статистический анализ аномального сетевого трафика Хан Цзин 5 курс 7 група
Список используемых обозначений и сокращений RBID – система обнаружения вторжений, основанная на правилах SBID – система обнаружения вторжений основанная на статистике MIB – объекты информационной базы IDS – Intrusion Detecting Systems HIDS – Host-based Intrusion Detection System ICMP – Internet Control Message Protocol IP – Internet Protocol NIDS – Network-based Intrusion Detection System СОАСТ – система обнаружения аномалий сетевого трафика СОА – система обнаружения атак СОВ – система обнаружения вторжений СХСТ – статистический портрет сетевого трафика СТ – сетевой трафик DoS – Denial of Service TCP – Transmission Control Protocol UDP – User Datagram Protocol
Введение В современном мире телекоммуникационные сети играют все большую роль во многих сферах человеческой жизнедеятельности. Развитие инфраструктуры сетей передачи данных и все большая значимость повышают важность их нормального функционирования. Полностью устранить появление неполадок в работе телекоммуникационных сетей не представляется возможным. Поэтому все более и более востребованными становятся системы автоматического обнаружения проблем и других аномалий в работе телекоммуникационных сетей.
Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) Обычно IDS network-based (NIDS) и host-based (HIDS) –Преимущества NIDS –Недостатки NIDS –Преимущества HIDS –Недостатки HIDS
статистический анализ аномального сетевого трафика Метод порога обнаружения. Статистический метод тестирования. Малая волна методы детектирования. Обнаружение сетевой безопасности.
Статистический метод тестирования Сетевой трафик обнаружения аномалий модели в общую концепцию дизайна: Экспорт собранных данных из локальной сети, каждый пакет классификации, статистического значения передаются в соответствующие места для хранения, а затем анализировать пакеты данных.
SimpleSniffer. После запуска этого приложения отображается информация о протоколе и источника / назначения адресов с номерами портов.
снифер HTTP пакетов перехватывает в реальном времени всю информацию по данному протоколу, поддерживает HTML, XML, GIF, JPG, Flash, Zip, Exe и пр. Позволяет детально просматривать кто, когда, откуда и что получил.
Структура TCP/IP-пакета
Создание модели сетевого потока Нормальная базовая сеть, включают следующее: –Broadcast, индивидуальной и групповой пакетов доли и численности. –Ping соответствующее время. –Правильная топология сети, второго и третьего ярусов. –Производительность на уровне приложений. –Spanning tree. – путь маршрутизации. –Разнообразные статистические данные протокола пакета. –Разнообразные услуги порта статистику пакета.
Статистические типы моделей Статистическая модель имеет 5 типов: –Операционная модель. –Дисперсия. –Многомерные модели. –Марковские модели процесса. –Модель временного ряда.
Заключение В данной курсовой работе рассмотрены системы обнаружения вторжений и сделано сравнение двух методов обнаружения сетевых атак. Учитывая недостатки существующих СОВ, имеющих в своей основе сигнатурный метод обнаружения атак, поставлены задачи по разработке системы обнаружения аномалий сети путем статистического анализа сетевого трафика.
Спасибо!