Method for Analyzing Information Descriptions of Computer Attacks in Automated Information Systems

Abstract

Информационные описания представлены в виде структурированных данных о признаках компьютерных атак. Структурированные данные являются конечными последовательностями строк символов формального языка. В качестве метрики измерения расстояния между строками символов из определенного алфавита предложено использовать редакционное расстояние Дамерау-Левенштейна. Обоснована возможность представления семантики информационных описаний признаков атак в виде нечетких множеств. Показано, что информационные описания признаков компьютерных атак формально плохо определены, неоднозначно интерпретированы и характеризуются неопределенностью типа нечеткости, наличием семантической информации и невозможностью непосредственного применения вероятностной меры для определения степеней сходства входных и хранимых информационных описаний признаков. Предложен подход к идентификации нечетких информационных описаний признаков компьютерных атак и применению методов разделения элементов опорных множеств, на которых определены эти информационные описания. Information descriptions are presented in the form of structured data about signs of computer attacks. Structured data is a finite sequence of strings of characters in a formal language. It is proposed to use the Damerau-Levenshtein editorial distance as a metric for measuring the distance between strings of characters from a particular alphabet. The possibility of presenting the semantics of information descriptions of attack signs in the form of fuzzy sets is proved. It is shown that information descriptions of signs of computer attacks are formally poorly defi ned, ambiguously interpreted, and are characterized by uncertainty of the type of fuzziness, the presence of semantic information, and the inability to directly apply a probability measure to determine the degree of similarity of input and stored information descriptions of signs. An approach is proposed to identify fuzzy information descriptions of signs of computer attacks and to apply methods for separating elements of reference sets on which these information descriptions are defi ned.