50) Анализ и корреляция данных в системах обнаружения атак | MetodPro.ru

Реклама на сайте

50) Анализ и корреляция данных в системах обнаружения атак


Статистический метод
В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение (дисперсия) используемого профиля от эталонного считается несанкционированной деятельностью.

Использование прогнозируемых шаблонов
Этот способ позволяет "предсказывать" будущие события на основе уже происшедших. Проблема в этом случае состоит в том, что если в базе знаний не описаны некоторые сценарии осуществления атак, то такие действия не будут определены как атакующие.

Анализ переходов из состояния в состояние
В данном случае любое действие в системе, в т.ч. и атака, записывается как последовательность перехода из одного состояния в другое. Система обнаружения атак, работающая по этому принципу, контролирует текущее состояние анализируемой системы, ища события, изменяющие данное состояние (т.е. ищут условия перехода). Этот процесс продолжается до тех пор, пока не будет достигнуто конечное состояние, тем самым характеризующее обнаружение атаки.

Контроль нажатия клавиш
Этот метод очень прост. Он заключается в сравнении нажимаемых пользователем клавиш с хранящимися в базе знаний эталонными последовательностями. Совпадение этих последовательностей свидетельствует об атаке.

Нечеткая логика
Теория нечетких множеств была предложена в 60-х годах Л.А. Заде и позволяет описывать нечеткие понятия и делать нечеткие выводы. Например, множество всех финансовых мошенничеств - это нечеткое множество, т.к. заранее определить, является ли какая-либо финансовая транзакция мошеннической, нельзя. Нечеткая логика позволяет описывать правила в незавершенном, "размытом" режиме, в котором правила основываются на знаниях и весах событий, позволяющих предположить вероятность мошенничества.

Нейронные сети
Нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение).



Методические пособия

  • Системы автоматизированного проектирования
  • Социология молодёжи
  • Общая социология
  • Криптография
  • Проектирование трансляторов
  • Компьютерная графика
  • Моделирование систем
  • Информационная безопасность
  • Теория вычислительных процессов
  • Логические основы искусственного интелекта
  • Проектирование распределённых информационных систем