пример организации такого
анализа, который известен из литературы под названием "Модель выявления
нарушения безопасности". Эта модель, опубликованная D.Denning в 1987 г.,
явилась базисом создания экспертной системы IDES для решения задач выявления
нарушений безопасности. Модель включает 6 основных компонент:
*
субъекты,
которые инициируют деятельность в системе, обычно - это пользователи;
*
объекты,
которые составляют ресурсы системы - файлы, команды, аппаратная часть;
*
АИ
- записи,
порожденные действиями или нарушениями доступов субъектов к объектам;
*
профили -
это структуры, которые характеризуют поведение субъектов в отношении объектов в
терминах статистических и поведенческих моделей;
*
аномальные
данные, которые характеризуют выявленные случаи ненормального поведения;
*
правила
функционирования экспертной системы при обработке информации, управление.
Основная идея модели - определить
нормальное поведение системы с тем, чтобы на его фоне выявлять ненормальные
факты и тенденции. Определению субъектов и объектов мы уделили достаточное
вниманиев параграфе 1.1. Остановимся подробнее на описаниии примерах остальных
элементов модели.
АИ - это совокупность записей,
каждая из которых в модели представляет 6-мерный вектор, компоненты которого
несут следующую информацию:
<субъект; действие; объект;
условия для предоставления исключения; лист использования ресурсов; время>,
где смысл компонент следующий.
Действие - операция, которую
осуществляет субъект и объект.
Условия для предоставления
исключения, если они присутствуют, определяют, что дополнительно надо предпринять
субъекту,
Главная / безопасность пк / методы защиты информации 