Development of anomalous computer behavior detection method based on probabilistic automaton
Наукові журнали Національного Авіаційного Університету
View Archive InfoField | Value | |
Title |
Development of anomalous computer behavior detection method based on probabilistic automaton
Разработка метода выявления аномального поведения компьютерной системы на основе вероятносного автомата Розробка методу виявлення аномальної поведінки комп'ютерної системи на основі імовірнісного автомата |
|
Creator |
Гавриленко, Светлана Юрьевна; Национальный технический университет «Харьковский политехнический институт»
Семенов, Сергей Геннадиевич; Национальный технический университет «Харьковский политехнический институт» Челак, Виктор Владимирович; Национальный технический университет «Харьковский политехнический институт» |
|
Subject |
Information Security
probabilistic automaton; anomalous computer system behavior; heuristic analyzer; anomaly detection system UDC 004.732.056 Информационная безопасность вероятностный автомат; аномальное поведение компьютерной системы; эвристический анализатор; системы обнаружения аномалий УДК 004.732.056 Інформаційна безпека імовірнісний автомат; аномальна поведінка комп'ютерної системи; евристичний аналізатор; системи виявлення аномалій УДК 004.732.056 |
|
Description |
The paper proposes a method for identifying the anomalous behavior of a computer system based on probabilistic automaton. The main components of the method are the model of generation of the structure of the automaton and its modification procedure. The defining feature of the method is adaptation of automaton structure generation procedure for detecting scenarios of the same type, by restructuring the structure of the automaton upon a match and by recalculation of the state transition probabilities. Input data of the automaton consist of discrete events (system calls, process IDs or sections of code instructions), typical for a certain class of anomalous behavior, and grouped by type. The automaton structure is first created in accordance with one of the instances of a class, and then restructured during the analysis of other instances. Possibility of state transition depends on the input state and transition probability value. Generated automaton structure is used to detect anomalous computer system behavior. Automaton structure can be updated, if an anomaly occurs with different scenarios. Proposed method allows to speed up detecting anomalous computer behavior, as well as to detect computer system anomalies, scenario profiles of which only partially match with instances used for generation the structure of the automaton. Obtained research results allow us to conclude about the possibility of using this method in heuristic analyzers of anomaly detection systems.
В работе разработан метод выявления аномального поведения компьютерной системы на основе вероятностного автомата. Отличительной особенностью метода является адаптация процедуры генерации структуры автомата к ситуациям обнаружения однотипных сценариев, путем перестройки структуры автомата при обнаружении совпадений и пересчета вероятности переходов из состояния в состояние. Основными составляющими метода являются модель генерации структуры автомата и процедура его модификации. Входными данными автомата являются множество дискретных событий (системных вызовов, идентификаторов процессов или инструкций секций кода), присущих для определенного типа анормальности работы компьютерной системы и сгруппированные по классам. Первоначально генерируется структура автомата для одного из экземпляров классов, а затем эта структура перестраивается при анализе последующих экземпляров. Возможность перехода из состояния в состояние зависит от входного состояния и от значения вероятности перехода. Сгенерированная структура автомата в дальнейшем используется для выявления аномального поведения компьютерной системы. При возникновении аномалий с другими сценариями, структура автомата также может обновляться. Предложенный метод позволяет ускорит процесс выявления аномального поведения компьютера, а также обнаруживать аномалии компьютерной системы, профили сценариев которых лишь частично совпадают с экземплярами, используемыми при генерации структуры автомата. Полученные результаты исследований позволяют сделать вывод о возможности использования разработанного метода как дополнительного способа в эвристических анализаторах систем обнаружения аномалий. В роботі запропоновано метод виявлення аномальної поведінки комп'ютерної системи на основі імовірнісного автомата. Основними складовими методу є модель генерації структури автомата і процедура його модифікації Відмінною особливістю методу є адаптація процедури генерації структури автомата до ситуацій виявлення однотипних сценаріїв, шляхом перебудови структури автомата при виявленні збігів і перерахунку ймовірності переходів зі стану в стан. Вхідними даними автомата є безліч дискретних подій (системних викликів, ідентифікаторів процесів або інструкцій секцій коду), властивих для певного типу аномалії роботи комп'ютерної системи і згруповані за класами. Спочатку генерується структура автомата для одного з примірників класів, а потім ця структура перебудовується при аналізі наступних примірників. Можливість переходу зі стану в стан залежить від вхідного стану і від значення ймовірності переходу. Згенерована структура автомата в подальшому використовується для виявлення аномальної поведінки комп'ютерної системи. При виникненні аномалій з іншими сценаріями, структура автомата також може оновлюватися. Запропонований метод дозволяє прискорить процес виявлення аномальної поведінки комп'ютера, а також виявляти аномалії комп'ютерної системи, профілі сценаріїв яких лише частково збігаються з екземплярами, використовуваними при генерації структури автомата. Отримані результати досліджень дозволяють зробити висновок про можливість використання розробленого методу як додаткового способу в евристичних аналізаторах систем виявлення аномалій. |
|
Publisher |
National Aviation University
|
|
Contributor |
—
— — |
|
Date |
2018-12-21
|
|
Type |
—
— — |
|
Format |
application/pdf
application/pdf application/pdf |
|
Identifier |
http://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/13427
10.18372/2225-5036.24.13427 |
|
Source |
Безпека інформації; Том 24, № 3 (2018); 163-168
Безопасность информации; Том 24, № 3 (2018); 163-168 Ukrainian Scientific Journal of Information Security; Том 24, № 3 (2018); 163-168 |
|
Language |
ru
|
|