Контроль целостности
Контроль целостности фокусируется на некотором аспекте или виде файла, объекта, который был изменен.
Достоинства: |
|
|
Определяться любая успешная атака (и при rootkits) |
Недостатки:
Поскольку современные реализации этого подхода стремятся работать в пакетном (batch)-режиме, они приводят к реагированию на атаки не в реальном масштабе времени.
Характеристика направлений и групп методов обнаружения вторжений
ОБНАРУЖЕНИЕ АНОМАЛИИ КОНТРОЛИРУЕМОЕ ОБУЧЕНИЕ
Методы |
Используется |
в |
Описание метода |
обнаружения |
системах |
|
|
|
|
|
|
Моделирование |
W&S |
|
Система обнаружения в течение процесса обучения формирует набор правил, |
правил |
|
|
описывающих нормальное поведение системы. На стадии поиска |
|
|
|
несанкционированных действий система применяет полученные правила и в |
|
|
|
случае недостаточного соответствия сигнализирует об обнаружении |
|
|
|
аномалии. |
|
|
|
|
Описательная |
IDES, |
NIDES, |
Обучение заключается в сборе простой описательной статистики множества |
статистика |
EMERLAND, |
JiNao, |
показателей защищаемой системы в специальную структуру. Для |
|
HayStack |
|
обнаружения аномалий вычисляется «расстояние» между двумя векторами |
|
|
|
показателей – текущими и сохраненными значениями. Состояние в системе |
|
|
|
считается аномальным, если полученное расстояние достаточно велико. |
|
|
|
|
Нейронные |
Hyperview |
|
Структура применяемых нейронных сетей различна. Но во всех случаях |
сети |
|
|
обучение выполняется данными, представляющими нормальное поведение |
|
|
|
системы. Полученная обученная нейронная сеть затем используется для |
|
|
|
оценки аномальности системы. Выход нейронной сети говорит о наличии |
|
|
|
аномалии. |
|
|
|
|
Характеристика направлений и групп методов обнаружения вторжений
ОБНАРУЖЕНИЕ АНОМАЛИИ НЕКОНТРОЛИРУЕМОЕ ОБУЧЕНИЕ
Методы |
Используется в |
Описание метода |
||
обнаружения |
системах |
|||
|
||||
|
|
|
|
|
Моделирование |
DPEM, |
JANUS, |
Нормальное поведение системы описывается в виде набора фиксированных |
|
множества |
Bro |
|
состояний и переходов между ними. Где состояние есть не что иное как |
|
состояний |
|
|
вектор определенных значений параметров измерений системы. |
|
|
|
|
|
|
Описательная |
MIDAS, |
NADIR, |
Аналогичен соответствующему методу в контролируемом обучении. |
|
статистика |
Haystack, |
|
||
|
NSM |
|
||
|
|
|
|
|
Обнаружение злоупотреблений – 
контролируемое обучение
Метод |
Используется |
в |
Описание метода |
обнаружения |
системах |
|
|
|
|
|
|
Моделирование |
USTAT, IDIOT |
|
Вторжение представляется как последовательность состояний, где состояние – |
состояний |
|
|
вектор значения параметров оценки защищаемой системы. Необходимое и |
|
|
|
достаточное условие наличия вторжения – присутствие этой |
|
|
|
последовательности. Выделяют два основных способа представления |
|
|
|
сценария вторжений: 1) в виде простой цепочки событий; 2) с |
|
|
|
использованием сетей Петри, где узлы – события. |
|
|
|
|
Экспертные |
NIDES,EMERLAN |
Экспертные системы представляют процесс вторжения в виде различного набора |
|
системы |
D, MIDAS, DIDS |
|
правил. Очень часто используются продукционные системы. |
|
|
|
|
Моделирование |
NADIR, HayStack, |
Простой вариант экспертных систем. |
|
правил |
JiNao, ASAX, Bro |
|
|
|
|
|
|
Синтаксически |
NSM |
|
Системой обнаружения выполняется синтаксический разбор с целью |
й анализ |
|
|
обнаружения определенной комбинации символов, передаваемых между |
|
|
|
подсистемами и системами защищаемого комплекса. |
|
|
|
|