малії у функціонуванні окремого об'єкта - труднощі їх застосування на практиці пов'язані з нестабільністю самих захищаються, і взаємодіючих з ними зовнішніх об'єктів. В якості об'єкта спостереження може виступати мережу в цілому, окремий комп'ютер, мережева служба (наприклад, файловий сервер FTP), користувач і т.д. Датчики спрацьовують за умови, що напади відрізняються від звичайної (законної) діяльності. Тут з'являється ще одне слабке місце, яке характерне більшою мірою для конкретних реалізацій, що полягає в некоректності визначення дистанції відхилення спостережуваного поведінки від штатного, прийнятого в системі, і визначенні порога спрацьовування сенсора спостереження.
Заходи та методи, які зазвичай використовуються у виявленні аномалії, включають в себе наступні:
порогові значення: спостереження за об'єктом виражаються у вигляді числових інтервалів. Вихід за межі цих інтервалів вважається аномальним поведінкою. В якості спостережуваних параметрів можуть бути, наприклад, такі: кількість файлів, до яких звертається користувач в даний період часу, число невдалих спроб входу в систему, завантаження центрального процесора і т.п. Пороги можуть бути статичними і динамічними (тобто змінюватися, підлаштовуючись під конкретну систему);
статистичні заходи: рішення про наявність вторгнення робиться по великій кількості зібраних даних шляхом їх статистичної предобработки;
параметричні: для виявлення вторгнення будується спеціальний профіль нормальної системи на основі шаблонів (тобто деякої політики, якою зазвичай повинен дотримуватися даний об'єкт);
непараметричні: тут вже профіль будується на основі спостереження за об'єктом у період навчання;
заходи на основі правил (сигнатур): вони дуже схожі на непараметричні статистич?? кі заходи. У період навчання складається уявлення про нормальному поведінці об'єкта, яке записується у вигляді спеціальних правил raquo ;. Виходять сигнатури хорошого поведінки об'єкта;
інші заходи: нейронні мережі, генетичні алгоритми, що дозволяють класифікувати деякий набір видимих ??сенсору-датчику ознак.
У сучасних СОВ в основному використовують перші два методу. Слід зауважити, що існують дві крайності при використанні даної технології:
виявлення аномального поведінки, яке не є вторгненням, і віднесення його до класу атак (помилка другого роду);
пропуск вторгнення, яка не підпадає під визначення аномального поведінки (помилка першого роду). Цей випадок набагато більш небезпечний, ніж помилкове зарахування аномального поведінки до класу вторгнень.
Тому при інсталяції та експлуатації систем такої категорії звичайні користувачі і фахівці стикаються з двома досить нетривіальними завданнями:
побудова профілю об'єкта - це важко формалізується і витратна за часом завдання, що вимагає від фахівця безпеки великої попередньої роботи, високої кваліфікації та досвіду;
визначення граничних значень характеристик поведінки суб'єкта для зниження ймовірності появи одного з двох вищеназваних крайніх випадків.
Зазвичай системи виявлення аномальної активності використовують журнали реєстрації і поточну діяльність користувача в якості джерела даних для аналізу. Гідності систем виявлення атак на основі технології виявлення аномального поведінки можна оцінити таким чином:
системи виявлення аномалій здатні виявляти нові типи вторгнень, сигнатури для яких ще не розроблені;
вони не потребують оновлення сигнатур і правил виявлення атак;
виявлення аномалій генерують інформацію, яка може бути використана в системах виявлення зловмисного поведінки.
Недоліками систем на основі технології виявлення аномального поведінки є наступні:
системи вимагають тривалого і якісного навчання;
системи генерують багато помилок другого роду;
- системи зазвичай занадто повільні в роботі і вимагають великої кількості обчислювальних ресурсів.
6. Огляд методів реєстрації мережевого трафіку
. 1 Методи моніторингу засновані на маршрутизаторі
Методи моніторингу засновані на маршрутизаторі - вшиті (вшиті) в маршрутизаторах і, отже, мають низьку гнучкість. Короткий опис найбільш часто використовуваних методів такого моніторингу наведені нижче. Кожен метод розвивався багато років перш ніж стати стандартизованим способом моніторингу.
. 1.1 Протокол простого мережевого моніторингу (SNMP), RFC 1157- протокол прикладного рівня, який є частиною проток...