Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата
Цифровой репозитарии Национального технического университета "Харьковский политехнический институт" (eNTUKhPIIR)
Переглянути архів Інформація| Поле | Співвідношення | |
| Title |
Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата
Development of anomalous computer behavior detection method based on probabilistic automaton |
|
| Creator |
Гавриленко, Светлана Юрьевна
Семенов, Сергей Геннадиевич Челак, Виктор Владимирович |
|
| Subject |
вероятностный автомат
аномальное поведение компьютерной системы эвристический анализатор системы обнаружения аномалий probabilistic automaton anomalous computer system behavior heuristic analyzer anomaly detection system |
|
| Description |
В работе разработан метод выявления аномального поведения компьютерной системы на основе вероятностного автомата. Отличительной особенностью метода является адаптация процедуры генерации структуры автомата к ситуациям обнаружения однотипных сценариев, путем перестройки структуры автомата при обнаружении совпадений и пересчета вероятности переходов из состояния в состояние. Основными составляющими метода являются модель генерации структуры автомата и процедура его модификации. Входными данными автомата являются множество дискретных событий (системных вызовов, идентификаторов процессов или инструкций секций кода), присущих для определенного типа анормальности работы компьютерной системы и сгруппированные по классам. Первоначально генерируется структура автомата для одного из экземпляров классов, а затем эта структура перестраивается при анализе последующих экземпляров. Возможность перехода из состояния в состояние зависит от входного состояния и от значения вероятности перехода. Сгенерированная структура автомата в дальнейшем используется для выявления аномального поведения компьютерной системы. При возникновении аномалий с другими сценариями, структура автомата также может обновляться. Предложенный метод позволяет ускорит процесс выявления аномального поведения компьютера, а также обнаруживать аномалии компьютерной системы, профили сценариев которых лишь частично совпадают с экземплярами, используемыми при генерации структуры автомата. Полученные результаты исследований позволяют сделать вывод о возможности использования разработанного метода как дополнительного способа в эвристических анализаторах систем обнаружения аномалий.
The paper proposes a method for identifying the anomalous behavior of a computer system based on probabilistic automaton. The main components of the method are the model of generation of the structure of the automaton and its modification procedure. The defining feature of the method is adaptation of automaton structure generation procedure for detecting scenarios of the same type, by restructuring the structure of the automaton upon a match and by recalculation of the state transition probabilities. Input data of the automaton consist of discrete events (system calls, process IDs or sections of code instructions), typical for a certain class of anomalous behavior, and grouped by type. The automaton structure is first created in accordance with one of the instances of a class, and then restructured during the analysis of other instances. Possibility of state transition depends on the input state and transition probability value. Generated automaton structure is used to detect anomalous computer system behavior. Automaton structure can be updated, if an anomaly occurs with different scenarios. Proposed method allows to speed up detecting anomalous computer behavior, as well as to detect computer system anomalies, scenario profiles of which only partially match with instances used for generation the structure of the automaton. Obtained research results allow us to conclude about the possibility of using this method in heuristic analyzers of anomaly detection systems. |
|
| Date |
2019-04-16T10:56:22Z
2019-04-16T10:56:22Z 2018 |
|
| Type |
Article
|
|
| Identifier |
Гавриленко С. Ю. Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата / С. Ю. Гавриленко, С. Г. Семенов, В. В. Челак // Безпека інформації = Ukrainian Scientific Journal of Information Security. – 2018. – Т. 24, № 3. – С. 163-168.
http://repository.kpi.kharkov.ua/handle/KhPI-Press/40729 10.18372/2225-5036.24.13427 orcid.org/0000-0001-8810-3394 |
|
| Language |
ru
|
|
| Format |
application/pdf
|
|
| Publisher |
Національний авіаційний університет
|
|