Область наук:
  • Комп'ютер та інформатика
  • Рік видавництва: 2004
    Журнал: Известия Південного федерального університету. Технічні науки

    Наукова стаття на тему 'Кореляція попереджень в системі виявлення атак'

    Текст наукової роботи на тему «Кореляція попереджень в системі виявлення атак»

    ?681.3.06

    Е.С.Абрамов, Л.К.Бабенко, О.Б.Макаревіч, О.Ю.Пескова КОРЕЛЯЦІЯ ПОПЕРЕДЖЕНЬ В СИСТЕМІ ВИЯВЛЕННЯ АТАК

    Нехай для реалізації атаки необхідно вжити ряд послідовних кроків: збір розвідувальної інформації, проникнення, отримання привілеїв, виконання певних дій і т.п. Тоді етапи реалізації можна організувати в «план атаки». Призначення модуля кореляції - на підставі повідомлень про атаки розпізнати план атаки.

    Кореляція попереджень дозволяє вирішити наступні проблеми:

    - зменшити число помилкових спрацьовувань (false positive);

    - зменшити число пропуску атак (false negative);

    - отримати більш повну і точну інформацію про причини виникнення попередження.

    Для цього необхідно проводити накопичення повідомлень мережевих датчиків (т.зв. «примітивів»). Зазвичай вони містять велику кількість помилкових повідомлень. У блоці накопичення зберігаються повідомлення за певний проміжок часу. Після закінчення цього часу «примітиви» подаються на вхід блоку кореляції. Блок кореляції реалізує деяку функцію об'єднання, яка на підставі аналізу вхідних даних формує повое повідомлення. Це повідомлення дозволяє отримати синтетичну інформацію про зареєстровані атаках. Можна визначити, на якій стадії здійснення знаходиться виявлена ​​атака, і передбачити її розвиток. Робота підтримана грантом РФФД № 04-07-90137.

    1. Абрамов Е.С., Анікєєв М.В, Макаревич О.Б., Підготовка даних для використання в навчанні і тестуванні нейромереж при виявленні атак // Праці V Міжнародної науково-практичної конференції «Інформаційна безпека», Таганрог, 2003 р.

    2. Frederic Cuppens, Alexandre Miege, Alert Correlation in a Cooperative Intrusion Detection Framework // ONERA Centre de Toulouse, 2002 р.


    Завантажити оригінал статті:

    Завантажити