Слайд 2
В современном мире при стремительном развитии информационно-телекоммуникационных систем и сетей вопросы
![В современном мире при стремительном развитии информационно-телекоммуникационных систем и сетей вопросы безопасности](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-1.jpg)
безопасности становятся наиболее актуальными. В связи с увеличением объема информационного потока вопрос обнаружения, диагностики и дальнейшего мониторинга сетевых аномалий является одной из главных задач информационного общества
Слайд 3 В настоящее время методы обнаружения аномалий разделяются на следующие категории:
Поведенческие методы;
Методы машинного
![В настоящее время методы обнаружения аномалий разделяются на следующие категории: Поведенческие методы;](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-2.jpg)
обучения;
Методы вычислительного характера;
Методы, основанные на знаниях.
В свою очередь эти категории делятся на подклассы
Слайд 5 Система обнаружения вторжений (СОВ) – программное или аппаратное средство, предназначенное для выявления
![Система обнаружения вторжений (СОВ) – программное или аппаратное средство, предназначенное для выявления](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-4.jpg)
фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин – Intrusion Detection System (IDS).
Слайд 6
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая
![Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-5.jpg)
может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)
Слайд 7
Архитектура СОВ включает:
– сенсорную подсистему, предназначенную для сбора событий, связанных с
![Архитектура СОВ включает: – сенсорную подсистему, предназначенную для сбора событий, связанных с](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-6.jpg)
безопасностью защищаемой системы;
– подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;
– хранилище, обеспечивающее накопление первичных событий и результатов анализа;
– консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты
Слайд 8 Современные методы обнаружения вторжений базируются на нескольких основных принципах:
Сигнатурный: описывают каждую атаку
![Современные методы обнаружения вторжений базируются на нескольких основных принципах: Сигнатурный: описывают каждую](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-7.jpg)
особой моделью или сигнатурой, в качестве которой могут применяться строка символов, семантическое выражение на специальном языке, формальная математическая модель
Слайд 9 Поведенческий (обнаружение аномалий): базируются не на моделях информационных атак, а на моделях
![Поведенческий (обнаружение аномалий): базируются не на моделях информационных атак, а на моделях](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1051077/slide-8.jpg)
штатного функционирования ИС. Принцип работы любого из таких методов состоит в обнаружении несоответствия между текущим режимом работы ИС и режимом работы, отвечающим штатной модели данного метода. Любое несоответствие рассматривается как информационная атака. Преимущество методов данного типа – возможность обнаружения новых атак без модификации или обновления параметров модели.