Информационная безопасность



Варианты разработки систем обнаружения аномалий на основе инвариантов подобия


Как правило, датчики (или сенсоры) систем обнаружения вторжений размещаются в выделенных сегментах вычислительной системы (англ. термин - network-based IDS) или на рабочих станциях сегментов (англ. термин - host-based IDS). Поэтому выделим два возможных способа построения системы обнаружения аномалий на основе инвариантов подобия. В первом способе (рис. 3) датчики обнаружения аномалий размещаются в выделенном сегменте вычислительной системы. При этом основными функциями датчиков являются:

  • перехват сетевого трафика между различными абонентами СПД;

  • получение по совмещенному или выделенному каналу вектора (sK7 , sK6 , … , sK1);

    проверка инварианта подобия семантически корректного вычислительныго процесса.

Рис. 3. Размещение датчиков СОАФ в широковещательных сегментах вычислительной системы

К достоинствам такой схемы системы обнаружения аномалий на основе инвариантов подобия относятся:

  • защита инвариантов подобия вычислительных процессов от внутренних воздействий;

  • коррекция аномалий вычислительных процессов в реальном масштабе времени в контролируемром сегменте СПД;

    минимальные затраты на организацию выделенного канала передачи инвариантов подобия.

Вместе с тем необходимо отметить следующие тенденции развития современных и перспективных вычислительных системах, которые существенно влияют на технологию обнаружения аномалий:

  • сокращение доли широковещательных сегментов в современных сетях передачи данных;

  • распространение систем шифрования трафика на сетевом уровне, в том числе разработка и пробное внедрение 6-й версии протокола сетевого уровня IP со встроенной поддержкой шифрования передаваемого трафика;

    значительное превышение скорости роста сетевого трафика над скоростью развития вычислительных ресурсов систем;

    возможность блокирования аномального сетевого трафика на этапе передачи его прикладному процессу;

    возиожность контроля реального функционирования стека сетевых протоколов.

Поэтому во втором способе (рис. 4) - датчики обнаружения аномалий размещаются на каждой рабочей станции внутри контролируемого сегмента вычислительной системы.


Содержание  Назад  Вперед