- •Выпускная квалификационная работа дипломированного специалиста
- •Лабораторный стенд для изучения принципов работы системы обнаружения вторжений. Сигнатурные методы анализа
- •Реферат
- •Основные определения
- •Перечень сокращений
- •Аннотация
- •Содержание
- •1. Анализ задачи проектирования 10
- •2. Теоретические основы систем обнаружения вторжений 15
- •3. Описание лабораторного стенда 26
- •4. Технологический раздел 45
- •5. Экономическая часть проекта 52
- •6. Эргономическая часть проекта 69
- •Введение
- •Анализ задачи проектирования
- •Основные функции программного обеспечения
- •Выбор инструментария и сторонних библиотек
- •Обзор прототипов системы
- •Система обнаружения вторжений Snort
- •Теоретические основы систем обнаружения вторжений
- •Технология обнаружения вторжений
- •Классификация систем обнаружения вторжений
- •Обнаружение аномалий в защищаемой системе и обнаружение злоупотреблений
- •Выбор оптимального множества параметров оценки
- •Определение общего показателя «аномальности»
- •Методы обнаружения аномалий
- •Методы обнаружения вторжений
- •Системы обнаружения вторжений на уровне сети или хоста
- •Описание лабораторного стенда
- •Описание интерфейса программы
- •Сигнатуры атак
- •Smurf-атака
- •Land-атака
- •Атака на сервисы Windows
- •Запрещённые комбинации tcp-флагов
- •Технологический раздел
- •Руководство программиста
- •Описание входных данных
- •Описание выходных данных
- •Программная реализация лабораторного стенда
- •Тестирование
- •Экономическая часть проекта
- •Оценка затрат
- •Расчет трудоемкости разработки программного продукта
- •Расчет стоимости машинного часа
- •Амортизация оборудования
- •Расходы на отопление и водоснабжение
- •Расходы на зарплату обслуживающего персонала
- •Прочие расходы (почта, телеграф и т.Д.)
- •Расчет себестоимости программного продукта
- •Обоснование цены программного продукта
- •Анализ конкурентоспособности
- •Расчет экономического эффекта от внедрения программного продукта
- •Эргономическая часть проекта
- •Оценка показателей лабораторного стенда, задающих необходимое качество взаимодействия человека с машиной
- •Меры минимизации помех разработчику лабораторного стенда
- •Меры повышения удобств для разработчика лабораторного стенда
- •Вопросы охраны труда и техники безопасности
- •Анализ вредных и опасных факторов производственной среды
- •Производственное помещение и размещение оборудования
- •Микроклимат и организация воздухообмена
- •Производственное освещение
- •Эргономика организации рабочего места. Режим труда и отдыха
- •Электробезопасность
- •Пожарная безопасность
- •Охрана окружающей среды
- •Заключение
- •Библиографический список
Система обнаружения вторжений Snort
Система обнаружения вторжений Snort представляет собой программу с открытым исходным кодом. Функционал данного продукта включает в себя:
обновление базы правил в автоматическом режиме;
возможность написания собственных сигнатур;
поддержка журналирования событий системы.
Программный продукт работает в трех режимах: прослушивание сетевого адаптера (вывод трафика на экран), запись перехваченного сетевого трафика в файл и анализ захваченного трафика в соответствии с настройками пользователя.
Данную систему рекомендуют размещать перед межсетевым экраном для возможности получения информации обо всех попытках вторжения, что позволит вовремя среагировать на них.
Snort может эксплуатироваться на операционных системах Windows и Linux. Интерфейс программы – командная строка.
Теоретические основы систем обнаружения вторжений
Технология обнаружения вторжений
Системы обнаружения вторжения (СОВ) – аппаратные или программные средства, собирающие информацию с различных точек вычислительной сети и анализирующие её с целью выявления нарушений защиты (вторжений) или попыток нарушения. Обнаружение вторжений помогает при превентивной идентификации активных угроз через оповещения и предупреждения.
Технология обнаружения вторжений решает несколько главных задач:
Снижает нагрузку на персонал, обслуживающий систему защиты и отвечающий за безопасность, от однообразных операций по контролю над действиями пользователей, системами и сетями, являющимися компонентами информационной системы.
Предоставляет возможность управления средствами защиты в области безопасности не специалистам.
Распознаёт известные (по возможности, и неизвестные) атаки и уязвимости и предупреждает о них персонал, отвечающий за обеспечение информационной безопасности.
Технологии обнаружения вторжений позволяют контролировать эффективность других защитных систем: межсетевые экраны (брандмауэры), системы идентификации и аутентификации, разграничения доступа, средства установления виртуальных частных сетей и криптографической защиты информации, антивирусные системы. Все они выполняют существенно или критически важные функции по защите информации.
Обобщённо структуру СОВ можно представить в виде трёх подсистем: подсистемы сбора информации, анализа и представления данных.
Подсистема сбора информации собирает данные о работе защищаемой системы. Для сбора информации используются так называемые автономные модули или, по-другому, датчики. Существует несколько разновидностей автономных модулей. Среди них выделяют датчики хоста, сети, межсетевые датчики и датчики приложений. Количество датчиков, используемых в системах обнаружения вторжений, зависит от специфики защищаемой системы.
Подсистема анализа состоит из одного или нескольких модулей анализа – анализаторов. В СОВ может находиться несколько анализаторов. Каждый из них выполняет поиск вторжений или атак конкретного типа. Чем больше анализаторов, тем выше будет эффективность обнаружения. Входные данные для анализатора – сведения, полученные из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – отображение состояния защищаемой системы.
Подсистема представления данных необходима для информирования определённого круга лиц (например, администраторов безопасности) о состоянии, в котором находится защищаемая система. В системах с разграничением доступа каждая группа пользователей осуществляет контроль за определенными подсистемами защищаемой системы.