Безопасность и Internet - статьи

Продукционные/Экспертные системы


Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.

Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].

Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:

  1. недостаточная эффективность при работе с большими объемами данных;
  2. трудно учесть зависимую природу данных параметров оценки.

При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.

Трудности:

  1. Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и».
  2. Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил.
  3. Обнаруживаются только известные уязвимости.
  4. Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил.
  5. Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.



Содержание раздела