Add to collection(s) Add to saved
  1. No category

на основе нечеткой логики

advertisement 
Автоматическое обнаружение сетевых атак
на основе нечеткой логики
Формирование режима информационной безопасности - проблема
комплексная.
Меры по ее решению можно разделить на четыре уровня:
• законодательный (законы, нормативные акты, стандарты и т.п.);
•
административный (действия общего характера, предпринимаемые
руководством организации);
• процедурный (конкретные меры безопасности, имеющие дело с людьми);
• программно-технический (конкретные технические меры).
Целью данной статьи является особенности новых алгоритмов
обнаружения нарушения информационной безопасности компьютерных сетей с
использованием нечеткой логики.
Ведущие эксперты в области сетевой безопасности называют системы
обнаружения вторжений (Intrusion Detection System - IDS) одним из важнейших
средств идентификации сетевых атак. На рис 1. приведена типовая схема сетевой
атаки на жертву, которой может оказаться как отдельный сайт, хост или даже
сервер корпоративной сети.
Рис. 1. Схема типовой сетевой атаки
IDS – это система, позволяющая обнаруживать атаки на сеть, т.е.
злоумышленные действия, которые могут обойти существующую в данной сети
политику безопасности.
Проанализировав все основные мировые достижения в области
автоматического обнаружения сетевых атак, существующие на настоящий
момент, можно выделить два основных класса технологий, на которых построены
коммерческие и некоммерческие IDS:
 Signature-based: определяют атаки на основании выделения сигнатур
сетевых атак, используя базы данных прошлых атак.
Anomaly-based: выделяют необычные (относительно ранее наблюдаемых)
процессы, происходящие в сети или на защищаемой ЭВМ, которые
потенциально могут являться атаками. Для выделения необычных
процессов среди регулярной сетевой активности, используются экспертные
системы. Они могут быть построены на основе различных статистических
методов, или искусственного интеллекта. Кратко рассмотрим преимущества
и недостатки каждого из типов.
Преимущества и недостатки Signature-based IDS.
Преимущества:
 Известные атаки и их варианты определяются быстро и эффективно
 Сигнатуры атак могут быть созданы быстро
 Конечный пользователь IDS может создавать собственные сигнатуры
Недостатки:
 Система в принципе не способна обнаружить ранее не известные ей атаки
 Существует множество технологий обхода методики обнаружения атак по
сигнатурам: Polymorphic shell code, Insertion, Exclusion, Fragmentation, TCP
un-sync, Low TTL, Max MTU, trust exploitation, и т.п.
 Для сохранения эффективности, необходимо оперативное обновление
базы сигнатур атак

Преимущества и недостатки Anomaly-based IDS.
Преимущества:
 Возможность обнаружения новых типов атак, которые не способны
обнаружить Signature-based IDS
 Большая свобода в выборе параметров и критериев, по которым
определяется «аномальность»
Среди таких параметров:
 Характеристики протоколов (например, размер пакетов)
 Время
 Загрузка CPU
 Темп увеличения объема журнальных файлов
 Любые другие критерии, для которых может быть обнаружено отличие от
обычного состояния
 Взаимосвязи между различными критериями
 При обработке данных можно применять математический аппарат
 Можно быстро определять новое оборудование, появившееся в сети, или
изменения конфигурации сети
 Нет сигнатур и проблем, связанных с ними (создание, обновление базы
сигнатур и т.п.)
Недостатки:
 "Аномальность" – это нечёткое понятие: граница между "нормальными" и
"аномальными" процессами размыта, что вызывает ряд проблем
реализации
 С одной стороны, склонность к «ложным тревогам»
 С другой стороны, возможность пропустить действительно аномальный
процесс
 Теоретическая возможность обойти Anomaly-based IDS, используя знания о
принципах её работы и конфигурации.
Обеспечение максимальной степени защиты сети, возможно только при
использовании гибридной IDS, в которой оба подхода интегрированы.
Следует учитывать, что всегда имеется временное окно уязвимости между
временем изобретения новой атаки, обладающей определенной сигнатурой, и
моментом появления этой сигнатуры в общедоступных базах данных. Актуальной
фундаментальной задачей в области автоматического обнаружения атак,
является разработка технологии гибридной IDS.
Основной задачей эффективного защиты является интеграция технологий
обнаружения атак signature-based и anomaly-based в рамках одной гибридной IDS,
что позволяет совместить преимущества обоих типов в одной системе.
Related documents
Методы тестирования систем обнаружения вторжений (IDS)
Методы тестирования систем обнаружения вторжений (IDS)
Защита информации при сетевом взаимодействии
Защита информации при сетевом взаимодействии
Земцов
Земцов
Теоретические основы компьютерной безопасности
Теоретические основы компьютерной безопасности
Лекция №7 Продолжаем
Лекция №7 Продолжаем
нужно каждый раз все пересчитывать, достаточно единожды
нужно каждый раз все пересчитывать, достаточно единожды
Курсовая работа Использование иммунных методов в задаче обнаружения сетевых атак.
Курсовая работа Использование иммунных методов в задаче обнаружения сетевых атак.
Классификация IDS
Классификация IDS
Разработка анализатора системы обнаружения атак
Разработка анализатора системы обнаружения атак
3656188_obhodit_sistemu_obnaruzheniya
3656188_obhodit_sistemu_obnaruzheniya
1 Введение - Лаборатория Вычислительных Комплексов
1 Введение - Лаборатория Вычислительных Комплексов
сист_обнар вторж - Высшая школа экономики
сист_обнар вторж - Высшая школа экономики
Лекция №10 Развертывание системы обнаружения вторжений
Лекция №10 Развертывание системы обнаружения вторжений
1 Введение - Лаборатория Вычислительных Комплексов
1 Введение - Лаборатория Вычислительных Комплексов
БЮЛЛЕТЕНЬ ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ №27/2012 14
БЮЛЛЕТЕНЬ ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ №27/2012 14
Свирин И.С. Представление информации в
Свирин И.С. Представление информации в
157-167x
157-167x
1. Теоретическая часть. Проблемы и анализ сетевых атак в
1. Теоретическая часть. Проблемы и анализ сетевых атак в
Основы информационной безопасности Направления обеспечения информационной безопасности
Основы информационной безопасности Направления обеспечения информационной безопасности
ПУД Системы обнаружения атак Лось А. Б., Сорокин А. В. 2015
ПУД Системы обнаружения атак Лось А. Б., Сорокин А. В. 2015
СЗИ практикум
СЗИ практикум
нажмите здесь - Информационно
нажмите здесь - Информационно
Download
advertisement