Разработка программно-аппаратного комплекса контроля активности информационной сети предприятия и обнаружения вторжений

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский технологический университет» 119454, Москва, Россия

Разработка программно-аппаратного комплекса контроля активности информационной сети предприятия и обнаружения вторжений

студент А.Н. Кужелев

руководитель - к.т.н. С.И. Журавлев

В настоящее время на всех предприятиях есть открытые общедоступные сегменты сети или демилитаризованные зоны, в которых размещаются специальные сервисы для обработки и передачи информации между пользователями находящиеся вне локальной и внутренне-локальной информационной сети предприятия. Современное развитие сетевых технологий обработки информации, в том числе и конфиденциальной, ведется семимильными шагами вместе с технологиями нарушения их целостности, доступности и конфиденциальности.

Для любого предприятия самый ценный актив является информация. И защищать этот актив нужно надлежащим образом с помощью программных, технических, физических и организационных мер. Одним из способов кражи информации является получение доступа к внутренней сети предприятия с последующим завладением конфиденциальных данных предприятия. Из этого вытекают главная объективная проблема всех открытых сервисов несанкционированный доступ (НСД). Решением от этой угрозы - программно-аппаратный комплекс (ПАК) активности сети и обнаружения вторжений, который будет анализировать сетевой трафик и подозрительные подключения к локальной сети.

Актуальность темы отражается в том, что на сегодняшний день наша страна развивает сегмент рынка информационной безопасности, чтобы заменить иностранное программное и аппаратное обеспечение, которое имеет свои каналы уязвимостей.

На современном этапе развития технологий необходимы условия формирования информационной инфраструктуры общества и создание информационных сетей (ИС), которые образуются за счет конвергенции информационных и телекоммуникационных технологий на основе достижений в области микроэлектроники и радиотехники. В результате развития ИС должна быть создана технологическая база для построения глобального информационного пространства в целом, но при этом изменить стандартный уклад жизни общества, решающее воздействие на социальную структуру общества, экономику, политику, развитие общественных институтов.

Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники [1].

Каждая ИС обладает следующими свойствами:

1) мультимедийностью;

2) открытостью;

3) интеллектуальностью;

4) широкополосностью;

5) инвариантностью доступа;

6) многооператорностыо.

Информационные сети имеют свои особенности:

-- состоят из многочисленных разнотипных элементов;

-- поддерживают все современные протоколы и интерфейсы;

-- обладают высокой качественной пропускной способностью;

-- предоставляют большой спектр услуг путем объединения всех возможностей информационных и телекоммуникационных предприятий;

-- реализуются на основах различных информационных и телекоммуникационных технологий;

-- реализуются на большом количестве оборудовании различных производителей [2].

Классификация ИС представлена на рисунке 1.

Рисунок 1 Классификация ИС

В первых информационных сетях применялись уникальные решения производителей, обеспечивающие передачу информации между центральным компьютером и терминалом конечного пользователя. С появлением персональных компьютеров (ПК) и с увеличением тенденций децентрализации информационных ресурсов возникла необходимость стандартизации коммуникационных методов. На протяжении последних трех десятилетий международные организации разработали стандарты для коммуникации сетей, что позволило обеспечить взаимодействие между аппаратными и программными компонентами различных производителей.

В основу многих стандартов, определенных этими организациями, легли решения отдельных производителей или консорциумов производителей. Процесс создания стандарта во всех организациях одинаков.

Описание стандарта передается на рассмотрение группе квалифицированных специалистов, которые встречаются для обсуждения достоинств и недостатков стандарта и высказывают предложения по его улучшению. Предлагаемый стандарт может пройти через множество предварительных этапов на пути к своему одобрению, и в конечном итоге члены группы голосуют за его одобрение.

Стандартизованная спецификация может быть подвергнута многим изменениям, прежде чем рабочая группа придет к консенсусу по всем деталям. В настоящее время существует несколько организаций, разрабатывающих стандарты по радиоэлектронике и электротехнике первая Институт инженеров электротехники и электроники (IEEE) и вторая Международная организация по стандартам (ISO). В Институте инженеров, электротехники и электроники существуют проектные группы, именуемые «рабочие группы 802». Они разрабатывают рекомендации к стандартам канального и физического уровней для локальных сетей. Большинство «стандартов 802» создаются отдельными производителями или рабочими группами в процессе решения сетевых проблем.

Для решения поставленной задачи для контроля активности сети, взят в реализацию протокол стека TCP/IP передачи данных TCP.

TCP -- Transmission Control Protocol -- это протокол управления передачей данных в сетях интернета, состоит в стеке протоколов TCP/IP выполняет функции протокола транспортного уровня модели OSI. Сам механизм TCP предоставляет собой поток данных с предварительной установкой соединения, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета, гарантируя тем самым, в отличие от UDP, целостность передаваемых данных и уведомление отправителя о результатах передачи [3].

Система будет захватывать и анализировать сетевой трафик широко распространённого протокола TCP/IP в информационной сети предприятия.

Система будет состоять из двух составляющих элементнов: программной и аппаратной частей.

Вся программная часть будет разделена на клиентские единицы и серверную. Клиентские программы будут вести и формировать базы с файлами регистрации - логами, чтобы не загружать сеть предприятия дополнительной нагрузкой. Серверная единица будет анализировать контроль активности пользователей и выгружать все сетевые логи по требованию с каждого компьютера, а также при этом будет вести единую дополнительную базу у себя с помощью встроенной системы управления базами данных SQLite.

Аппаратная часть будет состоять из компьютеров-клиентов, которые находятся в единой информационной сети предприятия, и планшета-сервера, который будет реализован на базе одноплатного компьютера. Примерная схема и структура представлена на рисунке 2.

сеть вторжение пользователь программный

Рисунок 2 Архитектура разрабатываемой системы

Программные модули будут написаны на двух языках программирования первый клиентский на C# и второй серверный на Python, которые буду взаимодействовать на основе протокола TCP/IP.

Программный клиентский модуль будет написан на основе C#, так как этот язык программирования актуален для нашей задачи и большинство организаций используют продукцию Microsoft и операционную систему Windows.

Клиент будет хранить и обрабатывать получаемый трафик с сетевой карты у себя при этот будет составлять базу данных по пользователям и персональным компьютерам, при этом будет передавать краткую информацию на сервер. Для программы понадобиться установить драйвера (библиотеки) winpcap и usbpcap для операций pickup которые позволяют приложениям отвечать на сеансы и в то же время оповещают о других адресах. Каждое в свое время приложения идентифицируют цели для срабатывания и возвращают идентификаторы сеансов для выбранного вызова.

На рисунке 3 показано как работает клиентская программа по алгоритму, который был ранее приведен на рисунке 2.

Программный серверный модуль будет написан на основе Python, так как этот язык программирования актуален для нашей задачи и более подходит для использования в операционных системах на основе ядра Linux. На рисунке 4 показано как работает серверная программа по алгоритму, который был ранее приведен.

Сервер будет хранить и обрабатывать получаемый данные у себя при этот будет составлять базу данных по пользователям и персональным компьютерам.

Аппаратная часть сервера будет основана в виде планшета на базе одноплатного компьютера Raspberry Pi 3 Model B с операционной системой (ОС) Raspbian 4.9 и с сенсорным экраном Waveshare 10.1inch Resistive Touch Screen LCD c разрешением экрана 1024x600, а также с автономным источником питания на 3800 mAh на базе литий-полимерном (Li-ion) аккумуляторе с защитой от короткого замыкания. Реализованный комплекс представлен на рисунке 5.

Рисунок 3 Клиентская программа

Рисунок 4 Клиентская программа

Рисунок 5 Реализованный ПАК

ПАК был реализован и протестирован в тестовой локальной сети предприятия, были исправлены незначительные корректировки в программном коде.

Таким образом, в результате проектирования, была создана рабочая модель программно-аппаратного комплекса контроля активности информационной сети предприятия и обнаружения вторжений. Применение спроектированного ПАК позволяет снизить риски информационной безопасности предприятия.

Список литературы

1. Федеральный закон N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2. Головин Ю.А., Суконщиков А.А., Яковлев С.А. Информационные сети. Учебник для студ. учреждений высш. проф. образования. -- М.: Академия, 2011. -- 384 с. -- ISBN 978-5-7695-6459-8.

3. Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. -- СПб.: Питер, 2012. -- 960 с. -- ISBN 978-5-459-00342-0.

4. Уилсон Эд. Мониторинг и анализ сетей. Методы выявления неисправностей. М: Лори, 2012. -- 386с. -- ISBN: 978-5-85582-350-9.

5. Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети (сетевые аномалии). М: Горячая линия - Телеком, 2016. -- 220с. -- ISBN 978-5-9912-0323-4.

Размещено на Allbest.ru