Балакін С. В. Методи та засоби підвищення достовірності ідентифікації несанкціонованих дій та атак в комп'ютерній мережі

Дисертаційну роботу присвячено вирішенню актуального науково-технічного завдання – підвищенню достовірності ідентифікації несанкціонованих дій і атак в комп’ютерній мережі. Для ефективної, надійної та високошвидкісної ідентифікації несанкціонованих дій і атак в комп’ютерній мережі потрібно впроваджувати і використовувати методи, основані як на штучних імунних системах, так і на можливості діагностування вторгнень. Такий підхід дозволить підвищити ефективність ідентифікації несанкціонованих дій і дасть можливість автономно виявляти підозрілу активність. У роботі визначено методи виявлення несанкціонованих дій і атак в комп’ютерній мережі за рахунок використання засобів штучних імунних систем та діагностування на основі теорії Демпстера-Шафера, котрі дають можливості ефективно протидіяти вторгненням. Досліджено можливості використання операторів імунних систем для моделювання роботи запропонованих методів. На основі цих властивостей запропоновано процедури ідентифікації несанкціонованих дій і атак в комп’ютерній мережі. Сформульовано необхідні критерії та вимоги для забезпечення своєчасного виявлення вторгнень у комп’ютерні мережі. Визначено основні напрями розвитку сучасних методів аналізу вторгнень і можливості автономного виявлення НД. Аналіз сучасних вторгнень показав доцільність розроблення методів, котрі дадуть змогу виявляти як відомі, так і нові НД. Проведено порівняльний аналіз моделей і методів, які можливо використовувати при розпізнаванні НД в комп’ютерній мережі. Порівняно характеристики методів і вказано на їх сильні та слабкі сторони. Сформовано вимоги до вибраних методів на основі збереження швидкодії та можливості автономного виявлення НД (без використання і звернення до сигнатурних баз даних). Розглянуто методи штучних імунних систем, котрі дають змогу підтримувати автономне виявлення нових НД при високій швидкості обробки інформації та адаптивності. Виявлення НД за допомогою діагностування дає можливість розширити спектр потенціальних вторгнень за допомогою використання операторів ТДШ. При поєднанні різних технологій при використанні методів ТДШ можливо досягнути високої швидкості та надійності виявлення НД в комп’ютерних мережах. Проведено дослідження ефективності методу виявлення НД в компʼютерній мережі на основі штучних імунних систем і діагностування. На основі аналізу отриманої інформації зроблений наступний висновок: при коректній навчальній вибірці та вірному виборі параметрів навчання метод ШІМ має однаково високу достовірність виявлення нових НД як і метод діагностування. ШІМ потребує додаткового часу на утворення навчальної вибірки, але це дозволяє системі швидше реагувати на нові види НД і знизити кількість помилкових спрацювань. Метод діагностування менше навантажує систему користувача, але частіше визначає підозрілу активність як НД. Результати порівняльного аналізу НД показують, що запропоновані методи перевершують відомі антивірусні продукти, використані в порівняльному тесті та здатні виявити невідомі НД. Теоретично та експериментально доведено ефективність запропонованих методів. Результати теоретичних та експериментальних досліджень упроваджено у виробництво та навчальний процес.