Введение
1.1. Задача обнаружения компьютерных атак 4
1.2. Актуальность темы 4
1.3 Цель работы 5
1.4. Методы решения ...5
1.5. Структура работы 6
2. Обзор методов и систем обнаружения компьютерных атак 7
2.1. Критерии сравнения 7
2.1.1. Критерии сравнения методов обнаружения атак 7
2.1.2. Критерии сравнения систем обнаружения атак 8
2.2. Методы обнаружения атак 10
2.2.1. Методы обнаружения злоупотреблений 11
2.2.2. Методы обнаружения аномалий 13
2.2.3. Результаты сравнительного анализа 14
2.3. Современные открытые системы обнаружения атак 14
2.3.1, Исследованные системы обнаружения атак 14
2.3.2. Результаты сравнительного анализа 15
2.4. Описание исследованных систем 20
2.4.1. Bro 20
2.4.2. Ossec 20
2.4.3. Stat 21
2.4.4. Prelude 22
2.4.5. Snort 24
2.5. Заключение и выводы 25
3. Модель обнаружения атак 27
3.1. Модель функционирования рис 27
3.1.1. Основные понятия и определения 28
3.1.2. Модель поведения объекта и модель атаки 30
3.2. Формальная постановка задачи обнаружения атак 33
3.3. Распознавание нормальных и аномальных траекторий 33
3.4. Язык описания автоматов первого и второго рода 35
3.5. Алгоритмы обнаружения атак 38
4. Экспериментальная система обнаружения атак 40
4.1. Архитектура ii алгоритмы работы системы обнаружения атак" 40
4.1.1. Структура и алгоритмы работы сетевого сенсора 42
4.1.2. Структура и алгоритмы работы узлового сенсора 49
4.1.3. Структура и алгоритмы работы подсистемы реагирования 50
4.1.4. Структура и алгоритмы работы консоли управления 52
4.1.5. Организация иерархического хранилища данных 56
4.2. Выводы по архитектуре 57
5. Исследование эффективности экспериментальной СОА 59
5.1. Набор тестовых примеров 59
5.2. Тестовые сценарии обнаружения 59
5.3. Состав и структура инструментального стенда 61
5.3,1. Сетевая инфраструктура 63
5.3.2. Серверные узлы 63
5.3.3. Рабочие станции бз
5.3.4. Атакующие узлы 63
5.4. Порядок испытаний 63
5.5. Результаты испытаний 64
5.6. Выводы 64
6. Заключение 65
7. Литература
