Файловый архив студентов. Файловый архив студентов.
1319 вузов, 5379 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
3-2 Системи виявлення та протидії атакам / Лекция_5.ppt
Скачиваний:
147
Добавлен:
02.02.2021
Размер:
672.26 Кб
Скачать
►Содержание►

Системы обнаружения и предотвращения атакам

Лекция 5

Системы обнаружения вторжений.

Методы анализа.

Направления методов анализа

обнаружение аномалий в защищаемой системе

поиск злоупотреблений

Группы методов

с контролируемым обучением («обучение с учителем»)

Методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано.

с неконтролируемым обучением («обучение без учителя»)

множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.

Парадигмы обучения искусстве нных сетей

Концептуально участие учителя можно рассматривать как наличи е знаний об окружающей среде, представленных в виде пар вход- выход.

При этом сама среда неизвестна обучаемой нейронной сети.

Методы обнаружения атак

анализ систем состояний;

графы сценариев атак;

экспертные системы;

методы, основанные на спецификациях;

сигнатурные методы;

нейронные сети;

иммунные сети;

статистический анализ;

кластерный анализ;

поведенческая биометрия

Обнаружение злоупотреблений

Цель – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения.

В настоящие время выделяются лишь методы с контролируемым обучением.

Для обнаружения злоупотреблений используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.

Анализ методов обнаружения аномалий

Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:

накопление наиболее характерной статистической информации для каждого параметра оценки;

обучение нейронных сетей значениями параметров оценки;

событийное представление.

Анализ методов обнаружения аномалий

В обнаружении значительную роль играет множество параметров оценки.

Задачи:

выбор оптимального множества параметров оценки;

определение общего показателя аномальности.

совокупности признаков

оценки защищаемой системы

Предпочтительное решение – динамическое определение необходимых параметров оценки,

НО размер области поиска экспоненциально зависит от мощности начального множества:

имеется начальный список из N параметров вторжений, то количество подмножеств этого списка составляет 2N.

В настоящие время используется

эвристическое определение (выбор)

Получение единой оценки

состояния защищаемой системы

Оценка аномальности должна определяется из расчета множества параметров оценки.

Возможные методы:

статистика Байеса

ковариантные матрицы

сети доверия (сети Байеса)

Соседние файлы в папке 3-2 Системи виявлення та протидії атакам
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности