Выбор технологий Data Mining для систем обнаружения вторжений в корпоративную сеть
1
УДК 004.056.53
Выбор технологий Data Mining для систем обнаружения
вторжений в корпоративную сеть
© Т.И. Булдакова, А.Ш. Джалолов
МГТУ им. Н.Э. Баумана, Москва, 105005, Россия
Рассмотрена задача обнаружения вторжений в корпоративную сеть. Выделены
основные компоненты системы обнаружения вторжений и описаны их функции.
Выполнен анализ различных подходов к выявлению нарушений информационной
безопасности. С этой целью дана характеристика основных методов обнаруже-
ния вторжений, выделены их достоинства и недостатки. Показано, что для по-
вышения эффективности выявления ситуаций, связанных с возможным вторже-
нием, необходимо использовать современные технологии интеллектуального ана-
лиза данных. Поэтому были исследованы особенности технологий Data Mining для
применения в системах обнаружения вторжений, по результатам их сравнитель-
ного анализа предложены гибридные средства для выявления атак. Показано, что
наиболее перспективным для рассматриваемой задачи является использование
нейро-нечетких методов. Предложена архитектура нейро-нечеткой системы для
обнаружения вторжений в сеть.
Ключевые слова:
информационная безопасность, вторжения, корпоративная
сеть, интеллектуальный анализ данных, нейро-нечеткая система.
Введение.
Системы защиты корпоративной сети должны обеспе-
чивать не только пассивное блокирование несанкционированного до-
ступа извне к ее внутренним ресурсам, но и осуществлять обнаруже-
ние успешных атак, анализировать причины возникновения угроз
информационной безопасности (ИБ) и, по мере возможности, устра-
нять их в автоматическом режиме. Для повышения эффективности
выявления ситуаций, связанных с возможным вторжением, предлага-
ется использовать современные технологии интеллектуального ана-
лиза данных – технологии Data Mining.
Основные компоненты системы обнаружения вторжений.
Процесс обнаружения вторжений является процессом оценки подо-
зрительных действий, которые происходят в корпоративной сети. Дру-
гими словами, обнаружение вторжений – это процесс идентификации
и реагирования на подозрительную деятельность, направленную на
вычислительные или сетевые ресурсы. Главная задача систем обнару-
жения вторжений (СОВ) заключается в автоматизации функций по
обеспечению ИБ корпоративной сети и обеспечении «прозрачности»
функций ИБ для неспециалистов в области защиты информации. По-
этому СОВ – это системы, собирающие информацию из различных
точек корпоративной сети (защищаемой компьютерной системы) и
анализирующие эту информацию для выявления не только попыток,
но и реальных нарушений защиты (вторжений) [1–3].
