Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Селин, Роман Николаевич

Программная система и способ выявления угроз информационной безопасности в компьютерных сетях
<
Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях Программная система и способ выявления угроз информационной безопасности в компьютерных сетях
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Селин, Роман Николаевич. Программная система и способ выявления угроз информационной безопасности в компьютерных сетях : диссертация ... кандидата технических наук : 05.13.19 / Селин Роман Николаевич; [Место защиты: Юж. федер. ун-т].- Ростов-на-Дону, 2011.- 130 с.: ил. РГБ ОД, 61 12-5/1415

Содержание к диссертации

Введение

Глава 1. Обзор существующих методов и систем обнаружения сетевых атак 17

1.1 Классификация существующих подходов к обнаружению атак 20

1.2 Известные методы и технологии обнаружения атак

1.2.1 Методы сигнатурного анализа 21

1.2.2 Методы статистического анализа 22

1.2.3 Нейросетевые методы 23

1.2.4 Искусственные иммунные системы 24

1.2.5 Графовые модели атак 25

1.2.6 Биометрические методы 25

1.2.7 Методы кластерного анализа 26

1.2.8 Экспертные системы 26

1.2.9 Сводная характеристика рассмотренных методов обнаружения атак 27

1.3 Обзор и анализ существующих систем обнаружения сетевых атак 28

1.3.1 Система обнаружения атак Snort 29

1.3.2 Система обнаружения атак Вго 30

1.3.3 Система обнаружения атак STAT 31

1.3.4 Система обнаружения атака Prelude 32

1.3.5 Система обнаружения атак OSSEC 33

1.3.6 Аппаратно-программные средства Cisco Secure IPS 34

1.3.7 Система обнаружения атак RealSecure (IBM ISS) 34

1.3.8 Средства обнаружения атак Symantec Network Security 36

1.3.9 Система обнаружения атак eTrust Intrusion Detection 36

1.3.10 Сводная характеристика рассмотренных СОА 37

1.4 Обзор и анализ существующих алгоритмов поиска сигнатур в сетевом трафике 40

1.5 Постановка задач исследования 46

1.6 Выводы 48

Глава 2. Разработка модели сетевой атаки и метода обнаружения угроз на базе событий безопасности 49

2.1 Модель атаки 56

2.2 Вспомогательные понятия 58

2.3 Алгоритм анализа событий безопасности для обнаружения атак 61

2.4 Архитектура сенсора 67

2.5 Способ размещения сенсоров 70

2.6 Выводы 73

Глава 3. Разработка способа обработки сетевого трафика и локальных событий уровня хоста и алгоритма быстрого поиска для обнаружения сигнатур с неточным соответствием 74

3.1 Способ обработки сетевого трафика и локальных событий 74

3.2 Модификация алгоритма Ахо-Корасик для поиска неточного соответствия 78

3.3 Выводы 90

Глава 4. Разработка программной системы выявления угроз информационной безопасности и проведение экспериментальных исследований 91

4.1 Программная системы обнаружения угроз 91

4.2 Архитектура программной системы 92

4.2.1 Архитектура и алгоритмы работы сетевого сенсора 94

4.2.2 Разработка программных модулей сетевого сенсора 96

4.2.3 Обработчики сообщений ядра сетевого сенсора 99

4.2.4 Встроенные и подключаемые модули сенсора 102

4.2.5 Структура сообщения ядра сенсора 105

4.2.6 Формат правил настройки сенсоров

4.3 Проведение экспериментальных исследований 109

4.4 Выводы 117

Заключение 118

Список литературы

Введение к работе

Актуальность темы. Диссертация посвящена актуальной проблеме применения систем обнаружения атак (СОА) в компьютерных сетях. С одной стороны, системы обнаружения сетевых атак на компьютерные сети уже давно применяются как одно из средств защиты. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия, как защита "по периметру", "стационарная" и "динамическая" защита и т.д. С другой стороны аналитические обзоры компаний, специализирующихся в сфере интернет-технологий и защиты информации, такие как Symantec, Tmstware, Kaspersky Labs показывают, что за последние несколько лет динамика роста атак на различные информационные системы остается положительной, а методы, которыми пользуются злоумышленники и средства реализации атак, превращаются из простых ха-керских инструментов в серьезное информационное оружие. Основная часть угроз вредоносных воздействий давно переместилась внутрь защищаемых сетей.

Кроме того, существуют научные и технические проблемы применения средств обнаружения атак, как например, архитектурные ограничения существующих СОА, отсутствие методологии применения в сложных сетях, высокий уровень ложных срабатываний, что не позволяет на практике достичь желаемой эффективности средств обнаружения атак.

Все это требует модернизации методов и средств обнаружения атак, а также подходов к применению систем обнаружения атак в компьютерных сетях.

Объект исследований. Программные системы обнаружения и противодействия сетевым атакам.

Предмет исследований. Функционал, принципы построения и методы работы систем обнаружения сетевых атак.

Цель работы. Расширение функциональных возможностей систем обнаружения сетевых вторжений.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных методов обнаружения атак и существующих программных и программно-аппаратных средств обнаружения атак для выявления недостатков практического применения этих средств и используемых в них методов

и алгоритмов. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

  1. Разработка модели атаки на основе событий безопасности и метода выявления угроз на базе событий безопасности, генерируемых разными методами обнаружения атак на разных подсистемах ИС с целью уменьшения количества ложных срабатываний.

  2. Разработка модели сетевого сенсора и способа размещения сетевых сенсоров для обеспечения полноты контроля СОА в информационной системе.

  3. Разработка способа обработки сетевого трафика и локальных данных с сетевых узлов, позволяющего выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сетевого сенсора.

  4. Разработка алгоритма быстрого поиска сигнатур, допускающего неточное соответствие искомым образцам.

  5. Разработка макета программной системы обнаружения угроз информационной безопасности, реализующей разработанный метод выявления угроз для проведения экспериментальных исследований.

Научная новизна. Научная новизна исследования заключается в следующем:

разработан новый метод обнаружения угроз, отличающийся от известных способом моделирования атак в виде последовательности событий безопасности с указанием фазы атаки и оценки цепочки данных событий;

разработан способ обработки сетевого трафика и локальных событий уровня узла сети при помощи программной системы с архитектурой микроядра и набором специальных обработчиков, который отличается от известных тем, что позволяет выполнять гибкую обработку сетевого трафика и регистрацию событий безопасности различными методами выявления признаков атак с различных подсистем сети и узлов сети;

разработана модификация алгоритма быстрого поиска Ахо-Корасик, позволяющая выполнять поиск неточного соответствия задаваемым образцам, с целью повышения адаптивности метода сигнатурного поиска.

Практическая ценность и реализация. Практическая ценность заключается в возможности применения на практике разработанных методов анализа сете-

вых событий, что позволяет расширить функциональные возможности систем обнаружения сетевых атак и уменьшить вероятность ошибки ложного срабатывания за счет учета взаимосвязей между последовательно поступающими событиями безопасности, сопоставления их с определенной фазой типовой атаки и возможности регистрации событий безопасности различными методами обнаружения атак с различных подсистем сети и узлов сети.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на всероссийских и международных конференциях:

  1. Всероссийский симпозиум по прикладной и промышленной математике, г.Кисловодск, 2008 г.

  2. Общероссийская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации", г.Санкт-Петербург, 2007 г.

  3. Международная научно-практическая конференция "Современные проблемы борьбы с преступностью", г. Воронеж, 2006 г.

  4. Международная научно-техническая конференция "Искусственный интеллект. Интеллектуальные и многопроцессорные системы", г. Таганрог, 2005 г.

5. Всероссийская конференция "Научный сервис в сети интернет", 2003 г..
Публикации. По теме диссертации опубликовано 25 научных работ, из них

5 статей опубликованы в журналах из "Перечня ведущих рецензируемых научных журналов и изданий" ВАК, защищены 2 патента на изобретения в Федеральном агентстве РФ по патентам и товарным знакам, опубликована одна монография (в соавторстве) и 3 статьи в других научных журналах, зарегистрировано одно свидетельство об официальной регистрации программы для ЭВМ в реестре Федерального агентства РФ по патентам и товарным знакам.

Структура и объем диссертации. Диссертация состоит из введения, четырёх глав, заключения и списка литературы. Работа содержит 130 страниц основного теста и включает 17 рисунков, 6 таблиц. Список литературы состоит из 94 наименований на 10 страницах.

Известные методы и технологии обнаружения атак

Под "информационной системой" (ИС) в данной работе будет пониматься совокупность технических средств (компьютеров, коммуникационного оборудования, линий передачи данных), при помощи которых обеспечивается обработка информации в организации. Атакой на информационную систему будем называть действие или некоторую последовательность действий, предпринимаемых злоумышленником для достижения результата, в обход установленных политик безопасности. В нашем предложении рассматриваются действия, направленные на нарушение установленных владельцем правил функционирования системы, выполняемые при помощи различных средств вычислительной техники.

Под угрозой информационной системе понимается состояние при котором на один из узлов системы зафиксированы попытки реализации атаки, развитие которых может привести к нарушениям установленной политики безопасности.

Под "безопасностью информации" понимается состояние защищённости информационной среды (сетевого узла). Термин "защита информации" представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение состояния "информационной безопасности".

У компьютерной атаки есть некоторый набор состояний, в которые можно дифференцировать последовательность действий злоумышленника -такие состояния назовем "фазами атаки". Количество "фаз атаки" и их описание завиеит от контекста использования термина. Для использования в данной работе во второй главе определены наиболее важные этапы проведения компьютерной атаки. Термином "уязвимость информационной системы" (или просто "уязвимость") будем называть некоторое свойств (недостаток) системы, используя который можно нарушить целостность, доступность или конфиденциальность информации или программы и вызвать неправильную работу средств обработки информации. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъeкций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют реализации.

Создание систем обнаружения вторжений является достаточно популярной темой исследований, как теоретических, так и практических. Рассмотрим их более подробно.

В диссертационном исследовании "Нейросетевая система обнаружения атак на www-сервер" А.Ф.Хафизова [92] разрабатывались теоретические основы и практические подходы к созданию нейросетевой системы обнаружения атак на основе анализа журнальных файлов веб-сервера. Автор диссертации "Разработка и исследование методов построения систем обнаружения атак" Е.С.Абрамов [28] также строит систему обнаружения атак на базе нейронной сети, используемой для выявления аномалий поведения пользователей и сетевого трафика. Аналогично, Ф.Г.Нестерук [64] в работе "Разработка модели адаптивной системы защиты информации на базе нейро-нечетких сетей" опирается на адаптивность механизмов нечеткой логики и основы биосистемной аналогии с использованием интеллектуальных возможностей нейросетей.

Математические модели защиты автоматизированных систем от информационных атак изучались в работах "Метод и механизмы защиты информационных систем с уровневым контролем списков санкционированных событий" А.А. Оголюка [65] (в работе предлагается строить списки санкционированных событий и выборочно осуществлять проверку соответствия действий системы этим спискам), "Метод и модель ресурсов поля угроз системы защиты информации сетевых автоматизированных систем" Г.П.Жигулина [50] (в работе используется априори расставляемая вероятность опасности реализации угрозы для каждого ресурса в защищаемой сети и для них разрабатываются методики противодействия), "Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы" Д.В.Ушакова [91] (основная цель работы -централизация механизмов управления защитой информации и тем самым повышение ее качества) и "Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак" В.А. Сердюка [82] (в работе исследуется возможность повышения защищенности системы путем создания системы СОА на базе конечного автомата состояния сетевого трафика).

Модели частных компьютерных атак изучались в работах "Модель и методика обнаружения несанкционированных действий и атак в сетях TCP/IP" А.А. Сыпина [89] и "Разработка и исследования математической модели удаленной атаки типа подмена доверенного субъекта ТСР-соединения с целью построения эффективного механизма защиты элементов компьютерной сети" М.Б. Гайдара [38],"Организация корпоративных компьютерных сетей с интегрированной системой защиты информации" М.М. Каримова [55],"Повышение стойкости системы простой замены в целях улучшения защиты информации в информационно-телекоммуникационных системах общего назначения" Б.Г. Битжока [32] (в этих работах исследования сосредоточены на выработке практических рекомендаций по защите компьютерных сетей с использованием существующих средств защиты информации и математических моделей этих средств).

Алгоритм анализа событий безопасности для обнаружения атак

Прежде чем перейти к описанию предлагаемой процедуры анализа событий безопасности с целью обнаружения атак, введем два вспомогательных понятия, которые будут использованы в дальнейшем.

1. Актуальность гипотезы о ыеализации угрозу информационной безопасности. Актуальностью гипотезы о реализации определенной угрозы информационной безопасности будем называть вероятность того, что в настоящее время имеет место реализация этой угрозы. Так как речь в настоящей работе идет о методах обнаружении атак на реальные информационные системы, действительное определение вероятности реализации угрозы в строгом смысле слова "вероятность" представляется практически невозможным: в случае работы с реальной информационной системой и реальными угрозами ее безопасности, всегда имеет место большое количество факторов, влияющих на вероятность реализации угрозы, к полной информации о которых принципиально отсутетвует доетуп. Поэтому здесь и далее будем оперировать лишь нестрогими техническими показателями оценки актуальности угроз. Этот подход является вполне традиционным не только при оценке актуальности угроз информационной безопасности [62]), но и в некоторых других вопросах, требующих численного выражения параметров безопасности информационной системы [29]. Предлагаемый в наетоящей работе подход к выявлению угроз информационной безопасности обладает определенной гибкостью в плане выбора метод конструирования оценочного показателя актуальности угрозы, поэтому подчеркнем, что метод, предлагаемый в следующем разделе (3.) и используемый в программной реализации, представленной в четвертой главе настоящей работы, является лишь одним из методов, которые могут быть применены в рамках разрабатываемого подхода.

2. Шаблон атаки - понятие, в не,оторой степени аналогичног понятию "регулярное выражение" в области поиска и манипуляций с текстовыми строками. Шаблон атаки представляет собой двухуровневое описание последовательности процессов, вместе идентифицируемых как попытка реализации угрозы. Верхний уровень представляет последовательность этапов атаки (см. раздел 2.1 ), нижний - описание каждого этапа как последовательности или набора отдельных событий сетевой безопасноети.

Рассмотрим пример известной уязвимости ОС Windows. В базе Microsoft она известна под номером MS08067, идентификатор CVE [4] CVE-2008-4250. Атака становится возможной благодаря наличию уязвимости сетевой подсистемы ОС Windows, которая некорректно обрабатывает специальным образом сформированный путь к сетевому ресурсу локальной сети. При этом возникает ошибка в системном процессе, в результате чего злоумышленник, при "правильной" подготовке шелл-кода, использующего эту уязвимость, имеет возможность выполнить короткий сценарий на атакованном узле. Часто таким сценарием является несколько команд ОС: net user username /add net group administrators username /add shutdown /r /f /t 2 Эта последовательность команд производит добавление нового пользователя сетевого узла, затем включает его в системную группу администраторов, после чего инициирует перезагрузку ОС. Перезагрузка требуется для того, чтобы восстановить работу узла, поскольку после выполнения указанной последовательности команд сетевая подсистема ОС может оказаться неработоспособной. В случае если сценарий выполнить не удается и сетевой узел не перезагружается, наблюдается состояние отказа в обслуживании.

В этом случае, в сети будут происходить следующие события безопасности: - злоумышленник (или вредоносное ПО) проверяет доступный диапазон IP адресов, в сетевом трафике появляются признаки изучения топологии сети; - злоумышленник производит сканирование всех узлов сети в попытках поиска открытого порта 445, для подключения по SMB протоколу, в сети наблюдаются признаки сканирования и сбора баннеров; - злоумышленник производит подключение к атакуемому ресурсу и в процессе взаимодействия оправляет ему в соответствии с SMB-протоколом сообщение, в котором содержатся некорректные данные, при этом в сети наблюдается прохождение сигнатура, соответствующей атаки, однако результат её еще неясен. - в системных журналах атакуемого узла появляются записи о создании нового пользователя, добавлении пользователя в группу администраторов, об инициировании перезагрузки, после чего доступ к узлу пропадает.

Модификация алгоритма Ахо-Корасик для поиска неточного соответствия

В качестве базовой операционной платформы для работы программного комплекса обнаружения угроз информационной безопасности выбрана операционная система Windows (версии, начиная с Windows 2000, ХР, Vista и выше, обладающие необходимым минимумом функций защиты от несанкционированного доступа). Такой выбор обоснован, с одной стороны, необходимостью установки сенсоров на защищаемые сетевые узлы и, одновременно, популярностью операционной системы Windows, а с другой стороны, простотой реализации и отладки макета программного комплекса, что является следствием большого количества программного обеспечения разработки и отладки, созданного для этой платформы и имеющего удобные пользовательские интерфейсы использования.

В качестве языка программирования использована связка языков C/C++, поскольку языки подобного уровня обладают необходимой функциональностью для реализации сложных алгоритмов аналитической обработки информации, при этом сохраняя гибкость, необходимую для работы с низкоуровневыми сетевыми и другими программными интерфейсами. Кроме того, язык C++ является стандартом де-факто для большинства современных сетевых приложений. Использование языка C++ позволило также полностью использовать потенциал стандартизированной библиотеки STL и средств объектно-ориентированного программирования.

В качестве базы данных была выбрана система PostgreSQL как наиболее доступное и эффективное решение из числа бесплатных средств управления реляционными базами данных.

Разработанная система имеет многосенсорную архитектуру для наблюдения за событиями, происходящими в контролируемой сети. Архитектура программной системы обнаружения атак, представлена на рисунке 13, позволяет сгруппировать все модули системы в несколько функциональных групп; - сетевой сенсор объединяет модули, предназначенные для анализа событий, представляющих интерес с точки зрения безопасности контролируемой сети и её узлов; - аккумулятор событий безопасности предназначен для приема, хранения и централизованного анализа всех событий безопасности, а так же для управления сетью сенсоров в автоматическом режиме (передачу сенсору его конфигурации, опросе его состояния); - консоль управления предназначена для управления всей системой и визуализации данных. Макет программной системы функционирует под управлением операционных систем Microsoft Windows XP/2003/Vista/7. Для захвата сетевых пакетов используется программная библиотека WinPCap.

Сенсор событий безопасности функционально состоит из ядра и подключаемых к нему дополнительных модулей, расширяющих его функциональность. Ядро сетевого сенсора написано на языке C++ и может быть скомпилировано компилятором, входящим в состав интегрированной среды разработки Microsoft Visual Studio 2003 для платформ Microsoft Windows 2003/XP/Vista. Подключаемые модули также реализованы на языке C++ и компилируются таким же образом.

Архитектура программной системы обнаружения атак 4.2.1 Архитектура и алгоритмы работы сетевого сенсора Сенсор событий безопасности предназначен для решения следующих задач: - перехват, первичный анализ сетевых пакетов с определенного сетевого интерфейса; - анализ локальных событий, имеющих отношение к подсистеме безопасности операционной системы, поступающих из разных источников (определяется набором модулей); -доставку аккумулятор событий безопасности сообщений в расширенном формате IDMEF об обнаруженных атаках, подозрительной активности в сети, информационных сообщений о режиме функционирования сетевого сенсора и других.

Поскольку сенсор является первичным звеном получения и анализа данных, то его архитектура должна позволять обеспечивать: - доетаточную производительность, для обеспечения возможности обработки в реальном масштабе времени каналов связи со скоростью до 1000 Мбит/сек; - максимальную гибкость для анализа данных и облегчения добавления новых типов обрабатываемых данных и новых обработчиков. Исходя из поставленных задач, требований, раздела 2.4 , и после ряда модельных экспериментов была выбрана архитектура построенная на основе концепции микроядра-диспетчера сообщений (рисунок 14).

Архитектура программного обеспечения сенсора Основой сенсора является микроядро, к которому подключаются обрабатывающие модули, которые определяют функционал сетевого сенсора. Модули условно разделяются на генераторы сообщений, обработчики сообщений и смешанные обработчики. Каждый набор передаваемых данных описывается в виде специального сообщения, имеющего определенный тип. Ядро обеспечивает эффективную передачу типизированных общений от одного обработчика к другому. В ходе инициализации всей подсиетемы каждый модуль указывает типы сообщений, которые он хочет получать и которые он может генерировать. При этом динамически формируется список модулей обработки и генерации, которые последовательно вызываются ядром для каждого пришедшего сообщения. При необходимости, каждый из модулей может функционировать в своем потоке выполнения.

По мере появления в контролируемой среде новых данных (например, о событиях безопасности, связанных с сетевыми пакетами), генераторы создают соответствующие сообщения их и передают микроядру для диспетчеризации. Обработчики сообщений получают новые сообщения, и, обрабатывая их, могут в случае необходимости генерировать новые сообщения для обработки другими обработчиками.

Архитектура и алгоритмы работы сетевого сенсора

Диссертация посвящена актуальной задаче повышения функциональных возможностей современных систем обнаружения атак на компьютерные сети. В процессе проведения диссертационного исследования были решены все поставленные задачи.

В рамках решения задачи по обзору существующих подходов к обнаружению атак, методов обнаружения, программных и программно-аппаратных средств обнаружения атак, были сделаны следующие выводы: - еовременные СОА должны иметь возможность максимально полно контролировать события безопасности, для чего хорошо подходят СОА имеющие многосенеорную, многомодульную архитектуру; - с существующих многосенсорных СОА не решается задача оптимального размещения сенсоров в сложных сетях; - существующие методы не учитывают типовые сценарии развития сетевых атак; - в рамках одной СОА целееообразно обеспечить возможность совместного использования разных подходов к обнаружению атак; - необходим эффективный с точки зрения возможной программной реализации метод поиска сигнатур, позволяющий обнаруживать неточные соответствия искомым образцам.

По результатам обзора и анализа были сформулированы дальнейшие задачи диесертационного исследования и поеледовательно приведены способы их решения.

Вторая глава посвящена решению задач разработки модели атаки и споеоба обнаружения угроз на базе данной модели. В рамках первой задачи предложена модель сетевой атаки, заключающаяся в представлении сетевой атаки, как последовательности событий безопасности, каждое из которых определяет одну из возможных фаз атак, и предложен метод позволяющий оценивать последовательность событий как атаку на компьютерную сеть. На основе данной модели разработана концептуальная архитектура сетевого сенсора новой системы обнаружения атак и предложен способ планирования оптимального размещения сетевых сенсоров в сложных сетях, сводящийся к решению линейной оптимизационной задачи.

В рамках третей главы предложен способ обработки сетевого трафика, позволяющий реализовать гибкую модульную архитектуру сетевого сенсора, для выполнения разбора сетевых протоколов произвольной вложенности и анализа локальных событий сетевых узлов. Разработанный способ согласуется с концептуальной архитектурой сетевого сенсора, требуемой для работы алгоритма размещения сенсоров.

Разработана модификация алгоритма быстрого поиска Ахо-Корасик, позволяющая выполнять поиск сигнатур с неточным соответствием, для случаев, когда злоумышленник может намеренно изменить атакующее воздействие. Особенностью работы систем обнаружения атак, является то, что набор сигнатур известен заранее, до старта программы, и не требует изменения в процессе работы. С этой точки зрения предложенный алгоритм может иметь эффективную программную реализацию, поскольку позволяет перед стартом построить все необходимые программные структуры и в процессе работы использовать одну копию базовой структуры (графа) для параллельной работы многих копий автоматов.

Глава 4 посвящена описанию разработки основных элементов программной системы обнаружения атак, реализующей методы обнаружения атак на основе событий безопасности и проведены экспериментальные исследования. Исследования проводились с двумя основными задачами: проверить работоспособность принятых программных решений и оценить из производительность, а так же показать, что существуют ситуации, в которых предложенный метод позволяет на качественном уровне обнаруживать атаки, которые гораздо сложнее обнаружить наблюдая за системой лишь с одного уровня.

Экспериментальные исследования, проведенные при помощи разработанной программной системы в целом показали работоспособность способа обработки сетевого трафика и локальных данных узлов сети, а так же предложенной модели оценки актуальности угроз в процессе из реализации. Скоростные характеристики подсистемы обработки и анализа сетевого трафика показывают возможность их применения в современных сетях. Характерной особенностью предложенного метода обнаружения угроз, является то, что его использование позволяет расширить функциональные возможности систем обнаружения атак, поскольку появляется возможность учета и анализа не единичных признаков атак, а целенаправленных последовательный воздействий, которые могут выявляться различными методами на разных уровнях информационной системы, что было подтверждено в ходе экспериментальных исследований. Кроме того, предложенная архитектура сетевого сенсора и метод планирования размещения сетевых сенсоров на узлах сети позволит решить практическую задачу автоматизированного конфигурирования сетевых сенсоров и размещения их на узлах сети таким образом, чтобы удовлетворить требованиям политики мониторинга для данной сети и обеспечить суммарный минимальный уровень использования вычислительных ресурсов сети за счет устранения избыточности при обработке данных, получаемых с сетевой подсистемы.

Похожие диссертации на Программная система и способ выявления угроз информационной безопасности в компьютерных сетях