Адаптивная подсистема обнаружения и предотвращения аномалий как средство защиты от сетевых атак
Результаты практической реализации системы обнаружения и предотвращения сетевых аномалий на базе модульного адаптивного подхода. Специфика формирования требований к базовым механизмам подсистем с точки зрения разработки конкретной архитектуры СОА.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 20.05.2017 |
Размер файла | 588,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru//
Размещено на http://www.allbest.ru//
Среди проблем практической реализации систем обнаружения и предотвращения аномалий можно выделить две главных: минимизация количества ложных сигналов при произвольном (в общем случае - описываемом вероятностными соотношениями) поведении хостов, пользователей и сетевой активности, а также сокращение временных и ресурсных затрат на обучение модулей, т.е. на определение и формирование базы шаблонов "нормального" состояния сети [1, 2]. Целью работы является разработка мер по практической реализации защиты от сетевых атак на основе адаптивной подсистемы обнаружения и предотвращения аномалий.
На практике основной задачей при развертывании СОА является создание профилей, описывающих приемлемое состояние и поведение компонентов и функционирования сети. На современном этапе развития системы обнаружения аномалий методы обнаружения аномалий не находят практического применения в чистом виде, а используются как дополнения к методам обнаружения вторжений, расширяющие функциональность системы информационной безопасности в целом.
Перечень конкретных модулей, используемых в ходе практической реализации СОА, их архитектуру, алгоритмическое, программное и организационно-техническое обеспечение определяют на этапе техно-рабочего проектирования на основании результатов проведенного аудита, оценки и анализа рисков. В общий перечень таких модулей (подсистем) может входить: подсистема обнаружения и предотвращения вторжений (IPS/IDS); подсистема мониторинга, сбора, аналитики и корреляции событий; подсистема администрирования и управления и другие [2,5]. По результатам практического анализа модели угроз и нарушителя, сделан вывод о том, что для объекта защиты являются актуальными следующие угрозы:
неверные настройки ПО, изменение режимов работы ТС и ПО (случайное либо преднамеренное);
доступ в среду функционирования прикладных программ (локальная СУБД, например);
доступ непосредственно к информации пользователя, обусловленный возможностью нарушения ее конфиденциальности, целостности, условий доступности; аномалия защита атака сетевой
сканирование сети и анализ сетевого трафика для изучения логики работы ИС, выявления протоколов, портов, перехвата служебных данных (в том числе, идентификаторов и паролей), их подмены;
применение специальных программ для выявления пароля (сниффинг, IP-спуффинг, разные виды перебора);
подмена доверенного объекта сети с присвоением его прав доступа, внедрение ложного объекта сети;
реализация угрозы отказа в обслуживании;
сетевые атаки;
применение утилит администрирования сети;
внедрение программных закладок;
внедрение вредоносных программ (случайное или преднамеренное, по каналам связи и непосредственное).
Продемонстрируем на примерах специфику формирования требований к базовым механизмам подсистем с точки зрения разработки и реализации конкретной архитектуры СОА.
1. Модули мониторинга, сбора и анализа информации в режиме реального времени (на примере XSpider, рисунок 1).
Рисунок 1 - Функциональная схема модуля мониторинга и анализа в СОА
Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
Основные реализуемые механизмы [1,3]:
полная идентификация сервисов на случайных портах;
проверка на уязвимость серверов со сложной нестандартной конфигурацией;
эвристический метод определения типов и имен серверов;
определение настоящего имени сервера и корректной работы проверок;
определение RPC-сервисов и поиск уязвимостей в них, а также определение детальной конфигурации компьютера в целом;
проверка стойкости парольной защиты;
подбор паролей в сервисах, требующих аутентификации, для выявления нестойких паролей/не соответствующих разработанным политикам;
глубокий анализ контента WEB-сайтов;
анализ скриптов HTTP-серверов и поиск в них следующих уязвимостей;
анализатор структуры HTTP-серверов;
поиск и анализ директорий доступных для просмотра и записи;
проведение проверок на нестандартные DoS-аномалии;
осуществление проверок «на отказ в обслуживании»;
механизмы, уменьшающие вероятность ложных срабатываний при сканирования;
методы, уменьшающие вероятность ошибочного определения уязвимостей.
2. Модули централизованного управления (на примере управления комплексом StoneGate IPS) - централизованное управление с помощью специализированного компонента «StoneGate SMC»:
дистанционная установка дополнительного программного обеспечения;
формирование прав доступа пользователей;
внесение изменений в конфигурацию;
формирование, просмотр и анализ правил фильтрации;
запрос, получение, просмотр, анализ и обработка указанной по виду и времени регистрационной информации о событиях безопасности;
автоматический мониторинг состояния StoneGate IPS;
централизованный контроль состояния и управление комплексом;
проверка доступности рабочих станций сети или другого оборудования.
Таким образом, данный модуль целесообразно представить в виде схемы Система StoneGate IPS, состоящей из сенсора (Sensors), анализатора (Analyzers) и центра управления StoneGate Management Center (рисунок 2).
Рисунок 2 - Функциональная схема реализации подсистемы управления СОА на платформе StoneGate
Сенсор выполняет следующие функции: отвечает за просмотр и изучение сетевого трафика в реальном времени и создает данные события, которые он посылает анализатору для дальнейшей обработки. Далее сенсор инициирует немедленные ответы на любые найденные им угрозы и блокирует трафик на базе команд, которые посылают другие StoneGate компоненты [4].
Задачи анализатора - корреляция, обработка и анализ информации событий, которую он получает от сенсора. Один сенсор может видеть только часть возможной попытки вторжения, так что роль анализатора заключается и в том, чтобы собирать всю картину соединений сети и далее рассматривать более сложные виды угроз.
Управление сенсорами и анализаторами производится централизованно через центр управления StoneGate Management Center (SMC), который состоит из сервера управления Management Server, а также одного или нескольких серверов Log Server.
Для обеспечения взаимодействие компонентов СОА была реализована следующая архитектура. Сенсор инспектирует сетевой трафик на предмет любых аномалий и информирует анализатор о событиях, представляющих интерес. Анализатор далее обрабатывает эти события и находит интересующие его шаблоны при наблюдении за одним и более сенсорами. Анализатор добавляет, то, что он нашел в информационный поток, но комбинирует связанные события вместе и отбрасывает ненужные события. Далее результат пересылаются в StoneGate Management Center (SMC) для просмотра администратором (рисунок 3).
В данном процессе, известные аномалии, обнаруженные при помощи сравнения с сигнатурами аномалий, а также с пониманием состава протокола, чтобы сформировать мощные отпечатки, характеризующие аномалии (attack fingerprints). Понимание протокола уменьшает количество ложных срабатываний, по сравнению с использованием отдельной сигнатуры. Каждый шаблон применяется только к корректному типу трафика; к примеру, аномалия, использующая HTTP, может быть обнаружена только, когда шаблон найден в HTTP трафике, но ошибочно не сравнивается с заголовком электронного письма, транспортируемого через SMTP [3,4].
Рисунок 3 - Схема реализации взаимодействия компонентов СОА
В итоге, данная архитектура предоставляет два типа обнаружения аномалий в дополнение к сравнению с отпечатками (шаблонами): анализ протокола и статистическое обнаружение аномалий:
анализ протокола идентифицирует нарушения в сетевых соединениях;
статистическое обнаружение аномалий собирает статистику по трафику и обнаруживает события, такие как медленное сканирование, необычное число соединений и т.д.
Заключение
Таким образом, система обеспечивает выполнение следующих функциональных характеристик:
полный охват источников информации о состоянии сети;
наращивание количества источников информации;
масштабирование возможностей сбора, ведения и анализа неструктурированной информации;
разграничение доступа к информации для различных категорий пользователей;
межмодульное взаимодействие отдельных подсистем и ролей персонала в процессе функционирования, с возможным привлечением экспертов-аналитиков.
Предложенный подход к формированию архитектуры исключает ситуации, когда события, критичные для надежного и защищенного функционирования сети, окажутся вне поля зрения аналитиков, и в отношении них не будут приняты соответствующие превентивные меры.
Литература
Правиков Д. И., Закляков П. В. Использование виртуальных ловушек для обнаружения телекоммуникационных атак //Проблемы управления безопасностью сложных систем: Труды международной конференции. Москва, декабрь 2011 г./ Под ред. Архиповой Н. И. и Кульбы В. В. Часть 1. М.: РГГУ - Издательский дом МПА-Пресс. 342 с., с 310-314.
Отчёт фирмы Symantec по угрозам безопасности в Интернете. http://www.symantec.com/region/ru/ruresc/download/SymantecInternetSecuri...
Манн С., Крелл М. Linux. Администрирование сетей TCP/ IP. Пер. с англ. - М.: ООО «Бином-Пресс», 2003.
Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit", Syngress, 2007, ISBN 978-1-59749-099-3.
Сигнатурный метод анализа, 2010. http://www.ssl.stu.neva.ru/sam/IDS%20Methods.htm
Информационная безопасность. Обзор рисков. Телеком - LETA Group, 2012 - http://www.leta.ru/netcat_files/File/riski_telecom.pdf
Размещено на Allbest.ru
Подобные документы
Теоретико-методологические основы моделирования интеграционных экспертных систем. Направления повышения эффективности адаптивных систем обнаружения сетевых аномалий. Математическая реализация модели адаптивных систем обнаружения сетевых аномалий.
дипломная работа [5,1 M], добавлен 03.01.2023Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.
курсовая работа [36,0 K], добавлен 21.01.2011Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.
реферат [329,2 K], добавлен 23.12.2014Анализ и сравнение различных методов реализации системы защиты сетевых соединений. Виды сетевых атак и методика их негативного воздействия, возможные последствия и меры их профилактики. Структура протокола создания защищенных сетевых соединений ISAKMP.
дипломная работа [284,1 K], добавлен 19.06.2010Алгоритмы работы протокола STP. Статусы портов в протоколе SpanningTree. Виды, описание протоколов, агрегация каналов. Схемы возможных атак, способы обнаружения. Слияние-расхождение деревьев, локализованный отказ в обслуживании, спровоцированный сниффинг.
курсовая работа [86,8 K], добавлен 07.04.2015