметры первой категории подразделяются по принципу осуществления наблюдения, т. Контроль взаимосвязей. Данные наблюдений, входящих во вторую категорию, в работе разделят в связи с понятием «период наблюдения», то есть применительно к измерению изменений тех или иных величин, произошедших за временной промежуток, равный установленному значению. Это значение именуется периодом наблюдения. Продолжительность соединения. В соответствии с введенной классификацией выбераются наборы характеристик, использующихся для проверки гипотез работы на практике. Множество элементов системы, характеристики которых могут быть затронуты только в результате действий локально запущенных процессов. Эти множества соответствуют двум основным группам классификации. Внесем конкретику в требования к наблюдениям: наблюдение производится на отдельно взятом сетевом интерфейсе передачи данных, в рамках протокола TCP/IP, мониторинг ресурсов системы ограничим оценкой расхода виртуальной памяти и загрузкой центрального процессора. В качестве датчиков для первого множество выберем количество переданных пакетов и количество соединений, установленных для заранее выбранных TCP-портов передачи данных. Для второго множества вводится шкала загрузки ресурса. Полная загрузка принимается за 0% использования ресурса, состояние, при котором загрузка минимальна - за 0% использования. Бинарные датчики загрузки связываются с относительным уровнем загрузки по выбранной шкале с шагом %. Введенная математическая модель предполагает использование критерия однородности выборки для обнаружения аномалий. Теоретические основы предлагаемых к рассмотрению критериев предложены и исследованы в третьей главе настоящей работы. В третьей главе рассматривается многопараметрическая математическая модель наблюдений над поведением ПО, называемая обычно в литературе полиномиальной схемой. Каждый отрезок наблюдений моделируется отдельно последовательностью независимых случайных величин, соответствующих своей полиномиальной схеме. В этой математической модели рассматривается асимптотическое поведение многих статистик различных критериев, в том числе критерия однородности, являющегося базовым в работе. Асимптотика обычно применяется там, где имеются большие значения параметров и тогда допредельные, сложные и нерассчитываемые распределения заменяются на более простые предельные. Этот принцип применен и в данной работе. Дополнительно для подтверждения возможности подобной замены произведен численный расчет допредельных средних и дисперсий используемых статистик. Серии последовательностей наблюдений над работой системы моделируются реализациями серии независимых случайных величин. В частности, так поступают в исследованиях по статистической лингвистике, когда последовательность слов в смысловом тексте моделируется последовательностью независимых случайных величин. При этом в отдельности каждый из датчиков будет иметь свое распределение, однако это распределение будет постоянным при переходе от одного интервала всей серии наблюдений к следующему. Подобные серии наблюдений в математической литературе называют схемами независимых полиномиальных испытаний или полиномиальными схемами. Рассмотрим случай однородности распределений ? Н0: Рх = . РГУ обычно используется критерий однородности хи-квадрат. Эффективность критерия хи-квадрат оценивается асимптотически при Г,,. Гг ->оо, Л^=со// и фиксированном распределении Р = Р{ = . РГ9 не имеющем нулевых координат. Пусть справедливо соглашение о том, что координаты, которые по окончании очередного интервала наблюдений приобрели нулевое значение, не учитываются. Хт на предельное.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.206, запросов: 244