Недоліком сучасних систем виявлення вторгнень, побудованих на принципі ідентифікації аномального стану є те, що вони в основному орієнтовані на використання таких математичних моделей, які вимагають багато часу на підготовку статистичних даних. Математичні моделі, засновані на експертних підходах в цьому відношенні є більш ефективними, але для виконання своїх функцій необхідно використання відповідних вирішальних правил. Для вирішення цього завдання в роботі запропонована модель евристичних правил на нечіткій логіці, яка за рахунок використання множин пар “атака параметри” і “атака набір логіко-лінгвістичних зв'язок”, а також універсальної моделі еталонів параметрів дозволяє відображати аномальний стан, породжений певним типом кібератак в комп'ютерній мережі. На основі цієї моделі були розроблені приклади правил для виявлення сканування, спуфінга і Dos-атак, які можуть практично використовуватися для удосконалення реальних систем виявлення аномалій породжених атакуючими діями в комп'ютерних системах.
Недостатком современных систем обнаружения вторжений, построенных на принципе идентификации аномального состояния является то, что они в основном ориентированы на использование таких математических моделей, которые требуют много времени на подготовку статистических данных. Математические модели, основанные на экспертных подходах в этом отношении являются более эффективными, но для выполнения своих функций необходимо использование соответствующих решающих правил. Для решения этой задачи в работепредложена модель эвристических правил на нечеткой логике, которая за счет использования множества пар “атака параметры” и “атака набор логико-лингвистических связок”, а также универсальной модели эталонов параметров позволяет отображать аномальное состояние, порождаемое определенным типом кибератак в компьютерной сети. На основе этой модели были разработаны примеры правил для обнаружения сканирования, спуфинга и Dos-атак, которые могут практически использоваться для усовершенствования реальныхсистем выявления аномалий порожденных атакующими действиями в компьютерных системах.
The drawback of advanced intrusion detection systemsbased on the principle of abnormal condition detection is that they basically are focused on the use of mathematical models, which require a lot of time to produce statistics. The mathematical models based on expert approaches are more effective, but to perform its functions the use of correspondingdecisive rules is necessary. To solve this problem it wasproposed the model of heuristic rules in fuzzy logic, which through the use of multiple pairs “attack parameters” and “attack a set of logical-linguistic tangles”, as well as a universal model of standard parameters allows to display the abnormal condition caused by a specific type of cyber attacks on computer network. Based on this model there were developedsome rules for scan detection, spoofing and Dos attacks which can be practically used to improve abnormality detectioncaused by attackers' actions in computer systems.
