Архитектура на сигурността

© Христо Тужаров, януари 2010 

АНАЛИЗ НА ДАННИТЕ ЗА АТАКИТЕ

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

СИСТЕМИ ЗА ОТКРИВАНЕ НА АТАКИ

АНАЛИЗ НА ДАННИТЕ ЗА АТАКИТЕ 

 

 

Ефективността на методите за получаване на информация за атаките в голяма степен зависи от прилаганите методи за анализ на събраните данни.

 

Статистически метод за анализ на атаките

В анализираната система се определят профили за всички нейни обекти. Всяко отклонение в изпълнявания профил от еталонния се счита за несанкционирана дейност.

 

Предимства на статистически метод

  • Адаптация към поведението на субекта;

  • Използване на разработени и доказали се на практика механизми на математическата статистика.

Проблеми на статистически метод

  • Статистическите системи се поддават на външно въздействие и могат да бъдат обучени, така че атаките да се приемат като нормални действия;

  • Статистическите системи са чувствителни към последователността на събитията, като в някои случаи едни и същи събития могат да се отчитат като нормална или несанкционирана дейност.

  • Трудно се определят граничните значения на характеристиките, определящи дали дадена дейност е санкционирана или несанкционирана.

Прогнозируеми шаблони за анализ на атаките

Методът позволява да се предсказват бъдещи събития на базата на вече минали такива.

 

Проблеми

Атаки, за които в базата знания не са заложени съответни знания, няма да могат да бъдат открити.

 

Предимства

  • Чрез метода могат да се откриват несанкционирани действия, които трудно се идентифицират с традиционните методи.

  • Методът осигурява приспособимост към промени;

  • Лесно и ефективно обучение на системата, реализираща метода.

  • Бърза реакция – няколко секунди след възникване на събитието.

Анализ на преходите от състояние в състояние за анализ на атаките

Всяко действие в системата, в т.ч. и атаките се записват като последователни преходи от едно в друго състояние.

 

Системата контролира текущото състояние, търсейки събития които водят до някаква промяна. Анализът на условията за промяна в нормалното състояние на системата, водят до откриване на атака.

 

Недостатък

Невъзможност за работа със събития, които липсват в описаната последователност.

 

Контрол за натискане на клавиш

Извършва се сравнение на натиснат от потребителя клавиш със съхранявани в базата знания еталонни последователности. Съвпадението на тези последователности е признак на атака.

 

Недостатъци

Не е възможно да се открият атаки, в които липсва натискане на клавиши.

 

Размита логика (fuzzy logic)

Теорията на размитите множества позволява да се описват неясни понятия и да се правят неопределени (вероятностни ) изводи. 

 

Чрез нея се описват правила, които се базират на знания и тежести на събития, позволяващи да се предположи вероятностно събитие.

 

Използване на изкуствен интелект за анализ на атаките

Експертни системи

Много от съвременните подходи използват правила при анализа на дневниците за регистрация и мрежовия трафик. Тези правила се създават от администратора или самата система.

 

Един от подходящите варианти за реализация на този анализ се явяват експертните системи. Те поддържат набор от правила, които обхващат знанията на експерти в областта.

 

       Недостатъци

  • Изисква се постоянно обновяване на базата знания.

  • Много трудно се откриват атаки, разделени във времето или между няколко хакера.

Невронни мрежи

Невронните мрежи са самообучаващи се системи. Те анализират съответните данни и дават отговор – съвпадат ли анализираните данни с характеристиките, които те са научени да разпознават. Степента на достоверност зависи от възможностите им за обучение.

 

         Предимство:

Способност за изучаване характеристиките на атаките и идентифициране на елементи, които не съвпадат с тези, които са вече наблюдавани и регистрирани.