Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов

Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов

Автор: Слюсаренко, Игорь Михайлович

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Год защиты: 2005

Место защиты: Санкт-Петербург

Количество страниц: 177 с. ил.

Артикул: 2934282

Автор: Слюсаренко, Игорь Михайлович

Стоимость: 250 руб.

Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов  Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов 

ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ.
ГЛАВА 1. АНАЛИЗ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ. ПОСТАНОВКА ЗАДАЧ ИССЛЕДОВАНИЯ
1.1. Структуры систем обнаружения вторжений
1.1.1. Классическая структура
1.1.2. Структура современных систем
1.1.3. Результаты анализа
1.2. Анализ методов обнаружения и оценивания аномалий, основанных на использовании параметров измерений подсистем ИС
1.2.1. Использование параметров измерений ИС.
1.2.2. Оценивание общего состояния аномалии в ИС.
1.2.3. Описательная статистика .
1.2.4. Нейронные сети
1.2.5. Генерация шаблонов
1.2.6. Метод, основанный на применении марковской модели.
1.2.7. Результаты анализа
1.3. Анализ методов обнаружения и оценивания аномалий ИС, . использующих данные о процессах ОС.
1.3.1. Методы Ыгат, Угат.
1.3.2. Применение конечного автомата.
1.3.3. Использование недетерминированного конечного и магазинного автоматов
1.3.4. Метод виртуального пути УРаЙ
1.3.5. Результаты анализа
1.4. Постановка задач исследования.
ГЛАВА 2. ФОРМАЛИЗОВАННАЯ МОДЕЛЬ ПРОЦЕССОВ ОПЕРАЦИОННОЙ СИСТЕМЫ. ВЫБОР МЕТОДОВ РЕШЕНИЯ
2.1. Общий подход к решению задач обнаружении и оценивания
2.2. Определение признакового пространства процессов ОС.
2.2.1. Общая характеристика процесса ОС.
2.2.2. Реализация процесса ОС.
2.2.3. Выбор составляющих элементов процессов ОС
2.2.4. Определение перечня признаков состояний, характеризующих выполнение процесса ОС
2.2.5. Определение реализации процесса ОС на основе введенного пространства признаков
2.2.6. Геометрическая интерпретация основных задач
2.3. Исследование процессов ОС, создаваемых для выполнения программ ИС в ОС, во введенном признаковом пространстве
2.3.1. Инструментарий исследования
2.3.2. Процессы ОС программы i.
2.3.3. Процессы ОС программы .
2.3.4. Процессы ОС программы .
2.3.5. Процессы ОС программы
2.3.6. Процессы ОС программы I
2.3.7. Процессы ОС программы .
2.3.8. Процессы ОС программы
2.3.9. Процессы ОС программы .
2.3 Обоснование применимости признакового пространства для решения основных задач
2.4. Разработка модели процессов ОС, создаваемых для выполнения программы ИС в ОС.
2.4.1. Алгоритм процесса ОС.
2.4.2. Взаимодействие процесса ОС с объектами ИС.
2.4.3. Выводы
2.5. Выбор методов для обнаружения и оценивания аномалий в ИС
2.5.1. Постановка задач обнаружения и оценивания аномалий с позиции теории распознавания образов.
2.5.2. Особенности распознавания аномальной деятельности.
2.5.3. Выбор методов теории распознавания образов
2.6. Выводы
ГЛАВА 3. МЕТОДИКА ОБНАРУЖЕНИЯ И ОЦЕНИВАНИЯ АНОМАЛИЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ.
3.1. Общее описание методики
3.2. Обнаружение аномалий.
3.2.1. Прогнозирование значений аргументов СВ на основе метода комплексирования аналогов.
3.2.2. Оптимизация модели нормального поведения на основе метода скользящего контроля
3.2.3. Обнаружение аномалий во взаимодействии с объектами ИС
3.2.4. Экспериментальное обнаружение аномалий в ИС, построенных на базе ОС 1лпих
3.3 Оценивание аномалий.
3.3.1. Подход к количественному оцениванию аномалий процессов ОС
3.3.2. Выявления опасных областей признакового пространства.
3.3.3. Описание алгоритма кластеризации.
3.3.4. Экспериментальное построение кластеров оценивания в ОС Ьлпих
3.3.5. Экспериментальное оценивание опасности аномалий в ИС, построенных на базе ОС Глпих
3.3.6. Экспериментальное моделирование нормального поведения процессов ОС, создаваемых для выполнения программ ИС в ОС ix
3.4. Достоверность методики
3.5. Выводы
ГЛАВА 4. РЕКОМЕНДАЦИИ ПО ПРИМЕНЕНИЮ РАЗРАБОТАННОЙ МЕТОДИКИ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
4.1. Рекомендации по применению разработанной методики.
4.1.1. Назначение системы обнаружения и оценивания аномалий
4.1.2. Структура системы обнаружения и оценивания аномалий.
4.1.3. Основные требования к подсистемам и обрабатываемым данным.
4.1.4. Адаптация системы к аппаратным и программным платформам.
4.1.5. Использование подсистем системы в составе многоагентных систем обнаружения вторжений
4.1.6. Методика оценивания системы.
4.2. Реализация системы обнаружения и оценивания аномалий в ИС на базе ОС ix 2.
4.2.1. Подсистема обнаружения аномалий процесса
4.2.2. Подсистема оценивания аномалий процесса.
4.2.3. Особенности обработки СВ ехес, , сигналов ядра ОС.
4.3. Реализация модуля ядра ОС ix 2.4.
4.3.1. Перехват системных вызовов
4.3.2. Обмен данными между модулем ядра и системой.
4.3.3. Вычисление адресов точек запроса
4.4. Оценивание разработанной программной системы
4.4.1. Производительность
4.4.2. Определение количества выявленных аномалий, требующих привлечения эксперта
4.4.3. Требования к размеру физической памяти для хранения модели нормального выполнения процесса ОС
4.5. Выводы.
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ


Приведен сравнительный обзор применяемых моделей для выявления атак и вторжений. Раскрыты проблемы, возникающие при выявлении несанкционированных действий системами, работающими по принципу обнаружения аномалий ИС. Вы
полнена классификация современных систем обнаружения по применяемым методам поиска аномалий. Показаны достоинства и недостатки существующих методов обнаружения и оценивания аномалий ИС на основе анализа процессов ОС. Сформулирована цель и задачи диссертационного исследования. Во второй главе представлены результаты разработки формализованной модели процессов ОС, создаваемых для выполнения приложения ИС в ОС. Приведено обоснование и описание признакового пространства процессов ОС. Полученное пространство признаков, учитывающее ряд параметров раннее неиспользовавшихся для выявления аномалий в ИС, применено для моделирования выполнения процессов ОС. Функционирование процессов ОС, описано с помощью конечного автомата Миля. Показано, что во введенном пространстве признаков существуют области, соответствующие различным операциям. Эти операции являлись как следствием опасных воздействий, так и допустимого нормального выполнения. Выбраны и обоснованы методы, необходимые для решения основных задач исследования обнаружения и количественного оценивания аномалий ИС. В третьей главе приведены результаты разработки методики обнаружения и количественного оценивания опасности аномалий процессов ОС, создаваемых для выполнения приложений ИС в ОС. ОС в алгоритме функционирования и во взаимодействии с объектами ИС. Оценивание опасности выявляемых аномалий в методике базируется на обоснованном утверждении о том, что в пространстве параметров процессов ОС существуют области с различной степенью опасности. Поиск опасных областей реализован с использованием метода кластеранализа. Выделенные области в дальнейшем применяются для выполнения количественно оценивания опасности аномалий. В четвертой главе приведены рекомендации по применению разработанной методики в системах обнаружения вторжений, работающих по принципу обнаружения аномалий, и описание созданной на их основе системы в виде программного комплекса для ОС 1лпих 2. Кроме этого, глава содержит описание результатов апробации разработанной программной системы. В заключении приведены результаты и выводы, полученные в ходе выполнения работы. ГЛАВА 1. АНАЛИЗ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ. Приведена структура, основные компоненты, используемые в современных системах обнаружения. Рассмотрены решения таких теоретических вопросов, как использование параметров измерений ИС, оценивание общего состояния аномалии и др. Выполнен сравнительный анализ и классификация используемых методов обнаружения и оценивания аномалий. Выделен перечень вопросов, требующих решения. Показано, что текущее состояние развития теории и практики в области СОВ требует выбора определенной базы ИС, на которой возможно построение более адекватных моделей и методов обнаружения, оценивания. Проанализированы работы, где в качестве такой базы используется процесс ОС. Определен перечень нерешенных задач и пути дальнейших исследований. В настоящее время можно выделить порядка двадцати исследовательских СОВ, при помощи которых в разное время были опробованы интересные решения в структурном составе систем. VI , I , I, II , и др. До недавнего времени в СОВ использовалась обобщенная структура, предложенная Е. Дснниг , см. Такая архитектура применялась в большинстве систем обнаружения I , I , , , I . В данной главе рассматривается объект исследования системы обнару
7. Именно поэтому основными структурными элементами являются те, которые позволяют собирать описательные статистические данные о событиях и представлять их в виде количественных показателей блок стат. Рис. Структура системы обнаружения вторжений, обрабатываемые данные и операции, предложенные Е. На рис. Кроме этого, продемонстрированы операции на рисунке изображены в виде прямоугольников, рекомендованные Е. Деннинг для создания профайла активности и множества правил, которые используются при обнаружении аномалий и злоупотреблений.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.187, запросов: 244