Безопасность и Internet - статьи


2. Характеристика направлений и групп методов обнаружения вторжений - часть 2


/p>

Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)

Методы обнаружения

Используется в системах

Описание метода

Моделирование множества состояний DPEM, JANUS, Bro Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы.
Описательная статистика MIDAS, NADIR, Haystack, NSM Аналогичен соответствующему методу в контролируемом обучении.

Таблица 3. Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)

Метод обнаружения

Используется в системах

Описание метода

Моделирование состояний
USTAT, IDIOT Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события.
Экспертные системы NIDES, EMERLAND, MIDAS, DIDS Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы.
Моделирование правил NADIR, HayStack, JiNao, ASAX, Bro Простой вариант экспертных систем.
Синтаксический анализ NSM Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса.

Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.

Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.




- Начало -  - Назад -  - Вперед -