Murodov ma’murjon ma’rupovich axborot kommunikatsiya texnologiyalarida xavfsizlik insidentlarini tahlil qilish asosida kiberhujumlarni aniqlash algoritmi

Download 0,93 Mb.

bet	11/17
Sana	21.07.2022
Hajmi	0,93 Mb.
	#834227

1 ... 7 8 9 10 11 12 13 14 ... 17

Bog'liq
MY Dist Murodov M

II-BOB. AXBOROT XAVFSIZLIGI HODISALARI VA INSIDENTLARINING KORRELYATSION USULLARI TAHLILI 2.1. Kiberhujumlarni aniqlash usullarini tahlil qilish va klassifikatsiyalash

Birinchi bob bo’yicha xulosalar

Axborot xavfsizligi insidentlarini boshqarish jarayoning modelini ishlab hiqish bosqichlaridan biri optimal insidentlar klassifikatsiyasini tanlash hisoblanadi. Shu maqsadda axborot xavfsizligi insidentlarini klassifikatsiyalashning maqsadlari aniqlab olindi.

Axborot xavfsizligi insidentlarining xizmatlarni rad etish, ma’lumotlar to’plash va ruxsatsiz kirish kabi turlari tahlil qilindi.

Avtomatlashtirilgan axborot tizimlari axborot xavfsizligi tizimining holatini baholash uchun mantiqiy yondashuv asosida guruhlangan kichik to'plamlarning alohida ko'rsatkichlari to'plamidan iborat xavfsizlik talablarining butun tuzilishini baholashning ketma-ket bosqichlari o’rganib chiqildi.
Insidentlarni boshqarish jarayonini takomillashtirish uchun insidentni pretsedent tahlil qilish usul va vositalari o’rganib chiqildi.

II-BOB. AXBOROT XAVFSIZLIGI HODISALARI VA INSIDENTLARINING KORRELYATSION USULLARI TAHLILI
2.1. Kiberhujumlarni aniqlash usullarini tahlil qilish va klassifikatsiyalash
Hujumni aniqlash usullarini klassifikatsiyalash sxemasi. Hujumlarni aniqlash usullari bo'yicha umumiy qabul qilingan klassifikatsiyasi anomaliyalarni aniqlash tizimlari va suiiste'molni aniqlash tizimlarini o'z ichiga oladi. 2.1-rasmda tarmoq trafigining ko'rsatkichlari asosida tarmoq anomaliyalarini aniqlash sxemasi ko'rsatilgan.
2.1-rasm. Tarmoq anomaliyalarini aniqlash sxemasi
Tarmoq anomaliyalarini aniqlashning umumiy algoritmini quyidagicha tavsiflash mumkin. Tahlil qilish uchun ma'lumotlar odatda IP darajasida bo'lingan tarmoq paketlari to'plami sifatida taqdim etilgan tarmoq trafigidir. Yig'ilgan dastlabki ma'lumotlar keyinchalik tahlil qilish uchun kerakli ma'lumotlarni shakllantirishda manba bo'lib xizmat qiladi. Shunday qilib, olingan ma'lumotlar ma'lum vaqt oralig'ida jamlanishi va joriy faoliyat profilini qurishda talab qilinadigan xususiyat atributlarining umumiy turini o'rnatish uchun normallashtirilishi mumkin. Yaratilgan xususiyatlar to'plami ob'ektning (foydalanuvchi yoki tizim) normal faoliyatining xarakteristikalari to'plami - normal xatti-harakatlar shablonlari bilan taqqoslanadi. Agar taqqoslangan parametrlar o'rtasida sezilarli tafovut bo'lsa, u holda tarmoq anomaliyasi qayd etiladi. Aks holda, oddiy xatti-harakatlar sxemasi tarmoq faolligining joriy kuzatilgan profili asosida uning sozlamalarini o'zgartirish orqali tozalanadi.
Yuqorida tavsiflangan algoritm oddiy xatti-harakatlar namunasini tekshirish uchun quyi tizimni amalga oshirish uchun bir nechta amalga oshirish variantlarini o'z ichiga olishi mumkin. Ulardan eng oddiyi, joriy tarmoq faoliyatini tavsiflovchi to'plangan natijalar ekspert tomonidan belgilangan raqamli chiziq bilan taqqoslanadigan chegara solishtirish protsedurasidir. Ushbu yondashuvda, belgilangan chegaraning ko'rib chiqilgan parametrlarining qiymatlari oshib ketgan taqdirda, tarmoq anomaliyasining belgisi hisoblanadi. Boshqa yondashuvlar, shu jumladan, 3-bo'limda muhokama qilinadi.
Shuni ta'kidlash kerakki, oddiy xatti-harakatlar uchun shablonni yaratish juda mashaqqatli ish va ko'pincha har doim ham amalga oshirilmaydi. Shunday qilib, amalda har bir anomal xatti-harakati hujum emasligi ma'lum bo'ldi. Masalan, tarmoq ma'muri tarmoq muhitini diagnostika qilish uchun ping, traceroute, mtr kabi disk raskadrovka utilitalaridan foydalanishi mumkin. Bu harakatlar noqonuniy niyatga ega emas, ammo anomaliyalarni aniqlash tizimlari ushbu faoliyatni anomal tarmoq faoliyati sifatida tan oladi.
2.2-rasmda tarmoq trafigidagi yo’qotishlarni aniqlash sxemasi ko'rsatilgan.

Yangi qoidalarniqo'shish

Tarmoq trafigi

Yo’q

ha

Oddiy xulq-atvor namunasini sozlash

qoidalarga muvofiqligini tekshirish

Tarmoq trafigining atributlarini hisoblash, ularni standart shaklga keltirish, paket maydonlarini tahlil qilish

Tarmoq anomaliyasi

2.2-rasm. Tarmoqni suiiste'mol qilishni aniqlash sxemasi

Yo’qotishlarni aniqlash sizga ruxsatsiz harakatlarni aniqlash imkonini beradi, agar siz ularni hujum naqshlari ko'rinishida aniq ko'rsatsangiz. Bu erda hujum shabloni deganda ma'lum bir hujumni aniq tasvirlaydigan, aniqlangan ob'ektning xususiyatlari va maydonlariga tatbiq etilgan holda, uning ushbu hujumga tegishli ekanligi haqida aniq javob olishingiz mumkin bo'lgan ma'lum harakatlar to'plami (moslik, xulosa chiqarish qoidalari) tushuniladi.Tarmoq anomaliyalarini aniqlash sxemasida bo'lgani kabi, suiiste'mollikni aniqlashda tahlil qilish uchun asosiy ma'lumotlar tarmoq trafigidir. Tarmoq paketlarining tanlangan atributlari va maydonlari modulga uzatiladi, u kirish ma'lumotlarining qoidalarga muvofiqligini izlaydi va tekshiradi va qoidalardan biriga ijobiy javob bergan taqdirda tahdid mavjudligi haqida xabar beradi.
Suiiste'molni aniqlash tizimini yaratishda asosiy masala - bu qoidalar mexanizmini qanday qilib samarali loyihalashdir. Barcha turdagi hujumlarni aniqlash uchun to'liq qoidalar bazasini yaratish bir necha omillar tufayli mumkin emasligi aniq. Ushbu omillardan biri shundaki, hujum qilish harakatlarining turli xil variantlarini tavsiflash tizimning ishlashiga salbiy ta'sir qiladi. Hujumdagi kichik o'zgarishlar ham uni suiiste'mollikka asoslangan usullar bilan aniqlashning imkonsizligiga olib kelganligi sababli, o'rnatilgan qoidalar universal bo'lishi va tarmoq hujumlarining iloji boricha ko'proq ma'lum modifikatsiyalarini qamrab olishi kerak.
Xulosa qilib aytganda, suiiste'molni aniqlash usullari ma'lum turdagi hujumlarni aniqlash uchun samarali vosita bo'lib, ularning yangi hujumlarga nisbatan qo'llanilishi, shuningdek, ma'lum hujumlarning modifikatsiyasida samarasiz.
Ushbu qismda taklif qilingan hujumni aniqlash usullarining klassifikatsiyasi sxematik tarzda 2.3-rasmda ko'rsatilgan. Uni qurish uchun ishlarning katta ro'yxatini tahlil qilish amalga oshirildi, bu ularda taklif qilingan taksonomiyalarni va tarmoq hujumlarini aniqlashning ma'lum usullarining sxemalarini aniqlashtirishga imkon berdi.
Ushbu bo'linish sxemasi shartli va to'liq deb bo’lmaydi: ba'zi yondashuvlar bir nechta guruhlarga tegishli bo'lishi mumkin. Xususan, ekspert tizimlari va Oxirgi avtomatlari anomaliyalarni aniqlash uchun ishlatilishi mumkin, lekin ko'p hollarda ular suiiste'molni aniqlash uchun maxsus qo'llaniladi. Shuningdek, neyron tarmoqlar va vektorni qo'llab-quvvatlash mashinasi kabi hisoblash intellektining bunday usullari ko'pincha mashinani o'qitish usullari deb ataladi. 2.3-rasmga mos keladigan sxemada shunday bo'lim tanlanadi, unda ma’lumotlarni intelektual tahlil qilish metodi usullari biosimilar algoritmlarga mansublik mezoniga ko'ra klassifikatsiyalanadi va shuning uchun ikkita sinfni o'z ichiga oladi: hisoblash razvedkasi usullari va mashinani o'qitish usullari.

2.3-rasm. Hujumni aniqlash usullarining klassifikatsiyasi

Taqdim etilgan usullarning har bir guruhi quyidagi tegishli bo'limlarda ko'rib chiqiladi.
Xulq-atvor metodlari - bu tizimning normal xatti-harakati to'g'risidagi ma'lumotlardan foydalanish va uni kuzatilgan xatti-harakatlar parametrlari bilan taqqoslashga asoslangan usullar. Taqdim etilgan usullar guruhi tizim yoki foydalanuvchining muntazam yoki normal ishlashi modelini yaratishga qaratilgan. Ishlash jarayonida ushbu yondashuvdan foydalanadigan tizimlar joriy faoliyat ko'rsatkichlarini normal faoliyat profili bilan solishtiradilar va sezilarli og'ishlar hujumning dalili sifatida qaralishi mumkin.
Ushbu usullar noto'g'ri pozitivlarning mavjudligi bilan tavsiflanadi, bu birinchi navbatda foydalanuvchining qonuniy harakatlari to'plamini aniq va to'liq tavsiflashning murakkabligi bilan izohlanadi. Bundan tashqari, ushbu tizimlarning aksariyati uchun odatiy xatti-harakatlar modelini yaratish uchun tizim "tajriba orttirish" uchun dastlabki sozlash bosqichini o'tkazish odatiy va zarurdir. Ma'lumot to'plash uchun bunday intervalning davomiyligi bir necha hafta, ba'zan esa bir necha oy davom etishi mumkin. Ushbu kamchiliklar ko'pincha xulq-atvor metodlariga asoslangan tizimlardan tarmoqdagi xavfsizlik buzilishining aniq ifodasini ishlatadigan tizimlar foydasiga tark etilishining asosiy sabablari hisoblanadi.
Ushbu ishda hujumni aniqlashning quyidagi metodlari xulq-atvor metodlari sifatida klassifikatsiyalanadi:

to'lqinlar tahlili;
statistik tahlil;
entropiya tahlili;
spektral tahlil;
fraktal tahlil;
klaster tahlili.

Bilimga asoslangan metodlar shunday usullarni o'z ichiga oladiki, ular berilgan faktlar, xulosalar va berilgan hujumlar belgilarini aks ettiruvchi qoidalarga mos keladigan, asosiy qidiruv mexanizmiga asoslangan hujumlarni aniqlash uchun harakatlarni bajaradilar. Qidiruv protsedurasi sifatida qoliplarni moslashtirish, muntazam iboralar, mantiqiy ketma-ket xulosa chiqarish, holatga o'tish tahlili va hokazolardan foydalanish mumkin. Ushbu usullar o'z nomini qo'llashga asoslangan tizimlar allaqachon ma'lum bo'lgan hujumlarning tavsiflarini o'z ichiga olgan bilimlar bazasi bilan ishlashi bilan bog'liq. Bu erda bilimlar bazasi ularni qayta ishlash va talqin qilish mantig'ini qo'llab-quvvatlaydigan ekspert yozuvlarini o'z ichiga olgan ombor bilan ifodalanadi (ya'ni, xulosa chiqarish quyi tizimining mavjudligi bilan tavsiflanadi).
Agar zararli faoliyatning modifikatsiyalari haqida aniq ma'lumot bo'lmasa, bu usullar ushbu zararli faoliyatning turli xil o'zgarishlarini aniqlashga dosh bera olmaydi.
Mashinani o’qitish usullari, masalan, hisoblash razvedkasi usullari, anomaliyalarni aniqlashda ham, suiiste'mollikni aniqlashda ham qo'llaniladi. Buning sababi shundaki, ushbu yondashuvlar ko'pincha tarmoqdagi normal va g'ayritabiiy xatti-harakatlarning namunalarini o'qitish uchun dastlabki ma'lumotlar sifatida ishlatadi.
Bir qator loyihalar mualliflari Snort tizimidagi standart aniqlash modulini qaror daraxtlari bilan almashtirishni taklif qilishdi. Tajribalar DARPA ma'lumotlar to'plamida o'tkazildi va tarmoq paketlarini tahlil qilish uchun foydalaniladigan pcap fayllarni qayta ishlash tezligi standart modulga nisbatan o'rtacha 40,3% ga oshganini ko'rsatdi.
Hisoblash razvedkasi usullari. Sun'iy neyron tarmoq - bu sinapslar orqali bog'langan va kirish qiymatlari to'plamini kerakli chiqish qiymatlari to'plamiga aylantiradigan qayta ishlash elementlari to'plami - neyronlar. Neyron tarmoqlar keng doiradagi ilovalarda qo'llaniladi: naqshni aniqlash, boshqarish nazariyasi, kriptografiya, ma'lumotlarni siqish. Neyron tarmoqlar naqshdan o'rganish va shovqinli va to'liq bo'lmagan ma'lumotlardan umumlashtirish qobiliyatiga ega. O'quv jarayonida sinaptik og'irliklar bilan bog'liq koeffitsientlar o'rnatiladi.
Genetik algoritmlar tabiiy tanlanishning biologik tamoyillariga taqlid qilishga asoslanadi va optimallashtirish masalalarini hal qilish uchun mo'ljallangan. Genetik algoritmlar ishi individlarning dastlabki populyatsiyasini yaratishdan boshlanadi. Populyatsiyaning har bir vakili ramziy yoki ikkilik ketma-ketliklar (torlar) bo'lgan va evolyutsiya jarayonida o'zgarishlarga uchragan genlar (xromosomalar) to'plami sifatida belgilanadi. Krossover va mutatsiya operatorlari yordamida yangi avlodlar yaratiladi. Bu operatorlar xromosoma rekombinatsiyasini va nasllarning tuzilishidagi o'zgarishlarni keltirib chiqaradi. Yangi naslning har bir shaxsi uchun ushbu muammoni hal qilish samaradorligi ko'rsatkichini tavsiflovchi moslik qiymati hisoblanadi.
Qoida tariqasida, Genetik algoritmlar ma'lumotlarni klassifikatsiyalashning boshqa modellari. qarorlar daraxtlari, loyqa mantiqiy elementlar, neyron tarmoqlar va boshqalari bilan birgalikda qo'llaniladi.
Hisoblash immun tizimlari inson immunitet tizimining prototipi bo'lib, uning faoliyatining asosiy tamoyillari asosida qurilgan. Immunitet tizimi faoliyatining asosiy mexanizmlari orasida immun detektorlarini yaratish va o'qitish, noto'g'ri pozitivlarni keltirib chiqaradigan detektorlarni yo'q qilish va begona patogenlarga javob berish kiradi.
20-asrning 70-yillari oʻrtalarida ingliz fiziologi N.K.Ern tomonidan taklif qilingan tarmoq modelini immun tizimining birinchi modeli deb hisoblash mumkin. Bu model tashqi antigenlarni tanib olish uchun o'zaro bog'langan B -hujayralardan tashkil topgan immun tarmoq nazariyasiga asoslanadi. Ushbu nazariyaga ko'ra, immun tizimi antigen bo'lmagan taqdirda ham bir-birini taniy oladigan molekulalar va hujayralarning tartibga solinadigan tarmog'idir.
Nazariya limfotsitlarning turli klonlari bir-biridan ajratilmagan, balki ularning retseptorlari va antikorlari o'rtasidagi o'zaro ta'sir orqali aloqani saqlab turadi, degan taxminga asoslanadi. O'z navbatida, antikorlar idiotoplar deb ataladigan o'ziga xos antigenik determinantlar to'plamiga ega. Shuning uchun bunday tuzilmalar ko'pincha idiotipik tarmoqlar deb ataladi.
Gibrid metodlar. Gibrid yondashuvlarning mohiyati asosiy klassifikatsiyalagichlarni birlashtirishning turli xil sxemalarini amalga oshirishdan iborat bo'lib, bu ularning ishlashidagi kamchiliklarni alohida-alohida tekislash imkonini beradi. Asosiy klassifikatsiyalagichlarning chiqish qiymatlari yuqori darajadagi klassifikatsiyalagichlar tomonidan qaror qabul qilish qoidasini shakllantirishda yordamchi bo'lgan oraliq natijalar sifatida qabul qilinadi.
Uchta klassifikatsiyalagich bor deb qaraladi: qarorlar daraxti, SVM va birinchi ikkita klassifikatsiyalagichning kombinatsiyasi. Gibrid klassifikatorning ishi ikki bosqichdan iborat edi. Birinchidan, test ma'lumotlari tugun ma'lumotlarini yaratadigan qarorlar daraxtlariga yuborildi. Keyinchalik, test ma'lumotlari tugun ma'lumotlari bilan birgalikda klassifikatsiyalash natijasini ishlab chiqaradigan SVM tomonidan qayta ishlandi. Ushbu yondashuvni qo'llashning asosiy g'oyasi qarorlar daraxtidagi tugun ma'lumotlari SVM ishlashini qanday yaxshilashini o'rganish edi. Ushbu uchta usul yordamida olingan klassifikatsiya natijalarida tafovutlar aniqlangan taqdirda yakuniy javob vaznli ovoz berish asosida berildi.
Tarmoq anomaliyalarini aniqlash muammolarida ma'lumotlarni qidirish usullaridan foydalanish bo'yicha takliflar. Biz bu qismda ma’lumotlarni intelektual tahlili usullaridan foydalangan holda tarmoq anomaliyalarini aniqlash muammosini hal qilish jarayonida yuzaga keladigan bir nechta muammolar ko'rib chiqamiz va buzg'unchilikni aniqlash tizimlarini ishlab chiquvchilarga bunday yondashuvlardan foydalanishning maqsadga muvofiqligi haqida o'ylash imkonini beradigan bir nechta tavsiyalar taklif etamiz.
Hozirgi vaqtda ma’lumotlarning intellektual tahlili ko'plab sohalarda katta muvaffaqiyat bilan qo'llanilmoqda: belgilarni optik aniqlash, spamni aniqlash, biometrik ko'rsatkichlarni identifikatsiyalash, tavsiyalar xizmatlarini qurish. Ammo shu bilan birga, xuddi shu texnologiyadan foydalanganda, kompyuter tarmoqlarida anomaliyalarni aniqlashda bir qator qiyinchiliklar paydo bo'ladi. Tarmoq anomaliyalarini aniqlash muammosiga nisbatan ma’lumotlarning intellektual tahlili usullarini qo'llashning o'ziga xos xususiyati nimada bo'lishi mumkin va xuddi shu texnologiyaga asoslangan boshqa muammolarni hal qilishdan bunday farqning mohiyatini qanday tushuntirish mumkin? Ta'rifga ko'ra, anomaliyalarni aniqlash ilgari ko'rilmagan hujumlarni aniqlashni o'z ichiga oladi, shu bilan birga bunday muammoni o'rnatish kontekstida ma’lumotlarning intellektual tahlili usullari faqat tarmoq trafigidagi munosabatlar va naqshlarni topishga, o'quv majmuasida ilgari duch kelganiga o'xshash faoliyatni topishga qaratilgan. To'g'risini aytganda, bu ko'pchilik ma’lumotlarning intellektual tahlili usullarining yangi turdagi hujumlarni aniqlash qobiliyati deb hisoblashga odatlangan narsa emas. Anomaliyalarni aniqlash vazifasi uchun tayyor ma’lumotlarning intellektual tahlili vositalaridan foydalanish ko'p sonli noto'g'ri ijobiy va o'tkazib yuborilgan hujumlarga olib keladi. Bu, birinchi navbatda, tarmoq trafigining kundan-kunga doimiy ravishda o'zgarib turishi bilan bog'liq. Bundan tashqari, bunday o'zgaruvchan xatti-harakatlarning davriyligini yoki mavsumiyligini kuzatish qiyin. Shu sababli, ma’lumotlarning intellektual tahlili usullari yordamida ushbu muammoni hal qilishning yondashuvlaridan biri aqlli detektorlarni o'zgaruvchan sharoitlarga dinamik moslashtirishdir. Ammo baribir, buzg'unchilikni aniqlash tizimlarini tijorat tatbiq etishda asosan qoidalarga asoslangan usullar qo'llaniladi, ularning yordamida siz nazorat qilinadigan tarmoqdagi parametrlarning o'zgarishini yanada nozikroq tarzda qo'lda kuzatishingiz va belgilashingiz mumkin. Buni ularning bir qator kuchli tomonlari bilan izohlash mumkin, ular orasida ma'lum bir hujum signali nima uchun vaqtning ma'lum bir nuqtasida qayd etilganligini asoslash imkoniyati, shuningdek, tizim sozlamalarini soddalashtirish imkoniyati mavjud. Mavjud qoidalar to'plami va yo'l harakati xususiyatlariga asoslanib, ushbu qoidani ishga tushirish sababini aniqlash mumkin. ma’lumotlarning intellektual tahlili vositalaridan foydalanganda anomaliya detektorlari bo'yicha shunga o'xshash xulosalar chiqarish qiyin. Birinchidan, murakkab o'rganish algoritmi va uning ichki tuzilishining o'ziga xos xususiyatlari tufayli bunday detektorning o'zi qora quti bo'lib, uning ishlashi foydalanuvchi va ishlab chiquvchidan yashiringan. Ikkinchidan, agar detektor vaqt o'tishi bilan doimo o'zgarib tursa, bu detektordan olingan signal signali haqiqatan ham hujum belgisi ekanligini tushuntirish vazifasini ham murakkablashtiradi. Bu vazifani soddalashtirish uchun detektor holatini belgilangan vaqt boʻlaklarida aks ettiruvchi oraliq suratlarni saqlash tartibini qoʻshimcha ravishda joriy qilish kerak boʻlishi mumkin, buning natijasida uning holatidagi oʻzgarishlar tarixini oldingi suratlarga qaytarish bilan koʻrish mumkin boʻladi. Aks holda, agar detektor doimiy ravishda statik bo'lib qolsa, bu kelajakda noto'g'ri ijobiy va o'tkazib yuborilgan hujumlar tezligining oshishiga olib keladi.
Anomaliyalarni aniqlash sohasidagi navbatdagi muammo - bu hali ham normal trafik nima ekanligini va nima emasligini aniqlash vazifasi. Axir, agar siz anomaliyalarni aniqlashingiz kerak bo'lsa, unda normal faoliyatni iloji boricha to'liq tasvirlash, barcha g'ayritabiiy harakatlardan voz kechish va modellarni faqat oddiy ma'lumotlarga o'rgatish uchun normallik filtrini belgilashingiz kerak. Xo'sh, haqiqiy qonuniy trafik shunchaki o'zgargan va hujumchining faoliyati boshlangan holatlarni qanday ajratish mumkin? Taxmin qilish mumkinki, trafik xarakterining o'zgarishi ma'lum bir tugun yoki kichik tarmoqdan tarmoq faoliyatining keskin va kuchli portlashi va kuzatilgan statistik parametrlarning sezilarli og'ishlari bilan birga keladi. Ammo bu erda biroz noto'g'ri va shoshqaloq fikrlashning teskari tomoni paydo bo'ladi: kamdan-kam variantlar kuzatilgan xususiyatlar qiymatlarida kichik o'zgarishlar bilan hali ham hujum turi amalga oshirilganda paydo bo'lishi mumkin. Misol uchun, tajovuzkor IBP detektorlarini asta-sekin o'qitishga harakat qilishi mumkin, ularni juda sekin borgan sari zararli faoliyatga moslashtiradi ("qaynatilgan qurbaqa effekti "). Ushbu sozlashdan so'ng, yangi detektorlar avvalgi anomal namunalarni odatdagidek qabul qiladi. Bunday holatlarning oldini olish uchun siz kuzatilgan ma'lumotlarning vaqt o'tishi bilan qanday o'zgarishini aniq bilishingiz kerak. Ammo, afsuski, buni amalda amalga oshirish odatda qiyin. Shu sababli, detektorlar o'zlarining tekshirish maydonini juda sekin kengaytirishi talabini qondirish mumkin, bundan tashqari, detektorlarning "kengayishiga" ruxsat etilmaydigan ba'zi chegara qiymatlarini o'rnatish foydali bo'ladi.
Va nihoyat, oxirgi va, ehtimol, eng muhim savollardan biri - oddiy trafik va anomaliyalarga xos bo'lgan va AIM modellarini o'qitish uchun mos bo'lgan xususiyatlarni qanday tanlash kerak? Ushbu masalani hal qilish variantlaridan biri sifatida, avvalo, tarmoqdagi kuzatilgan hodisalarni tavsiflovchi xususiyatlarning eng to'liq to'plamiga ega bo'lgan vaqt ketma-ketligini eksperimental ravishda qurishga harakat qilish kerak, so'ngra tajribalar asosida barcha o'zgarmaslarni kesib tashlash kerak. Trafik turini o'zgartirganda qoladigan xususiyatlar, aniq ma'lumotga ega emas. Shundan so'ng, qolgan atributlar to'plami bo'yicha trening o'tkaziladi. Xususiyatlarni yaratishning yana bir usuli yuqorida tavsiflangan yondashuvga ba'zi avtomatlashtirishni qo'shishdir: birinchi navbatda, barcha boshqariladigan atributlar to'plami maksimal darajada tavsiflanadi, so'ngra tarkibiy qismlarni va ba'zan hatto ularning chiziqli kombinatsiyalarini yo'q qilish uchun korrelyatsiya tahlili usullari qo'llaniladi. nolga yaqin dispersiya bilan.. Qolgan xususiyatlar to'plami ma’lumotlarning intellektual tahlili modelini o'rgatish va sinab ko'rish uchun ishlatilishi mumkin.
Xo'sh, anomaliyalarni aniqlash muammosiga ma’lumotlarning intellektual tahlili usullarining qanday qo'llanilishi ko'rinadi? (1) Siz chegaralarni belgilash uchun ushbu usullardan foydalanishingiz mumkin. (2) Siz ulardan kirish parametrlarini o'zgartirish (oldindan ishlov berish) uchun foydalanishingiz mumkin, masalan, quyidagi ma’lumotlarning intellektual tahlili usullaridan foydalangan holda: asosiy komponentlar tahlili (PCA), yagona qiymat dekompozitsiyasi (SVD ), tashqi bog'liq bo'lmagan tenglamalar (SUR, bir-biriga bog'liq bo'lmagan ko'rinishdagi regressiyalar). (3) Biz ularni qoidaga asoslangan imzo usullari bilan birgalikda ishlatishimiz mumkin.

Download 0,93 Mb.

Do'stlaringiz bilan baham:

1 ... 7 8 9 10 11 12 13 14 ... 17