Отношение к деньгам стало для нас тестом на добродетельность. © Джордж Оруелл 1112 - | 860 - или читать все...
Обратная связь Пожаловаться на материал

Контроль работы программ по профилям


⇐ ПредыдущаяСтр 2 из 4Следующая ⇒

Наиболее характерными особенностями автоматизированных систем обработки информации (АС) является наличие большого количества разнородных компонентов, сложных взаимно переплетающихся связей, развитой системы математического обеспечения, предназначенной для обработки огромных информационных потоков. Любая АС характеризуются множеством состояний. В компьютерных системах для описания поведения субъектов по отношению к объектам используют понятие «профили».

Профиль представляет собой образ, который создается на базе множества состоянийпротекающихпроцессоввАС.Иначе,профили—этонаборстатистических характеристик (частоты встречаемости событий, временные интервалы работы CPU и т.д.), вычисленных по наблюдениям за действиями субъекта по отношению к объекту, а также некоторой статистической моделью такого поведения.

Структура профиля может быть представлена в следующем виде: имя переменной; отражаемые действия; имеющиеся исключения; данные использования ресурсов; период измерений; порог допустимых значений; субъект; объект; значение последнего наблюдения модели и т.д. Статистические сведения о программах можно получить лишь путем мониторинга за его работой в конкретной среде и на конкретной платформе.

Лю6oe отклонение используемого профиля от эталонного, рассматривается как проявление подозрительной активности программы. Недостатком данного метода является: во-первых, факт того, что «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы подозрительные действия рассматривались как нормальные. Во-вторых, «статистические» системы не чувствительны к порядку следования событий. В-третьих, очень трудно задать граничные (пороговые) значения характеристик, отслеживаемых системой обнаружения аномалий, чтобы адекватно идентифицироватьподозрительную деятельность.

 

Использование прогнозируемых шаблонов

Этотспособпозволяет«предсказывать»будущиесобытиянаосновеужепроисшедших.Данныйметодимеетнесколькопреимуществ.Во-первых,правила,базирующиеся на последовательности шаблонов, могут определять подозрительнуюактивность,которуютрудноидентифицироватьтрадиционнымиметодами. Во-вторых, системы,построенные наэтоймодели,оченьхорошоприспособлены к изменениям. Это связано с тем, что редкие шаблоны непрерывно удаляются, оставляя наиболее часто используемые шаблоны. В-третьих, подозрительные действиямогутбытьобнаруженывтечениенесколькихсекундпослегенерации события.

Недостаток данного метода состоит в том, что если в базе знаний неописаны некоторые сценарии осуществления несанкционированной деятельности, то такие действия не будут определены как подозрительные.

 

Метод обнаружения опасных комбинаций безопасных событий

Подразумевается распознавание последовательности, на первый взгляд, «безобидных» действий, суммарным результатом которых является нарушение целостности вычислительного процесса и доведение системы до неработоспособного состояния. Сложность распознавания таких событий заключается в большом количестве комбинаций опасных событий.

 

Анализ перехода системы из состояния в состояние

Вданномподходеподозрительнаяактивностьпредставляетсякакпоследовательность переходов контролируемой системы из состояния в состояние. Состояние шаблона атаки соответствует состоянию системы и связано с утверждениями, которые должны быть удовлетворены для последующего перехода из состояния в состояние. Возможные состояния связаны дугами, представляющими события, необходимые для перехода из состояния в состояние. Типы допустимых событий встроены в модель. Данная модель можетопределить только атаку, состоящую из последовательных событий, не позволяя выразить атаки с более сложной структурой. Более того, не существует общего целевого механизма в случае частичного распознавания атак.

 

Нечеткие сети Петри

Метод, использующий формализм сетей Петри для обнаружения нарушителей, является развитием метода анализа изменений состояний. Сети Петри представляют собой математическую модель для представления структуры и анализа динамики функционирования систем в терминах «условие-событие». К настоящему времени известно большое количество разновидностей сетей Петри, к которым, в первую очередь, следует отнести временные ОП, ОП с разноцветными маркерами и дугами, алгебраические ОП, Е-сети. Данные классымоделей позволяют представить структуру и динамику функционирования исследуемых систем в условиях отсутствия влияния различных факторов неопределенности. Указанный метод позволяет получить более точные результаты в области обнаружения нарушителя, однако требуют значительных вычислений

Дата добавления: 2018-05-09; просмотров: 173; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая1234Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.013)