From e68c5b7e96de2885242741f9bb688bf1a01a27f8 Mon Sep 17 00:00:00 2001 From: Waldi Date: Tue, 14 Jun 2022 17:35:10 +0300 Subject: [PATCH 1/2] Expert database systems: biba added --- bibliography.bib | 19 +++++++++++++++++++ part/intrusion.tex | 17 ++++++++++------- 2 files changed, 29 insertions(+), 7 deletions(-) diff --git a/bibliography.bib b/bibliography.bib index e6f0a0d..c990281 100644 --- a/bibliography.bib +++ b/bibliography.bib @@ -490,4 +490,23 @@ @online{SeaView title = {SeaView}, url = {https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=55088} } + +@online{IDSystem, + title = {Системы и методы обнаружения вторжений}, + url = {http://citforum.ru/security/internet/ids_overview/} +} + +@book{BeynonDavies, + author = {{P. Beynon-Davies}}, + title = {{Expert database systems}}, + publisher = {McGraw-Hill}, + year = 1991, +} + +@book{IntrusionDetection, + author = {{T.D. Garvey, T.F. Lunt}}, + title = {{Model-based Intrusion Detection}}, + publisher = {Baltimore, MD}, + year = 1991, +} >>>>>>> df9176c (Add docker and lil bit k8s) diff --git a/part/intrusion.tex b/part/intrusion.tex index 8caf9f2..adf707b 100644 --- a/part/intrusion.tex +++ b/part/intrusion.tex @@ -397,6 +397,7 @@ \subsection{Экспертные ID-системы} или нескольких экспертов в некоторой предметной области. Инженер имплекационных правил <<встраивает>> процедуры, стратегии, эмпирические правила в экспертную систему. В результате появляется компьютерная программа, которая решает задачи во многом так же, как эксперты -- люди. +\autocite{IDSystem} Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем. @@ -437,6 +438,7 @@ \subsection{Экспертные ID-системы} тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны. \end{itemize} +\autocite{BeynonDavies} @@ -463,7 +465,7 @@ \subsubsection{Метрики} пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывает количество активностей. \end{itemize} - +\autocite{BeynonDavies} \footnotetext{Здесь под \textit{категорией} понимается группа подсистем, объединенных по некоему общему принципу} @@ -489,7 +491,7 @@ \subsubsection{Статистические модели} где $a_i$ -- отражает относительный вес метрики $M_i$. Параметры $M_1, M_2, \dots, M_n$ могут быть зависимыми друг от друга. В таком случае, -объединяющая функция будет более сложной. +объединяющая функция будет более сложной.\autocite{IDSystem} \textbf{Основное преимущество} заключается в том, что применяются хорошо известные статистические методы. @@ -512,14 +514,14 @@ \subsubsection{Статистические модели} используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса. \end{itemize} - +\autocite{IntrusionDetection} \subsubsection{Профили} Одним из способов формирования <<образа>> нормального поведения системы состоит в накоплении измерений значения параметров оценки в специальной структуре данных. -Эта структура данных называется \textit{профайлом}. +Эта структура данных называется \textit{профайлом}.\autocite{IDSystem} Основные требования, предъявляемые к структуре профайла: \begin{itemize} @@ -545,6 +547,7 @@ \subsubsection{Нейронные сети для представления п показывают входные данные последних \textbf{W} команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя. +\autocite{BeynonDavies} \begin{figure}[h!] \centering @@ -566,7 +569,7 @@ \subsubsection{Нейронные сети для представления п \item Автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки. \end{itemize} - +\autocite{BeynonDavies} \subsubsection{Нейронные сети для представления профиля} @@ -596,7 +599,7 @@ \subsubsection{Нейронные сети для представления п \textbf{Основной недостаток} данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей -всех правил. +всех правил.\autocite{IDSystem} Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание: \begin{itemize} @@ -612,7 +615,7 @@ \subsubsection{Нейронные сети для представления п которая помечена как подозрительная. \item Лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях. \end{itemize} - +\autocite{IntrusionDetection} \subsubsection{Примеры ID-систем} From 744db2467db1ce29b42da12218a62d17b14235ec Mon Sep 17 00:00:00 2001 From: Waldi Date: Tue, 14 Jun 2022 19:46:29 +0300 Subject: [PATCH 2/2] Expert database systems: added types and corrected base defenition bib --- part/intrusion.tex | 15 +++++++++++++-- 1 file changed, 13 insertions(+), 2 deletions(-) diff --git a/part/intrusion.tex b/part/intrusion.tex index adf707b..56e9592 100644 --- a/part/intrusion.tex +++ b/part/intrusion.tex @@ -397,7 +397,7 @@ \subsection{Экспертные ID-системы} или нескольких экспертов в некоторой предметной области. Инженер имплекационных правил <<встраивает>> процедуры, стратегии, эмпирические правила в экспертную систему. В результате появляется компьютерная программа, которая решает задачи во многом так же, как эксперты -- люди. -\autocite{IDSystem} +\autocite{BeynonDavies} Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем. @@ -422,6 +422,17 @@ \subsection{Экспертные ID-системы} При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных. +\textbf{Существует 3 вида Expert System}, отличаются они по методу +получения имплекационных +правил\autocite{IDSystem}: + +\begin{itemize} + \item Статистическая модель - эксперт сам задает веса параметров в общей функции анамальности. + \item Нейросетевая модель - веса параметров задаются за счет обучения нейросетевой модели + (эксперт задает архитектуру модели и обучающую выборку). + \item Генерация патернов - эксперт задает связи (правила) между событиями безопасности. +\end{itemize} + \textbf{Трудности:} \begin{itemize} \item Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых @@ -572,7 +583,7 @@ \subsubsection{Нейронные сети для представления п \autocite{BeynonDavies} -\subsubsection{Нейронные сети для представления профиля} +\subsubsection{Генерация патернов} Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.