Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных
В статье рассмотрен метод обнаружения аномального поведения пользователей распределенной компьютерной сети при интервально-значном представлении данных, основанный на построении устойчивой кластерной структуры с помощью эвристического метода возможностной кластеризации. Предложенный метод иллюстриру...
Gespeichert in:
| Datum: | 2012 |
|---|---|
| Hauptverfasser: | , , , |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Інститут проблем штучного інтелекту МОН України та НАН України
2012
|
| Schriftenreihe: | Штучний інтелект |
| Schlagworte: | |
| Online Zugang: | https://nasplib.isofts.kiev.ua/handle/123456789/57302 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, В.К. Фисенко // Штучний інтелект. — 2012. — № 3. — С. 421-429. — Бібліогр.: 17 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-57302 |
|---|---|
| record_format |
dspace |
| spelling |
nasplib_isofts_kiev_ua-123456789-573022025-02-10T01:02:55Z Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных Вияв аномальної поведінки системами виявлення атак при інтервально-значному зображенні даних Detecting Anomalous Behavior via Discovering Attacks Systems for Interval-Valued Data Анищенко, В.В. Вятченин, Д.А. Доморацкий, А.В. Фисенко, В.К. Нейронные сети и нейросетевые технологии. Информационная безопасность ИС В статье рассмотрен метод обнаружения аномального поведения пользователей распределенной компьютерной сети при интервально-значном представлении данных, основанный на построении устойчивой кластерной структуры с помощью эвристического метода возможностной кластеризации. Предложенный метод иллюстрируется результатами вычислительного эксперимента. У статті розглянуто метод виявлення аномальної поведінки користувачів розподіленої комп’ютерної мережі при інтервально-значному зображенні даних, що заснований на побудові стійкої кластерної структури за допомогою евристичного методу можливісної кластеризації. Запропонований метод ілюструється результатами обчислювального експерименту. A method of detecting anomalous user behavior in a distributed computational network for a case of interval-valued data is considered in the article. The method is based on constructing stable clustering structure using a heuristic method of possibilistic clustering. The proposed method is illustrated by the results of numerical experiment. 2012 2012 Article Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, В.К. Фисенко // Штучний інтелект. — 2012. — № 3. — С. 421-429. — Бібліогр.: 17 назв. — рос. 1561-5359 https://nasplib.isofts.kiev.ua/handle/123456789/57302 004,7.056 ru Штучний інтелект application/pdf Інститут проблем штучного інтелекту МОН України та НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| topic |
Нейронные сети и нейросетевые технологии. Информационная безопасность ИС Нейронные сети и нейросетевые технологии. Информационная безопасность ИС |
| spellingShingle |
Нейронные сети и нейросетевые технологии. Информационная безопасность ИС Нейронные сети и нейросетевые технологии. Информационная безопасность ИС Анищенко, В.В. Вятченин, Д.А. Доморацкий, А.В. Фисенко, В.К. Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных Штучний інтелект |
| description |
В статье рассмотрен метод обнаружения аномального поведения пользователей распределенной компьютерной сети при интервально-значном представлении данных, основанный на построении устойчивой кластерной структуры с помощью эвристического метода возможностной кластеризации. Предложенный метод иллюстрируется результатами вычислительного эксперимента. |
| format |
Article |
| author |
Анищенко, В.В. Вятченин, Д.А. Доморацкий, А.В. Фисенко, В.К. |
| author_facet |
Анищенко, В.В. Вятченин, Д.А. Доморацкий, А.В. Фисенко, В.К. |
| author_sort |
Анищенко, В.В. |
| title |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| title_short |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| title_full |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| title_fullStr |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| title_full_unstemmed |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| title_sort |
выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных |
| publisher |
Інститут проблем штучного інтелекту МОН України та НАН України |
| publishDate |
2012 |
| topic_facet |
Нейронные сети и нейросетевые технологии. Информационная безопасность ИС |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/57302 |
| citation_txt |
Выявление аномального поведения системами обнаружения атак при интервально-значном представлении данных / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, В.К. Фисенко // Штучний інтелект. — 2012. — № 3. — С. 421-429. — Бібліогр.: 17 назв. — рос. |
| series |
Штучний інтелект |
| work_keys_str_mv |
AT aniŝenkovv vyâvlenieanomalʹnogopovedeniâsistemamiobnaruženiâatakpriintervalʹnoznačnompredstavleniidannyh AT vâtčeninda vyâvlenieanomalʹnogopovedeniâsistemamiobnaruženiâatakpriintervalʹnoznačnompredstavleniidannyh AT domorackiiav vyâvlenieanomalʹnogopovedeniâsistemamiobnaruženiâatakpriintervalʹnoznačnompredstavleniidannyh AT fisenkovk vyâvlenieanomalʹnogopovedeniâsistemamiobnaruženiâatakpriintervalʹnoznačnompredstavleniidannyh AT aniŝenkovv viâvanomalʹnoípovedínkisistemamiviâvlennâatakpriíntervalʹnoznačnomuzobražennídanih AT vâtčeninda viâvanomalʹnoípovedínkisistemamiviâvlennâatakpriíntervalʹnoznačnomuzobražennídanih AT domorackiiav viâvanomalʹnoípovedínkisistemamiviâvlennâatakpriíntervalʹnoznačnomuzobražennídanih AT fisenkovk viâvanomalʹnoípovedínkisistemamiviâvlennâatakpriíntervalʹnoznačnomuzobražennídanih AT aniŝenkovv detectinganomalousbehaviorviadiscoveringattackssystemsforintervalvalueddata AT vâtčeninda detectinganomalousbehaviorviadiscoveringattackssystemsforintervalvalueddata AT domorackiiav detectinganomalousbehaviorviadiscoveringattackssystemsforintervalvalueddata AT fisenkovk detectinganomalousbehaviorviadiscoveringattackssystemsforintervalvalueddata |
| first_indexed |
2025-12-02T09:17:42Z |
| last_indexed |
2025-12-02T09:17:42Z |
| _version_ |
1850387529729048576 |
| fulltext |
«Штучний інтелект» 3’2012 421
3М
УДК 004,7.056
В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, В.К. Фисенко
Объединенный институт проблем информатики НАН Беларуси, г. Минск
Беларусь, 220012, г. Минск, ул. Сурганова, 6
Выявление аномального поведения
системами обнаружения атак
при интервально-значном представлении данных
V.V. Anishchenko, D.A. Viattchenin, A.V. Damaratski, V.K. Fisenko
United Institute of Informatics Problems
NAS of Belarus, c. Minsk
Belarus, 220012, c. Minsk, Surganov st., 6
Detecting Anomalous Behavior via Discovering Attacks
Systems for Interval-Valued Data
В.В. Анищенко, Д.А. Вятченін, А.В. Доморацький, В.К. Фісенко
Об’єднаний інститут проблем інформатики НАН Білорусі, м. Мінськ
Білорусь, 220012, м. Мінськ, вул. Сурганова, 6
Вияв аномальної поведінки системами виявлення атак
при інтервально-значному зображенні даних
В статье рассмотрен метод обнаружения аномального поведения пользователей распределенной компьютерной
сети при интервально-значном представлении данных, основанный на построении устойчивой кластерной
структуры с помощью эвристического метода возможностной кластеризации. Предложенный метод
иллюстрируется результатами вычислительного эксперимента.
Ключевые слова: кластеризация, аномальные наблюдения, неопределенные данные.
A method of detecting anomalous user behavior in a distributed computational network for a case of interval-valued
data is considered in the article. The method is based on constructing stable clustering structure using a heuristic
method of possibilistic clustering. The proposed method is illustrated by the results of numerical experiment.
Key words: clustering, anomalous observations, uncertain data.
У статті розглянуто метод виявлення аномальної поведінки користувачів розподіленої комп’ютерної мережі
при інтервально-значному зображенні даних, що заснований на побудові стійкої кластерної структури за
допомогою евристичного методу можливісної кластеризації. Запропонований метод ілюструється результатами
обчислювального експерименту.
Ключові слова: кластеризація, аномальні спостереження, невизначені дані.
Введение
Системы обнаружения атак на объекты информатизации давно применяются как
один из необходимых рубежей защиты информационных систем. Системы обнаружения
атак представляют собой программные или аппаратно-программные решения, которые
автоматизируют процесс контроля событий, протекающих в компьютерной системе или
сети, а также самостоятельно анализируют эти события в поисках признаков проблем
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012422
7А
А
безопасности. Так как количество различных типов и способов организации несанкциони-
рованных проникновений в чужие сети значительно увеличилось за последние годы, си-
стемы обнаружения атак стали необходимым компонентом инфраструктуры безопасности
большинства организаций.
Системы обнаружения атак условно делятся на два типа: системы обнаружения
злоумышленного поведения и системы обнаружения аномального поведения. Системы
обнаружения злоумышленного поведения основаны на информации о признаках, ха-
рактеризующих поведение злоумышленника, тогда как работа систем обнаружения
аномального поведения основана на информации о некоторых признаках, характеризую-
щих допустимое поведение объекта наблюдения, где под допустимым поведением пони-
маются действия, выполняемые объектом и не противоречащие политике безопасности.
Главным достоинством систем обнаружения аномального поведения является возможность
генерирования системами указанного типа информации, которая может быть использова-
на в системах обнаружения злоумышленного поведения, что, в свою очередь, открывает
возможности создания гибридных систем обнаружения атак.
Наиболее распространенным видом реализации технологии обнаружения аномаль-
ного поведения является применение различных статистических методов, в том числе
кластерного анализа [1]. Следует также указать, что в работе [1] особо отмечается высокая
эффективность методов кластеризации в задачах обнаружения аномальных наблюдений в
исследуемой совокупности объектов. В последние годы особый интерес у исследователей
вызывают методы нечеткой и возможностной кластеризации [2], отличительной чертой
которых является не просто указание принадлежности того или иного объекта к опре-
деленному кластеру, но и степень, с которой данный объект принадлежит тому или иному
таксону. Необходимо отметить, что подавляющее большинство алгоритмов нечеткой и
возможностной кластеризации являются представителями так называемого оптимизацион-
ного направления. С другой стороны, в работах [3-7] предложен так называемый эв-
ристический подход к решению задачи возможностной кластеризации, отличающийся от
оптимизационного подхода устойчивостью результатов классификации.
В работе [8] предложена методология применения эвристических алгоритмов воз-
можностной кластеризации при разработке систем обнаружения аномального поведения,
которая основывается на выработке признакового пространства, описывающего нормаль-
ное поведение объектов информатизации, с последующим сбором статистической инфор-
мации и обнаружением объектов, поведение которых отличается от допустимого. Недос-
татком предложенного в [8] подхода является описание поведения объектов информати-
зации в виде вектора некоторых количественных признаков, что является приемлемым
для компьютерных систем, насчитывающих сравнительно небольшое число однотипных
элементов, примером которых являются локальные вычислительные сети.
Целью данной работы является модификация предложенной в [8] методологии
для случая распределенных вычислительных систем, поведение элементов которых может
описываться векторами интервалов.
Представление данных о поведении элементов
распределенной вычислительной сети
Распределенные вычислительные системы представляют собой совокупность зна-
чительно удаленных друг от друга отдельных ЭВМ и локальных сетей, представляющих
собой вычислительные узлы. Распределенные вычислительные системы используются
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 423
7А
для решения как наборов независимых задач, так и единой сложной задачи. На рис. 1
приведена упрощенная схема организации распределенной вычислительной сети.
Рисунок 1 – Упрощенная схема распределенной вычислительной сети
С точки зрения системного подхода, распределенная вычислительная сеть представ-
ляет собой сложную систему, то есть систему совокупность разнотипных элементов, объе-
диненных разнотипными связями.
Таким образом, в качестве объекта наблюдения в распределенной вычислительной
сети может выступать как отдельный компьютер, так и локальная вычислительная сеть, а
признаками могут быть различные количественные характеристики, такие, к примеру, как
количество запросов в данный период времени к размещенной в распределенной вычис-
лительной сети файлов, число неудачных попыток входа в систему, а также загрузка
центрального процессора того или иного отдельного компьютера.
Учитывая, что состояние любого элемента в некоторый момент времени какой-либо
системы может быть описано в виде вектора признаков, то состояние системы в целом
может описываться матрицей «объект-признак», являющейся одной из двух разновидно-
стей матриц исходных данных в задачах кластеризации [1]. При этом следует также
учитывать, что все объекты – элементы распределенной вычислительной сети должны
быть описаны в едином признаковом пространстве, а так как значения какого-либо
признака для некоторых элементов может варьироваться в интервале даже в отдельно
взятый момент времени, то каждый элемент системы должен быть представлен в виде
вектора интервалов значений какого-либо признака. Таким образом, при классификации
элементов распределенной вычислительной сети с целью обнаружения аномального пове-
дения того или иного элемента, возникает задача обработки интервально-значных данных.
Основные понятия эвристического метода
возможностной кластеризации
Эвристический метод возможностной кластеризации состоит в построении так на-
зываемого распределения по c нечетких -кластеров, являющегося частным случаем
возможностного разбиения, в общем случае, определяемого условием
0li , 0
1
c
l
li , ni ,,1 , cl ,,1 , (1)
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012424
7А
А
где },...,{ 1 nxxX – исследуемая совокупность объектов, на которой определена
нечеткая толерантность T , то есть симметричное, рефлексивное, нетранзитивное бинарное
нечеткое отношение, с функцией принадлежности ),( jiT xx , nji ,,1, , так что строки
или столбцы этой нечеткой толерантности являются нечеткими множествами },...,{ 1 nAA .
В таком случае, для некоторого значения , ]1,0( , нечеткое множество уровня ,
определяемое условием })(|))(,{()( iAiAi
l xxxA ll , },,1{ nl , такое, что ll AA )( ,
},,{ 1 nl AAA , будет именоваться нечетким -кластером с функцией принадлежности
li объекта Xxi нечеткому -кластеру lA )( , определяемой выражением
иначе
Axx l
iiA
li
l
,0
),(
, (2)
где })(|{ iAi
l xXxA l – -уровень lA , },,1{ nl .
Если условие (1) выполняется для всех )()( XRA z
l
, где }2,,1|{)( )( ncclAXR l
z
–
семейство c нечетких -кластеров для некоторого значения , порожденных заданной
на X нечеткой толерантностью T , то это семейство является распределением множества
классифицируемых объектов X по c нечетким -кластерам. Условие (1) в рассматри-
ваемом случае требует, чтобы все объекты совокупности X были распределены по c не-
четким -кластерам },...,{ )(
1
)(
cAA с положительными значениями типичности li ,
cl ,,1 , ni ,,1 .
Сущность эвристических алгоритмов возможностной кластеризации заключается в
нахождении единственного распределения )(XR по априори заданному или нет, числу
c нечетких -кластеров. Эвристические алгоритмы возможностной кластеризации ус-
ловно подразделяются на два типа: реляционные и алгоритмы, основанные на вычислении
прототипов кластеров. В первом случае матрицей исходных данных служит матрица не-
четкой толерантности T , являющаяся разновидностью матрицы «объект-объект», а во
втором – матрица вида «объект-признак». Семейство реляционных эвристических ал-
горитмов возможностной кластеризации включает:
– D-AFC(c)-алгоритм [3]: построение распределения )(XR по априори заданному
числу c частично разделенных нечетких -кластеров;
– D-AFC-PS(c)-алгоритм [4]: модификация D-AFC(c)-алгоритма, использующая
аппарат частичного обучения;
– D-PAFC-алгоритм [5]: построение главного распределения )(XRP
по априори
неизвестному наименьшему числу c полностью разделенных нечетких -кластеров.
Необходимо указать, что в работе [6] предложен ряд показателей валидности числа
c нечетких -кластеров в искомом распределении )(XR , предназначенных для исполь-
зования совместно с D-AFC(c)-алгоритмом.
С другой стороны, семейство эвристических алгоритмов возможностной кластери-
зации, основанных на вычислении прототипов, включает [7]:
– D-AFC-TC-алгоритм: построение распределения )(XR по априори неизвестному
числу c полностью разделенных нечетких -кластеров;
– D-PAFC-TC-алгоритм: построение главного распределения )(XRP
по априори
неизвестному наименьшему числу c полностью разделенных нечетких -кластеров;
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 425
7А
– D-AFC-TC(α*)-алгоритм: построение распределения )(XR по априори неизвест-
ному числу c полностью разделенных нечетких -кластеров для априори заданного наи-
меньшего порога сходства .
Следует указать, что эвристические возможностные кластер-процедуры, основанные
на вычислении прототипов нечетких -кластеров, используют транзитивное замыкание
T
нечеткой толерантности T , и не требуют априорного задания числа с полностью раз-
деленных нечетких -кластеров в искомом распределении )(XR . Кроме того, реляцион-
ные эвристические возможностные кластер-процедуры являются эффективным средст-
вом быстрого прототипирования систем нечеткого вывода [9].
Методология обнаружения аномальных
наблюдений в интервально-значных данных
В работе [10] предложена методология применения эвристических алгоритмов воз-
можностной кластеризации к обнаружению аномальных наблюдений, в специальной лите-
ратуре именуемых также «выбросами», в случае, когда данные об исследуемой совокупно-
сти представлены векторами интервалов. В основе предложенной в [10] методологии лежит
техника построения устойчивой кластерной структуры, детально изложенная в [11]. Однако
перед изложением методологии обнаружения «выбросов» в интервально-значных данных
представляется целесообразным кратко напомнить основные методы предварительной об-
работки данных такого типа, рассмотренные в [12].
Пусть },...,{ 1 nxxX – множество объектов, так что каждый объект ix описывается
1m числом признаков, и может быть представлен в виде вектора ),,,,( 111 m
i
t
iii xxxx ,
где (m in ) (m ax)1 1 1ˆ ˆ ˆ[ , ]
t t t
x x xi i i . Таким образом, интервально-значные данные могут быть
представлены в виде матрицы ( )1 2ˆ ˆ[ ]
1
t t
X xn m i
, ni ,,1 , 11 ,,1 mt , max}{min,2 t ,
которая может быть обработана с помощью обобщенной унитаризации
( ) ( )
1 2 1 2ˆ ˆm i n
,( ) 21 2
( ) ( )
1 2 1 2ˆ ˆm a x m i n
,,
22
t t t t
x x
i ii tt t
x
i t t t t
x x
i ii ti t
, (3)
так что каждый объект ix , ni ,,1 множества },,{ 1 nxxX может рассматриваться как
интервально-значное нечеткое множество с функцией принадлежности
)](),([)( (max)(min) 111 t
x
t
x
t
x xxx
iii
, ni ,,1 , 11 ,,1 mt .
Для интервально-значных нечетких множеств рядом авторов были предложены
различные расстояния и меры близости – в частности, в работе [13] П. Бурило и
Г. Бустинцем было предложено нормализованное евклидово расстояние, определяемое
выражением
1
1
1111
1
2(max)(max)2(min)(min)
1
)()()()(
2
1
),(
m
t
t
x
t
x
t
x
t
xjiI xxxx
m
xxd
jiji
, (4)
для всех nji ,,1, . С другой стороны, обобщение относительного евклидова расстоя-
ния, предложенного в [14], для случая интервально-значных нечетких множеств примет
вид
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012426
7А
А
1
1 2
2121
1
max}
{min,
2)()(
2
1
)()(
2
11
),(
m
t t
tt
x
tt
xjiI xx
m
xxe
ji
, (5)
также для всех nji ,,1, . Как отмечалось в [12], построенное с помощью формулы (16)
нечеткое отношение несходства сохраняет только свойство симметричности, так что
обобщение относительного евклидова расстояния (5) представляет собой меру различия.
В результате применения расстояния (4) или меры различия (5) к матрице норми-
рованных в соответствии с формулой (3) интервально-значных данных, получается матрица
нечеткого отношения несходства )],([ jiInn xxI , применение к которой, в свою очередь,
операции дополнения дает в результате матрицу нечеткой толерантности )],([ jiTnn xxT ,
являющуюся матрицей исходных данных для реляционных алгоритмов эвристического
метода возможностной кластеризации.
Кроме того, П. Гжегожевским в [15] было предложено расстояние между интерваль-
но-значными нечеткими множествами, основанное на метрике Хаусдорфа, а Х. Юу и
Х. Юаном в [16] была определена мера близости интервально-значных нечетких
множеств, которые подробно рассмотрены в [12].
С содержательной точки зрения, аномальное наблюдение представляет собой
отдельный элемент, находящийся на значительном удалении от кластеров и других
отдельных элементов [8]. Таким образом, предложенная в [10] методология обнару-
жения аномальных наблюдений в интервально-значных данных может быть описана
в виде следующей последовательности шагов:
1. В соответствии с предложенной в [11] методологией построения устойчивой
кластерной структуры, распределение )(XR по априори неизвестному числу c не-
четких -кластеров;
2. Для каждого нечеткого -кластера )()( XRAl вычисляется мощность его
носителя, )( lAcard ;
3. Производится проверка условия: если 1)( lAcard то этот нечеткий -кластер,
носитель которого содержит единственный элемент Xxi , является аномальным на-
блюдением.
Следует отметить, что если под аномальным наблюдением понимать немногочис-
ленную, по сравнению с остальными, группу объектов, чему соответствует нечеткий -
кластер, мощность носителя которого превышает 1, то предложенная методология
может быть тривиально обобщена на указанный случай.
Иллюстративный пример
В качестве иллюстрации применения предложенной методологии к решению за-
дачи обнаружения аномального поведения элементов распределенной вычислительной
сети может послужить рассмотренный в [10] пример двумерных интервально-значных
данных, приведенных на рис. 2.
Очевидно, что в исследуемой совокупности },...,{ 161 xxX группы объектов },...,{ 61 xx
и },...,{ 127 xx образуют кластеры, а объекты 13x , 14x , 15x и 16x являются «выбросами».
Результат применения изложенной методологии к задаче обнаружения «выбро-
сов» представлен на рис. 3.
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 427
7А
Рисунок 2 – Интервально-значные данные для вычислительного эксперимента
а) б)
Рисунок 3 – Значения принадлежностей объектов классам полученного
распределения: при использовании расстояния (4) (а),
при использовании меры различия (5) (б)
При использовании в описанной методологии расстояния (4), группа объектов
},...,{ 127 xx разделилась на две подгруппы: },...,{ 107 xx и },{ 1211 xx . С другой стороны,
использование меры различия (5) выделяет две группы },...,{ 61 xx и },...,{ 127 xx , а объекты
13x , 14x , 15x и 16x выделяются в отдельные классы в обоих случаях и могут интепрети-
роваться как аномальные наблюдения. Следует также указать, что в случае использования
меры различия (5) все нечеткие -кластеры представляют собой субнормальные нечет-
кие множества. Результаты использования расстояния П. Гжегожевского [15] и меры бли-
зости Х. Юу и Х. Юана [16] приведены в [10] и сходны с приведенными на рис. 3.
результатами.
Выводы
В работе предложен подход к обнаружению аномального поведения в распределен-
ных вычислительных сетях, основанный на представлении данных о состоянии элементов
системы в виде векторов интервалов и методологии обнаружения «выбросов» в ин-
тервально-значных данных. Результаты вычислительного эксперимента демонстрируют
эффективность предложенного подхода.
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012428
7А
А
Предложенный подход также может быть обобщен на случай представления данных
о состоянии элементов системы в виде векторов нечетких чисел [17], что представляет
интерес как с теоретической, так и с практической точек зрения, и является направлением
перспективных исследований.
Литература
1. Мандель И.Д. Кластерный анализ / И.Д. Мандель. – М. : Финансы и статистика, 1988. – 176 с.
2. Fuzzy Cluster Analysis: Methods for Classification, Data Analysis and Image Recognition / F. Höppner
[et al].– Chichester : Wiley Intersciences, 1999.– 289 p.
3. Viattchenin D.A. A new heuristic algorithm of fuzzy clustering / D.A. Viattchenin // Control & Cybernetics. –
2004. – Vol. 33. – P. 323-340.
4. Viattchenin D.A. A direct algorithm of possibilistic clustering with partial supervision / D.A. Viattchenin
// Journal of Automation, Mobile Robotics and Intelligent Systems. – 2007. – Vol. 1, № 3. – P. 29-38.
5. Viattchenin D.A. An algorithm for detecting the principal allotment among fuzzy clusters and its appli-
cation as a technique of reduction of analyzed features space dimensionality / D.A. Viattchenin // Journal
of Information and Organizational Sciences. – 2009. – Vol. 33. – P. 205-217.
6. Viattchenin D.A. Validity measures for heuristic possibilistic clustering / D.A. Viattchenin // Information
Technology and Control. – 2010. – Vol. 39, № 4. – P. 321-332.
7. Вятченин Д.А. Прямые алгоритмы нечеткой кластеризации, основанные на операции транзитив-
ного замыкания и их применение к обнаружению аномальных наблюдений / Д.А. Вятченин //
Искусственный интеллект. – 2007. – № 3. – С. 205-216.
8. Методология применения эвристических алгоритмов возможностной кластеризации в системах
обнаружения атак / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, Р. Тати // Безопасность
информационных технологий. – 2012. – № 1. – С. 19-21.
9. Анищенко В.В. Обучение консеквентов нечетких правил, построенных на основе эвристической
возможностной кластеризации / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий // Информа-
тика. – 2011. – № 3. – С. 98-111.
10. Viattchenin D.A. Detecting outliers in interval-valued data using heuristic possibilistic clustering / D.A. Viatt-
chenin // Journal of Computer Science and Control Systems. – 2012. – Vol.5, № 2. (to appear)
11. Viattchenin D.A. Constructing stable clustering structure for uncertain data set / D.A. Viattchenin // Acta
Electrotechnica et Informatica. – 2011. – Vol. 11, № 3. – P. 42-50.
12. Вятченин Д.А. Построение нечеткого с-разбиения в случае неустойчивой кластерной структуры множества
объектов / Д.А. Вятченин, А.В. Доморацкий // Искусственный интеллект. –2011. – № 3. – С. 479-489.
13. Burillo P. Entropy on intuitionistic fuzzy sets and on interval-valued fuzzy sets / P. Burillo, H. Bustince //
Fuzzy Sets and Systems. – 1996. – Vol. 78. – P. 305-316.
14. Viattchenin D.A. An outline for a heuristic approach to possibilistic clustering of the three-way data /
D.A. Viattchenin // Journal of Uncertain Systems. – 2009. – Vol. 3. – P. 64-80.
15. Grzegorzewski P. Distances between intuitionistic fuzzy sets and/or interval-valued fuzzy sets based on
Hausdorff metric // Fuzzy Sets and Systems. – 2004. – Vol. 148. – P. 319-328.
16. Ju H. Similarity measures on interval-valued fuzzy sets and application to pattern recognition / H. Ju, X. Yan //
Fuzzy Information and Engineering / Ed. by D.Y. Cao. – Berlin: Springer-Verlag, 2007. – P. 875–883.
17. Фисенко В.К. Формализация нечеткого описания признаков объектов информатизации в задаче
категорирования по требованиям информационной безопасности / Фисенко В.К., Д.А. Вятченин //
Искусственный интеллект. Интеллектуальные системы ИИ-2011 : материалы Международной
научно-технической конференции (пос. Кацивели, АР Крым, 19 – 23 сентября 2011 года). – Донецк :
Наука i освiта, 2011. – С. 302-306.
Literatura
1. Mandel I.D. Cluster Analysis. Moscow: Finansy i Statistika. 1988. 176 p. (in Russian)
2. Höppner F. Fuzzy Cluster Analysis: Methods for Classification, Data Analysis and Image Recognition.
Chichester: Wiley Intersciences. 1999. 289 p.
3. Viattchenin D.A. Control & Cybernetics. 2004. Vol. 33. P. 323-340.
4. Viattchenin D.A. Journal of Automation, Mobile Robotics and Intelligent Systems. 2007. Vol. 1. № 3. P.
29-38.
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 429
7А
5. Viattchenin D.A. Journal of Information and Organizational Sciences. 2009. Vol. 33. P. 205-217.
6. Viattchenin D.A. Information Technology and Control. 2010. Vol. 39, № 4. P. 321-332.
7. Viattchenin D.A. Iskusstvennyj intellect. 2007. №.3. S. 205-216. (in Russian)
8. Anishchanka U.V. Bezopasnost’ informatsionnyh technologij. 2012. № 1. S. 19-21. (in Russian)
9. Anishchanka U.V. Informatics. 2011. №.3. S. 98-111. (in Russian)
10. Viattchenin D.A. Journal of Computer Science and Control Systems. 2012. Vol.5, № 2. (to appear)
11. Viattchenin D.A. Acta Electrotechnica et Informatica. 2011. Vol.11, № 3. P. 42-50.
12. Viattchenin D.A. Iskusstvennyj intellect. 2011. №.3. S. 479-489. (in Russian)
13. Burillo P. Fuzzy Sets and Systems. 1996. Vol. 78. P. 305-316.
14. Viattchenin D.A. Journal of Uncertain Systems. 2009. Vol. 3. P. 64-80.
15. Grzegorzewski P. Fuzzy Sets and Systems. 2004. Vol. 148. P. 319-328.
16. Ju H. Fuzzy Information and Engineering. Berlin: Springer-Verlag. 2007. P. 875–883.
17. Fisenko V.K. Iskusstvennyj intellect. Intellectualnyje systemy. Donetsk: Nauka i osvita. 2011. S. 302-306.
(in Russian)
RESUME
U.V. Anishchenko, D.A. Viattchenin, A.V. Damaratski, V.K. Fisenko
Detecting Anomalous Behavior via Discovering Attacks
Systems for Interval-Valued Data
The paper deals with the problem of detecting anomalous user behavior in a
distributed computational network. The data should be represented as a table where each
cell of this table contains an interval of values.
The method of detecting outliers in interval-valued data was applied for the problem
solving. The method is based on constructing stable clustering structure using a heuristic
method of possibilistic clustering. Results of numerical experiment seem to be satisfactory.
So, the proposed approach is effective tool for detecting anomalous user behavior in
computational networks.
Статья поступила в редакцию 05.06.2012.
«Штучний інтелект» 3’2012 421
3М
УДК 004,7.056
В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, В.К. Фисенко
Объединенный институт проблем информатики НАН Беларуси, г. Минск
Беларусь, 220012, г. Минск, ул. Сурганова, 6
Выявление аномального поведения
системами обнаружения атак
при интервально-значном представлении данных
V.V. Anishchenko, D.A. Viattchenin, A.V. Damaratski, V.K. Fisenko
United Institute of Informatics Problems
NAS of Belarus, c. Minsk
Belarus, 220012, c. Minsk, Surganov st., 6
Detecting Anomalous Behavior via Discovering Attacks
Systems for Interval-Valued Data
В.В. Анищенко, Д.А. Вятченін, А.В. Доморацький, В.К. Фісенко
Об’єднаний інститут проблем інформатики НАН Білорусі, м. Мінськ
Білорусь, 220012, м. Мінськ, вул. Сурганова, 6
Вияв аномальної поведінки системами виявлення атак
при інтервально-значному зображенні даних
В статье рассмотрен метод обнаружения аномального поведения пользователей распределенной компьютерной
сети при интервально-значном представлении данных, основанный на построении устойчивой кластерной
структуры с помощью эвристического метода возможностной кластеризации. Предложенный метод
иллюстрируется результатами вычислительного эксперимента.
Ключевые слова: кластеризация, аномальные наблюдения, неопределенные данные.
A method of detecting anomalous user behavior in a distributed computational network for a case of interval-valued
data is considered in the article. The method is based on constructing stable clustering structure using a heuristic
method of possibilistic clustering. The proposed method is illustrated by the results of numerical experiment.
Key words: clustering, anomalous observations, uncertain data.
У статті розглянуто метод виявлення аномальної поведінки користувачів розподіленої комп’ютерної мережі
при інтервально-значному зображенні даних, що заснований на побудові стійкої кластерної структури за
допомогою евристичного методу можливісної кластеризації. Запропонований метод ілюструється результатами
обчислювального експерименту.
Ключові слова: кластеризація, аномальні спостереження, невизначені дані.
Введение
Системы обнаружения атак на объекты информатизации давно применяются как
один из необходимых рубежей защиты информационных систем. Системы обнаружения
атак представляют собой программные или аппаратно-программные решения, которые
автоматизируют процесс контроля событий, протекающих в компьютерной системе или
сети, а также самостоятельно анализируют эти события в поисках признаков проблем
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012422
7А
А
безопасности. Так как количество различных типов и способов организации несанкциони-
рованных проникновений в чужие сети значительно увеличилось за последние годы, си-
стемы обнаружения атак стали необходимым компонентом инфраструктуры безопасности
большинства организаций.
Системы обнаружения атак условно делятся на два типа: системы обнаружения
злоумышленного поведения и системы обнаружения аномального поведения. Системы
обнаружения злоумышленного поведения основаны на информации о признаках, ха-
рактеризующих поведение злоумышленника, тогда как работа систем обнаружения
аномального поведения основана на информации о некоторых признаках, характеризую-
щих допустимое поведение объекта наблюдения, где под допустимым поведением пони-
маются действия, выполняемые объектом и не противоречащие политике безопасности.
Главным достоинством систем обнаружения аномального поведения является возможность
генерирования системами указанного типа информации, которая может быть использова-
на в системах обнаружения злоумышленного поведения, что, в свою очередь, открывает
возможности создания гибридных систем обнаружения атак.
Наиболее распространенным видом реализации технологии обнаружения аномаль-
ного поведения является применение различных статистических методов, в том числе
кластерного анализа [1]. Следует также указать, что в работе [1] особо отмечается высокая
эффективность методов кластеризации в задачах обнаружения аномальных наблюдений в
исследуемой совокупности объектов. В последние годы особый интерес у исследователей
вызывают методы нечеткой и возможностной кластеризации [2], отличительной чертой
которых является не просто указание принадлежности того или иного объекта к опре-
деленному кластеру, но и степень, с которой данный объект принадлежит тому или иному
таксону. Необходимо отметить, что подавляющее большинство алгоритмов нечеткой и
возможностной кластеризации являются представителями так называемого оптимизацион-
ного направления. С другой стороны, в работах [3-7] предложен так называемый эв-
ристический подход к решению задачи возможностной кластеризации, отличающийся от
оптимизационного подхода устойчивостью результатов классификации.
В работе [8] предложена методология применения эвристических алгоритмов воз-
можностной кластеризации при разработке систем обнаружения аномального поведения,
которая основывается на выработке признакового пространства, описывающего нормаль-
ное поведение объектов информатизации, с последующим сбором статистической инфор-
мации и обнаружением объектов, поведение которых отличается от допустимого. Недос-
татком предложенного в [8] подхода является описание поведения объектов информати-
зации в виде вектора некоторых количественных признаков, что является приемлемым
для компьютерных систем, насчитывающих сравнительно небольшое число однотипных
элементов, примером которых являются локальные вычислительные сети.
Целью данной работы является модификация предложенной в [8] методологии
для случая распределенных вычислительных систем, поведение элементов которых может
описываться векторами интервалов.
Представление данных о поведении элементов
распределенной вычислительной сети
Распределенные вычислительные системы представляют собой совокупность зна-
чительно удаленных друг от друга отдельных ЭВМ и локальных сетей, представляющих
собой вычислительные узлы. Распределенные вычислительные системы используются
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 423
7А
для решения как наборов независимых задач, так и единой сложной задачи. На рис. 1
приведена упрощенная схема организации распределенной вычислительной сети.
Рисунок 1 – Упрощенная схема распределенной вычислительной сети
С точки зрения системного подхода, распределенная вычислительная сеть представ-
ляет собой сложную систему, то есть систему совокупность разнотипных элементов, объе-
диненных разнотипными связями.
Таким образом, в качестве объекта наблюдения в распределенной вычислительной
сети может выступать как отдельный компьютер, так и локальная вычислительная сеть, а
признаками могут быть различные количественные характеристики, такие, к примеру, как
количество запросов в данный период времени к размещенной в распределенной вычис-
лительной сети файлов, число неудачных попыток входа в систему, а также загрузка
центрального процессора того или иного отдельного компьютера.
Учитывая, что состояние любого элемента в некоторый момент времени какой-либо
системы может быть описано в виде вектора признаков, то состояние системы в целом
может описываться матрицей «объект-признак», являющейся одной из двух разновидно-
стей матриц исходных данных в задачах кластеризации [1]. При этом следует также
учитывать, что все объекты – элементы распределенной вычислительной сети должны
быть описаны в едином признаковом пространстве, а так как значения какого-либо
признака для некоторых элементов может варьироваться в интервале даже в отдельно
взятый момент времени, то каждый элемент системы должен быть представлен в виде
вектора интервалов значений какого-либо признака. Таким образом, при классификации
элементов распределенной вычислительной сети с целью обнаружения аномального пове-
дения того или иного элемента, возникает задача обработки интервально-значных данных.
Основные понятия эвристического метода
возможностной кластеризации
Эвристический метод возможностной кластеризации состоит в построении так на-
зываемого распределения по c нечетких -кластеров, являющегося частным случаем
возможностного разбиения, в общем случае, определяемого условием
0li , 0
1
c
l
li , ni ,,1 , cl ,,1 , (1)
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012424
7А
А
где },...,{ 1 nxxX – исследуемая совокупность объектов, на которой определена
нечеткая толерантность T , то есть симметричное, рефлексивное, нетранзитивное бинарное
нечеткое отношение, с функцией принадлежности ),( jiT xx , nji ,,1, , так что строки
или столбцы этой нечеткой толерантности являются нечеткими множествами },...,{ 1 nAA .
В таком случае, для некоторого значения , ]1,0( , нечеткое множество уровня ,
определяемое условием })(|))(,{()( iAiAi
l xxxA ll , },,1{ nl , такое, что ll AA )( ,
},,{ 1 nl AAA , будет именоваться нечетким -кластером с функцией принадлежности
li объекта Xxi нечеткому -кластеру lA )( , определяемой выражением
иначе
Axx l
iiA
li
l
,0
),(
, (2)
где })(|{ iAi
l xXxA l – -уровень lA , },,1{ nl .
Если условие (1) выполняется для всех )()( XRA z
l
, где }2,,1|{)( )( ncclAXR l
z
–
семейство c нечетких -кластеров для некоторого значения , порожденных заданной
на X нечеткой толерантностью T , то это семейство является распределением множества
классифицируемых объектов X по c нечетким -кластерам. Условие (1) в рассматри-
ваемом случае требует, чтобы все объекты совокупности X были распределены по c не-
четким -кластерам },...,{ )(
1
)(
cAA с положительными значениями типичности li ,
cl ,,1 , ni ,,1 .
Сущность эвристических алгоритмов возможностной кластеризации заключается в
нахождении единственного распределения )(XR по априори заданному или нет, числу
c нечетких -кластеров. Эвристические алгоритмы возможностной кластеризации ус-
ловно подразделяются на два типа: реляционные и алгоритмы, основанные на вычислении
прототипов кластеров. В первом случае матрицей исходных данных служит матрица не-
четкой толерантности T , являющаяся разновидностью матрицы «объект-объект», а во
втором – матрица вида «объект-признак». Семейство реляционных эвристических ал-
горитмов возможностной кластеризации включает:
– D-AFC(c)-алгоритм [3]: построение распределения )(XR по априори заданному
числу c частично разделенных нечетких -кластеров;
– D-AFC-PS(c)-алгоритм [4]: модификация D-AFC(c)-алгоритма, использующая
аппарат частичного обучения;
– D-PAFC-алгоритм [5]: построение главного распределения )(XRP
по априори
неизвестному наименьшему числу c полностью разделенных нечетких -кластеров.
Необходимо указать, что в работе [6] предложен ряд показателей валидности числа
c нечетких -кластеров в искомом распределении )(XR , предназначенных для исполь-
зования совместно с D-AFC(c)-алгоритмом.
С другой стороны, семейство эвристических алгоритмов возможностной кластери-
зации, основанных на вычислении прототипов, включает [7]:
– D-AFC-TC-алгоритм: построение распределения )(XR по априори неизвестному
числу c полностью разделенных нечетких -кластеров;
– D-PAFC-TC-алгоритм: построение главного распределения )(XRP
по априори
неизвестному наименьшему числу c полностью разделенных нечетких -кластеров;
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 425
7А
– D-AFC-TC(α*)-алгоритм: построение распределения )(XR по априори неизвест-
ному числу c полностью разделенных нечетких -кластеров для априори заданного наи-
меньшего порога сходства .
Следует указать, что эвристические возможностные кластер-процедуры, основанные
на вычислении прототипов нечетких -кластеров, используют транзитивное замыкание
T
нечеткой толерантности T , и не требуют априорного задания числа с полностью раз-
деленных нечетких -кластеров в искомом распределении )(XR . Кроме того, реляцион-
ные эвристические возможностные кластер-процедуры являются эффективным средст-
вом быстрого прототипирования систем нечеткого вывода [9].
Методология обнаружения аномальных
наблюдений в интервально-значных данных
В работе [10] предложена методология применения эвристических алгоритмов воз-
можностной кластеризации к обнаружению аномальных наблюдений, в специальной лите-
ратуре именуемых также «выбросами», в случае, когда данные об исследуемой совокупно-
сти представлены векторами интервалов. В основе предложенной в [10] методологии лежит
техника построения устойчивой кластерной структуры, детально изложенная в [11]. Однако
перед изложением методологии обнаружения «выбросов» в интервально-значных данных
представляется целесообразным кратко напомнить основные методы предварительной об-
работки данных такого типа, рассмотренные в [12].
Пусть },...,{ 1 nxxX – множество объектов, так что каждый объект ix описывается
1m числом признаков, и может быть представлен в виде вектора ),,,,( 111 m
i
t
iii xxxx ,
где (m in ) (m ax)1 1 1ˆ ˆ ˆ[ , ]
t t t
x x xi i i . Таким образом, интервально-значные данные могут быть
представлены в виде матрицы ( )1 2ˆ ˆ[ ]
1
t t
X xn m i
, ni ,,1 , 11 ,,1 mt , max}{min,2 t ,
которая может быть обработана с помощью обобщенной унитаризации
( ) ( )
1 2 1 2ˆ ˆm i n
,( ) 21 2
( ) ( )
1 2 1 2ˆ ˆm a x m i n
,,
22
t t t t
x x
i ii tt t
x
i t t t t
x x
i ii ti t
, (3)
так что каждый объект ix , ni ,,1 множества },,{ 1 nxxX может рассматриваться как
интервально-значное нечеткое множество с функцией принадлежности
)](),([)( (max)(min) 111 t
x
t
x
t
x xxx
iii
, ni ,,1 , 11 ,,1 mt .
Для интервально-значных нечетких множеств рядом авторов были предложены
различные расстояния и меры близости – в частности, в работе [13] П. Бурило и
Г. Бустинцем было предложено нормализованное евклидово расстояние, определяемое
выражением
1
1
1111
1
2(max)(max)2(min)(min)
1
)()()()(
2
1
),(
m
t
t
x
t
x
t
x
t
xjiI xxxx
m
xxd
jiji
, (4)
для всех nji ,,1, . С другой стороны, обобщение относительного евклидова расстоя-
ния, предложенного в [14], для случая интервально-значных нечетких множеств примет
вид
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012426
7А
А
1
1 2
2121
1
max}
{min,
2)()(
2
1
)()(
2
11
),(
m
t t
tt
x
tt
xjiI xx
m
xxe
ji
, (5)
также для всех nji ,,1, . Как отмечалось в [12], построенное с помощью формулы (16)
нечеткое отношение несходства сохраняет только свойство симметричности, так что
обобщение относительного евклидова расстояния (5) представляет собой меру различия.
В результате применения расстояния (4) или меры различия (5) к матрице норми-
рованных в соответствии с формулой (3) интервально-значных данных, получается матрица
нечеткого отношения несходства )],([ jiInn xxI , применение к которой, в свою очередь,
операции дополнения дает в результате матрицу нечеткой толерантности )],([ jiTnn xxT ,
являющуюся матрицей исходных данных для реляционных алгоритмов эвристического
метода возможностной кластеризации.
Кроме того, П. Гжегожевским в [15] было предложено расстояние между интерваль-
но-значными нечеткими множествами, основанное на метрике Хаусдорфа, а Х. Юу и
Х. Юаном в [16] была определена мера близости интервально-значных нечетких
множеств, которые подробно рассмотрены в [12].
С содержательной точки зрения, аномальное наблюдение представляет собой
отдельный элемент, находящийся на значительном удалении от кластеров и других
отдельных элементов [8]. Таким образом, предложенная в [10] методология обнару-
жения аномальных наблюдений в интервально-значных данных может быть описана
в виде следующей последовательности шагов:
1. В соответствии с предложенной в [11] методологией построения устойчивой
кластерной структуры, распределение )(XR по априори неизвестному числу c не-
четких -кластеров;
2. Для каждого нечеткого -кластера )()( XRAl вычисляется мощность его
носителя, )( lAcard ;
3. Производится проверка условия: если 1)( lAcard то этот нечеткий -кластер,
носитель которого содержит единственный элемент Xxi , является аномальным на-
блюдением.
Следует отметить, что если под аномальным наблюдением понимать немногочис-
ленную, по сравнению с остальными, группу объектов, чему соответствует нечеткий -
кластер, мощность носителя которого превышает 1, то предложенная методология
может быть тривиально обобщена на указанный случай.
Иллюстративный пример
В качестве иллюстрации применения предложенной методологии к решению за-
дачи обнаружения аномального поведения элементов распределенной вычислительной
сети может послужить рассмотренный в [10] пример двумерных интервально-значных
данных, приведенных на рис. 2.
Очевидно, что в исследуемой совокупности },...,{ 161 xxX группы объектов },...,{ 61 xx
и },...,{ 127 xx образуют кластеры, а объекты 13x , 14x , 15x и 16x являются «выбросами».
Результат применения изложенной методологии к задаче обнаружения «выбро-
сов» представлен на рис. 3.
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 427
7А
Рисунок 2 – Интервально-значные данные для вычислительного эксперимента
а) б)
Рисунок 3 – Значения принадлежностей объектов классам полученного
распределения: при использовании расстояния (4) (а),
при использовании меры различия (5) (б)
При использовании в описанной методологии расстояния (4), группа объектов
},...,{ 127 xx разделилась на две подгруппы: },...,{ 107 xx и },{ 1211 xx . С другой стороны,
использование меры различия (5) выделяет две группы },...,{ 61 xx и },...,{ 127 xx , а объекты
13x , 14x , 15x и 16x выделяются в отдельные классы в обоих случаях и могут интепрети-
роваться как аномальные наблюдения. Следует также указать, что в случае использования
меры различия (5) все нечеткие -кластеры представляют собой субнормальные нечет-
кие множества. Результаты использования расстояния П. Гжегожевского [15] и меры бли-
зости Х. Юу и Х. Юана [16] приведены в [10] и сходны с приведенными на рис. 3.
результатами.
Выводы
В работе предложен подход к обнаружению аномального поведения в распределен-
ных вычислительных сетях, основанный на представлении данных о состоянии элементов
системы в виде векторов интервалов и методологии обнаружения «выбросов» в ин-
тервально-значных данных. Результаты вычислительного эксперимента демонстрируют
эффективность предложенного подхода.
Анищенко В.В., Вятченин Д.А., Доморацкий А.В., Фисенко В.К.
«Искусственный интеллект» 3’2012428
7А
А
Предложенный подход также может быть обобщен на случай представления данных
о состоянии элементов системы в виде векторов нечетких чисел [17], что представляет
интерес как с теоретической, так и с практической точек зрения, и является направлением
перспективных исследований.
Литература
1. Мандель И.Д. Кластерный анализ / И.Д. Мандель. – М. : Финансы и статистика, 1988. – 176 с.
2. Fuzzy Cluster Analysis: Methods for Classification, Data Analysis and Image Recognition / F. Höppner
[et al].– Chichester : Wiley Intersciences, 1999.– 289 p.
3. Viattchenin D.A. A new heuristic algorithm of fuzzy clustering / D.A. Viattchenin // Control & Cybernetics. –
2004. – Vol. 33. – P. 323-340.
4. Viattchenin D.A. A direct algorithm of possibilistic clustering with partial supervision / D.A. Viattchenin
// Journal of Automation, Mobile Robotics and Intelligent Systems. – 2007. – Vol. 1, № 3. – P. 29-38.
5. Viattchenin D.A. An algorithm for detecting the principal allotment among fuzzy clusters and its appli-
cation as a technique of reduction of analyzed features space dimensionality / D.A. Viattchenin // Journal
of Information and Organizational Sciences. – 2009. – Vol. 33. – P. 205-217.
6. Viattchenin D.A. Validity measures for heuristic possibilistic clustering / D.A. Viattchenin // Information
Technology and Control. – 2010. – Vol. 39, № 4. – P. 321-332.
7. Вятченин Д.А. Прямые алгоритмы нечеткой кластеризации, основанные на операции транзитив-
ного замыкания и их применение к обнаружению аномальных наблюдений / Д.А. Вятченин //
Искусственный интеллект. – 2007. – № 3. – С. 205-216.
8. Методология применения эвристических алгоритмов возможностной кластеризации в системах
обнаружения атак / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий, Р. Тати // Безопасность
информационных технологий. – 2012. – № 1. – С. 19-21.
9. Анищенко В.В. Обучение консеквентов нечетких правил, построенных на основе эвристической
возможностной кластеризации / В.В. Анищенко, Д.А. Вятченин, А.В. Доморацкий // Информа-
тика. – 2011. – № 3. – С. 98-111.
10. Viattchenin D.A. Detecting outliers in interval-valued data using heuristic possibilistic clustering / D.A. Viatt-
chenin // Journal of Computer Science and Control Systems. – 2012. – Vol.5, № 2. (to appear)
11. Viattchenin D.A. Constructing stable clustering structure for uncertain data set / D.A. Viattchenin // Acta
Electrotechnica et Informatica. – 2011. – Vol. 11, № 3. – P. 42-50.
12. Вятченин Д.А. Построение нечеткого с-разбиения в случае неустойчивой кластерной структуры множества
объектов / Д.А. Вятченин, А.В. Доморацкий // Искусственный интеллект. –2011. – № 3. – С. 479-489.
13. Burillo P. Entropy on intuitionistic fuzzy sets and on interval-valued fuzzy sets / P. Burillo, H. Bustince //
Fuzzy Sets and Systems. – 1996. – Vol. 78. – P. 305-316.
14. Viattchenin D.A. An outline for a heuristic approach to possibilistic clustering of the three-way data /
D.A. Viattchenin // Journal of Uncertain Systems. – 2009. – Vol. 3. – P. 64-80.
15. Grzegorzewski P. Distances between intuitionistic fuzzy sets and/or interval-valued fuzzy sets based on
Hausdorff metric // Fuzzy Sets and Systems. – 2004. – Vol. 148. – P. 319-328.
16. Ju H. Similarity measures on interval-valued fuzzy sets and application to pattern recognition / H. Ju, X. Yan //
Fuzzy Information and Engineering / Ed. by D.Y. Cao. – Berlin: Springer-Verlag, 2007. – P. 875–883.
17. Фисенко В.К. Формализация нечеткого описания признаков объектов информатизации в задаче
категорирования по требованиям информационной безопасности / Фисенко В.К., Д.А. Вятченин //
Искусственный интеллект. Интеллектуальные системы ИИ-2011 : материалы Международной
научно-технической конференции (пос. Кацивели, АР Крым, 19 – 23 сентября 2011 года). – Донецк :
Наука i освiта, 2011. – С. 302-306.
Literatura
1. Mandel I.D. Cluster Analysis. Moscow: Finansy i Statistika. 1988. 176 p. (in Russian)
2. Höppner F. Fuzzy Cluster Analysis: Methods for Classification, Data Analysis and Image Recognition.
Chichester: Wiley Intersciences. 1999. 289 p.
3. Viattchenin D.A. Control & Cybernetics. 2004. Vol. 33. P. 323-340.
4. Viattchenin D.A. Journal of Automation, Mobile Robotics and Intelligent Systems. 2007. Vol. 1. № 3. P.
29-38.
Выявление аномального поведения системами обнаружения атак...
«Штучний інтелект» 3’2012 429
7А
5. Viattchenin D.A. Journal of Information and Organizational Sciences. 2009. Vol. 33. P. 205-217.
6. Viattchenin D.A. Information Technology and Control. 2010. Vol. 39, № 4. P. 321-332.
7. Viattchenin D.A. Iskusstvennyj intellect. 2007. №.3. S. 205-216. (in Russian)
8. Anishchanka U.V. Bezopasnost’ informatsionnyh technologij. 2012. № 1. S. 19-21. (in Russian)
9. Anishchanka U.V. Informatics. 2011. №.3. S. 98-111. (in Russian)
10. Viattchenin D.A. Journal of Computer Science and Control Systems. 2012. Vol.5, № 2. (to appear)
11. Viattchenin D.A. Acta Electrotechnica et Informatica. 2011. Vol.11, № 3. P. 42-50.
12. Viattchenin D.A. Iskusstvennyj intellect. 2011. №.3. S. 479-489. (in Russian)
13. Burillo P. Fuzzy Sets and Systems. 1996. Vol. 78. P. 305-316.
14. Viattchenin D.A. Journal of Uncertain Systems. 2009. Vol. 3. P. 64-80.
15. Grzegorzewski P. Fuzzy Sets and Systems. 2004. Vol. 148. P. 319-328.
16. Ju H. Fuzzy Information and Engineering. Berlin: Springer-Verlag. 2007. P. 875–883.
17. Fisenko V.K. Iskusstvennyj intellect. Intellectualnyje systemy. Donetsk: Nauka i osvita. 2011. S. 302-306.
(in Russian)
RESUME
U.V. Anishchenko, D.A. Viattchenin, A.V. Damaratski, V.K. Fisenko
Detecting Anomalous Behavior via Discovering Attacks
Systems for Interval-Valued Data
The paper deals with the problem of detecting anomalous user behavior in a
distributed computational network. The data should be represented as a table where each
cell of this table contains an interval of values.
The method of detecting outliers in interval-valued data was applied for the problem
solving. The method is based on constructing stable clustering structure using a heuristic
method of possibilistic clustering. Results of numerical experiment seem to be satisfactory.
So, the proposed approach is effective tool for detecting anomalous user behavior in
computational networks.
Статья поступила в редакцию 05.06.2012.
Microsoft Word - Анищенко_Вятченин_Доморацкий_Фисенко
Microsoft Word - Анищенко_Вятченин_Доморацкий_Фисенко
|