Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5073 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Волгоградский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Технология обнаружения вторжения.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
27.47 Кб
Скачать
►Содержание►

Технологии обнаружения вторжений

Сетевые и  информационные технологии меняются настолько  быстро, что статичные защитные механизмы, к которым относятся системы  разграничения доступа, МЭ, системы  аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения вторжений.

По существу, процесс обнаружения вторжений  является процессом оценки подозрительных действий, которые происходят в корпоративной  сети. Иначе говоря, обнаружение вторжения — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Методы анализа сетевой информации

Эффективность системы обнаружения вторжений  во многом зависит от применяемых  методов анализа полученной информации. В первых системах обнаружения вторжений, разработанных в начале 1980-х гг., использовались статистические методы обнаружения вторжений. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей.

Статистический  метод. Основные преимущества статистического подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для  всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных вторжениях и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

• «статистические» системы не чувствительны к порядку  следования событий; в некоторых  случаях одни и те же события в  зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;

• трудно задать граничные (пороговые) значения отслеживаемых  системой обнаружения вторжений  характеристик, чтобы адекватно  идентифицировать аномальную деятельность;

• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также  учитывать, что статистические методы не применимы в тех случаях, когда  для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные  системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения  вторжений, при котором информация об вторжениях формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний  день вторжений. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Основным  недостатком является невозможность отражения неизвестных вторжений. При этом даже небольшое изменение уже известного вторжения может стать серьезным препятствием для функционирования системы обнаружения вторжений.

Нейронные сети. Большинство современных методов обнаружения вторжений используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения вторжений.

Любое разделение вторжения во времени или среди  нескольких злоумышленников является трудным для обнаружения при  помощи экспертных систем. Из-за большого разнообразия вторжений и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона вторжений.

Использование нейронных сетей является одним  из способов преодоления указанных  проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом  нейронных сетей при обнаружении  злоупотреблений является их способность  «изучать» характеристики умышленных вторжений и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом  достоинств и недостатков, поэтому  сейчас практически трудно встретить  систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности. 

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности