адекватно ідентіфікуваті аномально діяльність;
статистичні системи могут буті з годиною «навчені» порушника так, щоб атакуючі Дії розглядаліся як нормальні.
Слід такоже враховуваті, что статистичні методи непрідатні в тихий випадка, коли відсутній шаблон Типової поведінкі користувача або Последний схільній до несанкціонованіх Дій.
Експертні системи. Експертна система складається з набору правил, Які охоплюють знання людини-експерта. Вікорістовування експертних систем є Поширеними методом Виявлення атак, при якому інформація про атаки формулюється у виде правил. Смороду могут буті запісані, например, у виде послідовності Дій або сигнатури. При віконанні будь-которого з ціх правил ухвалюється решение про наявність несанкціонованої ДІЯЛЬНОСТІ. Важлива досягнені такого підходу є практично повна відсутність помилковості Тривога.
База даних експертної системи винна містіті сценарії більшості відоміх на сьогоднішній день атак. Для того, щоб залішатіся Постійно актуальними, експертні системи вімагають постійного оновлення бази даних. Хоча експертні системи предлагают хорошу можлівість переглядання даних в журналах реєстрації, необхідні оновлення могут або ігноруватіся, или Виконувати адміністратором вручну. Як мінімум це приведе до експертної системи з ослабленням можливіть. У гіршому разі відсутність належности супроводу понизити степень захіщеності всієї мережі, вводячі ее Користувачів в Омані относительно дійсного уровня захіщеності.
Основним недоліком слід Визнати неможлівість віддзеркалення невідоміх атак. При цьом даже невелика зміна Вже відомої атаки может стать Серйозно Перешкода для Функціонування системи Виявлення атак.
Нейронні мережі. Більшість СУЧАСНИХ методів Виявлення атак вікорістовує Деяк форму АНАЛІЗУ контрольованого простору на Основі правил або статистичного підходу. Як контрольованій простір могут віступаті журнали реєстрації або мережевий трафік. Аналіз спірається на набор наперед завданні питань комерційної торгівлі правил, Які створюються адміністратором або самою системою Виявлення вторгнень.
Використання нейронних мереж - один Із способів Подолання Вказаною проблем експертних систем. На Відміну Від експертних систем, Які могут дати Користувачами Певнев відповідь на питання, чи відповідають дані характеристики Закладення в базу даних правилами, нейромереж проводити аналіз информации и надає можлівість оцініті, чі узгоджуються дані з характеристиками, Які вона навч розпізнаваті. Тоді як степень відповідності нейромережевого уявлення может досягаті 100%, достовірність Вибори Повністю покладів від якості системи в аналізі примеров поставленої задачі.
Спочатку нейромереж «навчають» правільній ідентіфікації на Заздалегідь створеній вібірці примеров наочної області. Реакція нейромережі аналізується, и система настроюється так, щоб досягті задовільніх результатів. На додаток до початково ПЕРІОДУ навчання нейромереж «набірається досвіду» з годиною, у міру того як проводити аналіз даних, повязаних з наочну область.
Важлива перевага нейронних мереж при віявленні зловжівань є їх здатність «вівчаті» характеристики Умисне атак и ідентіфікуваті елементи, Які НЕ схожі на ті, что спостерігаліся в мережі Ранее.
Кожний З Опис варіантів володіє рядом перевага и недоліків, тому зараз Важко зустріті систему, что реалізовує только одна з ціх методів. Як правило, смороду Використовують в сукупності.
атаки не только винна буті Виявля, необходимо ще правильно и своєчасно зреагуваті на неї. Для цього необхідні системи, Які здатні в режімі реального годині сповіщаті оператора про перебіг подій в мережевий трафіку та спрацювання правил сигнатур относительно виявленості атак.
У існуючіх системах застосовується широкий спектр методів реагування, Які можна розділіті на три категорії:
ПОВІДОМЛЕННЯ;
зберігання;
активне реагування.
ЗАСТОСУВАННЯ тієї або Іншої Реакції покладів від багатьох чінніків.
ПОВІДОМЛЕННЯ. Найпростішім и широко Поширеними методом ПОВІДОМЛЕННЯ є відправки адміністратору безпеки повідомлень про атаку на консоль системи Виявлення атак. Така консоль может буті встановл не у шкірного співробітніка, что відповідає в организации за БЕЗПЕКУ; крім того, ціх співробітніків могут цікавіті НЕ всі події безпеки, тому необхідне! застосування других механізмів ПОВІДОМЛЕННЯ. Такими механізмамі могут буті відправки повідомлень по електронній пошті, на пейджер, факсом або по телефону. Останні дві варіанти Присутні в сістемі Виявлення атак RealSecureамеріканської Компанії Internet Security Systems Inc.
До категорії «Збереження» відносяться дві варіанти реагування:
реєстрація події в базі даних;
відтворення атаки в реальному масштабі годині.
Перший варіант широко Поширеними и в других системах захисту. Для реализации іншого буває необходимо «Пропустити» атакуючого в ятір Компанії и зафіксу...
