Методы анализа информации
Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах подобного рода, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем, нечеткой логики и заканчивая использованием нейронных сетей [58, 59]. Статистический метод. Основные преимущества статистического подхода -это использование уже разработанного и хорошо зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта. Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем:
Следует также учитывать, что статистические методы неприменимы в тех случаях, когда отсутствует шаблон типичного поведения пользователя или последний склонен к несанкционированным действиям. Экспертные системы. Экспертная система состоит из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Они могут быть записаны, например, в виде последовательности действий или сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог. База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления базы данных. Хотя экспертные системы предлагают хорошую возможность просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум это приведет к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности. Основным недостатком следует признать невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак. Нейронные сети. Большинство современных методов обнаружения атак использует некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Любое разделение атаки либо во времени, либо среди нескольких злоумышленников трудно выявить при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак. Использование нейронных сетей - один из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ на вопрос, соответствуют ли рассматриваемые характеристики заложенным в базу данных правилам, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи. Сначала нейросеть «обучают» правильной идентификации на предварительно созданной выборке примеров предметной области. Реакция нейросети анализируется, и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения нейросеть «набирается опыта» с течением времени, по мере того как проводит анализ данных, связанных с предметной областью. Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Каждый из описанных вариантов обладает рядом достоинств и недостатков, поэтому сейчас трудно встретить систему, реализующую только один из этих методов. Как правило, они используются в совокупности.
Популярное: Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (248)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |