Page 3 - Обоснование архитектуры перспективной системы обнаружения и предотвращения вторжений
Basic HTML Version
ISSN 2305-5626. Вестник МГТУ им. Н.Э. Баумана: электронное издание. 2013
3
– аккумуляция заключений. Целью этого этапа является получе-
ние нечеткого множества для каждой из выходных переменных (или
их объединения). Выполняется этап таким образом:
i
-й выходной пе-
ременной ставится объединение множеств
E
i
=
∪
D
j
, где
j
— номера
подзаключений, в которых участвует
i
-я выходная переменная (
i
= 1,
…,
s
). Объединением двух нечетких множеств является третье нечет-
кое множество с функцией принадлежности
( )
i
x
′μ
= max {μ
1
(
x
), μ
2
(
x
)},
где μ
1
(
x
), μ
2
(
x
) — функции принадлежности объединяемых множеств;
– дефаззификация выходных переменных, целью которой являет-
ся получение количественного значения для каждой из выходных
лингвистических переменных. Формально это происходит следую-
щим образом: рассматривается
i
-я выходная переменная и относяще-
еся к ней множество
E
i
(
i
= 1, …,
s
), затем с помощью метода дефаз-
зификации находится итоговое количественное значение выходной
переменной. В данной реализации алгоритма используется метод
центра тяжести, в котором значение
i
-й выходной переменной рас-
считывается по формуле
max
min
max
min
( )
,
( )
i
i
i
x x dx
y
x dx
µ
=
µ
∫
∫
где μ
i
(
x
) — функция принадлежности соответствующего нечеткого
множества
E
i
; min и max — границы универсума нечетких перемен-
ных;
y
i
— результат дефаззификации.
Для дополнительных модулей выбраны статистические методы [2].
Оценка аномальности распределения сетевого трафика реализу-
ется следующим алгоритмом:
– за интервал времени
t
накапливается статистика наблюдений
величины (
x
1
, …,
x
n
), где
x
i
— число полученных пакетов в течение
1 с;
– вычисляется математическое ожидание
/
i
x n
µ =
∑
, где
i
= 1,
…,
n
;
n
— число наблюдений;
– вычисляется среднеквадратическое отклонение
2
2
2
1
(
...
)
;
1
n
x
x
n
+ +
σ =
− μ
−
– новое наблюдение является аномальным, если оно не укладыва-
ется в границах доверительного интервала
0,
.
μ + σ
Выбор сделан на основании таких преимуществ данных методов,
как отделение управляющего решения от формулировки, универсаль-
ность данных методов, использование уже отработанного и зареко-
мендовавшего себя аппарата математической статистики. Данные ме-
