ВИЯВЛЕННЯ АТАК В КОРПОРАТИВНІЙ МЕРЕЖІ ЗА ДОПОМОГОЮ ПРАВИЛ НЕЧІТКОЇ ЛОГІКИ. (Ukrainian)

DETECTION OF ATTACKS IN THE CORPORATE NETWORK USING THE RULES OF FUZZY LOGIC. (English)
ОБНАРУЖЕНИЕ АТАК В КОРПОРАТИВНОЙ СЕТИ С ПОМОЩЬЮ ПРАВИЛ НЕЧЕТКОЙ ЛОГИКИ. (Russian)

The problem of identifying possible attacks on corporate network resources is considered. An analysis of approaches to the detection of information security violations using fuzzy set theory is performed. It is shown that in order to increase the efficiency of detecting situations related to a possible invasion, it is necessary to use modern technologies of intellectual analysis using the rules and methods of fuzzy logic. A block diagram of a fuzzy system for detecting abnormal traffic in a network segment is proposed. In the expert system, the knowledge of experts is formalized in the form of a set of rules that allow you to make decisions in difficult situations. The analyst (knowledge engineer) is structuring the knowledge of experts in the form of a knowledge base. The rules-based expert system consists of a knowledge base, a inference mechanism, a result explanation unit and a user interface. For a particular corporate network there are characteristic traffic parameters that can be determined by accumulating statistical information on network behavior for any period of operation. The most important point in the procedure of fuzzy system synthesis is the selection and compilation of rules, or in other words, the synthesis of the table of linguistic rules of the system. The linguistic rules of the system are heuristically compiled by the developer, who is well informed about the technological features of the object. In the analytical description of the object, machine modeling of the developed system with iterative correction of linguistic rules is performed. In the absence of an analytical description of the object, the rules were adjusted immediately after the implementation of the system. According to the scheme, the analyzer performs diagnostics and filtering of the input data, the fafifier translates from numerical to linguistic form the corresponding data. The classifier analyzes the received input information determines the relevant situation in which the knowledge base, activating certain production rules. The defasifier translates from linguistic to digital form and generates a corresponding rule. [ABSTRACT FROM AUTHOR]

Рассмотрена задача выявления возможных атак на ресурсы корпоративной сети. Выполнен анализ подходов к выявлению нарушений информационной безопасности с использованием теории нечетких множеств. Показано, что для повышения эффективности выявления ситуаций, связанных с возможным вторжением, необходимо использовать современные технологии интеллектуального анализа с использованием правил и методов нечеткой логики. Предложенная структурная схема нечеткой системы для выявления аномального трафика в сегменте сети. В экспертной системе знания специалистов-экспертов формализуются в виде набора правил, позволяющих принимать решения в сложных ситуациях. Структурированием знаний экспертов в виде базы знаний занимается аналитик (инженер по знаниям). Основана на правилах экспертная система состоит из базы знаний, механизма логического вывода, блока объяснения результатов и пользовательского интерфейса. Для определенной корпоративной сети характерные параметры трафика, которые можно определить накопив статистическую информацию по поведению сети за произвольный период работы. Наиболее важным моментом в процедуре синтеза нечеткой системы является подбор и составление правил, или другими словами, синтез таблицы лингвистических правил системы. Лингвистические правила системы эвристический состоят разработчиком, который хорошо проинформирован о технологических особенностях объекта. При аналитическом описании объекта проводится машинное моделирование разрабатываемой системы с итерационной коррекцией лингвистических правил. При отсутствии аналитического описания объекта корректировки правил проводилось непосредственно после внедрения системы. Согласно схеме анализатор осуществляет диагностику и фильтрацию входных данных, фазификатор переводит с числовой в лингвистическую форму соответствующие данные. Классификатор анализирует полученную входную информацию определяет соответствующую ситуацию, по которой в базе знаний, активизируя определенные продукционные правила. Дефазификатор переводит с лингвистической формы в цифровую и генерирует соответствующее правило. [ABSTRACT FROM AUTHOR]

Copyright of Science-Based Technologies is the property of National Aviation University and its content may not be copied or emailed to multiple sites or posted to a listserv without the copyright holder's express written permission. However, users may print, download, or email articles for individual use. This abstract may be abridged. No warranty is given about the accuracy of the copy. Users should refer to the original published version of the material for the full abstract. (Copyright applies to all Abstracts.)