Запис Детальніше

Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата

Цифровой репозитарии Национального технического университета "Харьковский политехнический институт" (eNTUKhPIIR)

Переглянути архів Інформація
 
 
Поле Співвідношення
 
Title Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата
Development of anomalous computer behavior detection method based on probabilistic automaton
 
Creator Гавриленко, Светлана Юрьевна
Семенов, Сергей Геннадиевич
Челак, Виктор Владимирович
 
Subject вероятностный автомат
аномальное поведение компьютерной системы
эвристический анализатор
системы обнаружения аномалий
probabilistic automaton
anomalous computer system behavior
heuristic analyzer
anomaly detection system
 
Description В работе разработан метод выявления аномального поведения компьютерной системы на основе вероятностного автомата. Отличительной особенностью метода является адаптация процедуры генерации структуры автомата к ситуациям обнаружения однотипных сценариев, путем перестройки структуры автомата при обнаружении совпадений и пересчета вероятности переходов из состояния в состояние. Основными составляющими метода являются модель генерации структуры автомата и процедура его модификации. Входными данными автомата являются множество дискретных событий (системных вызовов, идентификаторов процессов или инструкций секций кода), присущих для определенного типа анормальности работы компьютерной системы и сгруппированные по классам. Первоначально генерируется структура автомата для одного из экземпляров классов, а затем эта структура перестраивается при анализе последующих экземпляров. Возможность перехода из состояния в состояние зависит от входного состояния и от значения вероятности перехода. Сгенерированная структура автомата в дальнейшем используется для выявления аномального поведения компьютерной системы. При возникновении аномалий с другими сценариями, структура автомата также может обновляться. Предложенный метод позволяет ускорит процесс выявления аномального поведения компьютера, а также обнаруживать аномалии компьютерной системы, профили сценариев которых лишь частично совпадают с экземплярами, используемыми при генерации структуры автомата. Полученные результаты исследований позволяют сделать вывод о возможности использования разработанного метода как дополнительного способа в эвристических анализаторах систем обнаружения аномалий.
The paper proposes a method for identifying the anomalous behavior of a computer system based on probabilistic automaton. The main components of the method are the model of generation of the structure of the automaton and its modification procedure. The defining feature of the method is adaptation of automaton structure generation procedure for detecting scenarios of the same type, by restructuring the structure of the automaton upon a match and by recalculation of the state transition probabilities. Input data of the automaton consist of discrete events (system calls, process IDs or sections of code instructions), typical for a certain class of anomalous behavior, and grouped by type. The automaton structure is first created in accordance with one of the instances of a class, and then restructured during the analysis of other instances. Possibility of state transition depends on the input state and transition probability value. Generated automaton structure is used to detect anomalous computer system behavior. Automaton structure can be updated, if an anomaly occurs with different scenarios. Proposed method allows to speed up detecting anomalous computer behavior, as well as to detect computer system anomalies, scenario profiles of which only partially match with instances used for generation the structure of the automaton. Obtained research results allow us to conclude about the possibility of using this method in heuristic analyzers of anomaly detection systems.
 
Date 2019-04-16T10:56:22Z
2019-04-16T10:56:22Z
2018
 
Type Article
 
Identifier Гавриленко С. Ю. Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата / С. Ю. Гавриленко, С. Г. Семенов, В. В. Челак // Безпека інформації = Ukrainian Scientific Journal of Information Security. – 2018. – Т. 24, № 3. – С. 163-168.
http://repository.kpi.kharkov.ua/handle/KhPI-Press/40729
10.18372/2225-5036.24.13427
orcid.org/0000-0001-8810-3394
 
Language ru
 
Format application/pdf
 
Publisher Національний авіаційний університет