У дисертації здійснено аналіз методів синтезу архітектури розподілених систем, моделей показників оточуючого середовища для розподілених систем в корпоративних мережах, методів організації функціонування розподілених систем та методів виявлення зловмисного програмного забезпечення, зокрема worm-вірусів. В роботі розроблено метод синтезу математичних моделей рівнів безпеки компонентів системи для отримання нових аналітичних виразів комплексного опису оточуючого середовища корпоративних мереж і процесів, які відбуватимуться в частково централізованих розподілених системах, удосконалено модель частково централізованих розподілених систем, розроблено метод організації функціонування частково централізованих розподілених систем, розроблено метод виявлення worm-вірусів з використанням поділу їх на класи за спільними ознаками і визначеними критеріями за багатьма класами, а також розроблено відповідну розподілену систему, здійснено постановку експериментів і проведено з експериментальні дослідження з розробленою системою.
Об’єктом дослідження є процес синтезу частково централізованих розподілених систем виявлення зловмисного програмного забезпечення.
Предметом дослідження є методи і розподілені системи з частковою централізацією для виявлення зловмисного програмного забезпечення в комп’ютерних мережах.
Метою дисертаційного дослідження є покращення ефективності функціонування розподілених систем виявлення зловмисного програмного забезпечення в комп’ютерних мережах за рахунок синтезу в їх архітектурі принципів часткової централізації, самоорганізації та адаптивності.
Наукова новизна одержаних результатів полягає в наступному:
1) удосконалено модель частково централізованих розподілених систем виявлення зловмисного програмного забезпечення, в якій синтезовано принципи самоорганізації та адаптивності таким чином, що така модель дала змогу створювати згідно неї системи виявлення зловмисного програмного забезпечення, функціонування яких ускладнює розуміння їх зловмисниками, дозволяє самостійно здійснювати прийняття рішень та гнучку перебудову архітектури, що покращує їх стійкість до зловмисних дій та виявлення зловмисного програмного забезпечення;
2) вперше розроблено метод синтезу математичних моделей рівнів безпеки компонентів системи для отримання нових аналітичних виразів комплексного опису оточуючого середовища корпоративних мереж і процесів, які відбуватимуться в розподілених системах, що дало змогу узгодити між собою характеристичні показники, які задані дискретними та неперевними величинами, та для формування нових характеристик;
3) розроблено новий метод організації функціонування частково централізованих розподілених систем, в якому проведено розподіл компонент системи по відношенню до центру прийняття рішень для реалізації часткової централізації, самоорганізації та адаптивності, що дало змогу задати механізми ускладнення розуміння принципу їх функціонування, самостійного прийняття рішень щодо подальших кроків, перебудови їх архітектури та наповнення системи методами виявлення зловмисного програмного забезпечення;
4) розроблено новий метод виявлення worm-вірусів, суть якого в здійсненні поділу їх на класи за спільними ознаками і визначеними критеріями за багатьма класами ознак та прийнятті рішення щодо віднесення worm-вірусу до певного класу частково централізованою розподіленою системою, що покращило достовірність виявлення, зокрема за рахунок приховування принципів функціонування системи.
Розроблена частково централізована розподілена система виявлення зловмисного програмного забезпечення, зокрема worm-вірусів. має можливість її наповнення різними методами попередження, виявлення та протидії зловмисного програмного забезпечення та комп’ютерних атак, а також вона забезпечує належну стійкість та стабільність при функціонуванні в комп’ютерних мережах її компонентів. Особливістю розробленої частково централізованої розподіленої системи є складність в розумінні її функціонування зловмисниками, автоматичне та гнучке забезпечення переміщення центру між компонентами в процесі функціонування системи, автоматичне прийняття рішення щодо подальших кроків та не потребують при цьому залучення адміністратора. Крім того, реалізований метод виявлення worm-вірусів базується на багатокласовій класифікації об’єктів і результати його застосування для виявлення підтверджують ефективність запропонованого рішення.
У результаті проведених експериментальних досліджень з розробленою системою було підтверджене коректне функціонування частково централізованої розподіленої системи, можливість застосування її до виявлення worm-вірусів, а також належні рівні стійкості та деградації системи.
Результати роботи впроваджені на виробництві та в освітньому процесі університету.
