- •Введение
- •1. Анализ существующих подходов к обнаружению атак
- •1.1. Классификация атак
- •1.2. Современные подходы к обнаружению атак
- •1.3. Технологии систем обнаружения атак
- •1.4. Обнаружение аномальной сетевой активности
- •2. Системы обнаружения атак на основе нейронных сетей
- •2.1. Понятие нейронной сети
- •2.2. Нейросетевые системы обнаружения аномалий
- •2.3. Нейросетевые системы обнаружения злоупотреблений
- •3. Разработка нейронной сети для диагностики аномальной сетевой активности
- •3.1. Задача разработки нейронной сети
- •3.2. Описание разработанной нейронной сети
- •Заключение
- •Список литературы
1.2. Современные подходы к обнаружению атак
Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа на основе правил [6]. Данный анализ опирается на набор заранее определенных правил, которые предоставляются администратором, автоматически создаются системой или используются оба варианта. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Первоначальные усилия по исследованию обнаружения атак показали неэффективность любого подхода, который требует ручного просмотра журнала регистрации событий. Информация, необходимая для идентификации атак, представлена в обширном количестве данных аудита и эффективный обзор этих данных требует использования автоматической системы для их анализа.
Экспертная система состоит из набора правил, которые охватывают знания человека-эксперта. Эти правила используются системой для получения заключений о состоянии защиты из данных, получаемых от системы обнаружения атак. Экспертные системы допускают объединение огромного опыта, накопленного человеком, в компьютерном приложении, которое затем использует эти знания для идентификации деятельности, которая соответствует определенным характеристикам злоупотреблений или атак.
При этом экспертные системы требуют постоянного обновления для того, чтобы оставаться актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную (администратором). Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, введя ее пользователей в заблуждение относительно того, что сеть защищена.
Системы на основе правил страдают от неспособности обнаруживать сценарии атак, которые могут иметь место в течение продолжительных периодов времени. В то время как отдельные примеры подозрительной деятельности могут обнаруживаться системой, возможно, о них не будет сообщаться, если они происходят изолированно друг от друга. Сценарии атак, в которых многочисленные хакеры работают согласовано (совместно), также являются трудными для обнаружения при помощи этих методов, потому что они не фокусируются на состоянии изменений (переходов) в атаке, а вместо этого обращают внимание на наличие (присутствие) индивидуальных элементов. Любое разделение атаки либо с течением времени, либо среди нескольких, по-видимому, несвязанных между собой хакеров, является трудным для обнаружения при помощи этих методов.
Также системы на основе правил не обладают достаточной гибкостью в представлении структуры типа правило-проверка. Незначительные вариации в последовательности действий при атаке могут повлиять на процесс сравнения "деятельность-правило" до такой степени, что атака не обнаруживается соответствующим механизмом обнаружения. В то время как увеличение уровня отвлеченности у систем на основе правил предоставляет частичное решение этой задачи, это также снижает уровень точности системы обнаружения атак.
За прошедшие несколько лет разработано большое количество подходов к обнаружению атак, опирающихся на неэкспертные системы. Несмотря на то, что многие из них выглядят довольно многообещающими, экспертные системы остаются наиболее распространенным подходом к обнаружению атак.