Продукционные/Экспертные системы
Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:
- недостаточная эффективность при работе с большими объемами данных;
- трудно учесть зависимую природу данных параметров оценки.
При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:
- Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и».
- Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил.
- Обнаруживаются только известные уязвимости.
- Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил.
- Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.