презентацию

Download Report

Transcript презентацию 

Методы машинного обучения в
задачах обнаружения сетевых атак
и вторжений
Платонов В.В. СПбГПУ
Системы обнаружения вторжений
Основные типы СОВ
Обнаружение сигнатур
Обнаружение аномалий
12.04.2015
2
Методы обнаружения аномалий
1. Статистические методы
Отдельные переменные
Множество переменных
Временные серии
2. Методы, основанные на знаниях
Конечные автоматы
Описательные языки
Экспертные системы
12.04.2015
3
Методы обнаружения аномалий
3. Методы машинного обучения
Сети Байеса
Марковские модели
Нейронные сети
Генетические алгоритмы
Методы кластеризации
Нечеткая логика
Метод опорных векторов
12.04.2015
Лингвистические модели
4
Основные выводы
Различные методы способны обнаруживать различные
типы аномалий с высокой точностью
Не существует единого метода, способного обнаруживать
различные типы аномалий с высокой точностью
Уменьшение вероятностей ложных срабатываний требует
увеличения количества анализируемых признаков
Для обеспечения возможности функционирования в
реальном масштабе времени необходимо уменьшение
количества анализируемых признаков
12.04.2015
5
Предлагаемый подход
1. Выделение классов аномалий
2. Выбор метода, оптимального для обнаружения заданного
класса аномалий
3. Для каждого метода определение набора необходимых
признаков
4. Модульная архитектура системы
12.04.2015
6
Архитектура системы
x1
x2
...
xm
x1
В
ы
ч
и
с
л
е
н
и
е
Модуль 1
x2
Модуль 2
...
...
xn
Модуль K
Модуль
принятия
решения
n>m
Модуль
прерывания
12.04.2015
Наличие аномалии
Класс аномалии
Дополнительные данные
7
Основные достоинства
Модульность построения
Возможность применения нескольких модулей
для каждого класса аномалий
Функционирование системы в условиях
перекрывающихся классов аномалий
Минимизация числа обрабатываемых
параметров каждым модулем
Возможность параллельной обработки
12.04.2015
8
Состояние исследований
Сформированы основные классы аномалий
Продолжаются исследования методов обнаружения
Для рассмотренных методов определяются множества
необходимых признаков
Формируется база данных аномалий
Исследование возможности предупреждения вторжения
при получении сигнала наличия аномалии
12.04.2015
9
12.04.2015
10