УДК 519.6:410 Е.В. Лазарев, В.И. Милушков, Ю.А. Гатчин, д-р техн. наук (Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, Санкт-Петербург); e-mail: lazarev.yevgeni@gmail.com ПРИМЕНЕНИЕ СКРЫТЫХ МАРКОВСКИХ МОДЕЛЕЙ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ Рассмотрен подход к обнаружению аномального поведения на основе скрытых марковских моделей. <...> Ключевые слова: обнаружение вторжений; обнаружение аномалий; скрытые марковские модели; алгоритм Витерби. <...> Введение Системы обнаружения вторжений (СОВ) обычно защищают информационную систему от сетевых атак и/или от вредительских действий со стороны авторизованных пользователей. <...> Как и обычные системы сигнализации, СОВ может привести к ложным тревогам, т.е. к ложным срабатываниям – генерации сигнала тревоги на нормальную деятельность пользователей. <...> Подходы к обнаружению атак СОВ могут быть классифицированы по двум основным типам [1]: обнаружение аномалий и обнаружение злоупотреблений. <...> СОВ, в которых применяется метод обнаружения, основанный на поиске злоупотреблений (сигнатур атак), генерируют сигналы тревоги при совпадении проверяемого объекта или набора объектов с сигнатурой атак. <...> Сигнатуры атак описывают вредоносный сетевой трафик или вид деятельности, создающую угрозу безопасности. <...> Подобные СОВ эффективны при обнаружении известных атак, но плохо справляются с обнаружением неизвестных типов атак [1, 2]. <...> В данной статье анализируются СОВ, основанные на распознании аномалий поведения. <...> В таких СОВ применяют профили, описывающие дозволенные действия пользователей каждой группы системы. <...> Эти профили создаются (автоматически или вручную) для определения нормальной деятельности пользователей. <...> Если деятельность заметно отклоняется от нормальной, то СОВ генерирует сиг44 нал тревоги. <...> У СОВ, основанных на распознании аномалий поведения, есть ряд преимуществ: • поскольку при обнаружении несанкционированного доступа <...>