Введение
ГЛАВА 1. Классификация сетевых аномалий и анализ существующих методов их обнаружения
1.1 Классификация сетевых аномалий із
1.1.1 Удаленное сканирование сетевых ресурсов 14
1.1.2 «Отказ в обслуживании» 15
1.1.3 Удаленное «переполнение буфера» 15
1.1.4 Аппаратные сбои сетевых устройств 16
1.1.5 Программные сбои сетевых приложений 16
1.1.6Вирусы, сетевые черви 17
1.1.7 Скрытые люки 17
1.2 Особенности аномалий, распределенных во времени 18
1.3 Обзор существующих методов обнаружения аномалий 21
1.3.1 Методы выявления аномалий, реализованные в современных системах. 22
1.3.2 Обзор результатов исследований, проводимых в зарубежных научно-исследовательских центрах 29
1.4 Требования к создаваемой методике и ее программной реализации 42
1.4.1 Требования к методу обнаружения аномалий 42
1.4.2 Требования к технической реализации 43
1.4.3 Пользовательские требования 44
Выводы 45
ГЛАВА 2. Разработка методики обнаружения аномалий 47
2.1 Схема обработки сетевого трафика 48
2.2 Выбор объекта анализа 49
2.3 Модель сетевого устройства 54
2.4 Структуризация сетевого трафика 61
2.5 Формирование шаблона нормального поведения сетевого устройства 63
2.6 Методика выявления распределенных во времени аномалий 67
Выводы 72
ГЛАВА 3. Разработка системы принятия решений по выявлению аномалий, распределенных во времени 73
3.1. Исследование математических свойств характеристик сетевых устройств 73
3.1.1 Описание тестовой среды 73
3.1.2 Анализируемые массивы данных 75
3.1.3 Результаты анализа математических свойств отдельных характеристик * (одномерный анализ) 77
3.1.4 Результаты анализа математических свойств совокупности характеристик (многомерный анализ) 82
3.2 Система принятия решений для выявления аномалий 88
3.2.1 Основные принципы, лежащие в основе системы принятия решений 88
3.2.2 Построение системы принятия решений, оценивающей степень аномальности отдельных событий 90
3.2.3 Построение системы принятия решений, оценивающей степень аномальности множества событий 98
3.3 Вопросы автоматизации системы принятия решений и анализа ее
эффективности 104
выводы 116
ГЛАВА 4. Разработка программной системы выявления аномальных состояний компьютерной сети П8
4.1 Архитектура САВС 119
4.1.1 Принципы функционирования 119
4.1.2. Соотнесение принципов архитектуры САВС с требованиями к методике выявления аномалий 120
4.1.3 Вопросы повышения эффективности работы отдельных компонент 122
4.2 Структуры таблиц базы данных 124
4.3 Сетевой агент 125
4.4 Система управления ресурсами 128
4.5 Система отображения и анализа данных 142
4.6 Интеграция компонент савс 150
Опытная эксплуатация савс . 151
Выводы 152
Заключение 154
Библиография
