Обнаружение вторжений в компьютерные сети (сетевые аномалии)
Гриф
Рекомендовано УМО по образованию в области Инфокоммуникационных технологий и систем связи в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению подготовки бакалавров и магистров «Инфокоммуникационные технологии и системы связи»
Даны основные определения и понятия в области систем обнаружения вторжений и компьютерных атак. Рассмотрены принципы построения и структура систем обнаружения вторжений. Анализируются способы развертывания, достоинства и недостатки существующих систем обнаружения вторжений. Центральное место в книге уделено методам обнаружения сетевых аномалий. Рассмотрены методы кратномасштабного вейвлет- и мультифрактального анализа алгоритмов обнаружения аномальных вторжений. Проведен анализ статистических, интеллектуальных, иммунных, нейросетевых и других алгоритмов обнаружения аномалий. Для студентов, обучающихся по направлению подготовки бакалавров и магистров
«Инфокоммуникационные технологии и системы связи», может быть полезно аспирантам и студентам, обучающимся по группе специальностей направления «Информационная безопасность» и специалистам в области защиты информации и безопасности инфокоммуникаций.
ГЛАВА 1. КОМПЬЮТЕРНЫЕ АТАКИ
1.1. Основные определения и понятия
1.2. Этапы реализации атак
1.2.1. Сбор информации
1.2.2. Основные механизмы реализации атак
1.2.3. Реализация атак
1.2.4. Завершение атаки
1.3. Классификация атак
ГЛАВА 2. ПРИНЦИПЫ ПОСТРОЕНИЯ СОВ
2.1. Классификация СОВ
2.2. Архитектура СОВ
2.3. Структура системы обнаружения вторжения
ГЛАВА 3. ТЕХНОЛОГИИ ПОСТРОЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК
3.1. Существующие технологии СОВ
3.1.1. Технологии обнаружения аномальной активности
3.1.2. Анализ систем, использующих сигнатурные методы
3.1.3. Концепция обнаружения компьютерных угроз
3.2. Повышение эффективности систем обнаружения атак – интегральный подход
3.3. Характеристика направлений и групп методов обнаружения вторжений
3.4. Сравнительный анализ существующих СОВ
3.4.1. Bro
3.4.2. OSSEC
3.4.3. STAT
3.4.4. Prelude
3.4.5. Snort
3.4.6. SnortNet
3.4.7. AAFID
ГЛАВА 4. АНАЛИЗ СЕТЕВОГО ТРАФИКА И КОНТЕНТА
4.1. Программы анализа и мониторинга сетевого трафика
4.1.1. Программы-анализаторы сетевого трафика
4.1.2. Обзор программ-анализаторов (снифферов) сетевого трафика
4.2. Получение и подготовка исходных данных для анализа свойств аномалий трафика
4.3. Анализ образцов трафика.
4.3.1. Трассы и их анализ
4.3.2. Тестирование программного обеспечения
ГЛАВА 5. АНАЛИЗ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ
5.1. Статистические методы обнаружения аномального поведения
5.2. Ошибки первого и второго рода. ROC кривые
5.3. Критерии соответствия и однородности
5.4. Параметрический метод регистрации изменений
5.4.1. Контрольные карты
5.4.2. Контрольные карты Шухарта
5.4.3. Контрольные карты CUSUM
5.4.4. Контрольные карты EWMA
5.5. Критерии аномального поведения и их практическое применение
5.5.1. Процентное отклонение (PD)
5.5.2. Энтропия
5.6. Методы описательной статистики
5.7. Поиск и оценка аномалий сетевого трафика на основе циклического анализа
5.8 Обнаружение аномалий методом главных компонент
5.8.1 Основные положения метода главных компонент
5.8.2 Метод главных компонент (Singular Spectrum Analysis – SSA)
5.8.3 Метод главных компонент (РСА) в сети и обнаружение аномалий
5.9. Достоинства и недостатки статистических методов
ГЛАВА 6. ОБНАРУЖЕНИЕ АНОМАЛЬНЫХ ВЫБРОСОВ ТРАФИКА МЕТОДАМИ КРАТНОМАСШТАБНОГО АНАЛИЗА (КМА)
6.1. Основы теории вейвлетов
6.2. Непрерывное вейвлет-преобразование
6.3. Дискретное вейвлет-преобразование. Алгоритм Малла
6.4. Анализ методов обнаружения аномалий трафика с помощью вейвлетов
6.5. Алгоритм обнаружения аномалий методом дискретного вейвлет-преобразования
6.5.1. Алгоритм обнаружения аномалий по критерию Фишера для выбросов дисперсий
6.5.2. Алгоритм обнаружения аномалий на основе критерия Кохрана-Кокса
6.5.3. Алгоритм обнаружения аномалий по критерию Фишера для выбросов средних значений
6.5.4. Выбор порогов обнаружения
6.6. Дискретное Вейвлет-пакетное преобразование (ВПП)
6.7. Обнаружение DoS и DDoS – атак методами мультифрактального анализа
6.7.1. Фрактальные свойства телекоммуникационного трафика
6.7.2. Обнаружение DoS и DDoS атак методом мультифрактального анализа
ГЛАВА 7. МЕТОДЫ ИНТЕЛЛЕКТУАЛЬНОГО АНАЛИЗА ДАННЫХ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
7.1. Методы Data Mining
7.2. Метод опорных векторов
7.3. Обнаружение аномалий трафика с применением нейронных сетей
7.3.1. Выявление аномалий сетевой активности с применением аппарата искусственных нейронных сетей (ИНС)
7.3.2. Применение нейронных сетей в задачах обнаружения вторжений
7.3.3. Архитектурные решения СОВ
7.3.4. Результаты экспериментов
7.4. Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей
7.4.1. Многоагентные системы
7.4.2. Системы анализа защищенности
7.5. Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак
7.5.1. Построения искусственной иммунной системы для обнаружения компьютерных атак
7.5.2. Метод функционирования иммунных нейросетевых детекторов
7.5.3. Алгоритм функционирования системы обнаружения вторжений на базе искусственных иммунных систем и нейронных сетей
7.6. Визуальный анализ данных
7.6.1. Анализ методов визуализации
7.6.2. Использование преобразования Хафа для обнаружения аномалий трафика
© 2002-2023 Научно-техническое издательство
«Горячая линия – Телеком»
Оплата банковской картой онлайн
Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети (сетевые аномалии)
Даны основные определения и понятия в области систем обнаружения вторжений и компьютерных атак. Рассмотрены принципы построения и структура систем обнаружения вторжений.
Анализируются способы развертывания, достоинства и недостатки существующих систем обнаружения вторжений. Центральное место в книге уделено методам обнаружения сетевых аномалий. Рассмотрены методы кратномасштабного вейвлет- и мультифрактального анализа алгоритмов обнаружения аномальных вторжений. Проведен анализ статистических, интеллектуальных, иммунных, нейросетевых и других алгоритмов обнаружения аномалий.
Для студентов, обучающихся по направлению подготовки бакалавров и магистров 210700 – «Инфокоммуникационные технологии и системы связи», может быть полезно аспирантам и студентам, обучающимся по группе специальностей направления «Информационная безопасность» и специалистам в области защиты информации и безопасности инфокоммуникаций.
Предисловие
Компьютерные атаки
Основные определения и понятия
Классификация атак
Этапы реализации атак
Сбор информации
Основные механизмы реализации атак
Реализация атак
Завершение атаки
Принципы построения систем обнаружения вторжений
Классификация СОВ
Архитектура СОВ
Структура системы обнаружения вторжения
Технологии построения систем обнаружения атак
Существующие технологии СОВ
Технологии обнаружения аномальной активности
Анализ систем, использующих сигнатурные методы
Концепция обнаружения компьютерных угроз
Повышение эффективности систем обнаружения атак — интегральный подход
Характеристика направлений и групп методов обнаружения вторжений
Сравнительный анализ существующих СОВ
Bro
OSSEC
STAT
Prelude
Snort
SnortNet
AAFID
Анализ сетевого трафика и контента
Программы анализа и мониторинга сетевого трафика
Программы-анализаторы сетевого трафика
Обзор программ-анализаторов (снифферов) сетевого трафика
Получение и подготовка исходных данных для анализа свойств аномалий трафика
Анализ образцов трафика
Трассы и их анализ
Тестирование программного обеспечения
Анализ методов обнаружения аномалий
Статистические методы обнаружения аномального поведения
Ошибки первого и второго рода. ROC кривые:
Критерии соответствия и однородности
Параметрический метод регистрации изменений
Контрольные карты
Контрольные карты Шухарта
Контрольные карты CUSUM
Контрольные карты EWMA
Критерии аномального поведения и их практическое применение
Процентное отклонение
Энтропия
Методы описательной статистики
Поиск и оценка аномалий сетевого трафика на основе циклического анализа
Обнаружение аномалий методом главных компонент
Основные положения метода главных компонент
Сингулярный спектральный анализ
Метод главных компонент и обнаружение аномалий :
Достоинства и недостатки статистических методов
Обнаружение аномальных выбросов трафика методами кратномасштабного анализа
Основы теории вейвлетов
Непрерывное вейвлет-преобразование
Дискретное вейвлет-преобразование. Алгоритм Малла :
Анализ методов обнаружения аномалий трафика с помощью вейвлетов
Алгоритм обнаружения аномалий методом дискретного вейвлет-преобразования
Алгоритм обнаружения аномалий по критерию Фишера для выбросов дисперсий
Алгоритм обнаружения аномалий на основе критерия Кохрана–Кокса
Алгоритм обнаружения аномалий по критерию Фишера для выбросов средних значений
Выбор порогов обнаружения
Дискретное вейвлет-пакетное преобразование
Обнаружение DoS- и DDoS-атак методами мультифрактального анализа
Фрактальные свойства телекоммуникационного трафика
Обнаружение DoS- и DDoS-атак методом мультифрактального анализа
Методы интеллектуального анализа данных в системах обнаружения вторжений
Методы Data Mining :
Метод опорных векторов :
Обнаружение аномалий трафика с применением нейронных сетей :
Выявление аномалий сетевой активности с применением аппарата искусственных нейронных сетей
Применение нейронных сетей в задачах обнаружения вторжений
Архитектурные решения СОВ
Результаты экспериментов
Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей
Многоагентные системы
Системы анализа защищенности
Методы искусственных иммунных систем и нейронных
сетей для обнаружения компьютерных атак
Построения искусственной иммунной системы для обнаружения компьютерных атак
Метод функционирования иммунных нейросетевых детекторов
Алгоритм функционирования системы обнаружения вторжений на базе искусственных иммунных систем и нейронных сетей
Визуальный анализ данных
Анализ методов визуализации
Использование преобразования Хафа для обнаружения аномалий трафика
Достоинства и недостатки методов обнаружения аномалий
Литература