Popis: |
У статті запропоновано алгоритм з елементами самонавчання для систем виявлення вторгнень, а також вдосконалена методика кластеризації, що фіксується системою даних, які стосуються подій інформаційної безпеки. Запропоновані підходи відрізняються від відомих, застосуванням ентропійного підходу, що дозволяє представляти дані як однорідні групи, причому кожна така група (або кластер) може відповідати заздалегідь заданим параметрам. Запропоновані рішення стосуються можливостей оцінювання динамічних залежностей між кластерами, що характеризують аналізовані класи вторгнень. В ході досліджень було встановлено, що в разі прояву нових ознак подій інформаційної безпеки, змінюється і відповідна шкала, що описує відстані між кластерами. Для перевірки працездатності та адекватності запропонованих рішень було проведено обчислювальний експеримент. В ході обчислювального експерименту встановлено, що покрокове обчислення параметрів інформативних ознак мережевих атак, дозволяє сформувати досить інформативні кластерні структури даних, що володіють характерними атрибутами. Ці атрибути в подальшому стають основою для бази знань інтелектуальних систем виявлення мережевих атак. Розраховані динамічні залежності між кластерами, дозволяють досить точно визначати множину подій інформаційної безпеки, які можуть стати вихідними даними для подальшої автоматичної оцінки ступеня поточних загроз, зафіксованих системами виявлення атак. Представлені в статті методика і алгоритм кластеризації ознак мережевих атак, на наш погляд, є більш простими для програмної реалізації, ніж існуючі аналоги. |