Выбор технологий Data Mining для систем обнаружения вторжений в корпоративную сеть - page 2

Т.И. Булдакова
,
А.Ш. Джалолов
2
Пусть имеем множество ситуаций нарушения ИБ
{
}
1
, ,
l
X X X
=
K
,
каждое
i
-е событие описывается вектором признаков
i
X
=
(
)
1 2
,
, ,
i
i
i
n
x x
x
=
K
, где
l
– количество угроз ИБ;
n
– количество при-
знаков. По результатам анализа этих признаков происходит иденти-
фикация подозрительной деятельности, и СОВ выполняет опреде-
ленные защитные действия из множества возможных вариантов
{
}
1
, ,
m
Y y
y
=
K
, где
m
– количество защитных мер.
Для реализации функций по защите от вторжений современная
СОВ должна содержать следующие основные элементы (рис. 1):
подсистему сбора информации;
подсистему анализа;
модуль управления;
модуль реагирования.
Рис. 1.
Общая структура системы обнаружения вторжений
Подсистема сбора информации аккумулирует данные о работе
защищаемой системы. Для сбора информации используются авто-
номные модули
-
датчики. Количество используемых датчиков раз-
лично и зависит от специфики защищаемой системы.
Подсистема анализа (обнаружения) осуществляет поиск атак и
вторжений в защищаемую систему. Она структурно состоит из одно-
го или более модулей анализа – анализаторов. Каждый анализатор
выполняет поиск атак или вторжений определенного типа. Входными
данными для анализатора является информация из подсистемы сбора
информации или от другого анализатора. Результат работы подси-
стемы представляется в виде индикации о состоянии защищаемой
системы и другой необходимой информации.
Модуль управления позволяет управлять компонентами СОВ, а
также следить за состоянием защищаемой системы.
1 3,4,5,6,7,8,9,10,11,12,...14
Powered by FlippingBook