Безопасность и Internet - статьи


2. Характеристика направлений и групп методов обнаружения вторжений


Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.

Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.

Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)

Методы обнаружения

Используется в системах

Описание метода

Моделирование правил
W&S Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии.
Описательная статистика IDES, NIDES, EMERLAND, JiNao, HayStack Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.
Нейронные сети Hyperview Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии.
<


- Начало -  - Назад -  - Вперед -