Non-Signature-Based Methods for Anomaly Detection

Sci. J. Riga Tech. Univ. Ser. Comput. Sci. Pub Date : 1900-01-01 DOI:10.2478/v10143-010-0050-6

P. Osipov, A. Borisov

{"title":"Non-Signature-Based Methods for Anomaly Detection","authors":"P. Osipov, A. Borisov","doi":"10.2478/v10143-010-0050-6","DOIUrl":null,"url":null,"abstract":"Non-Signature-Based Methods for Anomaly Detection This paper overviews various approaches to the problem of detecting anomalous behavior within the framework of intrusion detection systems using non-signature-based methods. Each described algorithm has different underlying approach but they all show effective results in the problems of assessing the availability of the wrongfulness of the actions of an authorized user inside an information system. The techniques discussed in the paper use Markov Chains, Hierarchical Hidden Markov Models, algorithms for filtering noise in the signal in the intrusion detection problem, as well as methods based on ontology and agents. Finally, the experimental system developed at Caldas University, Colombia is considered that uses a lot of different approaches aimed to increase anomaly detection efficiency. Uz šabloniem nebalstītas metodes anomālas uzvedības atklāšanai Rakstā apskatītas pamata metodes, kas tiek izmantotas, lai noteiktu vai informācijas sistēmā nav bijusi ielaušanās. Šabloniem alternatīvu metožu aktualitāte saistīta ar ievērojamu sarežgītības palielinājumu mūsdienu informācijas jomā, kas neļauj izmantot aprakstošās pieejas efektīvā ielaušanās un anomālas uzvedības gadījumu atklāšanā. Izmantojot jaunās intelektuālās metodikas, kas izmanto pašapmācības elementus un mākslīgo intelektu, kļūst iespējams reālā laikā atklāt un reagēt uz jaunajiem ielaušanās veidiem. Izskatīta pieeja, kas traktē normālu lietotāja uzvedību kā troksni, bet anomālu kā signālu. Tādā gadījumā ir iespējams izmantot labi izpētītos signāla apstrādes un filtrēšanas algoritmus, kas var tikt piemēroti, lai noteiktu ielaušanos informācijas sistēmā. Izskatīta arī vēl cita pieeja, kas izmanto slēptos hierarhiskos Markova modeļus, lai izveidotu normāla lietotāja uzvedības modeli. Šādu modeli iespējams izmantot tālākos pētījumos, lai noteiktu anomālijas katrā nākamajā lietotāja darbībā sistēmā. Tāpat apskatīta ielaušanās pazīmju ontologijas veidošanas pieredze, kas ļauj automatizēt zināšanu apmaiņu starp dažādam intelektuālām drošības sistēmām nākotnē. Bez tam vēl izskatīta iespējamība lietot agentu pieeju, lai atklātu ielaušanās mēginājumus, dots kopējais agentu mijiedarbības modelis. Noslēgumā dots eksperimentālas sistēmas izveides piemērs, kas apvieno dažādos monitoringa līmeņos dažādas pieejas: agentus, ontologijas, mākslīgos neironu tīklus un klasifikācijas metodes. Методы обнаружения аномального поведения, не основанные на шаблонах В статье анализируются основные методы, используемые в задачах обнаружения вторжений в информационные системы. Актуальность методов обнаружения аномального поведения, не основанных на шаблонах, обусловлена значительным усложнением современной информационной среды, которое не позволяет и дальше эффективно использовать описательный подход к обнаружению вторжений и аномального поведения. С использованиемновых интеллектуальных методик с элементами самообучения и искусственного интеллекта появляется возможность в режиме реального времени отслеживать и реагировать на новые типы атак. Pассмотрен подход, трактующий нормальное поведение пользователя как шум, а аномальное - как сигнал. В этом случае появляется возможность использовать хорошо исследованные алгоритмы обработки и фильтрации сигнала применительно к предметной области обнаружения вторжений. Исследован подход, использующий скрытые иерархические модели Маркова для представления шаблона нормального поведения пользователя. Имея такую модель, возможно в дальнейшем использовать ё для анализа наличия аномальности для каждого последующего действия пользователя в системе. Также описан опыт построения онтологии признаков вторжений, которая позволит автоматизировать обмен знаниями между различными интеллектуальными системами безопасности в будущем.Кроме этого исследована возможность использования агентного подхода для обнаружения вторжений, предложена общая модель взаимодействия агентов.В заключение приведён пример создания экспериментальной системы, совмещающей на различном уровне мониторинга разные подходы: агентный, онтологии, искусственные нейронные сети и методы классификации.","PeriodicalId":211660,"journal":{"name":"Sci. J. Riga Tech. Univ. Ser. Comput. Sci.","volume":"12 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"1900-01-01","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Sci. J. Riga Tech. Univ. Ser. Comput. Sci.","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.2478/v10143-010-0050-6","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

Non-Signature-Based Methods for Anomaly Detection This paper overviews various approaches to the problem of detecting anomalous behavior within the framework of intrusion detection systems using non-signature-based methods. Each described algorithm has different underlying approach but they all show effective results in the problems of assessing the availability of the wrongfulness of the actions of an authorized user inside an information system. The techniques discussed in the paper use Markov Chains, Hierarchical Hidden Markov Models, algorithms for filtering noise in the signal in the intrusion detection problem, as well as methods based on ontology and agents. Finally, the experimental system developed at Caldas University, Colombia is considered that uses a lot of different approaches aimed to increase anomaly detection efficiency. Uz šabloniem nebalstītas metodes anomālas uzvedības atklāšanai Rakstā apskatītas pamata metodes, kas tiek izmantotas, lai noteiktu vai informācijas sistēmā nav bijusi ielaušanās. Šabloniem alternatīvu metožu aktualitāte saistīta ar ievērojamu sarežgītības palielinājumu mūsdienu informācijas jomā, kas neļauj izmantot aprakstošās pieejas efektīvā ielaušanās un anomālas uzvedības gadījumu atklāšanā. Izmantojot jaunās intelektuālās metodikas, kas izmanto pašapmācības elementus un mākslīgo intelektu, kļūst iespējams reālā laikā atklāt un reagēt uz jaunajiem ielaušanās veidiem. Izskatīta pieeja, kas traktē normālu lietotāja uzvedību kā troksni, bet anomālu kā signālu. Tādā gadījumā ir iespējams izmantot labi izpētītos signāla apstrādes un filtrēšanas algoritmus, kas var tikt piemēroti, lai noteiktu ielaušanos informācijas sistēmā. Izskatīta arī vēl cita pieeja, kas izmanto slēptos hierarhiskos Markova modeļus, lai izveidotu normāla lietotāja uzvedības modeli. Šādu modeli iespējams izmantot tālākos pētījumos, lai noteiktu anomālijas katrā nākamajā lietotāja darbībā sistēmā. Tāpat apskatīta ielaušanās pazīmju ontologijas veidošanas pieredze, kas ļauj automatizēt zināšanu apmaiņu starp dažādam intelektuālām drošības sistēmām nākotnē. Bez tam vēl izskatīta iespējamība lietot agentu pieeju, lai atklātu ielaušanās mēginājumus, dots kopējais agentu mijiedarbības modelis. Noslēgumā dots eksperimentālas sistēmas izveides piemērs, kas apvieno dažādos monitoringa līmeņos dažādas pieejas: agentus, ontologijas, mākslīgos neironu tīklus un klasifikācijas metodes. Методы обнаружения аномального поведения, не основанные на шаблонах В статье анализируются основные методы, используемые в задачах обнаружения вторжений в информационные системы. Актуальность методов обнаружения аномального поведения, не основанных на шаблонах, обусловлена значительным усложнением современной информационной среды, которое не позволяет и дальше эффективно использовать описательный подход к обнаружению вторжений и аномального поведения. С использованиемновых интеллектуальных методик с элементами самообучения и искусственного интеллекта появляется возможность в режиме реального времени отслеживать и реагировать на новые типы атак. Pассмотрен подход, трактующий нормальное поведение пользователя как шум, а аномальное - как сигнал. В этом случае появляется возможность использовать хорошо исследованные алгоритмы обработки и фильтрации сигнала применительно к предметной области обнаружения вторжений. Исследован подход, использующий скрытые иерархические модели Маркова для представления шаблона нормального поведения пользователя. Имея такую модель, возможно в дальнейшем использовать ё для анализа наличия аномальности для каждого последующего действия пользователя в системе. Также описан опыт построения онтологии признаков вторжений, которая позволит автоматизировать обмен знаниями между различными интеллектуальными системами безопасности в будущем.Кроме этого исследована возможность использования агентного подхода для обнаружения вторжений, предложена общая модель взаимодействия агентов.В заключение приведён пример создания экспериментальной системы, совмещающей на различном уровне мониторинга разные подходы: агентный, онтологии, искусственные нейронные сети и методы классификации.

查看原文本刊更多论文

非基于签名的异常检测方法

本文概述了在入侵检测系统框架内使用非基于签名的方法检测异常行为的各种方法。所描述的每种算法都有不同的底层方法，但它们都在评估信息系统中授权用户的错误行为的可用性的问题上显示出有效的结果。本文讨论的技术包括马尔可夫链、层次隐马尔可夫模型、入侵检测信号中的噪声过滤算法以及基于本体和智能体的方法。最后，在哥伦比亚卡尔达斯大学开发的实验系统被认为使用了许多不同的方法，旨在提高异常检测效率。Uz šabloniem nebalst_tas metodes anomālas uzved_bas atklāšanai raksta_apskat_tas pamata metodes, kas tiek izmantotas, lai noteiktu vai informācijas sistēmā nav bijusi ielaušanās。Šabloniem alternatīvu metožu aktualitāte saistu īta ar ievērojamu sarežgītības palielinājumu mūsdienu informācijas jomu ā， kas neļauj izmantot aprakstošās pieejas efektī vu ā ielaušanās UN anomālas uzvedības gadu ījumu atklāšanā。Izmantojot jaunās intelektuālās metodikas, kas izmanto pašapmācības elementus un mākslīgo intelektu, kļūst iespējams reālā laikawa atklāt un reagēt uz jaunajiem ielaušanās veidiem。Izskatīta pieeja, kas trakt æ normālu lietotāja uzvedību kā troksni, bet anomālu kā signālu。Tādā gaduz jumir iespējams izmantot labi izpētītos signāla apstrādes un filtrēšanas algoritmus, kas var tikt piemēroti, lai noteiktu ielaušanos informācijas sistēmā。Izskatīta ar ā vēl cita pieja, kas izmanto slēptos hierarhiskos Markova modeļus, lai izveidotu normāla lietotāja uzvedības modeli。Šādu modeli iespējams izmantot tālākos pētījumos, lai noteiktu anomālijas katrā nākamajā lietotāja darb bā sistēmā。Tāpat apskatīta ielaušanās pazz īmju ontologijas veidošanas pieredze, kas ļauj automatizēt zināšanu apmaiņu start dažādam intelektuālām drošības sistēmām nākotnē。Bez tam vēl izskatīta iespējamība lietot agentu pieeju, lai atklātu ielaušanās mēginājumus, dots kopējais agentu mijiedarbības模型。Noslēgumā dots eksperimentālas sistēmas izveides piemērs, kas apvieno dažādos monitoringa līmeņos dažādas pieejas: agentus, ontology - gijas, mākslīgos neironu t - klus un klasifikācijas方法。Методыобнаруженияаномальногоповедения,неоснованныенашаблонахВстатьеанализируютсяосновныеметоды,используемыевзадачахобнаружениявторженийвинформационныесистемы。Актуальностьметодовобнаруженияаномальногоповедения,неоснованныхнашаблонах,обусловленазначительнымусложнениемсовременнойинформационнойсреды,котороенепозволяетидальшеэффективноиспользоватьописательныйподходкобнаружениювторженийианомальногоповедения。Сиспользованиемновыхинтеллектуальныхметодиксэлементамисамообученияиискусственногоинтеллектапоявляетсявозможностьврежимереальноговремениотслеживатьиреагироватьнановыетипыатак。Pассмотренподход,трактующийнормальноеповедениепользователякакшум,ааномальное-каксигнал。Вэтомслучаепоявляетсявозможностьиспользоватьхорошоисследованныеалгоритмыобработкиифильтрациисигналаприменительнокпредметнойобластиобнаружениявторжений。Исследованподход,использующийскрытыеиерархическиемоделиМарковадляпредставленияшаблонанормальногоповеденияпользователя。Имеятакуюмодель,возможновдальнейшемиспользоватьёдляанализаналичияаномальностидлякаждогопоследующегодействияпользователявсистеме。Такжеописанопытпостроенияонтологиипризнаковвторжений,котораяпозволитавтоматизироватьобмензнаниямимеждуразличнымиинтеллектуальнымисистемамибезопасностивбудущем。Кромеэтогоисследованавозможностьиспользованияагентногоподходадляобнаружениявторжений,предложенаобщаямодельвзаимодействияагентов。Взаключениеприведёнпримерсозданияэкспериментальнойсистемы,совмещающейнаразличномуровнемониторингаразныеподходы:агентный,онтологии,искусственныенейронныесетииметодыклассификации。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Sci. J. Riga Tech. Univ. Ser. Comput. Sci.

自引率

0.00%

发文量