Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Модуль анализа

Основные модули

· сбора данных – во многом ключ к построению всей системы. Он должен:

o Осуществлять дополнительную фильтрацию трафика после его предварительной обработки СОВ на основе сигнатур

o Передавать модулю анализа только тот трафик, который является атакой и на который нет сигнатуры.

· хранения (там хранятся данные).

· анализа, строящий сигнатуры. Он должен:

o Осуществлять сборку подключений из переданных пакетов

o Проводить анализ полей пакетов и подключений

o Сформировать набор признаков, который мог использоваться модулем создания сигнатур

o Хранить подключения и пакеты в базе данных для последующего анализа

o Создание первичной сигнатуры атаки

· создания сигнатур. Он должен:

o осуществлять формирование окончательных сигнатур из первичных;

o определять множество сигнатур, которое может быть получено из текущей сигнатуры;

o обрабатывать первичные данные сигнатуры, чтобы сигнатура соответствовала предъявленным к ней требованиям.

· вывода. Он должен:

o проверять качество созданной сигнатуры посредством тестирования;

o видоизменять запись сигнатуры в термины, понятные СОВ на основе сигнатур;

o осуществлять запись сигнатуры в БД СОВ.

За то, что нет человека, мы платим предположениями. То есть у нас есть модуль сбора данных. На выходе этого модуля хорошего трафика нет.

Каким модулям мы можем доверять, раз нет человека? Альтернативным методам выявления – нейронная сеть и тд. Honeypot – вся активность в данной системе аномальна.

Итого. Задача модуля сбора – отфильтровать интрузивный трафик.

Возможно два способа осуществлять кластеризацию записей. Кластеризация основывается на том, что данные атак являются измеримо схожими. Соответственно алгоритм кластеризации может их классифицировать как одну атаку. Данные, соответствующие различным атакам, являются различимыми и алгоритм кластеризации может их различить.

Для каждой сессии из множества

Есть набор коннекшнов. Они нехорошие. Есть эффективный метод измерения, например, длина пакета, распределение символов, наличие структуру и их порядок. Мы пытаемся кластеризовать эти характеристики и построить на основе них сигнатуру. Сигнатура для каждого кластера – набора.

Считается, что информации о структуре прикладного протокола нет – просто поток данных.

Существует два алгоритма обнаружения.

Алгоритм горизонтального обнаружения:

1. Выбираются два подключения из хранилища подключений;

2. Выбирается первый пакет в подключении с полезной нагрузкой (после пакетов установления соединения);

3. Выбирается пакет под таким же номером в другом подключении;

4. Сравниваются последовательности байтов в полезной нагрузке пакетов;

5. Если одинаковые последовательности байт – они заносятся в сигнатуру;

6. После сравнения этих пакетов выбираются следующие пакеты подключений.

Алгоритм вертикального обнаружения:

1. Выбираются два подключения из хранилища подключений;

2. Выбираются входящие пакеты в подключениях с полезной нагрузкой (после пакетов установления соединения);

3. Сравниваются последовательности пакетов с полезной нагрузкой между подключениями;

4. Если одинаковые последовательности байт – они заносятся в сигнатуру;

сформировали сигнатуру.

Затем сигнатура передается в модуль создания сигнатур. С одной стороны проверяется, нет ли уже такой сигнатуры.

Начинаем тестировать сигнатуру – есть набор аномальных и нормальных коннекшенов. Если эта сигнатура подходит к коннекшенам хорошим, то плохо – у нас ошибка второго рода. Если все нормально – передаем в основную систему.

Модуль вывода:

· На вход получает протестированную сигнатуру;

· Если в записи сигнатуры не содержится к-л данных, то обработка сигнатуры прекращается;

· Если в сигнатуре содержатся данные, то проверяется как сигнатура может использоваться, чтобы улучшить существующее объединение сигнатур.

Эта штука хорошо работает для создания сигнатур червей и вирусов.

Ключ технологии – модуль сбора.

Проблема метода – ложные срабатывания и пропуски.

 

<== предыдущая лекция | следующая лекция ==>
Вопрос 17. Системы автоматического создания сигнатур | Вопрос 18. Поиск аномалий. Простейшие методы
Поделиться с друзьями:


Дата добавления: 2014-01-15; Просмотров: 497; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.008 сек.