Development of anomalous computer behavior detection method based on probabilistic automaton

Abstract

В роботі запропоновано метод виявлення аномальної поведінки комп'ютерної системи на основі імовірнісного автомата. Основними складовими методу є модель генерації структури автомата і процедура його модифікації Відмінною особливістю методу є адаптація процедури генерації структури автомата до ситуацій виявлення однотипних сценаріїв, шляхом перебудови структури автомата при виявленні збігів і перерахунку ймовірності переходів зі стану в стан. Вхідними даними автомата є безліч дискретних подій (системних викликів, ідентифікаторів процесів або інструкцій секцій коду), властивих для певного типу аномалії роботи комп'ютерної системи і згруповані за класами. Спочатку генерується структура автомата для одного з примірників класів, а потім ця структура перебудовується при аналізі наступних примірників. Можливість переходу зі стану в стан залежить від вхідного стану і від значення ймовірності переходу. Згенерована структура автомата в подальшому використовується для виявлення аномальної поведінки комп'ютерної системи. При виникненні аномалій з іншими сценаріями, структура автомата також може оновлюватися. Запропонований метод дозволяє прискорить процес виявлення аномальної поведінки комп'ютера, а також виявляти аномалії комп'ютерної системи, профілі сценаріїв яких лише частково збігаються з екземплярами, використовуваними при генерації структури автомата. Отримані результати досліджень дозволяють зробити висновок про можливість використання розробленого методу як додаткового способу в евристичних аналізаторах систем виявлення аномалій.