Т.И. Булдакова
,
А.Ш. Джалолов
4
В последнее время в СОВ стали использовать также технологии
интеллектуального анализа данных (Data Mining), позволяющие ре-
шать слабоструктурированные и плохо формализуемые задачи, к ко-
торым относятся и задачи выявления нарушений ИБ.
Основными целями интеллектуального анализа данных являются
поиск функциональных и логических закономерностей в накоплен-
ной информации, построение моделей и правил, которые объясняют
найденные аномалии и/или прогнозируют развитие некоторых про-
цессов, а также обнаружение скрытых знаний в виде корреляций,
тенденций и взаимосвязей, которые аналитик не в состоянии выявить
и обобщить самостоятельно. Технологии Data Mining, в отличие от
традиционных методов обработки данных, позволяют более эффек-
тивно выполнять оценку состояния наблюдаемых процессов, выяв-
лять и ранжировать причины значимых изменений, прогнозировать
развитие процессов и вырабатывать рекомендации по подготовке
возможных вариантов решений с прогнозом их последствий [6].
Применение технологий Data Mining в СОВ способствует учету
профессионального опыта специалистов в области ИБ, принятию ре-
шений в условиях неопределенности, адаптации их при появлении
новых угроз или их модификаций [7, 8]. С этой целью наиболее часто
применяют экспертные системы, нечеткую логику, искусственные
нейронные сети.
Особенности технологий Data Mining для обнаружения атак.
В
экспертной системе знания специалистов-экспертов формализуются в
виде набора правил, позволяющих принимать решения в сложных ситу-
ациях. Структурированием знаний экспертов в виде базы знаний зани-
мается аналитик (инженер по знаниям). Основанная на правилах экс-
пертная система состоит из базы знаний, механизма логического выво-
да, блока объяснения результатов и пользовательского интерфейса.
Общая структура экспертной системы (ЭС) приведена на рис. 2.
Рис. 2.
Структурная схема экспертной системы