Генерация патернов
Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:
- зависимости между событиями;
- последовательность появления событий.
Достоинства метода:
- лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов;
- возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная;
- лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.