Введение
1 Анализ существующих методов обнаружения вторжений 13
1.1 Основные понятия 13
1.2 Типовая структура СОВ 14
1.3 Методологии обнаружения вторжений 16
1.4 Обнаружение злоупотреблений 18
1.4.1 Сопоставление строк 18
1.4.2 Использование экспертных систем 19
1.4.3 Анализ переходов между состояниями 20
1.4.4 Методы добычи данных 21
1.5 Обнаружение аномалий 21
1.5.1 Статистические методы 21
1.5.2 Предсказание поведения 23
1.5.3 Методы добычи данных 24
1.5.4 Нейросетевые методы 24
1.5.5 Обнаружение аномалий в последовательностях системных вызовов... 26
1.6 Классификация СОВ 34
1.7 Цели и задачи исследования 36
1.8 Выводы 39
2 Разработка модели системы обнаружения вторжений на основе СММ 40
2.1 Сведения из теории СММ 40
2.1.1 Основные определения 40
2.1.2. Постановка типовых задач, связанных с СММ 43
2.1.3 Решение задачи оценивания 44
2.1.4 Решение задачи распознавания 45
2.1.5 Решение задачи обучения 46
2.1.6 Применение масштабирования в алгоритмах СММ 48
2.1.7 Решение задачи обучения для множественных последовательностей наблюдений 50
2.2 Принцип функционирования модели СОА 51
2.2.1 Общая схема СОА 51
2.2.2 Этапы функционирования системы 53
2.2.3 Выбор используемой подсистемы аудита 54
2.2.4 Формирование профиля нормального поведения процесса 55
2.2.5 Алгоритм обнаружения аномалий в работе процесса 57
2.3 Исследование возможности работы разработанной СОА в составе комплексной СОВ 60
2.4 Выводы 65
3 Экспериментальное исследование модели системы обнаружения вторжений 66
3.1 Описание тестовой базы данных 66
3.1.1 Обоснование выбора тестовой базы данных 66
3.1.2 Данные процесса 1рг 67
3.1.3 Данные процесса named 68
3.1.4 Данные процесса xlock 68
3.1.5 Данные процесса login 69
3.1.6 Данные процесса ps 69
3.1.7 Данные процесса inetd 70
3.1.8 Данные процесса stide 70
3.2 Иллюстрация работы алгоритма обнаружения аномалий на примере данных процесса named : 71
3.3 Исследование зависимости эффективности обнаружения вторжений от выбранного числа состояний СММ 73
3.3.1 Постановка задачи исследования 73
3.3.2 Процесс lpr 76
3.4 Обсуждение результатов экспериментов 80
3.5 Выводы 81
4 Разработка параллельного алгоритма обучения СММ 83
4.1 Известные решения по ускорению обучения СММ 83
4.2 Обоснование возможности эффективной организации параллельных вычислений в алгоритме обучения СММ 86
4.2.1 Анализ алгоритма обучения СММ для однократных последовательностей наблюдений 86
4.2.2 Анализ алгоритма обучения для многократных последовательностей наблюдений 88
4.3 Разработка параллельного алгоритма обучения СММ 90
4.4. Теоретическая оценка эффективности параллельного алгоритма 95
4.5 Особенности программной реализация параллельного алгоритма обучения СММ 97
4.5.1 Выбор средств реализации 97
4.5.2 Описание программной реализации 99
4.5.3 Экспериментальное подтверждение функционального соответствия параллельной и последовательной реализаций алгоритма обучения СММ. 104
4.6 Выводы 105
5 Экспериментальное исследование эффективности параллельного алгоритма обучения СММ 107
5.1 Условия проведения экспериментов 107
5.2 Исследование эффективности работы параллельного алгоритма обучения СММ на сетевом кластере 107
5.3 Исследование эффективности работы параллельного алгоритма обучения СММ на многопроцессорном кластере 112
5.4 Выводы 115
Заключение 116
Список использованных источников
