Вопрос 7. СОВ как система распознавания образов
Самая адекватная модель — информационная модель. Во многом опираться будем на нее. СОВ представлена как система распознавания образов.
(D, Σ, F, K, S, R, P, C)
D — Данные. D = {D1, D2, ... }
Σ — Конечное множество состояний данных, показывающее, является ли нормальным или аномальным блок данных Di
F — Вектор признаков, содержащий конечное количество признаков
K — База знании о профилях нормальных и аномальных данных.
S — Алгоритм выбора признаков
R — Алгоритм фильтрации данных и представления. R:D→F
P — Алгоритм профилирования, отвечающий за генерацию информации о профилях в базе знаний K
C — Алгоритм классификации. C:F→Σ
В принципе, это система распознавания образов.
Процедура выбора признаков:
В идеале данный алгоритм хорош, если бы он работал автоматически, а в идеале – без учителя (Oracle).
Процедура профилирования:
Какая проблема с алгоритмом профилирования? Обновление сигнатур. Если система не сигнатурная, а строит профиль нормального и аномального поведения, то проблема обновления профиля оказывается серьезной.
Процедура обнаружения:
Snort можно представить в рамках этой модели. В Snort создание сигнатур не автоматизировано.