Выбор технологий Data Mining для систем обнаружения вторжений в корпоративную сеть
3
Модуль реагирования предназначен для выполнения предопреде-
ленных действий в случае установления факта атаки.
Характеристика основных методов обнаружения вторжений.
Одним из самых сложных компонентов СОВ является подсистема
анализа (выявления нарушений безопасности), от свойств которой
фактически зависит безопасность защищаемой корпоративной сети.
Эффективность этой подсистемы в значительной степени определя-
ется возможностями используемого метода анализа данных о состоя-
нии защищаемой системы [4, 5]. Поэтому были исследованы наибо-
лее распространенные методы выявления нарушений ИБ (табл. 1).
Таблица 1
Достоинства и недостатки основных методов выявления нарушений ИБ
Метод
Достоинства
Недостатки
Анализ жур-
налов реги-
страции
простота реализации
ухудшение скорости работы для
журналов большого объема;
необходима помощь специали-
стов;
нет унифицированного формата
хранения журналов;
анализ не в реальном времени;
на каждый анализируемый узел
необходим свой агент
Статистиче-
ские методы
использование уже разра-
ботанного и зарекомендо-
вавшего себя аппарата
математической статисти-
ки
не чувствительны к порядку сле-
дования событий;
трудность задания пороговых
значений характеристик событий;
«статистические» системы могут
быть «обучены» нарушителями
Анализ «на
лету»
один агент СОВ может
просматривать целый сег-
мент сети;
определение атак в реаль-
ном масштабе времени;
невозможность злоумыш-
леннику скрыть следы
своей деятельности
повышенные требования к аппа-
ратному обеспечению (особенно в
высокоскоростных сетях);
неэффективность работы в ком-
мутируемых сетях и сетях с ка-
нальным шифрованием
Профили
«нормального
поведения»
обнаружение малейших
отклонений от «нормаль-
ного» поведения
большая сложность построения
профиля
Использова-
ние сигнатур
простота реализации;
определение конкретной
атаки с высокой точно-
стью и малой долей лож-
ных срабатываний
неспособность выявления новых
атак и вторжений;
необходимость оперативного
обновления баз данных сигнатур;
пропуски модификаций извест-
ных атак
