Розмір шрифта: 

Системи виявлення вторгнень, робота яких ґрунтується на аналізі трафіку комп’ютерної мережі на основі нормальної поведінки є чутливими до порогових значень, які розділяють нормальний та аномальний трафік. Зниження порогу призводить до високої частки числа хибно позитивних виявлень, що негативно впливає на нормальну роботу мережі. Для роботи з хибно-позитивними спрацюваннями систем виявлення вторгнень доцільно використати тіньові приманки. В роботі запропоновано тіньову приманку, яка функціонує як інтелектуальний агент в складі мультиагентної системи. Така тіньова приманка поєднує функції збору та аналізу характеристик активності зловмисників, виявлення патернів атак та аналізу трафіку, що надходить на вузол, який ця приманка захищає. Поєднання таких приманок у велику складну систему надає суттєвих переваг в протидії зловмисникам. Приманка аналізує трафік комп’ютерної мережі на основі власної множини моделей детекторів аномалій, які формуються на основі власного досвіду приманки, а також досвіду інших агентів системи. Тіньова приманка як інтелектуальний агент працює в швидко змінюваному та непередбачуваному середовищі, тому для генерації оптимальних стратегій в умовах невизначеності використовується апроксимація за допомогою моделей виявлення аномалій, які навчаються з підкріпленням. Робота приманки оптимізується таким чином, щоб забезпечити оптимальну стратегію поведінки та зростання інтегральної функції винагороди при тривалій роботі, внаслідок чого підвищується точність виявлення зловмисних вторгнень та забезпечується автономне функціонування приманки.