Введение
1 Теоретические основы обнаружения сетевых атак 11
1.1 Удалённые сетевые атаки 11
1.1.1 Понятие удалённой сетевой атаки 11
1.1.2 Подходы к классификации атак 12
1.1.3 Тренировочные базы данных с сетевыми атаками 13
1.1.4 Описание распространённых атак 17
1.2 Обнаружение сетевых атак 20
1.2.1 Методы обнаружения сетевых атак 20
1.2.2 Системы обнаружения вторжений 21
1.2.3 Сигнатурные системы обнаружения вторжений 24
1.2.4 Обнаружение статистических аномалий 25
1.2.5 Недостатки систем обнаружения вторжений 26
1.3 Обзор существующих исследований 28
1.3.1 Обнаружение атак с помощью скрытой марковской модели 28
1.3.2 Обнаружение атак с помощью байесовских сетей 29
1.3.3 Обнаружение атак с помощью методов кластеризации 30
1.3.4 Обнаружение атак с помощью метода опорных векторов 31
1.3.5 Обнаружение атак с помощью нейронных сетей 32
1.3.6 Обнаружение атак с помощью генетических алгоритмов 33
1.3.7 Обнаружение атак с помощью правил нечёткой логики 33
1.3.8 Выводы по анализу исследований в области обнаружения сетевых атак, основанных на методах Data Mining 34
1.4 Выводы по главе 36
2 Разработка модели системы обнаружения сетевых атак в распределённой вычислительной сети 38
2.1 Применение методов Data Mining в задаче обнаружения сетевых атак
2.1.1 Функциональные компоненты системы обнаружения сетевых атак
2.1.2 Группы методов Data Mining для проектирования системы
обнаружения сетевых атак 41
2.2 Основы выбранных методов Data Mining 44
2.2.1 Метод опорных векторов 44
2.2.2 Методы сокращения размерности 46
2.2.3 Методы кластеризации 57
2.2.4 Аппарат нечёткой логики 61
2.3 Формализация модели системы обнаружения сетевых атак 63
2.3.1 Формирование архитектуры системы обнаружения сетевых атак 63
2.3.2 Метод адаптации системы обнаружения сетевых атак под программно-аппаратную структуру распределённой вычислительной сети 69
2.4 Выводы по главе 72
3 Формирование методики применения методов Data Mining в задаче обнаружения сетевых атак 73
3.1 Методика применения метода опорных векторов 73
3.1.1 Основы применения метода главных компонент 73
3.1.2 Особенности данных рассматриваемой предметной области для применения методов опорных векторов 75
3.1.3 Разделение параметров трафика для метода опорных векторов 78
3.1.4 Выводы по применению метода опорных векторов 80
3.2 Методика применения метода главных компонент 82
3.2.1 Основы применения метода главных компонент 82
3.2.2 Обучение метода главных компонент на множестве пакетов с
атаками 84
3.2.3 Выводы по подбору параметров блока сокращения размерности 84
3.3 Примеры применения представленных методик для обнаружения конкретных атак 85
3.3.1 Пример применения метода главных компонент для формирования признакового пространства 85
3.3.2 Пример применения метода опорных векторов для классификации векторов 86
3.4 Методика применения методов кластеризации 89
3.4.1 Основы применения метода k-средних 89
3.4.2 Основы применения агломеративного иерархического метода 91
3.4.3 Построение избыточной модульной архитектуры 92
3.4.4 Выводы по применению методов кластерного анализа
3.5 Методика применения нечёткой логики 93
3.6 Выводы по главе 94
4 Проведение экспериментов по обнаружению атак 96
4.1 Описание программного прототипа СОВ 96
4.1.1 Характеристики программного прототипа 96
4.1.2 Структура модуля обнаружения 98
4.1.3 Блок извлечения базовых параметров трафика 101
4.1.4 Блок сокращения размерности 102
4.1.5 Блок классификации 105
4.1.6 Автоматическая настройка модуля обнаружения 107
4.1.7 Визуализация работы блока сокращения размерности и блока классификации 109
4.1.8 Блок кластеризации 111
4.1.9 Взаимодействие модулей обнаружения 112
4.1.10 Редактор сетевых дампов 114
4.2 Результаты экспериментов по обнаружению атак 116
4.2.1 Методика проведения экспериментального исследования 116
4.2.2 Результаты обнаружения отдельных сетевых атак 119
4.3 Выводы по главе 124
Заключение 126
Список сокращений и условных обозначений 127
