Please use this identifier to cite or link to this item: http://er.nau.edu.ua:8080/handle/NAU/39122
Title: Методи ідентифікації аномальних станів для систем виявлення вторгнень
Other Titles: Methods for identifying anomalous states for intrusion detection systems
Методы идентификации аномальных состояний для систем обнаружения вторжений
Authors: Корченко, Анна Олександрівна
Korchenko, Anna
Корченко Анна Александровна
Keywords: атаки
кібератаки
аномалії
лінгвістичні змінні
нечіткі множини
нечіткі числа
виявлення кібератак
виявлення аномалій
системи виявлення вторгнень
системи виявлення аномалій
системи виявлення атак
системи виявлення кібератак
Issue Date: 29-May-2019
Citation: Корченко А.О. Методи ідентифікації аномальних станів для систем виявлення вторгнень: Автореф. дис. ... докт. техн. наук: 05.13.21/НАУ. – К., 2019. – 42с.
Abstract: Дисертаційна робота присвячена вирішенню актуальної науково-прикладної про- блеми, яка пов’язана з розробкою методів ідентифікації аномальних станів для систем виявлення вторгнень (СВВ). В роботі проведено аналіз сучасних СВВ відносно базових характеристик, як-от «Клас кібератак», «Адаптивність», «Відкритість», «Методи вияв- лення», «Управління системою», «Масштабованість», «Рівень спостереження», «Реак- ція на кібератаку», «Захищеність» та «Підтримка ОС». Це надає можливості розробни- кам і користувачам обирати необхідні методи та відповідне програмне забезпечення (ПЗ) для захисту інформаційних систем (ІС) і будувати відповідні системи безпеки. На основі цього, розроблено кортежну модель формування атакуючих середовищ, яка до- зволяє сформувати набір часткових кортежів, для симуляції процесу виявлення анома- льного стану в m-вимірному гетерогенному параметричному середовищі, утвореного відповідним атакуючим середовищем у заданий часовий проміжок. Також розроблений метод формування еталонів, для формалізації процесу отримання еталонних середо- вищ, які містять множини значень фіксованих параметрів заданих груп лінгвістичних змінних, що характеризують конкретне еталонне підсередовище. Запропоновані ме- тоди фазифікації та дефазифікації параметрів, які дозволили формалізувати процес пе- ретворення значень параметрів m-вимірних поточних середовищ для їх подальшого за- стосування у виявленні аномального стану та відобразити параметри детекційного се- редоваща, що характеризують у числовій формі рівень упевненості експерта відносно його суджень щодо можливих кібератак. Розроблений метод -рівневої номіналізації нечітких чисел, який дозволив здійснити графічну інтерпретацію нечітких величин та визначення ідентифікуючих термів, що відображають у заданий момент часу значення еталонних та поточних підсередовищ, які характерні для реалізації певних типів кібе- ратак на ресурси ІС. Запропонований метод визначення ідентифікуючих термів, для пошуку в заданих лінгвістичних змінних, ідентифікуючих перетворених еталонних термів, за якими за допомогою детекційних виразів, визначаються рівні аномальних станів. Розроблений метод формування детекційного середовища для побудови необ- хідної множини детекційних правил, що використовуються при визначенні поточного рівня аномального стану, характерного дії визначеного типу кібератак в m-вимірному гетерогенному параметричному середовищі. На підставі запропонованих методів і мо- делі розроблено методологію побудови систем виявлення аномалій, породжених кібе- ратаками, яка використовується для визначення рівня аномального стану в m-вимір- ному гетерогенному параметричному середовищі. Розроблено структурне рішення об- числювальної системи виявлення кібератак, що дозволяє за допомогою визначення рі- вня аномального стану, характерного впливу певного типу кібератак, розширити фун- кціональні можливості сучасних СВВ. Також, на базі запропонованої методології та ві- дповідного структурного рішення розроблено алгоритмічне забезпечення та програмна модель системи, яка може використовуватися автономно або бути розширювачем фун- кціональних можливостей сучасних СВВ. Проведені експериментальні дослідження пі- дтвердили достовірність теоретичних положень та практичних розробок дисертацій- ного дослідження.
Диссертация посвящена решению актуальной научно-прикладной проблемы, кото- рая связана с разработкой методов идентификации аномальных состояний для систем обнаружения вторжений (СОВ). В работе проведен анализ современных СОВ относи- тельно базовых характеристик, таких как «Класс кибератак», «Адаптивность», «Откры- тость», «Методы выявления», «Управление системой», «Масштабируемость», «Уро- вень наблюдения», «Реакция на кибератаку», «Защищенность» и «Поддержка ОС». Это дает возможности разработчикам и пользователям выбирать необходимые методы и соответствующее программное обеспечение (ПО) для защиты информационных систем (ИС) и строить соответствующие системы безопасности. На основе этого разработано кортежную модель формирования атакующих сред, которая позволяет сформировать набор частных кортежей, для симуляции процесса выявления аномального состояния в m-мерной гетерогенной параметрической среде, порожденной соответствующей атаку- ющей средой в заданный временной промежуток. Также, разработан метод формиро- вания эталонов для формализации процесса получения эталонных сред, содержащих множества значений фиксированных параметров заданных групп лингвистических пе- ременных, характеризующих конкретную эталонную подсреду. Предложенны методы фаззификации и дефаззификации параметров, которые позволили формализовать про- цесс преобразования значений параметров m-мерных текущих сред для их дальнейшего применения при выявлении аномального состояния и отразить параметры детекцион- ной среды, характеризующие в числовой форме уровень уверенности эксперта относи-тельно его суждений о возможных кибератак. Разработан метод -уровневой номина- лизации нечетких чисел, который позволил осуществить графическую интерпретацию нечетких величин и определение идентифицирующих термов, отражающих в заданный момент времени значение эталонных и текущих подсред, которые характерны для реа- лизации определенных типов кибератак на ресурсы ИС. Предложен метод определения идентифицирующих термов, для поиска в заданных лингвистических переменных, идентифицирующих преобразованных эталонных термов, по которым с помощью де- текционных выражений определяются уровни аномальных состояний. Разработан ме- тод формирования детекционной среды для построения необходимого множества де- текционных правил, используемых при определении текущего уровня аномального со- стояния, характерного воздействию определенного типа кибератак в m-мерной гетеро- генной параметрической среде. На основе предложенных методов и модели разрабо- тана методология построения систем обнаружения аномалий, порожденных киберата- ками, которая используется для определения уровня аномального состояния в m-мер- ной гетерогенной параметрической среде. Разработано структурное решение вычисли- тельной системы обнаружения кибератак, что позволяет с помощью определения уровня аномального состояния, характерного воздействию определенного типа кибе- ратак, расширить функциональные возможности современных СОВ. Также, на базе предложенной методологии и соответствующего структурного решения разработано алгоритмическое обеспечение и программная модель системы, которая может исполь- зоваться автономно или в качестве расширителя функциональных возможностей совре- менных СОВ. Проведенные экспериментальные исследования подтвердили достовер- ность теоретических положений и практических разработок диссертационного иссле- дования.
The functionality of modern intrusion detection and blocking systems depends to a great extent on their capabilities to detect new cyberattacks in real time. Systems for countering cyberattacks are well developed, but their effective operation requires appropriate information that is supposed to be helpful in detecting attack actions. As a rule, such data is formed post facto and requires certain time. So, detection and blocking of new cyberattacks are characterized by the conflict between the readiness of cyberattack counteraction systems to immediately respond to an intrusion and the lack of readiness of detection tools to appropriately inform the counteraction functional. In order to deal with this problem, it is necessary to design specific tools that would enable enlarged functional capabilities of modern intrusion detection systems through the a priori formation of information about anomalous states in information systems caused by certain cyberattack types. For this purpose, the most effective approach consists in using the expert knowledge, which, as a rule, is represented in the form of the expert’s judgments about the parameters abnormality level caused by the effect of new types of threats. The dissertation deals with a pressing applied scientific problem related to detection of new kinds of cyberattacks within the shortest possible time by designing an appropriate methodology of creating systems for detecting anomalous states caused by new types of threats. The methodology is supposed to focus on creation of tools that would enlarge the functionality of modern intrusion detection systems. Taking into account some publicized studies with their further generalization and display with regard to an expanded range of tools for detecting abuses and anomalies, modern intrusion detection systems have been analyzed in relation to such basic characteristics as «Class of cyberattacks», «Adaptability», «Openness», «Detection methods», «System management», «Scalability», «Observation level», «Reaction to cyberattacks», «Security» and «OS Support ». This enables developers and users to choose necessary techniques and appropriate software to protect information systems and create appropriate security systems. The analysis of the sources shows that early detection of abuses and anomalies is an urgent problem of modern information systems. The existing systems show their imperfection and unavailability to adapt in real time to detect anomalies caused by modified or unknown threats. The mathematics of fuzzy sets is not used in the systems that have been analyzed although it shows its effectiveness in solving this kind of problems. On this basis, a tuple model for the formation of attacking media has been designed, which, by formalizing the process of creation of mi-dimensional parametric, attacking, reference, current and detecting sub-environments, makes it possible to form a set of partial tuples to simulate the process of detecting anomalous states in an mdimensional heterogeneous parametric environment created by the appropriate attacking environment at a given time interval. Also, a method of reference environment formation has been designed, which, by using a set of identifiers of linguistic estimates and identifiers of intervals, basic and derived frequency matrices, by formal representation of expert reasoning regarding the description of the current state of parameters with respect to the cyberattack, by forming the occurrence of expert estimates and fuzzy terms subsets within the specified frequency intervals, makes it possible to formalize the process of obtaining the reference values of the fixed parameters of the specified groups of linguistic variables, which characterizes a specific reference sub-environment. A method of parameter phasing in reference sub-environments is suggested, which, by introducing sets of sensors, sensor counters and correction references as well as by using sets of linguistic references and those of the appropriate subsets of intervals in order to form the frequencies of occurrence of physical parameter values at the specified moments of the expected event, makes it possible to formalize the process of transformation of the current values of the m-dimensional current environment parameters into a fuzzy form for their further application in detecting anomalous states. A method of -level nominalization of fuzzy numbers has been designed, which, due to the constructed mechanism of creation of a set of -levels, auxiliary subsets of -level intervals and inter-point -level intervals as well as due to the nominalization process and determination of the values of the necessary supports of the fuzzy numbers of the reference and current environments, allows graphical interpretation of fuzzy quantities and determination of identifying terms that represent the current states of the reference and current environments that are characteristic of realization of certain types of cyber-attacks on information resources. A method for determination of the identifying terms is suggested, which, due to the basic mechanism that forms elements of the set of characteristic features and uses the agreed function, makes it possible, due to the reference environment, searching the transformed identifying reference terms focusing on processing in the detecting environment in order to determine the levels of anomalous states. A method for dephasing the detecting environment parameters has been designed, which, by defining the auxiliary term, the expert coefficients of parameters and the expert cyberattack coefficient, which characterize the expert linguistic estimates associated with the anomalous state level in the current environment, allows numerical representation of the expert’s confidence in his judgments about possible cyberattacks. A method of detecting environment formation has been designed, which, on the basis of the suggested tuple model and due to the mechanism of formation of subsets of abnormality parameters as well as due to formalization of the process of building decision functions and conditional detecting expressions, makes it possible to create the necessary set of detecting rules that are used to determine the levels of anomalous states characteristic of the action of a certain type of cyberattack. Based on the proposed methods and model, a methodology has been designed for constructing systems that detect anomalies generated by cyber-attacks, which, due to the mechanisms of attacking environments formation, those of creation of mi-dimensional parametric reference and current sub-environments, those of -level nominalization of reference and current subenvironments, those of determination of identifying terms and formation of detecting environments, enables creating systems that are used to determine the level of an anomalous state in an m-dimensional heterogeneous parametric environment. A structure of a cyberattack detection system has been designed, which, due to the databases of cyberattacks, rules and references as well as current values formation module, -level nominalization, identifying terms, anomaly level and visualization, allows creating tools that would determine the anomalous state levels characteristic of the action of a certain type of cyberattack and enlarge the functionality of modern intrusion detection systems. Also, on the basis of the proposed methodology and the corresponding structural solution, an algorithmic support and a software model of a system for detecting anomalous states created by cyberattacks are designed. The model can be used either autonomously or to expand the functionality of modern intrusion detection systems. The conducted experiments confirmed the reliability of the theoretical principles and practical developments of the dissertation. The results of the study have been adopted by the Saifer BIS Ltd Company. They are also used in the educational process at the Department of Data Protection Computerized Systems of the National Aviation University, at the Information Security Department of the Institute of Information and Telecommunications Technologies of K.I. Satbayev Kazakh National Research Technical University and at the Department of Computer Science and Automatics of the University (Technical-Humanistic Academy) of Bielsko-Biała, Poland.
URI: http://er.nau.edu.ua:8080/handle/NAU/39122
Appears in Collections:Спеціалізована вчена рада Д 26.062.17

Files in This Item:
File Description SizeFormat 
aref_korchenko.pdfАвтореферат2.42 MBAdobe PDFView/Open
diss_korchenko.pdfДисертація19.36 MBAdobe PDFView/Open
Вiдгук_Грищук Р.В..pdfВідгук офіційного опонента5.19 MBAdobe PDFView/Open
ВІдгук_Лужецький В.А..pdfВідгук офіційного опонента7.17 MBAdobe PDFView/Open
Вiдгук_Опірський І.Р..pdfВідгук офіційного опонента4.03 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.