- •Введение
- •1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
- •Принципы функционирования сетевых систем обнаружения вторжений
- •Общая типовая схема систем обнаружения вторжений
- •Подсистема анализа, использующая сигнатурный метод
- •1.3.1. Общие требования к методу анализа
- •1.3.2. Реализация метода сигнатур. Принципы работы
- •1.3.3. Основные характеристики сигнатур
- •1.3.4. Основные алгоритмы поиска сигнатур атак
- •Принципы построения системы обнаружения вторжений
- •1.4.1. Предъявляемые требования и основные параметры
- •1.4.2. Состав и структура аппаратной реализации системы обнаружения вторжений
- •1.4.3. Автоматизированная генерация конфигураций
- •Характеристика направлений и групп методов обнаружения вторжений
- •1.5.1. Анализ методов обнаружения аномалий
- •1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Недостатки существующих систем обнаружения вторжений
- •Направления совершенствования сов
- •Оценка рисков и управление эффективностью
- •Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Направления совершенствования сов
Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
В настоящей работе проанализирован существующий мировой опыт разработки подобных систем. Сформулированы требования и основные технические параметры. Описана обобщенная структура реконфигурируемой сетевой системы обнаружения вторжений. Рассмотрены некоторые важные ее компоненты.
Описана также обобщенная структура процесса автоматизированной генерации конфигураций сетевой СОВ.
Вместе с тем, в настоящей работе обозначено много моментов, требующих дальнейшего исследования и обобщения, что косвенно свидетельствует о масштабности и актуальности исследуемой проблемы.