дії та Використовують Різні метрики для визначення того, что аналізована діяльність відхіляється від нормальної.
Метрики І ТЕХНОЛОГІЇ, Які Використовують при візначенні аномалій, включаються:
визначення допустимого порогу. У цьом випадка основні атрибути поведінкі Користувачів та системи віражаються в кількісніх термінах. Для шкірного атрибуту візначається Деяк рівень, что встановлюється як допустимі. Такі атрибути поведінкі могут візначаті кількість файлів, доступний корістувачеві в Данії Период годині, число Невдалий СПРОБА входу в систему, кількість годині ЦП, что вікорістовується процесом і т.п. Даній рівень может буті статичність або еврістічнім - Наприклад, может візначатіся зміною аналізованіх значення.
статистичні метрики: параметрічні, за якіх передбачається, что Розподіл атрібутів профілем відповідає конкретному зразки, и непараметрічніх, при якіх Розподіл атрібутів профілем є "учнем" віходячі з набору значень истории, Які спостерігаліся за Певний Период годині.
метрики, Які грунтуються на правилах, Які аналогічні непараметрічніх Статистичнй метрика в тому, что спостерігаються дані візначають Допустимі Використовують зразки, альо відрізняються від них у того, что ці зразки спеціфікована як правила, а не як чісельні характеристики.
Другие метрики, включаючі нейромережі, генетичні алгоритми та МОДЕЛІ іменних систем.
Тільки Перші Дві технології Використовують в СУЧАСНИХ комерційніх IDS.
На шкода, детектори аномалій и IDS, засновані на них, часто створюють велику кількість помилковості Повідомлень, так як зразки нормального поведінкі користувача або системи могут буті Дуже невизначенності. Незважаючі на цею недолік, досліднікі пріпускають, что IDS, засновані на аномалії, мают можлівість візначаті Нові форми атак, на відміну від IDS, Заснований на сигнатурах, Які покладаються на відповідність зразки минулих атак.
Більш того, деякі форми визначення аномалій створюють вихідні дані, Які могут буті далі вікорістані як джерела ІНФОРМАЦІЇ для детекторів зловжівань. Наприклад, детектор аномалій, Заснований на порозі, может створюваті діаграму, что представляет собою "нормальне" Кількість файлів, доступними конкретним користувача; детектор зловжівань может використовуват Цю ​​діаграму як частина сигнатури Виявлення, яка говорити: "Якщо кількість файлів, доступного даним корістувачеві, перевіщує Дану" нормальну " діаграму більш ніж На 10%, слід ініціюваті попереджувально сигнал ".
хочай деякі Комерційні IDS включаються обмежені форми визначення аномалій, мало хто покладається Виключно на Дану технологію. Визначення аномалій, Яке існує в комерційніх системах, зазвічай вікорістовується для визначення грунта конусу мережі або сканування портів. Прото визначення аномалій залішається предметом ДОСЛІДЖЕНЬ в Галузі активного визначення Проникнення, и швідше за все буде відіграваті ЗРОСТАЮЧИЙ роль у IDS Наступний поколінь.
ПЕРЕВАГА визначення аномалій:
IDS, засновані на візначенні аномалій, віявляють несподіване поведінку І, таким чином, мают можлівість візначіті Симптоми атак без знання конкретні деталей атаки.
детекторі аномалій могут створюваті інформацію, яка надалі буде використовуват для визначення сигнатур для детекторів зловжівань.
Недоліки визначення аномалій:
Підході визначення аномалій зазвічай створюють велику кількість помилковості сігналів при непередбаченому поведінці Користувачів и непередбачуваною мережевої актівності.
Підході визначення аномалій часто вімагають Певного етапу навчання системи, во время Якого візначаються характеристики нормального поведінкі.
Перевірка цілісності файлів
Перевіркі цілісності файлів є іншім класом інструментальніх ЗАСОБІВ безпеки, Які доповнюють IDS. Ці інструментальні засоби Використовують дайджест Повідомлень або Другие кріптографічні контрольні суми для критичних файлів и об'єктів, порівнюючі їх з збереженням значення І сповіщаючі про будь-які Відмінності або Зміни.
Використання кріптографічніх контрольних сум ВАЖЛИВО, ТОМУ ЩО атакуючі часто змінюють Сістемні файли з трьох причин. По-перше, зміна системних файлів могут буті метою атаки (Наприклад, размещения троянськіх програм), по-друге, атакуючі могут намагатіся Залишити лазівку (back door) в систему, через якові смороду зможуть вновь ввійті в систему пізніше, І, Нарешті, смороду намагають Приховати свои сліді, щоб власникам система не змоглі віявіті атаку.
хочай перевірка цілісності файлів часто вікорістовується для визначення, чи були змінені Сістемні або віконувані файли, така перевірка может такоже Допомогті візначіті, чі застосовуваліся модіфікації для виправлення помилок до програм конкретних виробів, або системних файлів. Це такоже є Дуже ціннім при судових розгляда, ТОМУ ЩО дозволяє Швидко и надійно діагностуваті сліді атаки. Вона Дає можлівість менеджерам оптимізувати Відновлення СЕРВіСУ после інціденту, что став...
