Введение
ГЛАВА 1. Анализ систем обнаружения вторжений.постановка задач исследования 13
1.1. Структуры систем обнаружения вторжений 13
1Л Л-Классическая структура 13
1-1-2. Структура современных систем 15
1.1.3. Результаты анализа 17
1.2. Анализ методов обнаружения и оценивания аномалий, основанных использовании параметров измерений подсистем ИС 18
1.2Л. Использование параметров измерений ИС 19
1.2*2. Оценивание общего состояния аномалии в ИС 20
1.2.3. Описательная статистика . ; 21
1.2 А Нейронные сети 24
1.2.5- Генерация шаблонов 25
1.2.6. Метод, основанный на применении марковской модели 27
1-2,7. Результаты анализа 28
1.3. Анализ методов обнаружения и оценивания аномалий ИС, использующих данные о процессах ОС 31
L3Л. МетодыN-gram, V-gram ; 31
1.3.2. Применение конечного автомата 33
1.3.3. Использование недетерминированного конечного и магазинного автоматов 34
1*3 А Метод виртуального пути (VtPath) 35
1.3,5. Результаты анализа 37
1*4. Постановка задач исследования 39
ГЛАВА 2. Формализованная модель процессов операционной системы. выбор методов решения 43
2.1» Общий подход к решению задач обнаружения п оценивания 43
2.2. Определение признакового пространства процессов ОС 45
2.2.1, Общая характеристика процесса ОС 45
2.2.2, Реализация процесса ОС 48
2,2-3. Выбор составляющих элементов процессов ОС 49
2.2.4. Определение перечня признаков состояний, характеризующих выполнение процесса ОС 50
2.2.5. Определение реализации процесса ОС на основе введенного пространства признаков 59
2.2.6. Геометрическая интерпретация основных задач 62
2,3* Исследование процессов ОС, создаваемых для выполнения программ ИС в ОС, во введенном признаковом пространстве 63
2.3.1. Инструментарий исследования 63
2.3.2. Процессы ОС программы Sendmail 66
2.3.3. Процессы ОС программы Smbd 68
2.3 А Процессы ОС программы Nfsd 69
2.3.5. Процессы ОС программы Portmap 70
2.3.6. Процессы ОС программы Inetd 71
2.3.7. Процессы ОС программы Routed 73
2.3.8. Процессы ОС программы Telnetd * 73
2.3.9. Процессы ОС программы Ftpd 75
2-3 Л 0. Обоснование применимости признакового пространства для решения основных задач 78
2.4. Разработка модели процессов ОС, создаваемых для выполнения программы ИС в ОС 82
2.4.1. Алгоритм процесса ОС 83
2.4.2, Взаимодействие процесса ОС с объектами ИС 87
2.43. Выводы 89
2.5. Выбор методов для обнаружения и оценивания аномалий в ИС 89
2.5.1, Постановка задач обнаружения и оценивания аномалий с позиции теории распознавания образов 90
2.5.2, Особенности распознавания аномальной деятельности 93
2.5.3, Выбор методов теории распознавания образов 94
2.6. Выводы 98
ГЛАВА 3. Методика обнаружения и оценивания аномалий в информационных системах 100
3.1. Общее описание методики 100
3.2. Обнаружение аномалий 102
3.2.1, Прогнозирование значений аргументов СВ на основе метода комплсксирования аналогов 104
3.2.2, Оптимизация модели нормального поведения на основе метода скользящего контроля 105
3.2.3, Обнаружение аномалий во взаимодействии с объектами ИС 107
3,2.4- Экспериментальное обнаружение аномалий в ИС, построенных на базе
ОС Linux 109
3.3 Оценивание аномалий 111
3,3Л, Подход к количественному оцениванию аномалий процессов ОС 111
3-3.2, Выявления опасных областей признакового пространства 113
3.3.3. Описание алгоритма кластеризации 116
3.3.4. Экспериментальное построение кластеров оценивания в ОС Linux,,,, 119
3.3.5. Экспериментальное оценивание опасности аномалий вИС, построенных на базе ОС Linux 122
3-3.6- Экспериментальное моделирование нормального поведения процессов
ОС, создаваемых для выполнения программ ИС в ОС Linux 125
3.4. Достоверность методики 127
3.5. Выводы 128
ГЛАВА 4. Рекомендации по применению разработанной методики в системах обнаружения вторжений 130
4Л. Рекомендации по применению разработанной методики 131
4.1.1* Назначение системы обнаружения и оценивания аномалий 131
4Л .2. Структура системы обнаружения и оценивания аномалий 132
4Л.З. Основные требования к подсистемам и обрабатываемым данным 135
4 Л ,4. Адаптация системы к аппаратным и программным платформам 139
4.1.5. Использование подсистем системы в составе многоагентных систем
обнаружения вторжений 140
4 Л .6. Методика оценивания системы 141
4.2. Реализация системы обнаружения и оценивания аномалий в ИС на
базе ОС Linux 2.4.22 142
4,2Л. Подсистема обнаружения аномалий процесса 144
4.2.2. Подсистема оценивания аномалий процесса 145
4.2.3. Особенности обработки СВ ехес(), fork(), сигналов ядра ОС 146
4.3. Реализация модуля ядра ОС Linux 2.4.22 147
4.3,1. Перехват системных вызовов 147
4-3-2. Обмен данными между модулем ядра и системой 150
4.3,3- Вычисление адресов точек запроса 154
4.4. Оценивание разработанной программной системы 156
4-4-1- Производительность 157
5 4,4.2, Определение количества выявленных аномалий, требующих привлечения эксперта 158
4-4,3, Требования к размеру физической памяти для хранения модели нормального выполнения процесса ОС 159
4,5- Выводы 161
Заключение 163
Список литературы
