Выбор технологий Data Mining для систем обнаружения вторжений в корпоративную сеть
5
Решение задач реализуется с помощью логических выводов на
основании знаний, хранящихся в базе знаний. Знания в ЭС организо-
ваны в виде системы правил вида:
IF
(условие)
THEN
(следствие).
Система логического вывода осуществляет сравнение данных о
реальном событии и об эталонной ситуации, хранимой в базе знаний
и описывающей наличие вторжений, и в случае совпадения этих дан-
ных выполняются заданные действия. Результаты работы ЭС доступ-
ны пользователю через диалоговый интерфейс, который позволяет
ознакомиться также с ходом логических «рассуждений» системы, ко-
торые привели к получению данного результата.
Использование ЭС представляет собой распространенный метод
обнаружения атак, при котором информация об атаках формулирует-
ся в виде правил. Эти правила могут быть записаны, например, в ви-
де последовательности действий или в виде сигнатуры. При выпол-
нении любого из этих правил принимается решение о наличии не-
санкционированной деятельности [4]. Важным достоинством такого
подхода является практически полное отсутствие ложных тревог.
База данных (БД) экспертной системы должна содержать сцена-
рии большинства известных на сегодняшний день атак. Для того что-
бы оставаться актуальными, экспертные системы требуют постоян-
ного обновления БД, так как даже небольшое изменение уже извест-
ной атаки может стать серьезным препятствием для функционирова-
ния системы обнаружения атак.
Другим подходом является использование нечеткой логики, ко-
торая позволяет применить концепцию неопределенности в логиче-
ских выводах. Нечеткая логика позволяет описывать правила в неза-
вершенном, «размытом» режиме на основе знаний и весов событий,
позволяющих предположить вероятность атаки. В результате можно
работать не с конкретными значениями параметров, а с их каче-
ственными описаниями.
Степень принадлежности элемента
x X
∈
к нечеткому множеству
А
описывается его функцией принадлежности
μ
A
(
x
):
X
→
[0, 1]. При
этом можно выделить три случая:
1)
μ
A
(
x
) = 1 означает полную принадлежность элемента
x
к нечет-
кому множеству
А
, т.е.
x A
∈
;
2)
μ
A
(
x
) = 0 означает отсутствие принадлежности элемента
x
к не-
четкому множеству
А
, т.е.
x A
∉
;
3) 0 <
μ
A
(
x
) < 1 означает частичную принадлежность элемента
x
к
нечеткому множеству
А
.
Если полное множество
X
состоит из конечного числа элементов,
т. е.
{
}
1 2,
,
,
n
X x x x
=
K
, то нечеткое множество
А
можно представить
в следующем виде: