Danger Theory
Оказывается теперь иммунология и computer science стали расти и развиваться параллельно. Новый тренд - это теория опасности (так и называется - danger theory). В ней постулирован отказ от модели паттернов "свой-чужой", и по существу, сетевая модель иммунного ответа, которую Нильс Кай Ерне придумал в 1974-м, уже признана несостоятельной - хотя первоначальные иммунные алгоритмы опирались на неё. Главная проблема сетевой модели в том, что она предполагает распространение волны сигнала опасности в форме неограниченно расширяющегося фронта плодящихся лимфоцитов (экспоненциальный рост), чего в реальном организме никогда не происходит. Суть danger theory - в идентификации именно опасности, а не антигенности/чужеродности воздействия, то есть hazardous activities могут быть на самом деле вполне лояльными (в терминах теории - апоптозными, сие значит, что "потенциально вредоносные" процессы и потоки данных угасают сами собой), а реально атакующие воздействия именуются в терминах теории некрозными - их интенсивность не имеет тенденции к снижению в течение длительного интервала(по компьютерным, а не человеческим масштабам времени).
К примеру, интервал между началом и пиком DDOS-атаки - по человеческим меркам весьма короткий - позволяет в теории искусственной иммунной системе зафиксировать коррелляцию между диапазоном IP и стратегией формирования пакетного урагана. То есть запирание диапазонов будет происходит по наличию коррелляции во временной статистике прибытия потоков "штормовых" пакетов. При этом изменение стратегии со стороны атакующего будет столь же быстро отслеживаться иммунной системой. В неё например могут быть изначально заложены типовые стратегии атак, которые она будет постоянно корректировать и расширять.
PS Это всё на словах коротенько, а реальных прототипов, как я понимаю, пока нет. Или может...есть уже в недрах Пентагона?
К примеру, интервал между началом и пиком DDOS-атаки - по человеческим меркам весьма короткий - позволяет в теории искусственной иммунной системе зафиксировать коррелляцию между диапазоном IP и стратегией формирования пакетного урагана. То есть запирание диапазонов будет происходит по наличию коррелляции во временной статистике прибытия потоков "штормовых" пакетов. При этом изменение стратегии со стороны атакующего будет столь же быстро отслеживаться иммунной системой. В неё например могут быть изначально заложены типовые стратегии атак, которые она будет постоянно корректировать и расширять.
PS Это всё на словах коротенько, а реальных прототипов, как я понимаю, пока нет. Или может...есть уже в недрах Пентагона?