Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Методы анализа сетевой информации

Читайте также:
  1. C) Методы стимулирования поведения деятельности
  2. C. Движение информации и ее трансформация от исходной в командную
  3. Flash –носители информации
  4. I. Изучите блок теоретической информации: учебник стр. 89-105, конспект лекций № 12-13.
  5. II. Методы и источники изучения истории; понятие и классификация исторического источника.
  6. II. Методы исследования
  7. II. Методы исследования
  8. II. МЕТОДЫ, ПОДХОДЫ И ПРОЦЕДУРЫ ДИАГНОСТИКИ И ЛЕЧЕНИЯ
  9. II. МЕТОДЫ, ПОДХОДЫ И ПРОЦЕДУРЫ ДИАГНОСТИКИ И ЛЕЧЕНИЯ
  10. II. Формы и методы деятельности по утверждению трезвости

Эффективность системы обнаружения атак во многом зави­сит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей [9, 40].

Статистический метод.Основные преимущества статистиче­ского подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адап­тация к поведению субъекта.

Сначала для всех субъектов анализируемой системы опреде­ляются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведе­ния анализа не требуется знания о возможных атаках и исполь­зуемых ими уязвимостях. Однако при использовании этих мето­дик возникают и проблемы:

• «статистические» системы не чувствительны к порядку сле­дования событий; в некоторых случаях одни и те же собы­тия в зависимости от порядка их следования могут характе­ризовать аномальную или нормальную деятельность;

• трудно задать граничные (пороговые) значения отслежи­ваемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы непри­менимы в тех случаях, когда для пользователя отсутствует шаб­лон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системысостоят из набора правил, которые охва­тывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаруже­ния атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о на­личии несанкционированной деятельности. Важным достоинст­вом такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии боль­шинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требу­ют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользовате­лей в заблуждение относительно действительного уровня защи­щенности.

Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже из­вестной атаки может стать серьезным препятствием для функ­ционирования системы обнаружения атак.

Нейронные сети.Большинство современных методов обнару­жения атак используют некоторую форму анализа контролируе­мого пространства на основе правил или статистического подхо­да. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются адми­нистратором или самой системой обнаружения атак.

Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при по­мощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной иденти­фикации всего диапазона атак.

Использование нейронных сетей является одним из спосо­бов преодоления указанных проблем экспертных систем. В отли­чие от экспертных систем, которые могут дать пользователю оп­ределенный ответ о соответствии рассматриваемых характери­стик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, со­гласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров по­ставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной об­ласти. Реакция нейросети анализируется и система настраивает­ся таким образом, чтобы достичь удовлетворительных результа­тов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Загрузка...

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характери стики умышленных атак и идентифицировать элементы, кото­рые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить сис­тему, реализующую только один из описанных методов. Как пра­вило, эти методы используются в совокупности.


Дата добавления: 2015-01-12; просмотров: 23 | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2019 год. (0.009 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав