Этапы метода
Этап 1. Для каждого класса кибератак (киберугроз, аномалий, уязвимостей и
т.п.) выполняется построение множества ЭК с заранее заданными параметрами.
При этом сделаем следующие допущения для ЭК:
используются ЭК, которые присутствуют в описаниях объектов анализируемого в данный момент класса, но их нет в описании объектов других классов;
описательный наборов показателей (признаков) задан в двоичной форме (0010101). При этом ОИО характеризуют все объекты данного класса. А, следовательно, ОИО имеют большую информативность.
формировании тестовых выборок ОИО (например, используем Wireshark)
Этап 2. Построение интеллектуальных агентов распознавания киберугроз и множества элементарных классификаторов для моделируемого класса объектов:
Задается характеристическая функция для класса объекта распознавания (например,
для DoS атак)
Этап 3. Находим дизъюнктивную нормальную форму (ДНФ) (или СДНФ),
которая реализует характеристическую функцию.
Этап 4. Находим допустимую (максимальную) конъюнкцию, которая определяет
принадлежность объекта к рассматриваемому классу.
Нет атаки Есть атака