Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Методы обнаружения вторженийПри обнаружении злоупотреблений осуществляется поиск последовательности событий, соответствующей этапу вторжения (сигнатура атаки). Главное преимущество таких систем – малое количество ложных тревог. Основной недостаток – системы могут определять атаки, для которых известна сигнатура. При обнаружении ранее неизвестной атаки разработчики должны разработать соответствующую ей сигнатуру и добавить её к существующей базе. К методам обнаружения вторжений относят: - продукционные (экспертные) системы; - метод изменения состояний и др. Данные методы предполагают использование методов искусственного интеллекта, так как регистрируемые данные, относящиеся к атаке, часто зашумлены из-за вариаций действий нарушителя во время атаки или мутаций сценария. Для обнаружения вторжений в данных методах также используется образ, который в данном контексте называют сигнатурой вторжения. Экспертная система кодирует информацию о вторжениях в правилах вида «если <причина>, то <решение>». Когда все условия в левой части правила выполнены, выполняется часть <решение>, заданное в правой части. Продукционные СОВ предназначены для объединения возможных атак (получения общей картины вторжения) и логического вывода факта вторжения на основании данных аудита. Преимуществом данных СОВ считается разделение управляющего решения и его формулировки. Недостатками являются: - обнаружение только известных атак; - манипулирование большим количеством данных, характеризующим вторжение; - трудность учета последовательности событий (наличие дополнительных вычислений). В СОВ, основанных на методе изменения состояний, атака представлена в качестве последовательности переходов контролируемой системы из состояния в состояние. Состояние шаблона атаки соответствует состоянию системы и связано с условиями, которые должны быть выполнены для последующего перехода. Такая модель имеет ряд недостатков: она может определить только известную атаку, состоящую из последовательных событий, что не позволяет описать атаки с более сложной структурой; в модели отсутствует общий целевого механизм для частичного распознавания атак.
|