Морфологический метод обнаружения аномальных состояний сервера

В работе предложен вычислительно простой алгоритм выявления выбросов и аномалий на основе морфологического анализа внутренней структуры многомерных данных. Важным преимуществом метода является возможность одновременной работы как с качественными, так и с количественными признаками. От аналогов его также отличает простота представления и интерпретации результатов. Доверительная область значений изучаемых объектов аппроксимируется объединением доверительных областей значений качественно однородных объектов (кластеров). Принадлежность объектов одному кластеру обуславливается характерными для предметной области причинно-следственными связями между признаками. В основе метода лежит построение конечного вероятностного пространства, каждый элемент которого (двоичный вектор) однозначно ставится в соответствие объектам выборки. На основании неравенства Чебышёва за выбросы принимаются маломощные кластеры. За аномалии принимаются объекты, не принадлежащие совокупной доверительной области. Проработаны основанные на расстоянии Хэмминга механизмы сравнения: 1) кластера и кластера; 2) кластера и объекта; 3) объекта и объекта. Для демонстрации действенности метода разработан программный модуль для обнаружения аномальных состояний сервера на базе операционной системы семейства Linux. Он также может быть использован в качестве вспомогательного в профессиональных системах обнаружения вторжений.

1. Левцов В. Анатомия таргетированной атаки [Электронный ресурс]. URL: https://www.kaspersky.ru/blog/targeted-attack-anatomy/4388 (дата обращения: 28.06.2023).

2. Лаврентьев А. MLAD: обнаружение аномалий методами машинного обучения [Электронный ресурс]. URL: https://icscert.kaspersky.ru/publications/reports/2018/01/16/mlad-machine-learningfor-anomaly-detection (дата обращения: 28.06.2023).

3. Указ Президента Российской Федерации от 30.03.2022 № 166 ”О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”[Электронный ресурс]. URL: http://publication.pravo.gov.ru/Document/View/0001202203300001 (дата обращения: 28.06.2023).

4. ГОСТ Р ИСО 16269-4-2017 ”Статистические методы. Статистическое представление данных. Часть 4. Выявление и обработка выбросов”. М.: Стандартинформ, 2017. 53 с.

5. Дьяконов А. Г., Головина А. М. Выявление аномалий в работе механизмов методами машинного обучения // Аналитика и управление данными в областях с интенсивным использованием данных. 2017. С. 469–476.

6. Han J., Kamber M., Pei J. Data Mining: Concepts and Techniques. Morgan Kaufmann, 2011. 740 p.

7. Tan P.-N., Steinbach M., Karpatne A., Kumar V. Introduction to Data Mining. Pearson, 2019. 839 p.

8. Харченко Е. А. Морфологический подход к принятию обоснованных решений по экспертным суждениям // Вестник ТвГУ. Серия: Прикладная математика. 2019. № 2. С. 42–56. https://doi.org/10.26456/vtpmk531.

9. Харченко Е. А. Алгоритм морфологического метода экспертных оценок для решения задачи прогнозирования // Компьютерные инструменты в образовании. 2023. № 2. С. 5–20. https://doi.org/10.32603/2071-2340-2023-2-5-20.