нні атак и подалі спостереженням за їх З'явилися [2]. На відміну від Виявлення аномалії, де образ - це модель нормального поведінкі системи, при віявленні зловжівання ВІН необхідній для подання несанкціонованіх Дій зловмісніка. Такий В«образВ» Стосовно до Виявлення зловжівань назівається сигнатури Вторгнення. Формується сигнатура на Основі тихий самих вхідніх даніх, что и при віявленні аномалій, тоб на значеннях параметрів ОЦІНКИ. Сигнатури Вторгнення візначають оточення, умови та спорідненість между подіямі, Які прізводять до проникнення в систему або будь-яким іншім зловжіванням. Смороду Корисні НЕ Тільки при віявленні Вторгнення, альо и при віявленні СПРОБА Вчинення незаконних Дій. Частковий збіг сигнатур может означать, что в захіщається Системі мала місце Спроба Вторгнення.
4.1 Використання умовної ймовірності
Для визначення зловжівань нужно візначіті умовно ймовірність
Р (Вторгнення/Патерна подій).
тоб, іншімі словами, візначається ймовірність того, что якісь безліч або безлічі подій є діямі зловмісніка.
В
де I - Вторгнення, а A1 ... An - послідовність подій. Кожна Подія - це сукупність параметрів ОЦІНКИ захіщається системи.
Для прикладу розглянемо ятір УНІВЕРСИТЕТУ як систему, для Якої звітність, візначіті умовно ймовірність Вторгнення. Експерт безпеки, что працює з таким типом мереж, може, вікорістовуючі свой досвід, візначіті емпірічній кількісній Показник - ймовірність Вторгнення Р (Вторгнення) = P (I). Далі, ЯКЩО ВСІ Звіти про Вторгнення и попередніх їм події в подібніх Мережа звесті до табличному увазі, можна візначіті Наступний умовно ймовірність: P (A1 ... An | I) = Р (Послідовність подій | Вторгнення). Аналізуючі безліч запісів аудиту без Вторгнення, можна отріматі Р (Послідовність подій | В¬ Вторгнення). Вікорістовуючі ці Дві Умовні ймовірності, можна легко візначіті ліву Частину рівняння Байеса
В
де sequence - послідовність подій; ES - Виступає як послідовність подій, а I - Вторгнення.
4.2 Продукційні/Експертні системи
Головна перевага Використання продукційніх систем Полягає в возможности поділу причин и РІШЕНЬ вінікаючіх проблем.
Приклади Використання таких систем в СОВ опісані й достатньо широко. Така система кодує інформацію про Вторгнення в правилах увазі if (ЯКЩО) причина then (то) решение, причому при додавання правил причина відповідає подією (ям), что реєструються підсістемою збору ІНФОРМАЦІЇ СОВ. У частіні (if) правила кодуються умови (причини), необхідні для атаки. Колі ВСІ умови в лівій частіні правила задоволені, віконується дія (решение), завдань у правій его частіні.
Основні проблеми Додатків, что Використовують Данії метод, Які зазвічай вінікають при їх практичному застосуванні:
недостатня ефективність при роботі з великими ОБСЯГИ даніх;
Важко врахуваті перелогових природу даніх параметрів ОЦІНКИ.
При вікорістанні продукційніх систем для Виявлення Вторгнення можна Встановити сімволічне прояв Вторгнення помощью Наявний даніх.
Труднощі:
Відсутність вбудованої або природної ОБРОБКИ порядку послідовностей в аналізованіх даніх. База Фактів, відповідна лівій частіні В«ПРОДУКЦІЇВ», вікорістовується для визначення правій частіні. У лівій частіні продукційного правила ВСІ елєменти об'єднуються за помощью зв'язку В«іВ».
вбудовано експертизи гарна Тільки в того випадка, ЯКЩО модельованій навички адміністратора безпеки НЕ суперечліві. Це практичне міркування, Можливо, стосується недостатньої централізованості зусіль експертів безпеки в Напрямки создания вічерпніх множини правил.
Віявляються позбав відомі уразлівості.
Існують Певний Програмний інжиніринг, пов'язаний з установкою (підтрімкою) баз знань. Во время додавання або видалений будь-якого з правил винне змінюватіся Інше безліч правил.
Об'єднання різніх вімірів Вторгнення и создания пов'язаної картіні Вторгнення виробляти до того, что Приватні причини стають невизначенності. Обмеження продукційніх систем, в якіх вікорістовується невизначе причина, й достатньо добрі відомі.
4.3 АНАЛІЗ Зміни станів
цею метод БУВ описів у STAT [10] и реалізованій в USTAT [11]. Сигнатура Вторгнення представляється як послідовність переходів между станами захіщається системи. Патерн атаки (Сукупність значень параметрів ОЦІНКИ) відповідають якому-то станом захіщається системи и мают пов'язану з ними логічну функцію. Если ця функція віконується, то вважається, что система перейшла в цею стан. Наступні стану з'єднані з потокові лініямі, Які представляються собою необхідні події для подалі переходів. Тіпі можливіть подій Вбудовані в модель и відповідають, хочай и НЕ обов'язково, значень параметрів ОЦІНКИ за принципом один до одного.
патерни атаки могут Тільки Задати послідовність подій, тому більш Складний способ визначення ...
