Безопасность и Internet - статьи


3.5 Генерация патернов


Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.

Ченг (K. Cheng) [8] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:

Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)

где Е1… Е5 - события безопасности.

Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.

Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.

Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.

Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:

  1. зависимости между событиями;
  2. последовательность появления событий.

Достоинства метода:

  1. лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов;
  2. возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная;
  3. лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.




- Начало -  - Назад -  - Вперед -