- •Введение
- •1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
- •Принципы функционирования сетевых систем обнаружения вторжений
- •Общая типовая схема систем обнаружения вторжений
- •Подсистема анализа, использующая сигнатурный метод
- •1.3.1. Общие требования к методу анализа
- •1.3.2. Реализация метода сигнатур. Принципы работы
- •1.3.3. Основные характеристики сигнатур
- •1.3.4. Основные алгоритмы поиска сигнатур атак
- •Принципы построения системы обнаружения вторжений
- •1.4.1. Предъявляемые требования и основные параметры
- •1.4.2. Состав и структура аппаратной реализации системы обнаружения вторжений
- •1.4.3. Автоматизированная генерация конфигураций
- •Характеристика направлений и групп методов обнаружения вторжений
- •1.5.1. Анализ методов обнаружения аномалий
- •1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Недостатки существующих систем обнаружения вторжений
- •Направления совершенствования сов
- •Оценка рисков и управление эффективностью
- •Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
При наличии достаточного количества статистических данных, есть возможность создать модель распределения статистики, что в свою очередь поможет рассчитать распределение рисков, которое можно использовать для прогнозирования последствий, наступающих от сетевых вторжений, реализуемых в АС (табл. 2.4). Используя полученные в ходе аналитической работы данные мы можем модифицировать исходные статистические данные для определения эффективности работы средств защиты информации, рассматриваемых в данной работе.
Таблица 2.4
Параметры гистограммы группированного вариационного ряда
Индекс |
Интервалы ущерба ($ США) |
Частота относительная |
Частота абсолютная |
1 |
[0; 15000] |
0,014 |
2 |
2 |
[15000; 30000] |
0,026 |
4 |
3 |
[30000; 45000] |
0,034 |
5 |
4 |
[45000; 60000] |
0,085 |
12 |
5 |
[60000; 75000] |
0,042 |
6 |
6 |
[75000; 90000] |
0,023 |
3 |
7 |
[90000; 105000] |
0,011 |
1 |
Сравним распределения величины ущерба от НСД по вероятности его нанесения для незащищенных систем и для систем защищенных сигнатурной системой обнаружения вторжений.
Рис. 2.6. Распределение величины ущерба от сетевых атак по вероятности его нанесения для систем, защищенных СОВ
Риск анализ АС после установки сигнатурной системы обнаружения вторжений будет проведен по представленной ранее схеме, с учетом показателей эффективности. Основным показателем в данном случае является «вероятность обнаружения сетевой атаки» . Зная вероятность обнаружения найдем вероятность прохождения атаки через систему защиты =0.24
Вероятность реализации преступления (P) найдем как произведение вероятностей
Полученные данные заносим в табл. 2.5
Таблица 2.5
Значения рисков в контрольных точках
Центр интервала ущерба (тыс. $ США) |
Нормированный центр интервала ущерба (U) |
Вероятность реализации преступления (Р) |
Значение риска (Risk) |
5 |
0,05 |
0,0003926 |
0,00001963 |
15 |
0,15 |
0,0018021 |
0,00012032 |
25 |
0,25 |
0,0026624 |
0,0003406 |
35 |
0,35 |
0,0039149 |
0,00087022 |
45 |
0,45 |
0,0051256 |
0,00130152 |
55 |
0,55 |
0,0059385 |
0,00177618 |
65 |
0,65 |
0,0057147 |
0,00191456 |
75 |
0,75 |
0,0048375 |
0,00145313 |
85 |
0,85 |
0,0036175 |
0,00092488 |
95 |
0,95 |
0,0015782 |
0,00036429 |
105 |
1,05 |
0,0001027 |
0,00029784 |
На основе данных полученных в ходе аналитической работы построим график плотности вероятностей ущерба от сетевых атак для АС, защищенной системой обнаружения вторжений, осуществляющей анализ сигнатур.
Рис. 2.7. График плотности вероятностей ущерба для сетевых вторжений
Для определения общей степени опасности для АС, использующих сигнатурные СОВ, от рассматриваемых нами угроз посчитаем суммарный риск для рассматриваемого нами интервала ущерба (2.19) [34].
На основе полученных значений риска построим график распределения риска для защищенной АС.
Рис. 2.8. График рисков для систем с СОВ и без таковой
Эффективность работы сигнатурной системы обнаружения вторжений будет обусловлена снижением количественных показателей автоматизированной системы, использующихся для оценки защищенности.