Моделі та метод виявлення аномалій функціонування комп'ютерних систем на основі технології машинного навчання

Вантажиться...
Ескіз

Дата

2019

ORCID

DOI

Науковий ступінь

кандидат технічних наук

Рівень дисертації

кандидатська дисертація

Шифр та назва спеціальності

05.13.05 – комп'ютерні системи та компоненти

Рада захисту

Спеціалізована вчена рада Д 64.050.14

Установа захисту

Національний технічний університет "Харківський політехнічний інститут"

Науковий керівник

Рубан Ігор Вікторович

Члени комітету

Качанов Петро Олексійович
Кондрашов Сергій Іванович
Ліберг Ігор Геннадійович

Видавець

Національний технічний університет "Харківський політехнічний інститут"

Анотація

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.05 «Комп’ютерні системи та компоненти». – Харківський національний університет радіоелектроніки, Міністерство освіти і науки України, Харків, 2019. У дисертаційній роботі вирішена актуальна наукова задача покращення показників виявлення аномалій функціонування РКС в умовах кібернетичних впливів зовнішнього та внутрішнього середовища шляхом побудови моделей і методів на основі технологій інтелектуального аналізу даних. Об'єктом дослідження є процес моніторингу стану інформаційного та комунікаційного середовища розподілених комп’ютерних систем, предметом дослідження є методи і алгоритми моніторингу в розподілених комп’ютерних системах із застосуванням технологій інтелектуального аналізу даних. Методи дослідження основані на використанні теорії множин – для розробки моделі функціонування розподілених комп’ютерних систем на основі клієнт-серверної архітектури, моделі мультиагентної підсистеми збору та зберігання даних, моделі моніторингу аномалій функціонування розподілених комп’ютерних систем; загальна теорія систем – для дослідження та розробки протоколу взаємодії агентів моніторингу в розподілених комп’ютерних системах. Практична значимість отриманих теоретичних результатів дисертаційної роботи підтверджено ефективністю запропонованої моделі тільки для виявлення аномального поведінки мережного трафіку на основі множини параметрів мережних з'єднань , що реалізується шляхом аналізу вхідного трафіку за допомогою ансамблю класифікаторів. Зокрема, практичне вирішення теоретичних досліджень полягає у наступному. Запропонована методика моніторингу, яка визначає умови і порядок оцінки стану РКС за допомогою розробленої мультиагентної системи моніторингу. Запропоновано архітектура системи моніторингу з використанням автономних програмних агентів. Архітектура передбачає динамічне формування ієрархічної структури, вузлом якої може виступати будь-яка сутність, що визначається джерелом даних або сенсором. Таким чином, стосовно моніторингу РКС можуть існувати метрики грід, кластерів, обчислювальних вузлів і завдань та інші. Для взаємодії між усіма агентами пропонується використовувати групу інтелектуальних агентів запиту метою яких є координація агентів збору інформації, реструктуризація отриманої інформації і реалізація протоколів і механізмів передачі повідомлень між усіма агентами моделі. Агенти моніторингу можна розділити на такі групи: – агент комутатора і мережевий агент, які забезпечують збір даних з перших двох рівнів моделі OSI. – агент сеансу, який забезпечує збір інформації про ім'я користувача, ім'я термінальної лінії, астрономічний час початку сеансу та інше. – агент додатка, який відповідає за збір даних від різних додатків специфічних для тієї чи іншої інформаційно-обчислювальної системи. – агенти запиту мета яких є обробка запитів на вибірку даних від користувачів системи збору, координація інших агентів для збору необхідної інформації, а також реструктуризація отриманої інформації для зберігання статистичний даних про систему в цілому. Застосування таких агентів і програмна реалізація стандартизованих інтерфейсів взаємодії між ними дозволяють використовувати спільно на різних рівнях програмне забезпечення незалежних розробників. Наприклад, сенсорами можуть виступати файли даних. Але, всі сенсори формують єдину структуру метрик, однаково доступну різним компонентам системи моніторингу. Таким чином, побудована за даною архітектурою система моніторингу може працювати паралельно з уже розгорнутими засобами моніторингу, заміщаючи їх на деяких рівнях, що дозволяє змінювати і розширювати набір доступних функцій цих систем. Результати дисертаційної роботи впроваджено у державному підприємстві «Центральне конструкторське бюро «ПРОТОН»», м. Харків (акт від 30.05.18) та Харківському національному університеті радіоелектроніки, кафедра електронних обчислювальних машин, м. Харків в процесі проведення лекційних занять і лабораторних робіт з курсу «Технології виявлення загроз в комп’ютерних мережах». Матеріали дисертації достатньо повно викладені у 13 роботах: з них 6 статей у виданнях, які зазначені в переліку фахових видань України з технічних наук [ 1-6 ] (всі праці входять до науково-метричних баз, 2 – до бази Scopus ) та 7 тез доповідей міжнародних конференцій [7-13] (1 – до бази Scopus ).
Qualified scientific work on the rights of the manuscript. Thesis for a Candidate Degree in Engineering, specialty 05.13.05 “Computer Systems and Components”. - Kharkiv National University of Radio Electronics, Ministry of Education and Science of Ukraine, Kharkiv, 2019. The dissertation deals with the actual scientific task of improving the detection of anomalies of functioning of RKS in the conditions of cybernetic influences of external and internal environment by constructing models and methods based on the analysis of data technologies. The object of the study is the process of monitoring the state of information and communication environment of distributed computer systems, the subject of research is the methods and algorithms of monitoring in distributed computer systems using data mining technologies. Research methods are based on the use of set theory - to develop a model of functioning of distributed computer systems based on client-server architecture, model of multiagent subsystem of collecting and storage of data, models of monitoring anomalies of functioning of distributed computer systems; general systems theory - for research and development of the protocol of interaction of monitoring agents in distributed computer systems. The practical significance of the obtained theoretical results of the dissertation is confirmed by the effectiveness of the proposed model only for the detection of anomalous behavior of network traffic based on a set of network connection parameters, which is realized by analyzing the inbound traffic using an ensemble of classifiers. In particular, the practical solution to theoretical studies is as follows. A monitoring technique is proposed that defines the conditions and procedure for assessing the status of RCCs using the developed multi-agent monitoring system. The architecture of the monitoring system using autonomous software agents is proposed. Architecture involves the dynamic formation of a hierarchical structure, the node of which can be any entity defined by the data source or sensor. Thus, metrics of grids, clusters, computing nodes and tasks, and others, may exist with respect to RCC monitoring. For the interaction between all agents, it is proposed to use a group of intelligent inquiry agents to coordinate information collection agents, restructure the information received, and implement protocols and message mechanisms between all agents of the model. Monitoring agents can be divided into the following groups: – іs a switch agent and network agent that collects data from the first two levels of the OSI model. – іs a session agent that collects information about a user name, terminal name, astronomical start time, and more. – іs an application agent responsible for collecting data from various applications specific to a particular computer system. – - query agents whose purpose is to process queries for data collection from users of the collection system, coordinate other agents to collect the necessary information, as well as restructure the information obtained to store statistics about the system as a whole. The use of such agents and the software implementation of standardized interfaces between them allow the use of third-party software at different levels. For example, sensors can act as data files. However, all sensors form a single metric structure that is equally accessible to different components of the monitoring system. Thus, a monitoring system built on this architecture can work in parallel with already deployed monitoring tools, replacing them at some levels, which allows to change and extend the range of available functions of these systems. The results of the dissertation were implemented at the State Enterprise "Central Design Bureau" PROTON ", Kharkiv (act dated 30.05.18) and Kharkiv National University of Radio Electronics, Department of Electronic Computing Machines, Kharkiv in the course of conducting lectures and laboratory work on the course "Threat detection technologies in computer networks". The materials of the dissertation are quite sufficiently presented in 13 papers: 6 of them are articles in the editions that are listed in the list of professional editions of Ukraine in technical sciences [1-6] (all works are included in scientific-metric bases, 2 - in Scopus base) and 7 theses international conference reports [7-13] (1 to Scopus database).

Опис

Ключові слова

дисертація, розподілені комп'ютерні системи, кібербезпека, виявлення аномалій, технології машинного навчання, мультиагентна система, моніторинг, distributed computer systems, cybersecurity, detection of anomalies, technology of machine learning, multiagent system, monitoring

Бібліографічний опис

Мартовицький В. О. Моделі та метод виявлення аномалій функціонування комп'ютерних систем на основі технології машинного навчання [Електронний ресурс] : дис. ... канд. техн. наук : спец. 05.13.05 : галузь знань 12 / Віталій Олександрович Мартовицький ; наук. керівник Рубан І. В. ; Харків. нац. ун-т радіоелектроніки. – Харків, 2019. – 194 с. – Бібліогр.: с. 178-189. – укр.