Системи і методи виявлення вторгнень у комп’ютерні системи

Информация - Компьютеры, программирование

Другие материалы по предмету Компьютеры, программирование

Скачать Бесплатно!
Для того чтобы скачать эту работу.
1. Подтвердите что Вы не робот:
2. И нажмите на эту кнопку.
закрыть



мації СОВ. У частині (if) правила кодуються умови (причини), необхідні для атаки. Коли всі умови в лівій частині правила задоволені, виконується дія (рішення), заданий в правій його частині.

Основні проблеми додатків, що використовують даний метод, які зазвичай виникають при їх практичному застосуванні:

недостатня ефективність при роботі з великими обсягами даних;

важко врахувати залежну природу даних параметрів оцінки.

При використанні продукційних систем для виявлення вторгнень можна встановити символічне прояв вторгнення за допомогою наявних даних.

Труднощі:

Відсутність вбудованої або природної обробки порядку послідовностей в аналізованих даних. База фактів, відповідна лівій частині продукції, використовується для визначення правій частині. У лівій частині продукційного правила всі елементи обєднуються за допомогою звязку і.

Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.

Виявляються лише відомі уразливості.

Існують певний програмний інжиніринг, повязаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.

Обєднання різних вимірів вторгнень і створення повязаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.

 

4.3 Аналіз зміни станів

 

Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають повязану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану зєднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обовязково, значень параметрів оцінки за принципом один до одного .

Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.

 

4.4 Спостереження за натисканням клавіш

 

Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені

 

4.5 Методи, засновані на моделюванні поведінки зловмисника

 

Одним з варіантів виявлення зловживання є метод обєднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких обєднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.

У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].

Переваги:

зявляється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш грубі події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;

планувальник забезпечує незалежність подання від форми даних аудиту.

Недоліки:

при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, зявляється додаткове навантаження, повязана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;

ефективність цього підходу не була пр

s