2. CIDF. Система обнаружения атак. Состоит из 4 блоков.

   e-box

   (События)

   a-box

   (Анализатор)

   d-box

   

r-box

(реакция)

3. Многоагентные системы.

Одна задача распределяется на задачи, разные агенты могут работать на разных узлах.

Группы агентов:

1. Датчики.

2. Фильтры.

3. Агенты расследования.

4. Сэмплеры – обрабатывают информацию.

06.10.11 г.

5.Интеллектуальные системы анализа в сов.

1. Продукционные системы.

IF <условие> TO <действие>

1. Реакция системы.

2. Создание нового продукционного правила.

База знаний.

2.Байесовские фильтры.

H – гипотеза, X – событие.

P(H|X) = P(X|H)P(H)/P(X)

Если есть несколько гипотез H_i, тогда P(Hi|X)=P(X|Hi)P(Hi)/∑P(X|Hi)P(Hi)

x(вектор) = (x1, …, xm).

P(X|Hi)  P(x|Hi).

«Наивный» байесовский подход. Xi – независимые.

P(Hi|x)=P(Hi)ПP(xj|Hi)/∑ПP(xj|Hi)P(Hi)

Пример: спам-фильтр.

Hs – гипотеза «спам».

Hns – гипотеза «не спам».

Xi – количество слов wi.

Fs(wi) – частота слова wi в «спаме».

Fns(wi) – частота слова в «не спаме».

Предположение.

P(Hs)=P(Hns) = ½.

P(xi|Hs)= Fs(wi)/Fs(wi)+Fns(wi)

P(xi|Hns)=Fns(wi)/Fs(wi)+Fns(wi).

Вероятность того, что письмо, содержащее данный набор слов, считается спамом, по формуле:

P(Hs|x)=ПP(xi|Hs)P(Hs)/ПP(xi|Hs)P(Hs)+ПP(xi|Hns)P(Hns)

P(Hs|x)=ПP(xi|Hs)/(ПP(xi|Hs)+ПP(xi|Hns))

Вводится некоторое пороговое значение и если оказывается, что вероятность меньше, то спам.

P(H|x) >= Ps

Pms<=P(H|x)<Ps

P(H|x)<Pms.

После каждого письма база обновляется. Вероятность ошибки 96%. Вычленяются не отдельные слова, а словосочетания.

3.Нейронные сети.

Искусственный нейрон – есть входы и есть один выход. Он характеризуется так называемой передаточной функцией или функцией отклика.

X₀

f

W₀

X1w1 y

X2w2

x_n

f – функция отклика

x1, …, xn – входные

x0 - … влияния

обучающий набор {(x1, …, xn, y)}

Многослойный персептрон.

Есть несколько нейронов на входе, делается ещё один слой нейронов, и на выходе ставится ещё один нейрон. Слоев может быть несколько.

4.Метод опорных векторов (svm).

Атака <-> (x1, …, xn). Вносятся изменения в обучающий набор. Проводится гиперплоскость.

13.10.11 г.

6.Межсетевые экраны.

Межсетевой экран – система межсетевой защиты, позволяющая разделить сеть на части и контролировать прохождение пакетов между частями.

«Правила фильтрации» пакетов.

Технология МЭ:

1. Фильтрация пакетов.

Имеется два списка

• permit – разрешенные,

• deny – запрещенные.

Основные поля:

1. IP источника

2. IP назначения

3. Тип транспортного уровня (TCP, UDP и т.д.)

4. Порты источника

5. Порты приемника

Строятся стандартные ACL.

1. Если разрешен пакет  пропускается

2. Если запрещен  отбрасывается

3. Если нет правил  отбрасывается

Сеансовый и транспортный уровень.

2. Межсетевые экраны уровня соединения.

Проверка того, что пакет является одним из трех видов:

1. Запрос на TCP соединение

2. Данные к существующему соединению

3. Виртуальное соединение

4. Закрытые соединения

3. Межсетевые экраны прикладного уровня.

Принадлежность пакеты конкретному приложению. Проверяет их корректность, данные об аутентификации.

4. Инспекторы состояния.

Работают на трех верхних уровнях. «Состояние виртуального соединения». Установка соединения, передача пакета и закрытие. Проверяется принадлежность пакетов виртуальному соединению.

5. Межсетевые экраны уровня ядра.

Три составляющих:

1. Перехватчик пакетов

2. Анализатор

3. Модуль верификации

4. Динамический стек

6. Персональные межсетевые экраны.

Для данного компьютера – с кем соединяться можно и нельзя.

Обход МЭ.

1. Постепенный подход.

2. Туннелирование. VPN.

3. Атака на МЭ.

4. Дефрагментация пакета (мифическая).

Размещение МЭ.

1. 

Internet

2. 

   Internet

ЛВС

3. DMZ.

МЭ 1

МЭ 2

БД

Web

Internet