Сборник докладов республиканской научно-технической конференции значение информационно-коммуникационных


АНАЛИЗ АРХИТЕКТУРЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ В



Download 7,55 Mb.
Pdf ko'rish
bet132/267
Sana14.07.2022
Hajmi7,55 Mb.
#795134
TuriСборник
1   ...   128   129   130   131   132   133   134   135   ...   267
Bog'liq
Maqola

АНАЛИЗ АРХИТЕКТУРЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ В 
КОМПЬЮТЕРНЫХ СЕТЯХ
Б.М. Шамшиева (ТУИТ имени Мухаммад ал-Хоразмий) 
Обнаружение аномалий пытается найти в данных закономерности, 
которые не соответствуют ожидаемому нормальному поведению. Важность 
обнаружения аномалий обусловлена тем фактом, что аномалии в данных 
преобразуются в важную (и часто критическую) полезную информацию в 
самых разных областях применения. Например, аномальный трафик в 
компьютерной сети может означать, что взломанный компьютер отправляет 
конфиденциальные данные на неавторизованный хост. Однако аномалии в 
сети могут быть вызваны несколькими разными причинами. 
Есть две широкие категории сетевых аномалий: (а) аномалии, связанные 
с производительностью, и (б) аномалии, связанные с безопасностью. 
Различными примерами аномалий, связанных с производительностью, 
являются: широковещательные штормы, временная перегрузка, бормотание 
узла, пейджинг по сети и отказ файлового сервера. Сетевые аномалии, 
связанные с безопасностью, могут быть вызваны злонамеренными 
действиями злоумышленников, которые намеренно наводняют сеть 
ненужным трафиком, чтобы захватить полосу пропускания, чтобы законные 
пользователи не могли получать услуги. Аномалии, связанные с 
безопасностью, бывают трех типов: точечные, контекстные и коллективные 
аномалии. (таблица 1)
Таблица 1. Аномалия: виды, характеристики и примеры 
Типы 
Характеристики 
Точечная аномалия 
Экземпляр отдельных данных, которые были признаны 
аномальными по отношению к остальным данным. 
Контекстная 
аномалия 
Экземпляр данных, который был признан аномальным в 
определенном контексте. Контекст определяется структурой 
набора данных. Для определения контекста используются два 
набора атрибутов: (а) контекстные и (б) поведенческие 
атрибуты. 
Коллективная 
аномалия 
Набор связанных экземпляров данных, которые оказались 
аномальными по отношению ко всему набору данных. Набор 


279 
событий является аномалией, но отдельные события не являются 
аномалиями, если они происходят по отдельности в 
последовательности. 
Многие NIDS были разработаны исследователями и практиками. Однако 
разработка эффективной архитектуры ANIDS все еще исследуется. Общая 
архитектура ANIDS показана на рисунке 1. 
Основные компоненты общей модели ANIDS обсуждаются ниже. 
1) Механизм обнаружения аномалий: это сердце любой системы 
обнаружения сетевых вторжений. Он пытается обнаружить любое вторжение 
онлайн или офлайн. Однако перед отправкой любого сетевого трафика 
модулю обнаружения требуется его предварительная обработка. Если об 
атаках известно, их можно обнаружить, используя подход обнаружения 
злоупотреблений. С другой стороны, неизвестные атаки могут быть 
обнаружены с использованием подхода, основанного на аномалиях, на 
основе соответствующего механизма сопоставления. 
In
te
rn
et
Конфигурация 
данных
Человек-
аналитик
Постобработка
Менеджер по 
безопасности
Справочные 
данные
Тревога
П
ре
дв
ар
ит
ел
ьн
ая
об
ра
бо
тк
а
Механизм 
обнаружения 
аномалий
Механизм 
согласования
За
хва
ти
ть
т
ра
ф
ик
(
па
ке
т/
по
то
к)
Intranet
Рис.1. Архитектура ANIDS (Методы и системы обнаружения аномалий сетевых 
вторжений) 
Ниже приведены некоторые важные требования при разработке 
эффективного механизма согласования. 
- Сопоставление определяет, принадлежит ли новый экземпляр к 
известному классу, определенному профилем большого размера, или нет. 
Соответствие может быть неточным. 
- Соответствие должно быть быстрым. 
- Эффективная организация профилей может облегчить более быстрый 
поиск во время сопоставления. 
2) Справочные данные: справочные данные хранят информацию об 
известных сигнатурах вторжений или профилях нормального поведения. 
Справочные данные должны храниться эффективно. Возможные типы 
справочных данных, используемых в общей архитектуре NIDS: профиль, 
подпись и правило. В случае ANIDS это в основном профили. Элементы 
обработки обновляют профили по мере поступления новых знаний о 
наблюдаемом поведении. Эти обновления выполняются с регулярными 
интервалами в пакетном режиме. 


280 
3) Данные конфигурации: соответствуют промежуточным результатам, 
например, частично созданным сигнатурам вторжения. Пространство, 
необходимое для хранения такой информации, может быть довольно 
большим. Шаги по обновлению данных конфигурации показаны на рисунке 
2. Промежуточные результаты необходимо объединить с существующими 
знаниями, чтобы получить согласованные и актуальные результаты. 
Профиль 
кандидата/
правила 
идентификации 
Решение конфликта
Обновить 
профили/
правила/ подпись
Существующие профили/ 
правила/ подпись
Рис. 2. Шаги по обновлению данных конфигурации в ANIDS 
4) Тревога: этот компонент архитектуры отвечает за генерацию тревоги 
на основе индикации, полученной от механизма обнаружения. 
5) Человек-аналитик: Человек-аналитик отвечает за анализ, 
интерпретацию и принятие необходимых действий на основе информации о 
тревоге, предоставляемой механизмом обнаружения. Аналитик также 
предпринимает необходимые шаги для диагностики информации о сигналах 
тревоги как действия постобработки для поддержки обновления справочника 
или профиля с помощью диспетчера безопасности. 
6) Постобработка: это важный модуль в NIDS для постобработки 
сгенерированных сигналов тревоги для диагностики реальных атак. 
7) Захват трафика: Захват трафика - важный модуль в NIDS. Необрабо-
танные данные трафика фиксируются как на уровне пакетов, так и на уровне 
потока. Трафик на уровне пакетов может быть захвачен с помощью обычного 
инструмента, например, Wireshark1, а затем предварительно обработан перед 
отправкой в механизм обнаружения. Данные уровня потока в высокоскорост-
ных сетях состоят из информации, обобщенной из одного или нескольких 
пакетов. Некоторые распространенные инструменты для захвата сетевого 
трафика на уровне потока включают Nfdump2, NfSen3 и Cisco Netflow V.94. 
8) Менеджер безопасности: сохраненные сигнатуры вторжений 
обновляются менеджером безопасности (МБ) по мере появления информации 
о новых вторжениях. Анализ новых вторжений - очень сложная задача. 
В заключении следует отметит что в настоящее время обнаружение 
сетевых вторжений на основе аномалий является основным направлением 
исследований и разработок в области обнаружения вторжений. Становятся 
доступными различные системы с возможностями обнаружения сетевых 
вторжений на основе аномалий, и исследуются многие новые схемы. Однако 
этот вопрос далек от зрелости, и ключевые вопросы еще предстоит решить, 
прежде чем станет возможным широкомасштабное развертывание платформ 
ANIDS. 


281 

Download 7,55 Mb.

Do'stlaringiz bilan baham:
1   ...   128   129   130   131   132   133   134   135   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish