Безопасность и Internet - статьи

Анализ изменения состояний


Этот метод был описан в STAT [10] и реализован в USTAT [11]. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [10, 11].

Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.



Содержание раздела