подолання зазначених проблем експертних систем. На відміну від експертних систем, які можуть дати користувачеві певну відповідь про відповідність розглянутих характеристик закладеним у БД правилами, нейронна мережа проводить аналіз інформації та надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона навчена розпізнавати. У той час як ступінь відповідності нейросетево- го уявлення може досягати 100%, достовірність вибору повністю залежить від якості системи в аналізі прикладів поставленого завдання.
Спочатку нейросеть навчають правильної ідентифікації на попередньо підібраною вибірці прикладів предметної області. Реакція нейромережі аналізується і система налаштовується таким чином, щоб досягти задовільних результатів. На додаток до початкового періоду навчання, нейросеть набирається досвіду з плином часу, у міру того, як вона проводить аналіз даних, пов'язаних з предметною областю.
Важливою перевагою нейронних мереж при виявленні зловживань є їх здатність «вивчати» характеристики умисних атак і ідентифікувати елементи, які не схожі на ті, що спостерігалися в мережі раніше.
Кожен з описаних методів має низку переваг і недоліків, тому зараз практично важко зустріти систему, що реалізовує тільки один з описаних методів. Як правило, ці методи використовуються в сукупності.
1.4.2 Класифікація систем виявлення атак IDS
Механізми, застосовувані в сучасних системах виявлення атак IDS (Intrusion Detection System), засновані на декількох загальних методах, які не є взаємовиключними. У багатьох системах використовуються їх комбінації.
Класифікація IDS може бути виконана:
за способом реагування;
способу виявлення атаки;
способу збору інформації про атаку.
За способом реагування розрізняють пасивні та активні IDS. Пасивні IDS просто фіксують факт атаки, записують дані у файл журналу і видають попередження. Активні IDS намагаються протидіяти атаці, наприклад, шляхом реконфігурації МЕ або генерації списків доступу маршрутизатора.
За способом виявлення атаки системи IDS прийнято ділити на дві категорії:
виявлення аномального поведінки (anomaly-based);
виявлення зловживань (misuse detection або signature-based).
Технологія виявлення аномального поведінки заснована на наступному. Аномальне поведінку користувача (т. Е. Атака або яке-небудь ворожу дію) часто проявляється як відхилення від нормальної поведінки. Прикладом аномального поведінки може служити велике число з'єднань за короткий проміжок часу, високе завантаження центрального процесора і т. П.
Якщо можна було б однозначно описати профіль нормальної поведінки користувача, то будь-яке відхилення від нього можна ідентифікувати як аномальна поведінка. Однак аномальна поведінка не завжди є атакою. Наприклад, одночасну посилку великого числа запитів від адміністратора мережі система виявлення атак може ідентифікувати як атаку типу «відмова в обслуговуванні» («denial of service»).
Технологія виявлення аномалій орієнтована на виявлення нових типів атак. Однак недолік її - необхідність постійного навчання. Поки ця технологія не отримала широкого розповсюдження. Пов'язано це з тим, що вона важко реалізувати на практиці.
Виявлення зловживань полягає в описі атаки у вигляді сигнатури (signature) і пошуку даної сигнатури в контрольованому просторі (мережевому трафіку або журналі реєстрації). В якості сигнатури атаки може виступати шаблон дій або рядок символів, що характеризують аномальну діяльність. Ці сигнатури зберігаються в БД, аналогічної тій, яка використовується в антивірусних системах. Дана технологія виявлення атак дуже схожа на технологію виявлення вірусів, при цьому система може виявити всі відомі атаки. Однак системи даного типу не можуть виявляти нові, ще невідомі види атак.
Підхід, реалізований у таких системах, досить простий і саме на ньому засновані практично всі пропоновані сьогодні на ринку системи виявлення атак.
Найбільш популярна класифікація за способом збору інформації про атаку:
виявлення атак на рівні мережі (network-based);
виявлення атак на рівні хоста (host-based);
виявлення атак на рівні додатку (application-based).
Система network-based працює по типу сніффер, «прослуховуючи» трафік у мережі і визначаючи можливі дії зловмисників. Такі системи аналізують мережевий трафік, використовуючи, як правило, сигнатури атак і аналіз «на льоту». Метод аналізу «на льоту» полягає в моніторингу мережевого трафіку в реальному або ...
