Разработка методов и программных средств выявления аномальных состояний
Download 262.99 Kb. Pdf ko'rish
|
autoref-razrabotka-metodov-i-programmnykh-sredstv-vyyavleniya-anomalnykh-sostoyanii-kompyuternoi-set (1)
- Bu sahifa navigatsiya:
- Первая глава
|
СОДЕРЖАНИЕ ДИССЕРТАЦИИ
Во введении показана актуальность темы диссертации, определе- ны цели и задачи проведенных исследований, раскрывается научная новизна и практическая значимость полученных результатов, приведе- ны сведения об апробации и внедрении результатов работы. Первая глава посвящена анализу современного состояния реше- ния проблемы выявления аномальных состояний компьютерных сетей, которые могут являться следствием отказов, сбоев аппаратного и про- граммного обеспечения, получения злоумышленником несанкциони- рованного доступа к сетевым ресурсам, проникновения сетевых чер- вей, вирусов и других угроз информационной безопасности. Предлагается классификация наиболее распространенных сетевых аномалий. Особое внимание уделяется классификации аномалий, рас- пределенных во времени. Вводится следующее определение аномалии, распределенной во времени: аномалией, распределенной во времени (АРВ), будем назы- вать состояние объекта, не соответствующее «нормальному» и про- являющееся на протяжении некоторого интервала времени. Приво- дится анализ наиболее типичных АРВ и их влияние на значения харак- теристик сетевого трафика. На сегодняшний день известно два подхода, которые могут быть положены в основу методики обнаружения АРВ на основе анализа се- тевого трафика: 1) Обнаружение злоупотреблений, что подразумевает обнаружение известных типов сетевых проблем; 2) Обнаружение аномалий. В рамках данного подхода наличие сете- вых проблем определяется по отклонению состояния исследуемого объекта от обычного («нормального») состояния. Первый подход имеет серьезные ограничения. Он не позволяет об- наруживать новые виды и модификации аномальных состояний. Кроме того, реализующие его системы имеют высокий уровень ложных ера- 9 батываний. Несмотря на эти ограничения, он нашел свое применение во многих коммерческих системах, поскольку достаточно прост в реа- лизации. Второй подход потенциально позволяет обнаруживать новые типы аномальных состояний. Поэтому, он был положен в основу создавае- мой методики. На сегодняшний день не существует эффективных и законченных методик (на основе принципа обнаружения аномалий) и реализующих их систем. Это объясняется трудностями, возникающими у исследова- телей при попытках четкого описания «нормальных» состояний анали- зируемых объектов. Данные выводы следуют из анализа существую- щих методов обнаружения, результаты которого приводятся в первой главе. Проведенный анализ был направлен на изучение методов обнару- жения, реализованных в современных коммерческих системах, а также результатов исследований, проводимых в зарубежных университет- ских научных лабораториях. Он позволил выявить следующие общие недостатки: • Отсутствуют результаты исследований, направленные на выявле- ние распределенных во времени аномалий; • У исследователей отсутствует единое представления об объекте анализа и характеризующих его параметрах, необходимых для вы- явления аномалий; • Многие предлагаемые методы не имеют четких математических обоснований и позволяют обнаруживать только ограниченные ти- пы аномалий; • Многие результаты не имеют экспериментальных подтверждений, а некоторые основаны на анализе данных, предоставленных сто- ронними лицами, чья достоверность и полнота вызывает сомнения. Исходя из выявленных объективных сложностей, возникающих при решении данной задачи, а также явной необходимости создания эффективного инструмента обнаружения АРВ для сетевого админист- ратора, сформулированы основные требования к создаваемой методи- ке и ее программной реализации. Требования разделены на три груп- пы: требования к методу выявления АРВ, технической реализации ме- тодики в виде программной системы и пользовательские требования к программной системе. Показана значимость требований. |
