АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Обнаружение аномалий

Обнаружение аномалий — это разновидность системы обнаружения вторжений, предназначенная для выявления сетевых и компьютерных вторжений, а также злоупотреблений посредством анализа активности системы и классификации ее как «нормальной» или «аномальной». Такая классификация основана на эвристиках или правилах, а не на шаблонах или сигнатурах, и призвана выявлять любые виды злоупотреблений, выходящих за пределы нормального режима функционирования системы. Это отличает обнаружение аномалий от сигнатурных систем, которые способны обнаруживать только те атаки, для которых заранее создана соответствующая сигнатура.

Для корректного выявления атак система должна быть обучена распознавать обычную, корректную деятельность системы. Основная часть систем обнаружения аномалий работает в два этапа: этап обучения (когда формируется профиль нормального поведения) и этап тестирования (когда анализируемый трафик сравнивается с профилем, созданным на этапе обучения). Обнаружение аномалий может осуществляться различными способами, чаще всего с помощью методов из области искусственного интеллекта. Выделяют системы, использующие искусственные нейронные сети, которые показывают высокую эффективность. Другой способ — строгое математическое определение «нормы» и интерпретация любого отклонения как атаки (так называемое строгое обнаружение аномалий). Кроме того, для обнаружения аномалий применяются методы анализа данных, методы на основе грамматик и искусственные иммунные системы[1].

Сетевые системы обнаружения аномалий часто служат вторым уровнем защиты, позволяя выявлять сомнительный трафик на сетевых и физических уровнях уже после прохождения брандмауэра или другого пограничного защитного устройства. Хостовые системы обнаружения аномалий относятся к последнему рубежу защиты и размещаются непосредственно на конечных точках (узлах) — компьютерах пользователей. Они обеспечивают возможность тонкой индивидуальной настройки защиты конечных устройств на уровне отдельных приложений.

Системы обнаружения аномалий как на сетевом, так и на локальном уровнях обладают рядом недостатков: прежде всего, это высокая доля ложноположительных срабатываний и возможность обмана такими атаками, которые были корректно оформлены. Для преодоления этих проблем используются специальные подходы, например, реализованные в PAYL и MCPAD.

Примечания

Литература

  • Khalkhali, I; Azmi, R; Azimpour-Kivi, M; Khansari, M Host-based web anomaly intrusion detection system, an artificial immune system approach (англ.). ProQuest. Дата обращения: 22 апреля 2021.
  • Sasha/Beetle. A strict anomaly detection model for IDS, Phrack 56 0x11
  • Perdisci, Roberto; Davide Ariu; Prahlad Fogla; Giorgio Giacinto; Wenke Lee (2009). “McPAD : A Multiple Classifier System for Accurate Payload-based Anomaly Detection” (PDF). Computer Networks [англ.]. 5 (6): 864—881. DOI:10.1016/j.comnet.2008.11.011.
  • Alonso, Samuel Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement) (англ.). Дата обращения: 17 августа 2019. Архивировано 31 июля 2021 года.