- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
ФГБОУ ВПО «Воронежский государственный
технический университет»
Г.А. Остапенко Н.М. Радько М.П. Иванкин Г.А. Савенков
МОДЕЛИ ОБНАРУЖЕНИЯ СЕТЕВЫХ ВТОРЖЕНИЙ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2013
УДК 004.056.5
Модели обнаружения сетевых вторжений : учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (653 Кб) / Г.А. Остапенко, Н.М. Радько, М.П. Иванкин, Г.А. Савенков. – Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2013. – 1 электрон. опт. диск (CD-ROM). – Систем. требования: ПК 500 и выше ; 256 Мб ОЗУ ; Windows XP ; MS Word 2007 или более поздняя версия ; 1024x768 ; CD-ROM ; мышь. – Загл. с экрана. – Диск и сопровод. материал помещены в контейнер 12x14 см.
В учебном пособии представлены разработка и формализация методик количественной оценки эффективности системы обнаружения вторжений. Эти методики позволят осуществлять обоснованный выбор системы обнаружения вторжений наиболее пригодной для эксплуатации в конкретной автоматизированной системе.
Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по специальности 090301 «Компьютерная безопасность», дисциплине «Компьютерные преступления в распределенных компьютерных системах».
Табл. 9. Ил. 20. Библиогр.: 95 назв.
Рецензенты: ОАО «Концерн «Созвездие»
(канд. техн. наук, ст. науч. сотрудник О.В. Поздышева);
д-р техн. наук, проф. А.Г. Остапенко
©, Остапенко Г.А., Радько Н.М., Иванкин М.П., Савенков Г.А., 2013
© Оформление. ФГБОУ ВПО «Воронежский государственный технический университет», 2013
Введение
С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как для ее нарушения стало достаточным получить доступ к одному из них.
В особенности это стало чувствительным для критической инфраструктуры, от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям.
С целью нейтрализации актуальных угроз безопасности информации, стали предъявляться новые требования по созданию систем обнаружения вторжений.
Система обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для обнаружения вторжений в вычислительную систему со стороны внешних нарушителей или со стороны авторизованных пользователей, некорректно использующих вычислительную систему [20].
У всех СОВ есть общие свойство - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Существует три основных подхода обнаружения атак:
анализ сигнатур - базируется на простом совпадении последовательности с образцом атаки. Достоинством данного подхода является высокая скорость работы;
анализ аномалий – основан на контроле частоты событий или обнаружении статистических аномалий;
эвристический анализ - основан на поиске неизвестных атак, но при его использовании существенно увеличивается нагрузка на систему в виду сложности алгоритма;
Комбинированный подход.
Необходимо отметить, что на сегодняшний день практически отсутствуют системы комбинированного типа, а также системы, использующие информацию распределенного во времени и пространстве характера [14].
На современном этапе развития СОВ несовершенны и таят в себе множество проблем, связанных с их развертыванием, управлением, масштабированием и поддержкой. Велико число ложных срабатываний систем. СОВ требуют постоянного административного контроля. Изменяя любой компонент сети, в СОВ должны вноситься изменения, для предотвращения снижения эффективности работы. Несоответствие в конфигурации может привести к увеличению количества ложных срабатываний, а также к появлению дыр в безопасности.
Недостатки современных систем обнаружения можно разделить на две группы:
связанные со структурой СОВ:
отсутствие общей методологии построения.
сложность переноса с одной ОС на другую;
сложность обновления;
отсутствие методологии тестирования.
относящиеся к реализованным методам обнаружения:
высокий уровень ложных срабатываний и пропусков атак;
слабые возможности по обнаружению новых атак;
большинство вторжений невозможно определить на начальных этапах;
отсутствие оценок точности и адекватности результатов работы;
невозможно определять «старые» атаки, использующие новые стратегии;
сложность обнаружения вторжений в реальном;
сложность автоматического обнаружения сложных координированных атак;
большая нагрузка на систему, при функционировании СОВ в реальном времени;
Одним из недостатков почти всех известных систем является отсутствие встроенного имитатора атак или любого другого средства для проверки корректности развернутой и эксплуатируемой СОВ, которые обеспечивали бы возможность простого и надежного тестирования конфигурационных параметров, использованных в каждой конкретной компьютерной сети [33].
Архитектура некоторых типов имитаторов СОВ состоит из набора агентов различных типов, специализированных для решения подзадач обнаружения вторжений. Агенты размещаются на отдельных компьютерах системы. В данной архитектуре в явном виде отсутствует «центр управления» семейством агентов – в различных случаях ведущим может становиться любой из агентов, инициирующий или реализующий функции кооперации и управления. В случае необходимости агенты могут как клонироваться (осуществлять свое копирование в сетевой и локальной среде), так и прекращать свое функционирование, что очень точно передает характер большинства компьютерных вторжений.
Несмотря на недостатки, наличие СОВ является необходимой для полноценной защиты информации. Но у специалистов в области защиты информации возникает проблема проведения сравнительного анализа и обоснования выбора СОВ для эксплуатации в конкретной автоматизированной системе (АС). Такая ситуация сложилась из-за множества классификационных признаков СОВ, определяющие функциональные отличия. Решением данной проблемы является разработка и формализация методики количественной оценки эффективности СОВ. Эти методики позволят осуществлять обоснованный выбор СОВ наиболее пригодной для эксплуатации в конкретной АС.
Так как, в настоящие время, подобных методик не существует, используются ряд методик оценивания только функциональных возможностей СОВ. Основу этих методик составляет система качественных показателей, отражающие наличие или отсутствие тех или иных функциональных механизмов в СОВ.