50362 (Способ и устройство обнаружения аномалий в сетях)
Описание файла
Документ из архива "Способ и устройство обнаружения аномалий в сетях", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "50362"
Текст из документа "50362"
Кафедра Управления и Информационных Технологий
Специальность Прикладная информатика
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к курсовому проекту
на тему: Способ и устройство обнаружения аномалий в сетях
Задание на курсовую работу
студенту группы
фамилия, имя, отчество полностью
Тема работы : Способ и устройство обнаружения аномалий в сетях
-
Исходные данные
Регламентирующие документы Гостехкомиссии РФ по обеспечению информационной безопасности
1.1 Руководящий документ «Программное обеспечение средств защиты информации классификация по уровню контроля отсутствия недекларированных возможностей».
1.2 РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
2 Содержание расчетно-пояснительной записки (перечень вопросов, подлежащих разработке)
2.1 Из истории обнаружения вторжений
2.2 Обзор технологий обнаружения вторжений
2.3 Проблемы сбора данных
2.4 Средства обнаружения атак
2.5 Парадигмы в обнаружении вторжений
2.6 Методы обнаружения
2.6.1 Обнаружение аномалий
2.6.2 Обнаружение злоупотреблений
2.7 Ответные действия: после вторжения
2.8 Эффективность системы
2.8 Производительность
2.8 Анализ в масштабе всей сети
2.8 Уведомления о взломе
-
Консультанты по работе (указанием относящихся к ним разделов работы)
Храмов В.В.
-
Срок сдачи студентом законченной работы
-
Дата выдачи задания
Руководитель профессор Храмов В.В. , к.т.н.
(подпись)
Задание принял к исполнению
Студент
(подпись)
Оглавление
Введение 6
Из истории обнаружения вторжений 7
Обзор технологий обнаружения вторжений 8
Проблемы сбора данных 9
Средства обнаружения атак 10
Парадигмы в обнаружении вторжений 12
Методы обнаружения 14
Обнаружение аномалий 14
Обнаружение злоупотреблений 15
Ответные действия: после вторжения 16
Эффективность системы 17
Производительность 18
Анализ в масштабе всей сети 19
Уведомления о взломе 20
Заключение 24
Список используемой литературы 26
Введение
Даже с самой совершенной защитой компьютерные системы нельзя назвать абсолютно неуязвимыми. В настоящее время актуальное значение приобрела проблема обнаружения аномалий в работе сетевых устройств, являющихся как результатом сетевых атак хакеров, так и сбоев в работе аппаратуры и программного обеспечения.
Существующие системы, решающие эту проблему, имеют серьезные ограничения, связанные с принципами функционирования реализованных в них сигнатурных методов обнаружения:
- для любой новой аномалии (атаки) требуется создание новой сигнатуры;
- существуют методы, позволяющие хакерам «обходить» сигнатуры на основе разнообразных методов изменения атакующих воздействий.
Понятие "обнаружение аномалий" возникло сравнительно недавно и сразу привлекло внимание специалистов в области сетевой безопасности. В середине 2003 года на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг сетевой безопасности начали активно предлагать соответствующие решения. Согласно прогнозам Gartner, 85% крупнейших международных компаний с вероятностью 0.8 воспользуются к 2007 году функциями современных систем обнаружения аномалий.
В разработанном Научно-техническим советом НАТО ранжированном списке из 11 важнейших технических задач на период 2002-2007 гг. три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах на основе TCP/IP. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО существующие системы обнаружения вторжений (IDS) ежедневно обнаруживают в среднем 400-600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают: данное число составляет не более 14-17% от общего числа реально осуществляемых атак и воздействий нарушителей. По понятным причинам эти факты настораживают и вызывают определенное беспокойство у специалистов в области защиты информации.
Из истории обнаружения вторжений
Первоначально системные администраторы обнаруживали вторжения, сидя перед консолью и анализируя действия пользователей. Они могли заметить атаку, обратив, к примеру, внимание на то, что пользователь, который должен находиться в отпуске, вошел в систему, причем локально, либо необычайно активен принтер, который крайне редко используется. Когда-то достаточно эффективная, эта форма обнаружения вторжений была вместе с тем сугубо ориентированной на конкретные ситуации и не обладала масштабируемостью.
На следующем этапе для обнаружения вторжений стали использоваться журналы регистрации, которые системные администраторы просматривали в поисках признаков необычных или злонамеренных действий. В конце 70-х и в начале 80-х годов администраторы, как правило, печатали журналы регистрации на перфорированной бумаге, которая к концу рабочей недели представляла собой кипу высотой в полтора-два метра. Поиск по такому листингу, безусловно, занимал уйму времени. При огромном количестве информации и исключительно ручных методах анализа, администраторы зачастую использовали журналы регистрации в качестве доказательства нарушения защиты уже после того, как оно произошло. Надежда на то, что удастся обнаружить атаку в момент ее проведения, была крайне мала.
По мере того, как дисковая память становилась все дешевле, журналы регистрации стали создавать в электронном виде; появились программные средства для анализа собранных данных. Однако подобный анализ выполнялся очень медленно и зачастую требовал значительных вычислительных ресурсов, так что, как правило, программы обнаружения вторжений запускались в пакетном режиме, по ночам, когда с системой работало мало пользователей. Большинство нарушений защиты по-прежнему выявлялись уже постфактум.
В начале 90-х годов были разработаны системы обнаружения вторжений в оперативном режиме, которые просматривали записи в журнале регистрации сразу, как только они генерировались. Это позволило обнаруживать атаки и попытки атак в момент их проведения, что, в свою очередь, дало возможность немедленно принимать ответные меры, а, в некоторых случаях, даже предупреждать атаки.
Самые последние проекты, посвященные обнаружению вторжений, сосредоточиваются вокруг создания инструментов, которые могут эффективно развертываться в крупных сетях. Эта задача отнюдь не проста, учитывая все большее внимание, уделяемое вопросам безопасности, бесчисленное количество новых методов организации атак и непрерывные изменения в окружающей вычислительной среде.
Обзор технологий обнаружения вторжений
Цель обнаружения вторжений, на первый взгляд, очень проста: выявить проникновение в информационную систему. Однако это весьма сложная задача. На самом деле, системы обнаружения вторжений никаких вторжений вообще не обнаруживают — они только выявляют признаки вторжений либо во время таких атак, либо постфактум.
Такие свидетельства иногда называют «проявлениями» атаки. Если никаких проявлений нет, если о таких проявлениях нет необходимой информации, либо если информация есть, но не внушает доверия, система не в состоянии обнаружить вторжение.
Например, предположим, что система мониторинга дома анализирует данные, полученные с камеры слежения, которая показывает человека, пытающегося открыть дверь. Видеоданные камеры — проявление происходящего вторжения. Если объектив камеры запачкан или не в фокусе, система не сможет определить, что это за человек — грабитель или хозяин дома.
Проблемы сбора данных
Для точного обнаружения вторжений необходимы надежные и исчерпывающие данные о происходящем в защищаемой системе. Сбор надежных данных — вопрос сложный сам по себе. Большинство операционных систем содержит определенные виды аудита, которые позволяют создавать различные журналы регистрации операций для разных пользователей. Эти журналы можно ограничить только событиями, связанными с безопасностью (например, неудачные попытки входа в систему); кроме того, они могут предоставлять полный отчет по каждому системному вызову, инициированному каждым процессом. Маршрутизаторы и межсетевые экраны также ведут журналы регистрации событий для сетевой деятельности. Эти журналы могут содержать простую информацию, такую как открытие и закрытие сетевых соединений, или полную запись о каждом пакете, появляющемуся в сети.
Объем информации, которую собирает система, — это компромисс между накладными расходами и эффективностью. Система, которая записывает каждое действие во всех подробностях, может серьезно потерять в своей производительности и потребовать чересчур большого дискового пространства. Например, на сбор полной регистрационной информации о сетевых пакетах в канале Fast Ethernet ежедневно могут потребоваться сотни гигабайт дисковой памяти.
Сбор информации — дело дорогостоящее, а сбор нужной информации — крайне важное. Вопрос о том, какую информацию следует регистрировать и где ее следует накапливать, остается открытым. Например, установка в системе охраны дома монитора для контроля уровня загрязнения воды обойдется недешево, но никоим образом не позволит предотвратить проникновение в дом грабителей. С другой стороны, если модель потенциальных угроз дому предполагает атаки террористов, то контроль загрязнения воды, возможно, оправдан.
Средства обнаружения атак
Классификация средств обеспечения секретности информации по уровням модели ISO/OSI в стандарте ISO 7498:
- Физический уровень. Средства, предоставляемые на этом уровне, ограничиваются конфиденциальностью для соединений и конфиденциальностью для потока данных, согласно ISO 7498-2.Конфиденциальность на этом уровне обеспечивается обычно с помощью шифрования бит. Эти средства могут быть реализованы как почти прозрачные, то есть без появления дополнительных данных (кроме установления соединения).
Целостность и аутентификация обычно невозможны здесь из-за того, что интерфейс на уровне бит этого уровня не имеет возможностей для передачи дополнительных данных, требуемых при реализации этих средств. Тем не менее, использование соответствующих технологий шифрования на этом уровне может обеспечить предоставление этих средств на более высоких уровнях.
- Канальный уровень. Согласно ISO 7498-2, средствами, предоставляемыми на канальном уровне, являются конфиденциальность для соединений и конфиденциальность для дейтаграмм.
- Сетевой уровень. Средства секретности сетевого уровня могут предоставляться между конечными системами в сети, независимо от используемых коммутаторов (например, коммутаторов пакетов Х.25). ISO 7498-2 отмечает применимость нескольких средств секретности для этого уровня: конфиденциальность для соединений, конфиденциальность для дейтаграмм, конфиденциальность потока данных, целостность (для соединений без восстановления и для дейтаграмм), аутентификацию источника данных и взаимодействующих сущностей, а также управление доступом.
- Транспортный уровень. Для транспортного уровня ISO 7498-2 определяет следующие средства секретности: конфиденциальность (для соединений или дейтаграмм), целостность (любая, кроме отдельных полей), аутентификация источника данных и взаимодействующих сущностей, и управление доступом. Существует лишь одно отличие между средствами секретности, предоставляемыми для дейтаграммного взаимодействия на транспортном уровне и средствами, предлагаемыми над сетевым уровнем. Оно заключается в способности обеспечить защиту в промежуточных системах (используя механизмы сетевого уровня), а не только в конечных системах (используя механизмы транспортного уровня).
- Сеансовый уровень. ISO 7498-2 не позволяет предоставлять средства на сеансовом уровне. Этот уровень мало, что дает в смысле средств взаимодействия по сравнению с транспортным или прикладным уровнем. Основываясь на принципе, что не стоит предоставлять средства секретности, не соответствующие базовым средствам взаимодействия на данном уровне, можно возражать против предоставления средств секретности на сеансовом уровне. Кроме того, можно утверждать, что средства секретности лучше предоставлять на транспортном, представительном или прикладном уровнях.
- Представительный уровень. Так как этот уровень используется для преобразования данных между обычным и сетевым представлениями, то выгодно шифровать данные на этом уровне, а не на прикладном. Если приложение выполняет шифрование, оно предохраняет представительный уровень от реализации этой функции. Это аргумент против реализации шифрования на прикладном уровне для приложений, которые взаимодействуют напрямую (а не через посредников). Альтернативой этому является дублирование возможностей представительного уровня в приложениях. В стеке TCP/IP, из-за того, что функции представления включены в состав приложений, а не выделены в отдельный уровень, этот конфликт преодолен.
- Прикладной уровень. ISO 7498-2 утверждает, что все секретные средства могут быть предоставлены на прикладном уровне, а контроль за участниками взаимодействия может быть предоставлен только на этом уровне. Фактически, приложения, такие, как средства электронной почты и справочника, могут быть засекречены только с помощью секретности прикладного уровня.
Парадигмы в обнаружении вторжений
Исследователи работают над системами обнаружения вторжений уже длительное время, но так и не достигли того, что можно было бы назвать "настоящим прорывом". Обычно, направление исследований сфокусировано на направлении, которое называется "обнаружение аномального поведения" (Anomaly Detection Intrusion Detection Systems, AD-IDS). В принципе, AD-IDS "изучает" то, что составляет "нормальный" сетевой трафик; на его основе разрабатываются наборы моделей, которые обновляются с течением времени. Затем эти модели применяются для нового трафика, и трафик, который не соответствует шаблону "нормального" трафика, отмечается как подозрительный (аномальный). AD-IDS являются привлекательными по своей концепции, но они требуют предварительного обучения. Однако реальность такова, что очень трудно классифицировать "нормальный" трафик. И это грустно. Поскольку сети со временем становятся достаточно крупными, число приложений, установленных в них, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной. Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон "нормального" трафика. Так что, рано или поздно, атака будет выглядеть как "нормальный" трафик и сможет пройти для IDS незамеченной. Если IDS является консервативной относительно составных частей атаки, она будет иметь тенденцию генерировать большое количество "false positives" - ложных предупреждений об опасности. Рано или поздно сообщения системы обнаружения атак начнут игнорировать.
По-прежнему в области аномального обнаружения проводятся обширные исследования. Обещается появление новых средств, включая объединение анализа защиты с методами визуализации и анализа данных. Однако по прошествии времени, кажется, что AD-IDS не являются той "серебряной пулей", которая может решить проблему. Поэтому многие коммерческие фирмы реализуют более простые и легкие в эксплуатации формы IDS, называемые "системами обнаружения злоупотреблений" (Misuse Detection Intrusion Detection Systems, MD-IDS).
