Введение
1 Обзор существующих методов обнаружения сетевых атак 9
1.1 Определение и способы классификации атак с позиции построения систем их обнаружения 9
1.2 Общая характеристика систем обнаружения вторжений 18
1.3 Критерии оценки HNIDS 33
1.4 Обзор существующих моделей и систем 35
1.5 Выводы по первой главе 46
2 Выделение признаков вторжений из сетевого трафика 48
2.1 Выбор извлекаемых признаков из трафика 48
2.2 Алгоритм ТЕА1 58
2.3 Постобработка векторов 73
2.4 Выводы по второй главе 76
3 Модель эвристической системы обнаружения вторжений 78
3.1 Применение классификации с обучением на одном классе к обнаружению вторжений 78
3.2 Одноклассовый нейронный классификатор 83
3.3 Описание модели сетевой системы обнаружения вторжений на базе алгоритма ТЕА1 и искусственных нейронных сетей 91
3.4 Обнаружение аномалий в поведении сложных динамических объектов 93
3.5 Выводы по третьей главе 100
4 Исследование разработанных моделей и алгоритмов 102
4.1 Испытание модели на эталонных данных KDD Сир 99 102
4.2 Исследование модели на данных DARPA IDE 112
4.3 Описание сетей, в которых проводилось испытание систем 123
4.4 Система IceIDS2 126
4.5 Система IceIDS2s 133
4.6 Выводы по четвертой главе 140
Заключение 143
Литература 147
