Дисертаційна робота присвячена вирішенню актуальної науково-прикладної проблеми, яка пов'язана з розробкою методів ідентифікації аномальних станів для систем виявлення вторгнень (СВВ). В роботі проведено аналіз сучасних СВВ відносно базовиххарактеристик, як-от «Клас кібератак», «Адаптивність», «Відкритість», «Методи виявлення», «Управління системою», «Масштабованість», «Рівень спостереження», «Реакція на кібератаку», «Захищеність» та «Підтримка ОС». Це надає можливості розробникам і користувачам обирати необхідні методи та відповідне програмне забезпечення (ПЗ) для захисту інформаційних систем (ІС) і будувати відповідні системи безпеки. На основі цього, розроблено кортежну модель формування атакуючих середовищ, яка дозволяє сформувати набір часткових кортежів, для симуляції процесу виявлення аномального стану в m-вимірному гетерогенному параметричному середовищі, утвореноговідповідним атакуючим середовищем у заданий часовий проміжок. Також розроблений метод формування еталонів, для формалізації процесу отримання еталонних середовищ, які містять множини значень фіксованих параметрів заданих груп лінгвістичних змінних, що характеризують конкретне еталонне підсередовище. Запропоновані методи фазифікації та дефазифікації параметрів, які дозволили формалізувати процес перетворення значень параметрів m-вимірних поточних середовищ для їх подальшого застосування у виявленні аномального стану та відобразити параметри детекційного середоваща, що характеризують у числовій формі рівень упевненості експерта відносно його суджень щодо можливих кібератак. Розроблений метод -рівневої номіналізації нечітких чисел, який дозволив здійснити графічну інтерпретацію нечітких величин та визначення ідентифікуючих термів, що відображають у заданий момент часу значенняеталонних та поточних підсередовищ, які характерні для реалізації певних типів кібератак на ресурси ІС. Запропонований метод визначення ідентифікуючих термів, для пошуку в заданих лінгвістичних змінних, ідентифікуючих перетворених еталонних термів, за якими за допомогою детекційних виразів, визначаються рівні аномальних станів. Розроблений метод формування детекційного середовища для побудови необхідної множини детекційних правил, що використовуються при визначенні поточного рівня аномального стану, характерного дії визначеного типу кібератак в m-вимірному гетерогенному параметричному середовищі. На підставі запропонованих методів і моделі розроблено методологію побудови систем виявлення аномалій, породжених кібератаками, яка використовується для визначення рівня аномального стану в m-вимірному гетерогенному параметричному середовищі. Розроблено структурне рішення обчислювальної системи виявлення кібератак, що дозволяє за допомогою визначення рівня аномального стану, характерного впливу певного типу кібератак, розширити функціональні можливості сучасних СВВ. Також, на базі запропонованої методології та відповідного структурного рішення розроблено алгоритмічне забезпечення та програмна модель системи, яка може використовуватися автономно або бути розширювачем функціональних можливостей сучасних СВВ. Проведені експериментальні дослідження підтвердили достовірність теоретичних положень та практичних розробок дисертаційного дослідження.^UThe functionality of modern intrusion detection and blocking systems depends to a great extent on their capabilities to detect new cyberattacks in real time. Systems for countering cyberattacks are well developed, but their effective operation requires appropriate information that is supposed to be helpful in detecting attack actions. As a rule, such data is formed post facto and requires certain time. So, detection and blocking of new cyberattacks are characterized by the conflict between the readiness of cyberattack counteraction systems to immediately respond to an intrusion and the lack of readiness of detection tools to appropriately inform the counteraction functional. In order to deal with this problem, it is necessary to design specific tools that would enable enlarged functional capabilities of modern intrusion detection systems through the a priori formation of information about anomalous states in information systems caused by certain cyberattack types. For this purpose, the most effective approachconsists in using the expert knowledge, which, as a rule, is represented in the form of the expert's judgments about the parameters abnormality level caused by the effect of new types of threats. The dissertation deals with a pressing applied scientific problem related to detection of new kinds of cyberattacks within the shortest possible time by designing an appropriate methodology of creating systems for detecting anomalous states caused by new types of threats. The methodology is supposed to focus on creation of tools that would enlarge the functionality of modern intrusion detection systems. Also, on the basis of the proposed methodology and the corresponding structural solution, an algorithmic support and a software model of a system for detecting anomalous states created by cyberattacks are designed. The model can be used either autonomously or to expand the functionality of modern intrusion detection systems. The conducted experiments confirmed the reliability of the theoretical principles andpractical developments of the dissertation. The results of the study have been adopted by the Saifer BIS Ltd Company. They are also used in the educational process at the Department of Data Protection Computerized Systems of the National Aviation University, at the Information Security Department of the Institute of Information and Telecommunications Technologies of K.I. Satbayev Kazakh National Research Technical University and at the Department of Computer Science and Automatics of the University (Technical-Humanistic Academy) of Bielsko-Biała, Poland.