Информационная безопасность


Немного теории обнаружения аномалий - часть 4


При этом в нормальных условиях функционирования досрочные отклонения пакетов не влияют на среднестатистическую вычислительную трудоемкость. В связи с тем, что доля аномальных реализаций процессов стека сетевых протоколов стремится к нулю.

Другая особенность рассмотренной методики - наличие нескольких независимых между собой групп размерностей переменных. Примером могут служить счетчики, обрабатываемые данные, сетевые адреса, параметры протоколов. В результате, почти для всех сетевых протоколов множество параметров можно разбить на подмножества общим числом от 2 до 5-10, в зависимости от специфики протокола. Аналогами данных подмножеств в пространстве образов отображения ? являются связные компоненты графа. Внутри каждого подмножества аналогично основному множеству можно выделить базисные и зависимые переменные. Отмеченная особенность позволяет с минимальными вычислительными затратами привести матрицу S путем перестановки строк и столбцов к блочно-диагональному виду:

10

Дальнейшая обработка матрицы S может производиться независимо для каждой из матриц S'i . При этом алгоритм построения матрицы вида (6) может применяться независимо к каждой из матриц S'i . В таком случае общий вид матрицы S имеет вид:

11

Причем если хотя бы для одной из матриц С'i не выполняется условие, справедливое для матрицы С в целом, то это говорит об аномалии вычислительного процесса и наличии семантической ошибки.




- Начало -  - Назад -  - Вперед -



Книжный магазин