Предотвращение компьютерных атак на основе ассоциаций иммунной системы человека и операционной системы ЭВМ

Современные подходы к обнаружению атак в основном базируются на исследовании только одного источника информации, например, сетевого трафика, использования системных ресурсов или логирования. Мы можем получить более точные заключения о факте атаки, если будем использовать всю доступную информацию. В этой статье мы представим подход к системе предотвращения атак (Intrusion Prevention System, IPS), которая пытается решить эту проблему и инициирует активный ответ только на действительно опасные события безопасности. Мы покажем связь между Опасной Теорией иммунологии и компонентами операционной системы для создания системы предотвращения атак. Мы также предложим технику на основе клональной селекции иммунной системы, которая связывает аномальные отклонения в поведении системных процессов с получаемым сетевым трафиком и может генерировать новые сигнатуры сетевых атак на лету. Мы обсудим реализацию этого подхода на примере разрабатываемого прототипа, который работает в пространстве ядра Linux. Наш IPS совмещает сигнатурный и аномальный подходы и осуществляет балансировку между соответствующими модулями несколькими методами.