Розробка методу виявлення аномальної поведінки комп'ютерної системи на основі імовірнісного автомата
DOI:
https://doi.org/10.18372/2225-5036.24.13427Ключові слова:
імовірнісний автомат, аномальна поведінка комп'ютерної системи, евристичний аналізатор, системи виявлення аномалійАнотація
В роботі запропоновано метод виявлення аномальної поведінки комп'ютерної системи на основі імовірнісного автомата. Основними складовими методу є модель генерації структури автомата і процедура його модифікації Відмінною особливістю методу є адаптація процедури генерації структури автомата до ситуацій виявлення однотипних сценаріїв, шляхом перебудови структури автомата при виявленні збігів і перерахунку ймовірності переходів зі стану в стан. Вхідними даними автомата є безліч дискретних подій (системних викликів, ідентифікаторів процесів або інструкцій секцій коду), властивих для певного типу аномалії роботи комп'ютерної системи і згруповані за класами. Спочатку генерується структура автомата для одного з примірників класів, а потім ця структура перебудовується при аналізі наступних примірників. Можливість переходу зі стану в стан залежить від вхідного стану і від значення ймовірності переходу. Згенерована структура автомата в подальшому використовується для виявлення аномальної поведінки комп'ютерної системи. При виникненні аномалій з іншими сценаріями, структура автомата також може оновлюватися. Запропонований метод дозволяє прискорить процес виявлення аномальної поведінки комп'ютера, а також виявляти аномалії комп'ютерної системи, профілі сценаріїв яких лише частково збігаються з екземплярами, використовуваними при генерації структури автомата. Отримані результати досліджень дозволяють зробити висновок про можливість використання розробленого методу як додаткового способу в евристичних аналізаторах систем виявлення аномалій.
Посилання
О. Шелухин, Д. Сакалема, А. Филинова, Обнаружение вторжений в компьютерные сети (сетевые аномалии): учебное пособие для вузов, М.: Горячая линия-Телеком, 2013, 220 с.
Т. Шипова, В. Босько, И. Березюк, Ю. Пархоменко, "Анализ современных методов обнаружения вторжений в компьютерные системы", Системи обробки інформації: зб. наук. пр., Харьков: ХУ ПС, Вип. 1 (139), С. 133-137, 2016.
S. Zacher, P. Ryba, "Anomaly detection in server metrics with use of one-sided median algorithm", JACSM, vol. 9, no. 1, pp. 5-22, 2017.
L. Akoglu, H. Tong, D. Koutra, "Graph based anomaly detection and description: a survey", Data Mining and Knowledge Discovery, vol. 29(3), pp. 626-688, 2015.
H. Al-Hamami, G. Al-Saadoon, "Development of a network-based: Intrusion Prevention System using a Data Mining approach", Science and Information Conference, London, pp. 641-644, 2013.
C. Kruegel, D. Mutz, F. Valeur, G. Vigna, "On the detection of anomalous system call arguments", in In Proc. of the 8th European Symposium on Research in Computer Security. Springer-Verlag. pp. 326-343, 2003.
М. Рабин, "Вероятностные автоматы", Кибернетический сборник, Вып. 9, М.: Иностранная литература, С. 123-141, 1964.
A. Maier, O. Niggemann, R. Just, M. J¨ager, Anomaly Detection in Production Plants using Timed Automata. [Electronic resource]. Online: https://www. researchgate.net /publication/257365001_Anomaly_Detection_in_Production_Plants_using_Timed_Automata.
F. Kepler, S. Mergen, C. Billa, "Simple variable length n-grams for probabilistic automata learning. Journal of Machine Learning Research", Workshop and Conference Proceedings, ICGI’12, pp. 254-258, 2012.
S. Verwer, M. Weerdt, C. Witteveen, "A likelihood-ratio test for identifying probabilistic deterministic real-time automata from positive data", In Proceedings of ICGI’10, volume 6339 of LNCS, Springer-Verlag, pp. 203216, 2010.
Kui Xu, Danfeng Yao, Barbara Ryder, Ke Tian, Probabilistic Program Modeling for High-Precision Anomaly Classification. [Electronic resource]. Online: http:// people. cs. vt. edu/danfeng/papers/HMM-CSF- 15-Yao.pdf.
