Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей в. Ю. Колеватов, Е. В. Котельников

5 
2.2. Системы защиты сети 
В [3, 4] рассмотрены многоагентные системы защиты сети от внешних угроз. 
Особенности подхода, описанного в этих статьях, обеспечивают защиту от сложных 
угроз и позволяют наглядно представить текущее состояние всех агентов и сети в 
целом. Агенты разделены по роду деятельности и объединены в команды. Например, в 
[4] выделены следующие классы агентов команд защиты: обработки информации 
(
сэмплеры
), обнаружения атаки (
детекторы
), фильтрации (
фильтры
), 
агенты 
расследования
. Сэмплеры осуществляют сбор данных для последующего обнаружения 
сетевых аномалий или злоупотреблений детектором. Фильтры ответственны за 
фильтрацию трафика по правилам, представленным детектором. Агент расследования 
пытается обезвредить агентов атаки. Команда агентов защиты совместно реализует 
механизм защиты и может взаимодействовать по различным схемам. В одной из схем 
при обнаружении начала атаки действует детектор той команды, на чью сеть 
направлена атака. Он посылает запрос агентам-сэмплерам других команд с целью 
получения информации, которая может быть релевантной указанной атаке. Сэмплеры 
других команд отвечают на запрос, посылая необходимые данные. Эта информация 
существенно повышает шансы на обнаружение атаки. В случае обнаружения 
вероятного источника атаки детектор сети-жертвы посылает информацию об адресе 
агента атаки детектору команды, в сети которой может находиться этот агент, с целью 
его деактивации. 
Таким образом, использование многоагентного подхода и интеллектуальных 
алгоритмов обработки данных при разработке систем обеспечения безопасности 
компьютерных сетей значительно повышает их качественные характеристики. 
2.3. Системы анализа защищенности 
Необходимым элементом системы безопасности компьютерной сети является 
регулярный анализ еѐ защищенности. В зависимости от требуемого качества 
проводимой проверки можно проводить сканирование либо зондирование системы [5, 
6]. 

6 
Сканирование
– метод пассивного анализа, позволяющий определить наличие 
уязвимостей, не предпринимая атакующих действий. Сначала происходит сбор 
информации о текущем состоянии системы безопасности – открытых портах и 
связанных с ними блоков данных (
заголовков
, 
баннеров
), которые содержат типовые 
отклики сетевых сервисов. Затем осуществляется поиск совпадения собранной 
информации с известными уязвимостями, хранящимися в базе данных. На основе 
проведенного поиска делается вывод о наличии или отсутствии уязвимости. 
Развитием методов сканирования стало использование знаний о физической 
топологии устройств сети. Система сканирования в процессе сбора информации не 
только получает данные об уязвимостях конкретных узлов сети, но и строит граф сети. 
Результатом дальнейшей работы системы является 
граф атаки
, моделирующий 
компьютерную сеть; на его основе можно сделать выводы о возможностях проведения 
не только атак на конкретные узлы сети, но и многошаговых сложных атак. Для 
анализа графа атак используются интеллектуальные средства, например, экспертные 
системы [7]. 
Зондирование
– метод активного анализа, при котором осуществляется имитация 
атаки на анализируемую систему. Зондирование часто происходит после сканирования 
и может использовать построенный при сканировании граф атак. Данный метод 
является более сложным в реализации и работает медленнее, чем сканирование, однако 
позволяет получить самые точные результаты. Кроме того, при зондировании 
возможно найти подверженности атакам, которые не могут быть обнаружены 
пассивными методами. Примером такой атаки является 
DDoS
(Distributed Denial of 
Service – распределенный отказ в обслуживании) – атака с большого количества 
различных узлов, находящихся в разных подсетях, и централизованно управляемых 
злоумышленником. 
Системы зондирования, так же как и системы защиты, могут быть основаны на 
многоагентном подходе. Такой подход позволяет производить имитационное 
моделирование противостояния системы защиты и системы моделирования атаки на 
уровне пакетов. Имитационное моделирование имеет следующие преимущества: 
-
экономия расходов на тестирование, поскольку не требуется использование 
реальных сетей; 

7 
-
при появлении новых видов распределенных атак достаточно изменить 
сценарий работы агента, который координирует атаку, для тестирования системы в 
новых условиях. 
Системы анализа защищенности рассматриваются в [6, 8–11]. 
Системы моделирования атаки с использованием многоагентного подхода 
описаны в [12–15]. 

8 

Download 388,5 Kb.

Do'stlaringiz bilan baham: