CC BY
79
УДК 004.056.53 Б01: 10.15587/2312-8372.2015.37423
МЕТОД ПОБУДОВН КДАСНФ1КАТ0РА К1БЕРАТАК НА ДЕРЖАВН1 1НФОРМАЦ1ЙН1 РЕСУРСН
Запропоновано двоетапну схему класифгкацп стану тформацшно-телекомунжацшног системы, що грунтуеться на бтарному групувант шаблотв п поведтки. Розроблено метод побудови класифгкатора тбератак на базг дерев ршень та оптимгзованих потоках вхгдних даних. За-стосування методу дозволяе в рази скоротити час побудови та функцюнування класифгкацшног моделг, залишаючи точностг класифгкащ шаблотв поведгнки системи у заданих дгапазонах.
Клпчов1 слова: тформацшно-телекомуткацшна система, кгбератака, класифгкатор, класи-фгкацгя, дерева ршень, оптимгзацгя.
Бурячок В. Л., Грищук Р. В., Мамарсв В. М.
1. Вступ
На даний час ефективна робота державних установ та оргатзацш у значнш Mipi залежить вщ надтносп функцюнування тформацшно-телекомушкацшних систем (1ТС) та захищеност ix тформацтних ресурав. Не зважаючи на впровадження рiзноманiтниx ршень, спря-мованих на пiдвищення рiвня заxищеностi державних iнформацiйниx ресурсiв в 1ТС, динамiка кiберiнцидентiв пов'язаних з ними, залишаеться достатньо високою [1].
Одтею з проблем, яка стримуе впровадження ефек-тивних систем захисту шформацп в 1ТС, наприклад таких, як системи виявлення атак (СВА), е проблема за-безпечення ними достовiрноi та оперативноi класифiкацii патертв подiй в системi. Зважаючи на це, тдвищення ефективностi виявлення юбератак на державнi тфор-мацiйнi ресурси, залишаеться актуальним завданням.
2. Анал1з л1тературних даних та постановка проблеми
Аналiз останнix дослiджень i публжацш [2-5] показав, що дослщження пов'язанi з пiдвищенням ефектив-ност функцiонування СВА, як правило, проводяться за двома основними напрямами. Перший напрям по-лягае у розробщ нових методiв класифiкацii кiбератак на базi парадигми штучного iнтелекту [2, 3]. Другий напрям пов'язаний з удосконаленням ввдомих алго-ритмiв класифжацп [4, 5]. У контекстi тдвищення ефективност функцiонування СВА, не зважаючи на переваги та недолжи кожного з напрямiв, вони обидва залишаються актуальними, а тому й надалi iнтенсивно розвиваються.
Альтернативою вищезазначеним пiдxодам е подаль-ший розвиток класифiкаторiв юбератак, в основу яких покладено дерева прийняття ршень. Останш, за умови правильноi ix побудови, дають можлившть отримати достатньо достовiрнi результати класифжацп та мають вiдносно низьку обчислювальну складнiсть. Тому удо-сконалення ввдомих методiв побудови класифiкаторiв кiбератак на державш iнформацiйнi ресурси на основi дерев прийняття рiшень, е прюритетним напрямом нау-кових дослiджень.
3. 06'ект, цшь та задач1 дослщження
Об'ектом дослiдження е класифiкатор юбератак. При проведет дослщження ставилося за мету удосконалення методiв побудови класифжатора кiбератак, в основу якого покладено дерева ршень, у напрямi тдвищення швидкодп СВА типово! конфiгурацii без втрати точ-ностi класифiкацi'i.
Для досягнення поставлено! мети виршувалися на-ступнi частиннi задачi:
— аналiз архiтектури СВА, сучасних пiдходiв та техтчних рiшень, спрямованих на тдвищення ефек-тивностi ix функцiонування;
— розробка структурно! схеми класифжатора, що дозволяе реалiзувати двоетапну бiнарну схему кла-сифiкацii стану 1ТС;
— розробка методу побудови класифжатора на ба-зi дерев рiшень та оптимiзованиx потокiв вxiдниx даних;
— верифжащя розробленого методу.
4. Матер1али та методи дослщження
З метою забезпечення унiфiкованостi результатiв дослiдження з тшими авторами, роботи яких присвя-чет питанням оптимiзацii розмiрностi потокiв вхвдних даних класифiкаторiв, в якостi навчальних i тестових даних обранi загальнодоступт та широко вiдомi бази шаблотв поведтки ITC KDD99 та NSL-KDD.
Обчислення проведент iз застосуванням ПЕОМ з наступними параметрами: операцшна система Windows 7 Ultimate SP1 (x64); процесор Pentium Dual-Core [email protected] 2.10Ghz; ОЗП 2,00 Gb.
5. Результати дослщжень класифжаци мбератак з щллю подальшо! ефективно! протиди ним
Вiдомо [6], що СВА типово! конфкурацп — це спе-цiалiзований програмно-апаратний комплекс, який при-значений для виявлення та класифжацп кiбератак з цiллю подальшо! ефективно! протиди ним. Так, згiдно з [6], ти-пова арxiтектура СВА включае п'ять основних компонент:
J
модуль управлшня компонентами 1 налаштувань, мо-дульсенсори, модуль виявлення/розтзнавання атак, модуль реагування на виявлеш атаки та базу шаблошв поведшки системи (рис. 1).
ПВхД
База ШНП та ША
Рис. 1. Титова архиектура системи виявлення атак
Модуль виявлення атак (рис. 1) е одним з основних елеменпв СВА, ввд якого залежить ефективнiсть функ-щонування Bciei системи. Технологiя виявлення атак СВА у даному модулi передбачае виконання процедур виявлення зловживань вщповщною системою — misuse detection systems та виявлення аномалш, що поклада-ються на систему anomaly detection systems.
Вiдомi технiчнi рiшення [7-10], спрямоваш на тд-вищення ефективност функ-цюнування модуля виявлення атак, зводяться до синтезу класифiкаторiв шляхом групу-вання алгоритмiв класифжацн. Так, у [8, 9] задачу виявлення та класифжацп вирiшено за допомогою класифiкатора на базi модулярних нейронних мереж. У [10] задача класи-фжацп станiв розв'язана за шляхом агрегацп ансамблю дерев прийняття ршень. Але, якщо врахувати високу обчис-лювальну складнiсть, яка ви-никае при агрегацii зазначених алгоритмiв, то можна зробити висновок — швидкодiя побу-дованих на iх базi СВА суттево знижуеться.
Для забезпечення заданих показниюв швидкодп СВА при використаннi технологи дерев прийняття ршень у ввд-повщному модулi, в робот запропоновано застосовувати оптимiзованi потоки вхщних даних [11]. Тодi, з урахуван-ням [11], структурна схема класифжатора матиме ви-гляд (рис. 2).
Основною особливктю за-пропонованоi схеми класи-фжацп (рис. 2), на вiдмiну ввд вiдомих, е застосування бiнарного типу класифжацп
та двоетапноï схеми класифжацн потоку вхiдних даних (ПВхД). Так, зпдно 3i схемою, на першому етат здiйснюeться бiнарна класифжащя патернiв подiй — шаблонiв нормальноï поведiнки (ШНП) та шаблонiв атак (ША). На другому етат, зпдно i3 запропонованою схемою, реалiзуeться процедура бiнарноï класифiкацiï атак пер-шоï та другоï груп. В основу принципу групування титв атак («дуепв») покладено при-пущення про '¿х максимальну вiддаленiсть у просторi пара-метрiв.
Розглянемо призначення основних елеменпв класифжато-ра (рис 2).
Модулi ощнювання тформа-mueHocmi napaMempie шаблотв i групування munie атак засто-совуються на етат навчання класифжатора. На етат виявлення атак модулi реалiзують процедури ощнювання шформативносп параметрiв ШНП та ША, на етат класифжацн використовуються для оцiнювання iнформативностi параметрiв ША та '¿х групування за типами. З щею метою як ощнку ваги для кожного з параметрiв шаблонiв запропоновано обрати нормова-ний приршт iнформацiï GainRatio.
КЛАС ИФ ПСА ТОР МОДУЛЬ"ВИЯВЛГ H H Я AT AK
Модуль сепекцц параметра клзсифкатора НП та ant:
Модуль оцшкшалня
нфсрматнЕнссг
парамйтр^Е ШНП та ША
Модель Модуль Модуль
оптпм1защ1 кпасифшащ! ан antsy
pOSMipHOCTl Ш1та атак результатов
ШНП та ША (С4.3) класиф0кащо
Буфф т им часового зберогання ПВхД
МОДУЛЬ К ЛАСИ Ф1КАЦII АТАК
База ША
Модуль оцшювання шформ атнЕН-ocri параметров Ш А i групування тнпш атак i
К4од>т1ь селекци параметров класифокатора першоо групп атак t
Модуль оптимозаци
pOSMipHOCTÏ
ША класиф ша тора перш oï групп
Модупь класнфокацо! атак nepmoï групп
(С4.5)
Модуль оптишзацц розшрност!
ША класиф1катора другоГ групп
ж '
Модуль класифжацц атак друг« груп и
(С4.5)
Модуль селекци параметров класиф1катора другоГ групп атак
Модуль анал!зу резугсьтапв класнфокади атак
at
Рис. 2. Принцип побудови класифiкат□ра на QCHQBi дерев прийняття ршень та □птимiз□ваних потошв
вхiдних даних: структурна схема
Дана процедура реалiзуeться згiдно з методом, розробленим у [11]. Так зважений прирост шформацп GainRatio за кожним з параметрiв шаблонiв поведiнки системи визначаеться згiдно з виразом:
. . H (X)- H (X | Y ) GainRatio (X ,Y )= у ' ) ', (1)
де H(X) — ентротя стану ITC; H(X | Y) — взаемна ен-тропiя, що описуе ентротю стану ITC за умови набуття параметром Y конкретних значень;H (Y) — ентротя Y параметру.
Також даний модуль забезпечуе групування ША в «дуети» за принципом забезпечення ix максимально! вщдаленосп у просторi параметрiв. Групування викону-еться на основi розрахованих сумарних значень приросту шформацп шести «дуепв» шаблотв атак. 3i сформовано! множини «дуепв» обираються 2 з максимальним значенням YGainRatio.
Модулi оптим1зацп po3Mipnocmi шаблотв на етат навчання за результатами ранжування параметрiв для пари ШНП-ША та двох «дуепв» ША, розраховують оптимiзованi розмiрностi останнix згiдно з методом [12].
Модулi селекцп napaMempiB (рис. 2) виконують функ-цiю вiдбору визначених модулем оптим1зацп po3Mipnocmi шаблотв оптимальних юлькостей параметрiв шаблонiв пiд час навчання класифжатора та скорочення розмiр-ностi ПВхД пiд час функцюнування класифiкатора.
Модулi класифжацп здiйснюють вщнесення патер-нiв ПВхД до попередньо визначено! групи станiв. Алгоритм С4.5, що покладено в основу даного модуля, здшснюе рекурсивне розбиття ПВхД на асоцшоват з класами юбератак тдмножини. Процедура розбиття виконуеться на основi вирiшальниx правил. Виршальш правила в свою чергу утворюють iерарxiчну дерево-подiбну структуру (рис. 3), що реалiзуе процедури класифжацп юбератак.
IКОРЕНЕВ1Ш ВУЗОЛI ВУЗОЛ ВУЗОЛ
лист I I лист I I лист I I лист
лист лист
Рис. 3. Структурна схема дерева ршень
Перевагами застосування алгоритму С4.5 на основi оптимiзованих ПВхД е:
— висока точтсть моделей класифiкацii кiбератак, яка е сmввимiрною з генетичними алгоритмами та нейронними мережами;
— можливкть створення класифжацшних моделей слабко формалiзованих завдань;
— вiдсутнiсть вимог до вибору ПВхД на етат по-будови моделц
— здатнiсть до створення класифжацшних моделей з використанням числових i категорiальних типiв даних;
— здатшсть трансформацii отриманих дерев у правила i навпаки;
— здатнiсть до класифiкацii кiбератак у разi про-пускiв або неповноти потоюв вхiдних даних;
— непараметричнiсть побудованих моделей;
— лшшна обчислювальна складшсть;
— стiйкiсть при обробцi зашумлених ПВхД;
— вiдносно низькi, порiвняно з нейронними мережами i iмунними системами, витрати часу на побудову класифiкацiйноi моделi.
При цьому основним недолжом застосування алгоритму С4.5 на основi оптимiзованих ПВхД, е його здатшсть до перенавчання. Перенавчання — це процес розбиття класифжацшного дерева доти, доки не буде одержано абсолютно чист листки або доки вони не мктитимуть пльки одне спостереження. Яюсно ефект перенавчання подано на рис. 4.
Рис. 4. Залежшсть пемилки класифшацц Е вщ кшькосп вузлiв дерева N
Аналiз рис. 4 показуе, що збшьшення кiлькостi вузлiв веде до постшного зменшення помилки класифжацп. Помилка навчено! «з учителем» класифжа-цiйноi моделi на тестовш множинi знижуеться тiльки до певного значення порогу. Коли дерево стае занадто складним, модель втрачае стшюсть i юльюсть поми-лок на тестовш множит починае зростати. Тому для забезпечення заданих показниюв ефективност класифь кацiйниx моделей побудованих на базi алгоритму С4.5 в модулi застосовуються методи ранньо! зупинки та вщсжання гiлок. Перший здiйснюе примусову зупинку алгоритму за допомогою умови, при виконанш яко! зростання дерева автоматично завершуеться. Другий виконуе побудову повного дерева, а попм здшснюе його спрощення шляхом вiдсiкання тих плок, якi е малоiнформативними.
Модулi анал1зу результапв класифiкацii атак (рис. 2) виконують штерпретащю результатiв класифжацп та формують iнформацiйнi повiдомлення у виглядi зро-зумiлому для користувача ITC.
На рис. 5 на основi методологи ARIS [13] побудовано ЕРС^аграму процесу навчання класифiкатора на базi дерев рiшень та оптимiзованиx потоках даних. Старто-вою подiею для початку процесу навчання класифжа-тора е отриманi з навчальних баз шаблони поведiнки ITC. Шсля цього в модулях виявлення та класифжацп атак паралельно виконуються процеси оцшювання ш-формативностi параметрiв та групування ША у «дуети», що характеризуються максимальною вщдалешстю
J
у npocTopi napaMeTpiB. Пiсля чого виконуються розра-хунки оптимальних розмiрностей ввдповвдних шаблонiв поведiнки та скорочення кшькосп !х napaMeTpiB до задано!. Оптимiзовaнi таким чином патерни забезпечують побудову клaсифiкaцiйниx моделей модулiв виявлення та класифжацп атак. У paзi забезпечення вимог щодо точностi класифжацп навчання клaсифiкaтоpa вважа еться закшченим. З метою пepeвipки aдaптивностi по-будованого клaсифiкaтоpa виконуеться його пepeвipкa на тестових базах шaблонiв поведшки 1ТС.
Рис. 5. ЕРС-дааграма навчання класифшатара на еснев1 дерев ршень та ептим1зйваних петеках даних
BPMN-дiaгpaму клaсифiкaтоpa на 6a3i дерев ршень та оптимiзовaниx ПВхД, подано на рис. 6. Згщно не! стар-товою подiею на eтaпi роботи класифжатора е отримання ПВхД з сeнсоpiв СВА. Одночасно в модулi виявлення атак виконуеться оптимiзaцiя pозмipностi ПВхД, а у мо-дулi клaсифiкaцii атак запис потоку у буфер тимчасового зберп-ання Пiсля цього в модулi виявлення атак виконуеться процес виявлення вщхилень вщ ШНП. У paзi вiдсутностi зазначених вщхилень генеруеться повщомлення про щентифжащю нормального шаблону У випадку виявлення аномально! активност в систeмi (вщхилення вщ ШНП), керування переходить до модуля класифжацп атак, при цьому виконуеться зчитування даних з буферу тимчасового збертан-ня ПВхД. На наступному ета-пi, з метою класифжацп типу атаки, одночасно виконуеться оптимiзaцiя зчитаного ПВхД для подальшо! бiнapноi класи-фжацп для кожного з «дуепв» атак. Шсля чого отpимaнi дaнi подаються для aнaлiзу результа-тiв класифжацп. У paзi успiшноi клaсифiкaцii генеруеться повь домлення про виявлення певного типу атаки, у шшому випадку — повiдомлeння про необхщтсть експертного оцiнювaння патерну. Отже, спираючись на одepжaнi результати метод побудови кла-сифiкaтоpa кiбepaтaк на державт iнфоpмaцiйнi ресурси на основi дерев прийняття piшeнь та оп-тимiзовaниx ПВхД складаеться з кроюв i полягае у такому
На першому кроцг методу виконуеться попередня обробка баз шаблошв поведшки систе-ми — ШНА та ША атак для модуля виявлення та ША для модуля класифжацп атак. Для зазначених баз шаблошв виконуеться оцiнювaння шформа-тивностi !х пapaмeтpiв за крите-piем GainRatio , а для бази ША формування «дуепв» титв атак, що забезпечують виконання ви-моги максимально'! вщдаленосп у пpостоpi пapaмeтpiв.
Другий крок полягае у опти-мiзaцii pозмipностi шаблошв поведшки 1ТС. При цьому на основi peзультaтiв першого кроку методу розраховуються оптимaльнi pозмipностi шаб-лонiв трьох груп — ШНП та ША для модуля виявлення та ША першо! та друго'! груп для модуля класифжацп атак. Ви-конуеться безпосередне скоро-чення pозмipностeй патершв зазначених баз шaблонiв.
Рис. 6. BPMN-класифшатора на 6a3i дерев ршень та □птимiз□ваних потокш вхщних даних
Третш крок мае на мет подову класифiкацiйних моделей на 6a3i дерев рiшень з використанням алгоритму С4.5. Навчання виконуеться з використання функцп перехресно! перевiрки на шаблонах поведшки оптимiзованоi розмiрностi.
На четвертому кроцг виконуеться оцшка точност класифiкацii.
П'ятий, заключний, крок методу мае на мет оцiнку адаптивност побудованого класифiкатора. Виконання зазначено! операцп Грунтуеться на перевiрцi побудованого класифжатора на тестових наборах даних. У разi забезпечення висунутих розробником вимог побудова класифiкатора вважаеться завершеною.
6. Обговорення результат1в дослщження функщонування класифжатора
Результати оцiнювання ефективностi функщонуван-ня класифiкатора згiдно розробленого методу подано у табл. 1.
Результати оцшювання ефективност функщонуван-ня модуля виявлення для тестових даних бази NSL KDD (Test, Test-21) наведено в табл. 2. Вибiр тестових множин ПВхД бази NSL KDD обумовлений ii доступш-стю, що дае можлившть стверджувати про ушфжовашсть результатiв дослiдження з iншими авторами, роботи яких присвячеш питанням оптимiзацii розмiрностi потокiв вхiдних даних класифiкаторiв. Застосування тестового набору даних бази NSL KDD для класифжацп ШНП та ША обумовлено тим, що зазначена база мштить тiльки мггки класiв нормальноi поведiнки та атак, без визна-чення кiлькостi атак кожного з 4 титв.
Таблиця 1
Результати □цiнювання ефективносп
Таблиця 2
Результати □цiнювання ефективносп
Шаблон поведшки NSL KDD Ефектившсть функцшнування
до застосування методу гасля застосування методу
Час побудови модели с Кшь-тсть пара-метрiв потоку Точшсть класиф^ кацц, % Час по-будови моде-л^ с Кшь-шсть пара-метрiв потоку Точшсть класиф^ каци, %
Test 0,35 41 78,0873 0,18 11 79,52
Test-21 0,19 41 58,3291 0,09 11 61,038
Таким чином, одержанi результати оцiнювання ефек-тивностi функцiонування виявлювача/класифiкатора побудованого зпдно i3 розробленим методом доводять його працездатшсть та ефективнiсть. Так, для методу перехресно! перевiрки час побудови класифжацшно! мо-делi для «дуету» ШНП та ША скоротився у 11,28 разiв при зниженнi точност класифiкацii на 0,0028 %, для «дуепв» атак DoS та U2R, Probe та R2L точшсть класи-фiкацii не погiршилась, а час побудови класифжацшно! моделi зменшився у 4,5 та 5,5 разiв ввдповщно. При застосуваннi тестових наборiв даних бази NSL KDD час розтзнавання побудованою класифiкацiйною моделлю тестового набору NSL KDD Test скоротився у 1,94 рази, а точшсть розтзнавання ПВхД зросла на 1,43 %. Для тестового набору NSL KDD Test-21 час розтзнавання ПВхД скоротився у 2,11 рази, а точшсть розтзнавання зросла на 2,7 %. Отже, одержат зпдно методу результати ввдповщають поставленому у [14] завданню.
7. Висновки
В результат проведених дослщжень:
1. Встановлено, що тдвищення ефективност функщонування СВА досягаеться за рахунок iнтелектуалiзацii процесу побудови класифiкаторiв юбератак та шляхом удосконалення ввдомих алгоритмiв класифжацп.
2. Показано, що перспективним напрямком науко-вих дослщжень, який забезпечуе ефективне виявлення юбеатак у масштабi часу наближеному до реального i позбавлений недолМв вiдомих пiдходiв е метод кла-сифiкацii на основi дерев ршень.
3. Набув подальшого розвитку принцип побудови класифiкаторiв СВА, у напрямi реалiзацii двоетапно! бiнарноi схеми класифжацп станiв системи.
Шаблон поведшки Ефективнiсть функцшнування
до застосування методу шсля застосування методу
Час по-будови моде-лi, с Кшь-тсть пара-метрiв потоку Т□чнiсть класиф^ каци, % Час по-будови моде-л^ с Кшь-кiсть пара-метрiв потоку Точшсть класиф^ кацц, %
Nermal_ Anemaly 75,71 41 99,9018 6,71 11 99,899
DeS_U2R 4,97 41 99,9927 1,09 15 99,9927
Prabe_R2L 0,33 41 99,7443 0,06 21 99,7443
4. Набув подальшого розвитку метод побудови кла-сифiкаторiв юбератак на державнi шформацшш ресур-си, в основу якого покладено дерева ршень. Метод B^pi3rneTb^ вiд вiдомих оптимiзацieю ПВхД на входi класифiкацiйноi моделi, що забезпечуе пiдвищення опе-ративностi виявлення юбератак за заданих показникiв точностi класифжацп.
5. Отриманi результати верифiкацii розробленого методу показали, що його застосування, у порiвняннi з класичними, забезпечуе зменшення часу побудови класифжацшних моделей для «дуепв» ШНП-ША у 11,28 разiв, DoS-U2R та Probe-R2L у 4,5 та 5,5 рази вщповвдно.
Лггература
1. Бурячок, В. Полгтика шформацшно'! безпеки [Текст]: пщ-ручник / В. Л. Бурячок, Р. В. Грищук, В. О. Хорошко; пщ заг. ред. проф. В. О. Хорошка. — К.: ПВП «Задруга», 2014. — 222 с.
2. Bankovic, Z. A Genetic Algorithm-based Solution for Intrusion Detection [Text] / Z. Bankovic, J. Moya, A. Araujo, S. Bo-janic, O. Nieto-Taladriz // Journal of Information Assurance and Security. — 2009. — V. 4. — P. 192-199.
3. Mukkamala, S. Intrusion Detection Using Neural Networks and Support Vector Machines [Text] / S. Mukkamala, G. Janoski, A. Sung // Proceedings of IEEE Intrnational Joint Conference on Neural Networks. — 2002. — P. 1702-1721. doi:10.1109/ ijcnn.2002.1007774
4. Farid, D. M. Anomaly Network Intrusion Detection Based on Improved Self Adaptive Bayesian Algorithm [Text] / D. M. Farid, M. Z. Rahman // Journal of Computers. — 2010. — Vol. 5, № 1. — P. 23-31.doi:10.4304/jcp.5.1.23-31
5. Wee, Y. Y. Causal Discovery and Reasoning for Intrusion Detection using Bayesian Network [Text] / Y. Y. Wee, W. P. Cheah, S. C. Tan, K. Wee // International Journal of Machine Learning and Computing. — 2011. — Vol. 1, № 2. — P. 185-192. doi:10.7763/ijmlc.2011.v1.27
6. Chou, T. Cyber Security Threats Detection Using Ensemble Architecture [Text] / T. Chou // International Journal of Security and Its Applications. — 2011. — Vol. 5, № 2. — P. 17-32. doi:10.14257/ijsia
7. Лукацкий, А. Обнаружение атак [Текст] / А. Лукацкий. — СПб.: БХВ-Петербург, 2001. — 624 с.
8. Комар, М. Метод построения совокупного классификатора трафика информационно-телекоммуникационных сетей для иерархической классификации компьютерных атак [Текст] / М. Комар // Системи обробки шформаци. — 2012. — Том 1, Вип. 3(101). — C. 134-138.
9. Panda, M. Ensemble of classifiers for detecting network intrusion [Text] / M. Panda, M. R. Patra // International Conference on Advances in Computing, Communication and Control archive. — 2009. — P. 510-515. doi:10.1145/1523103.1523204
10. Ходашинский, И. Выявление вредоносного сетевого трафика на основе ансамблей деревьев решений [Текст] / И. А. Хо-дашинский, В. А. Дель, А. Е. Анфилофьев // Доклады ТУСУРа. — 2014. — № 2(32). — С. 202-206.
11. Грищук, Р. Метод оцшювання шформативност параметр1в потоку вхщних даних для мережевих систем виявлення атак [Текст] / Р. Грищук, В. Мамарев // Системи обробки шформаци. — 2012. — Том 1, № 4(102). — С. 103-107.
12. Грищук, Р. Метод оптимiзацн розмiрностi потоку вхщних даних для систем захисту шформаци [Текст] / Р. Грищук,
B. Мамарев // 1нформацшна безпека. — 2012. — № 2(8). —
C. 27-34.
13. Пшькевич, I. Основи побудови автоматизованих систем управ-лшня [Текст]: навч. поабник / I. А. Пшькевич, К. В. Мо-лодецька, I. I. Сугоняк, Н. М. Лобанчикова. — Житомир: Вид-во ЖДУ iм. I. Франка, 2014. — 226 с.
14. Грищук, Р. Постановка задачi розробки методики скорочення розмiрностi потоку вхщних даних для мережних систем виявлення атак [Текст] / Р. Грищук, В. Мамарев // !нфор-мацшна безпека. — 2011. — № 1(5). — С. 74-78.
МЕТОД ПОСТРОЕНИЯ КЛАССИФИКАТОРА КИБЕРАТАК НА ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ РЕСУРСЫ
Предложено двухэтапную схему классификации состояния информационно-телекоммуникационной системы, основанную на бинарном группировании шаблонов её поведения. Разработан метод построения классификатора кибератак на базе деревьев решений и оптимизированных потоках исходных данных. Применение метода позволяет в разы сократить время построения и функционирования классификационной модели, оставляя точности классификации шаблонов поведения системы в заданных диапазонах.
Ключевые слова: информационно-телекоммуникационная система, кибератака, классификатор, классификация, деревья решений, оптимизация.
Бурячок Володимир Леошдович, доктор технiчних наук, старший науковий ствробтник, завгдувач кафедри тформацшног та тбернетичног безпеки, Державний утверситет телекому-нжацш, Кигв, Украгна.
Грищук Руслан Валентинович, доктор техтчних наук, старший науковий ствробтник, провГдний науковий ствробтник науково-дослГдног лабораторп, Науковий центр, Житомирський вшськовий iнститут 1м. С. П. Корольова Державного утвер-ситету телекомунжацш, Украта.
Мамарев Вжтор Миколайович, астрант, кафедра тформацшног та тбернетичног безпеки, Державний утверситет телекомуткацш, Кигв, Украгна.
Бурячок Владимир Леонидович, доктор технических наук, старший научный сотрудник, заведующий кафедрой информационной и кибернетической безопасности, Государственный университет телекоммуникаций, Киев, Украина. Грищук Руслан Валентинович, доктор технических наук, старший научный сотрудник, ведущий научный сотрудник научно-исследовательской лаборатории, Научный центр, Житомирский военный институт им. С. П. Королева Государственного университета телекоммуникаций, Украина. Мамарев Виктор Николаевич, аспирант, кафедра информационной и кибернетической безопасности, Государственный университет телекоммуникаций, Киев, Украина.
Burachok Volodymyr, State University of Telecommunications, Kyiv, Ukraine.
Hryshchuk Ruslan, Zhytomyr Military Institute of the State University of Telecommunications, Ukraine.
Mamarev Viktor, State University of Telecommunications, Kyiv, Ukraine
