Способы обнаружения атак

Способы обнаружения атак можно разделить на: обнаружение признаков аномального поведения защищаемой системы; обнаружение признаков злоумышленных действий субъектов.

Обнаружение признаков аномального поведения защищаемой системы.Составляется совокупность признаков нормального (без вмешательства злоумышленника) поведения системы – эталон признаков нормального поведения. Реальное поведение непрерывно или дискретно сравнивается с эталонным, если они не совпадают, то возможно это следствие злоумышленных действий. Таким образом, отклонение реального поведения от эталонного – признак атаки. Структурная схема системы для обнаружения признаков аномального поведения защищаемой системы изображена на рис. 8.7

Рис. 8.7. Обнаружение признаков аномального поведения защищаемой системы

При данном способе обнаруживаются любые атаки (в том числе и неизвестные), приводящие к отклонению поведения от нормального. При этом необходимо иметь эталон признаков нормального поведения. Это возможно, если процесс функционирования системы является стабильным (каждый день решаются одни и те же задачи, например в супермаркете, банке) и описывается некой устойчивой совокупностью признаков. Все изменения в поведении таких систем – плановые, прогнозируемые и могут быть учтены путем корректировки эталона (подключение филиала банка). Режим работы систем жестко регламентируем. Для таких систем целесообразно использовать описанный способ. Например сотрудники организации используют электронную почту только в рабочее время: t [9–00, 18–00] – эталон; если tР =23–15, то имеет место отклонение от эталона.

Обнаружение признаков злоумышленных действий субъектов.Создается база шаблонов признаков злоумышленных действий. Реальные действия субъекта сравниваются с шаблонами признаков злоумышленных действий. При обнаружении совпадений делается вывод о наличии атаки. Таким образом, совпадение действия субъекта с одним из шаблонов – признак атаки рис. 8.8

Рис. 8.8. Обнаружение признаков злоумышленных действий субъектов

Данный способ должен применяться для систем, решающих разнообразные задачи, взаимодействуя с различными узлами, поведение которых является нестабильным и для которых невозможно составить эталон нормального поведения. Он требует наличия базы шаблонов признаков злоумышленных действий и не пригоден для обнаружения неизвестных атак.








Дата добавления: 2015-09-07; просмотров: 797;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.