Диссертация

Диссертация посвящена исследованию подходов к решению задачи поиска отклонений от некоторого принятого режима функционирования (далее аномалий) реальных объектов и процессов их сопровождения. Под процессом в контексте настоящей работы понимается описание информационной технологии, как множество конечных последовательностей атомарных инструкций, предназначенное для сопровождения объектов. Решение задачи поиска аномалий, представленное в диссертации, состоит из решения двух подзадач. Первая из них направлена на построение математической модели процесса по доступным логам (стереотипным режимам) функционирования процесса. Вторая направлена на поиск аномалий с использованием построенной математической модели процесса, которая описывает легальное (принятое, традиционное) его поведение.

В случае выявления аномалии наличие модели процесса позволяет проводить ретроспективный анализ и находить способы, которыми воспользовались злоумышленники для обхода механизмов обеспечения безопасности. Такой подход используется, например, в системах выявления и предупреждения вторжений для идентификации нетипичного (и, как следствие, потенциально опасного) поведения субъектов компьютерных систем, при выявлении мошеннических схем в финансовых транзакциях, при выявлении вставок вредоносного кода.

В диссертации предложено решение задачи поиска аномалий с помощью математических моделей, описывающих представления нескольких одновременно функционирующих технологических процессов. Получены результаты, демонстрирующие отсутствие возможности однозначного восстановления модели процесса, представленной в терминах простейших сетей Петри. Предложены алгоритмы и получены оценки их временной сложности восстановления множества экземпляров информационных технологий в форме ациклических ориентированных графов. Используя построенные модели процесса в виде ациклических ориентированных графов, предложены алгоритмы и оценки их временной сложности для решения задачи поиска аномалий.