Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зави­сит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей [9, 40].

Статистический метод. Основные преимущества статистиче­ского подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адап­тация к поведению субъекта.

Сначала для всех субъектов анализируемой системы опреде­ляются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведе­ния анализа не требуется знания о возможных атаках и исполь­зуемых ими уязвимостях. Однако при использовании этих мето­дик возникают и проблемы:

• «статистические» системы не чувствительны к порядку сле­дования событий; в некоторых случаях одни и те же собы­тия в зависимости от порядка их следования могут характе­ризовать аномальную или нормальную деятельность;

• трудно задать граничные (пороговые) значения отслежи­ваемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы непри­менимы в тех случаях, когда для пользователя отсутствует шаб­лон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы состоят из набора правил, которые охва­тывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаруже­ния атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о на­личии несанкционированной деятельности. Важным достоинст­вом такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии боль­шинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требу­ют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользовате­лей в заблуждение относительно действительного уровня защи­щенности.

Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже из­вестной атаки может стать серьезным препятствием для функ­ционирования системы обнаружения атак.

Нейронные сети. Большинство современных методов обнару­жения атак используют некоторую форму анализа контролируе­мого пространства на основе правил или статистического подхо­да. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются адми­нистратором или самой системой обнаружения атак.

Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при по­мощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной иденти­фикации всего диапазона атак.

Использование нейронных сетей является одним из спосо­бов преодоления указанных проблем экспертных систем. В отли­чие от экспертных систем, которые могут дать пользователю оп­ределенный ответ о соответствии рассматриваемых характери­стик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, со­гласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров по­ставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной об­ласти. Реакция нейросети анализируется и система настраивает­ся таким образом, чтобы достичь удовлетворительных результа­тов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характери стики умышленных атак и идентифицировать элементы, кото­рые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить сис­тему, реализующую только один из описанных методов. Как пра­вило, эти методы используются в совокупности.