- •Мдк 03.02. Технология применения комплексной защиты информации
- •Раздел 2. Технология применения комплексной защиты информации
- •Тема 2.1. Программно-аппаратные средства защиты информации
- •Информационная безопасность в многоканальных телекоммуникационных системах и сетях электросвязи
- •Структурные схемы систем защиты информации в типовых ис
- •Показатели защищенности многоканальных телекоммуникационных систем
- •Семантические показатели защищенности ис
- •Нечеткие оценки защищенности информационных систем
- •Защита среды передачи
- •Защита данных
- •Идентификация и аутентификация
- •Разграничение доступа
- •Протоколирование и аудит
- •Типовые удаленные сетевые атаки и их характеристики
- •Компьютерные вирусы и защита от них
- •Антивирусные программы и комплексы
- •Полное декодирование
- •Цифровая иммунная система
- •Защита от программных закладок
- •Как защитить систему от клавиатурных шпионов
- •Программный комплекс Dr.Web Enterprise Suite
- •Антивирус Касперского Personal Pro
- •Антивирусные утилиты Symantec, McAffee и BitDefender
- •Тема 2.2 Администрирование телекоммуникационных систем и сетей связи
- •Как выбрать стратегию аутентификации для информационных сервисов компании?
- •Биометрия
- •Методика выбора технологии
- •Расставьте приоритеты и выберите решение
- •Заключение
- •Протоколы vpn
- •Что такое ipSec
- •Ассоциации защиты (Security Association ,sa)
- •Инфраструктура ipSec
- •Как работает ipSec
- •Характеристика направлений и групп методов обнаружения вторжений
- •Анализ методов обнаружения аномалий
- •Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Получение единой оценки состояния защищаемой системы
- •Нейронные сети
- •Анализ методов обнаружения злоупотреблений
- •Анализ изменения состояний
- •Наблюдение за нажатием клавиш
- •Методы, основанные на моделировании поведения злоумышленника
- •Недостатки существующих систем обнаружения
- •Направления совершенствования сов
- •Тема 2.3. Системы условного доступа в сетях вещания
Наблюдение за нажатием клавиш
Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены.
Методы, основанные на моделировании поведения злоумышленника
Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности.
Преимущества:
появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события;
планировщик обеспечивает независимость представления от формы данных аудита.
Недостатки:
при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели;
эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы;
этот подход дополняет, но не заменяет подсистему обнаружения аномалий.