Наукові конференції, Научные конференции » Простір і час сучасної науки (22-24.04.2013р) » Демчук Л. Ю. ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК(АНАЛІЗ СИГНАТУР)

Демчук Л. Ю. ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК(АНАЛІЗ СИГНАТУР)

Категорія: Простір і час сучасної науки (22-24.04.2013р), Сучасні інформаційні технології

Студентка Демчук Леся Юріївна

Національний технічний університет України «КПІ»

ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК (АНАЛІЗ СИГНАТУР)

Принцип роботи

Розглянемо принципи, на яких грунтується сигнатурний аналіз. Базовим у цьому методі є той факт, що більшість атак на системи розвиваються за схожим сценаріями і на даний момент вже відомі, тобто відомі характерні особливості і взаємозв'язок подій, що призводять до спроб атак.

У найбільш простому випадку метод, заснований на аналізі сигнатур, реалізується наступним чином:

- Підтримується база даних сигнатур для відомих атак з можливістю поповнення без втрат в продуктивності.

- У результаті аналізу відбувається зіставлення реєстрованої

послідовності подій відомим сигнатурам атак.

- У разі відповідності видається сигнал про спробу вторгнення.

Подальші дії визначаються алгоритмами модуля реакції: можуть бути зроблені відповідні заходи, а можна обмежитися просто оповіщенням.

Розглянемо принцип сигнатурного аналізу на наступному прикладі. Нехай потік вхідних даних (подій) має вигляд: ABCDDABACCBC.

Нехай тепер розпізнавання відбувається відносно сигнатури:

ADAC.

Тоді, у випадку роботи алгоритму за правилами дискретної апроксимації отримаємо: AxxDxAxxCxxx

х - позначає відсутність символу, що утворює сигнатуру в потоці вихідних даних. Тобто атака розпізнана.

Варто зазначити, що у разі використання правила «негайного проходження» розпізнавання б не сталося. Але такий спосіб розпізнавання малоефективний, тому що реєстровані дані (події), які стосуються атаки часто, зашумлені через можливі варіації дій порушника.

Такий же алгоритм, але який працює згідно з правилами дискретної апроксимації, дозволяє більш ефективно вирішувати поставлені завдання розпізнавання. За це доводиться заплатити ресурсами, тому що потрібна підтримка великого обсягу «частково розпізнаних» сигнатур атак. [1]

Основні алгоритми пошуку сигнатур атак

На сьогоднішній день існують декілька найбільш продуктивних алгоритмів пошуку сигнатур атак. Це наступні алгоритми:

1) Існування - розпізнавання факту є підставою для реєстрування спроби атаки.

2) Послідовність - розпізнавання строго певної послідовності подій достатньо для виявлення атаки.

3) Частковий порядок - приводом для сигналізації атаки служить розпізнавання сигнатури, що складається з частково впорядкованих подій.

4) Інтервал часу - враховуються тимчасові співвідношення між подіями.

5) Період - враховуються безпосередньо моменти часу, в які відбуваються події.

В даний час для реалізації сигнатурного методу використовують в основному перші два способи.

Переваги та недоліки технологій аналізу сигнатур

Технології аналізу сигнатур краще визначають спроби атак за визначеними схемами і алгоритмами. Це є безумовною перевагою цих технологій, адже по відомим шаблонам легко виявляється будь яка атака, а сам принцип спричиняє набагато менше можливостей для хибного сповіщення про небезпеку. Але це все можливо тільки завдяки точному розумінню і опису всіх можливих атак на систему.

З іншого боку, говорячи про недоліки, варто в першу чергу зауважити, що ці системи не здатні визначати нові або неописані атаки. Таким чином інформаційна система, захищена тільки технологіями виявлення зловживань ризикують бути атакованими і навіть не помітити цього. Крім того, у відповідності до алгоритмів, технології аналізу сигнатур, як вже було сказано раніше, вимагають глибокого розуміння і опису можливих атак. Зазвичай їх аналіз і опис займає у спеціалістів досить багато часу і вимагає значних зусиль. Правда, робились спроби реалізувати системи, які могли б самі аналізувати атаки і описувати їх шаблони та алгоритми, але розгляд атак, що проводилися в минулому, все ще залишається необхідним.

Література:

1. Лукацький О. «Обнаружение атак»: БХВ Петербург, 2001р., 624 ст.

 

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Коментар:
Введите код: *

Карта сайту

^