Вопрос 7. СОВ как система распознавания образов

Самая адекватная модель — информационная модель. Во многом опираться будем на нее. СОВ представлена как система распознавания образов.

(D, Σ, F, K, S, R, P, C)

D — Данные. D = {D1, D2, ... }

Σ — Конечное множество состояний данных, показывающее, является ли нормальным или аномальным блок данных Di

F — Вектор признаков, содержащий конечное количество признаков

K — База знании о профилях нормальных и аномальных данных.

S — Алгоритм выбора признаков

R — Алгоритм фильтрации данных и представления. R:D→F

P — Алгоритм профилирования, отвечающий за генерацию информации о профилях в базе знаний K

C — Алгоритм классификации. C:F→Σ

В принципе, это система распознавания образов.

Процедура выбора признаков:

В идеале данный алгоритм хорош, если бы он работал автоматически, а в идеале – без учителя (Oracle).

Процедура профилирования:

Какая проблема с алгоритмом профилирования? Обновление сигнатур. Если система не сигнатурная, а строит профиль нормального и аномального поведения, то проблема обновления профиля оказывается серьезной.

Процедура обнаружения:

Snort можно представить в рамках этой модели. В Snort создание сигнатур не автоматизировано.