Мониторинг и политика ограничения использования процессов на основе анализа их поведения
- Автор:
Прохоров, Роман Сергеевич
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2014
- Место защиты:
Омск
- Количество страниц:
113 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
ОГЛАВЛЕНИЕ
Введение
Глава 1. Идентификация процессов по поведению
1.1. Введение
1.2. Частотные и статистические методы анализа поведения процессов
1.3. Использование конечных автоматов для идентификации процессов
1.4. Методы классификации процессов
1.5. Использование интеллектуальных алгоритмов для идентификации процессов
1.6. Информационно-теоретические меры анализа поведения процессов
1.7. Использование искусственных иммунных системы для анализа поведения процессов
1.8. Недостатки методик обнаружения анализа поведения процессов
1.9. Выводы
Глава 2. Динамическая идентификация процессов
2.1. Структура программного комплекса динамической идентификации процессов
2.2. Динамический образ процесса
2.3. Формирование динамического образа процесса
2.4. Модули сбора информации и регистрации событий
2.5. Анализ поведения процессов
2.6. Обучение нейросетей и анализаторов
2.7. Модуль анализа
2.8. Мультиагснтная система
2.9. Результаты и выводы
Глава 3. Динамический монитор и аудит процессов, политика ограниченного использования программ
3.1. Динамический монитор процессов и система аудита
3.2. Политика ограниченного использования программ Vindows
3.3. Программный комплекс
3.4. Определение эффективного размера контейнера
3.5. Исследование эффективности анализатора
3.6. Результаты и выводы
Заключение
Список литературы
Введение
Актуальность темы исследования
Одной из главных задач при обеспечении информационной безопасности, является мониторинг процессов, который в свою очередь требует наличия надежной идентификации процессов. Прежде всего, идентификация процессов необходима при построении списка задач, выполняемых компьютерной системой. Анализ списка задач позволяет выявлять вредоносные и скрытые процессы. Также необходима идентификация процессов при реализации службы аудита, так как запись о каждом действии в системе должна содержать имя субъекта, выполнившего доступ.
Второй задачей, составляющей политику разграничения доступа в компьютерных системах, является ограничение использования программ Все современные операционные системы содержат механизмы ограничения возможности запуска тех или иных процессов для каждого из пользователей. В операционных системах семейства Linux данный механизм реализован с помошыо запрета на исполнение файла для пользователя либо группы пользователей. В операционных системах семейства Windows реализована встроенная служба запрета запуска определенных процессов (Software restriction policies, SRI’), позволяющая установить запрет па запуск по имени файла либо по хеш-значению исполняемого кода. Более совершенная реализация ограничения на запуск процессов присутствует в комплексных системах зашиты информации в виде замкнутых программных сред.
На сегодняшний день в прикладных задачах применяется три основных подхода к идентификации исполняемого кода: по имени исполняемого файла-источника, по хэш-значению исполняемого файла-источника, но данным из заголовка исполняемого файла-источника. Во всех случаях идентификация процесса происходит по исполняемому файлу-источнику, а не по контексту самого процесса. Вследствие этого всем стандартным методам идентификации присущ общий набор
Н (X | У) - неопределенность, которая остается после получения первых к событий из х. В случае обнаружения аномального поведения условная энтропия может быть использована как мера «нормальности» при анализе зависимостей последовательностей. Недостатком использования данной меры является то, что условная энтропия может быть применена только для опенки «нормальности» для непосредственно следующих друг за другом событий. При пересечении в приложении множественных «нормальных» потоков возможно порождение одного «аномального», условная энтропия которого будет слишком высокой.
В качестве третьей меры предлагалась относительная энтропия — .мера различия двух наборов данных. Пусть есть два вероятностных распределения р(х) и ц(х), определенные над ,'£Сх . Тогда относительная энтропия будет определяться по формуле (9).
Еще одной мерой, предложенной Ли и Ксиангом, являлась относительная условная энтропия (10), которая принималась как мера различия «нормальности» в отношении зависимости последовательностей между двумя наборами данных. Здесь рассматривается два вероятностных распределения л(ху) и 1(ху), определенные над х&Сх и уеСг.
При рассмотрении обнаружения вторжений как задачи классификации Ли была предложена пятая мера — прирост информации. Это было сделано с пелыо измерения эффективности использования различных свойств для классификации. Приростом информации атрибута Л над набором данных X является (11)
где Уа1иех(А) - набор значений Л, а ХУ - подмножество X. где Л имеет значение V.
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Минимизация рисков нарушения безопасности при построении системы защиты персональных данных | Шинаков, Кирилл Евгеньевич | 2018 |
| Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта | Браницкий, Александр Александрович | 2018 |
| Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы | Ушаков, Дмитрий Вячеславович | 2005 |