Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения - Программирование, компьютеры и кибернетика дипломная работа

Главная

Программирование, компьютеры и кибернетика
Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения

Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

на тему: Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения
1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ ЛВС ВОЕННОГО НАЗНАЧЕНИЯ
1.1 Требования руководящих документов по защите информации
1.2 Анализ характеристик объекта исследования
1.4 Основные угрозы и уязвимые места
2. РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК ЛВС
2.1 Обобщенная модель процесса обнаружения атак
2.2 Известные программные решения по системам обнаружения атак
2.3 Обоснование и выбор контролируемых параметров для системы обнаружения атак
2.4 Обоснование и выбор программного обеспечения для разработки системы обнаружения атак.
2.5 Разработка модели обнаружения атак ЛВС
2.5.1 Ограничения, принятые при разработке модели обнаружения атак ЛВС
2.5.4 Структура модели системы обнаружения атак ЛВС
2.5.5 Алгоритм функционирования модели обнаружения атак ЛВС
2.5.6 Оценка адекватности модели обнаружения атак ЛВС
3. РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО ПРИМЕНЕНИЮ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ВОЕННОГО НАЗНАЧЕНИЯ И ОЦЕНКА ИХ ЭФФЕКТИВНОСТИ
3.1 Размещение системы обнаружения атак в ЛВС
3.2 Использование системы обнаружения атак в коммутируемых сетях
3.3 Оценка эффективности предложений по применению системы обнаружения атак в ЛВС военного назначения
Приложения 1 Инструкция администратору по применению модели системы обнаружения атак
Приложения 2 Исходные коды основных модулей разработанной СОА
СОИБ средства обеспечения информационной безопасности
АРМ автоматизированное рабочее место
СВТ средства вычислительной техники
КСЗИ Комплексная система защиты информации
На современном этапе развития ВС РФ наблюдается резкое обострение проблем обеспечения информационной безопасности. Все более обостряются противоречия в обеспечении требуемого уровня защищенности информации, как циркулирующей в автоматизированных системах управления, связи, информационных вычислительных сетей (ИВС), локальных вычислительных сетях (ЛВС) военного назначения, так и о них. Данные противоречия проявляются с одной стороны в обеспечении требуемого уровня безопасности информации, а с другой бурным развитием и широким внедрением во все сферы деятельности, в том числе и в военную, информационных технологий и различного программного обеспечения, всеобщей цифровизацией, вхождением закрытых ведомственных информационных вычислительных сетей в сети общего пользования, активизацией деятельности всех видов разведок противника, в том числе компьютерной.
Как в мирное время, так и в условиях боевых действий наиболее важную роль для противника имеет достоверная разведывательная информация, получаемая по различным каналам. В этих условиях закономерным является его стремление обеспечить получение достоверной информации о системе управления войсками (связью) в том числе по открытым каналам связи и через сети общего пользования. Немаловажную роль в утечке, разглашении секретной информации играет также и внутренний нарушитель безопасности информации - легальный пользователь, администратор АС (ЛВС), зачастую наделенный неограниченными привилегированными правами, который как непреднамеренно, так и преднамеренно может допускать нарушение безопасности информации, циркулирующей в ЛВС военного назначения.
Разведка иностранных государств, в том числе и компьютерная, обладает большими потенциальными возможностями по добыванию информации, циркулирующей в АС, ЛВС, обрабатываемой на объектах ВТ.
Анализ руководящих документов, текущего состояния дел в области защиты информации, показывает, что возможности традиционных средств и способов защиты информации в ЛВС не могут в полной мере обеспечить секретность, доступность и целостность информации в процессе ее обработки, хранения и передачи в ИВС (ЛВС) военного назначения.
В этих условиях актуальным является совершенствование системы их защиты, которая предполагает создание защитных барьеров (препятствий) для любого несанкционированного вмешательства в процесс функционирования системы, а также для попыток хищения, модификации, ознакомления, разрушения и выведения из строя структурно-функциональных элементов и узлов оборудования, программного и специального программного обеспечения, данных и носителей информации.
Поэтому возникает необходимость повышения эффективности защищенности ЛВС военного назначения. Одной из важнейших подсистем системы защиты информации является система обнаружения атак (СОА), предназначенная для защиты от несанкционированного доступа и воздействия на информацию, конфиденциальности и интегральной целостности "критических" информационных структур.
В связи с этим, актуальным является решение задачи: "Разработки предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения ".
Таким образом, противоречия, отмеченные выше, определяют актуальность и практическую значимость темы и цели дипломной работы.
Цель работы - на основе анализа условий функционирования ЛВС военного назначения, угроз их информационной безопасности и существующих нормативно-методических документов разработать предложения по применению системы обнаружения атак в ЛВС военного назначения и оценить их эффективность.
1. Анализе требований руководящих документов по защите информации.
2. Анализе условий функционирования ЛВС военного назначения.
3. Обосновании обобщенной модели нарушителя информационной безопасности ЛВС.
4. Анализе основных угроз и уязвимых мест в ЛВС военного назначения.
5. Анализе защищенности (недостатки) ЛВС военного назначения.
6. Разработке модели системы обнаружения атак ЛВС.
7. Разработке предложений по применению систем обнаружения атак ЛВС военного назначения.
Практическое значение работы заключается в том, что реализация разработанной системы обнаружения атак и предложений по ее применению позволят эффективно обеспечить решение задачи защиты информации в ЛВС военного назначения.
Содержание дипломной работы. Дипломная работа состоит из введения, трех разделов, заключения и приложений.
Во введении обоснован выбор темы, сформулирована задача и цель работы, показана ее актуальность, практическая значимость.
Первый раздел дипломной работы посвящен анализу условий функционирования ЛВС военного назначения. Определены состав ЛВС, рассмотрена обобщенная модель нарушителя, определены основные угрозы и уязвимости безопасности информации, проведен анализ защищенности ЛВС военного назначения.
Во втором разделе дипломной работы рассмотрена обобщенная модель процесса обнаружения атак, проанализированы известные программные решения по СОА, обоснованы и выбраны контролируемые параметры для СОА, разработана и программно реализована модель (макет) СОА в ЛВС военного назначения.
В третьем разделе разработаны предложений по применению разработанной модели СОА в ЛВС военного назначения и проведена оценка их эффективности.
В заключении приведены основные результаты работы и пути применения, а также совершенствования СОА в ЛВС военного назначения.
В приложениях приведены инструкция администратору по применению модели системы обнаружения атак и исходные коды основных модулей разработанной СОА.
Новизна результатов дипломной работы заключается: в разработке новой (под ОС МСВС 3.0) модели СОА в ЛВС военного назначения, предложений по ее применению, а также оценке их эффективности.
1. Анализ условий функционирования ЛВС военного назначения
1.1 Требования руководящих документов по защите информации
1. При анализе руководящих документов по защите информации необходимо рассматривать весь спектр законодательно-правового обеспечения. В настоящее время практически сложилась структура правового обеспечения в области защиты информации, показанная на рис. 1.

Рисунок 1 - Структура правового обеспечения в области защиты информации
Наиболее важными руководящими документами являются:
«Доктрина информационной безопасности российской федерации». Утверждена Президентом Российской Федерации Пр-1895 от 09 сентября 2000 г.
«Концепция национальной безопасности Российской Федерации» утверждена указом Президента РФ от 17 декабря 1997 года № 1300.
«Основы концепции защиты информации от иностранных технических разведок и от ее утечки по техническим каналам». Одобрены решением Гостехкомиссии России от 16 ноября 1993 года № 6.
Федеральный закон № 157 от 9 июля 1999 г. «Уголовный кодекс Российской Федерации». Определяет наказания за: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Федеральный закон от 10.01.2002 г. N 1-ФЗ «Об электронной цифровой подписи» определяет следующие понятия: электронная цифровая подпись, сертификат ключа подписи, электронный документ, закрытый и открытый ключ электронной цифровой подписи.
Закон Российской Федерации № 5485-1 от 21.07.1993 г. с изменениями и дополнениями от 6.10.1997 г. № 131-ФЗ: «О государственной тайне» определяет: перечень сведений, составляющих государственную тайну, направления защиты государственной тайны, контроль и надзор за обеспечением защиты государственной тайны.
Федеральный закон № 98-ФЗ от 28 июля 2004 года «О коммерческой тайне» регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну.
Федеральный закон № 24 от 20.02.1995 г. «Об информации, информатизации и защите информации» определяет понятия: информатизация, информационная система и процессы, ресурсы по категориям доступа, информация, подлежащая защите.
«Перечень сведений, отнесенных к государственной тайне». Утвержден Указом Президента № 61 от 24 января 1998 г.
«Перечень сведений конфиденциального характера». Утвержден Указом Президента Российской Федерации № 188 от 6 марта 1997 г.
«Положение о федеральной службе по техническому и экспортному контролю». Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». Утверждено Постановлением Совета Министров - Правительства Российской Федерации от "15" сентября 1993 г. № 912-51. Оно является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах власти РФ, на предприятиях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности.
Положение определяет структуру государственной системы защиты информации в Российской Федерации, представленной на рис. 2, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется - защита информации). Сущность и содержание комплексной защиты информации представлена на рис. 3.
«Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». Одобрено решением Гостехкомиссии России от 14 марта 1995 года N 32. Определяет структуру системы защиты информации от иностранных технических разведок и от ее утечки по техническим каналам в учреждении.
Рисунок 2 - Структура государственной системы защиты информации в РФ

Рисунок 3 - Сущность и содержание комплексной защиты информации
4. Пакет руководящих документов ФСТЭК РФ.
«Руководящий документ. Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации».- Гостехкомиссия России, 30 марта 1992 года. Определяет основные задачи по комплексной защите информации в автоматизированных системах (рис. 4).
«Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения».- Гостехкомиссия России, 30 марта 1992 года.

Рисунок 4 - Комплексная защита информации в АС
«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации».- Гостехкомиссия России, 30 марта 1992 года.
«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».- Гостехкомиссия России, 30 марта 1992 года. Определяет классификацию АС по требованиям по защите информации (рис. 5).
Рисунок 5 - Классификация АС по защищенности информации
«Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники».- Гостехкомиссия России, 30 марта 1992 года.
«Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». - Гостехкомиссия России, 1997 года.
«Специальные требования и рекомендации по технической защите конфиденциальной информации определяет: требования и рекомендации, порядок организации работ по защите информации, в том числе обрабатываемой средствами вычислительной техники.
5. Приказы и директивы МО по защите информации.
Основными приказами и директивами МО по защите информации являются:
«Защита информации от утечки по техническим каналам в Вооруженных Силах Российской Федерации. Контроль эффективности. Методика и рекомендации».
«Инструкция по защите информации от несанкционированного доступа при подключении и использовании пользователями Вооруженных сил РФ информационных вычислительных сетей общего пользования».
«Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам».
«Модель иностранной технической разведки до 2010 года».
«Руководство по защите информации от несанкционированного доступа в Вооруженных силах РФ».
6. Основные государственные и отраслевые стандарты.
ГОСТ Р. 50922-96 «Защита информации. Основные термины и определения» определяет основные понятия по защите информации. В соответствии с данным документов определяются следующие направления по защите информации, представленные на рис. 6.

Рисунок 6 - Направления по защите информации (ГОСТ Р 50922 - 96)
ГОСТ Р. 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» определяет понятия: объект информатизации, факторы, воздействующий на защищаемую информацию.
ГОСТ Р. 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования». Определяет понятия: АС в защищенном исполнении, класс защищенности АС, специальная проверка, исследования.
ГОСТ Р. 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» определяет порядок создания АС в защищенном исполнении.
1.2 Анализ характеристик объекта исследования
В работе за объект исследования принят типовой вариант штаба соединения с примерным перечнем должностных лиц, рабочих кабинетов, размещенных в одноэтажном здании, показанном на рис. 7.
Состав ЛВС определяется исходя из количества должностных лиц ДЛ, их потребностях в ПЭВМ, в объеме и типах решаемых ими задач, грифе секретности, циркулирующей в ЛВС, используемой информационной технологии, а также требований РД по защите СВТ и АС от НСД к информации. Выбор класса защиты СВТ и АС на основании требований РФ ФСТЭК.
Вариант состава ЛВС штаба соединения представлен на рис. 13. В работе рассмотрен следующий вариант программных и аппаратных средств ЛВС: сервер: ПЭВМ Pentium 3 1000 MГц, АРМ: ПЭВМ Pentium 2 266 MГц; межсетевой экран (МЭ) "DioNIS Firewall D" v.3.20 (NDNFWD+99/3/20) - по 4 классу для НДВ, по 3 классу для МЭ; принтеры; коммутатор; операционная система (ОС) МСВС 3.0 - по 2 классу для СВТ и классу 1Б - для АС; пакет офисных программ «КП Офис», СУБД «Linter 6.0»; специальное программное обеспечение.
Все аппаратное обеспечение прошло специсследования и спецпровеки, а ПО сертифицировано по требованиям РД ФСТЭК по защите информации.
Все программные и аппаратные средства были взяты из государственного реестра сертифицированных средств защиты информации.
В штабе все ПЭВМ соединены коммутатором с соответствующим количеством портов. Также в ЛВС имеются сервер приложений и баз данных (БД), размещенные в спецклассе.
В штабе соединения также организован абонентский пункт для доступа в сети связи общего пользования, не имеющий вход в рассматриваемую ЛВС, состоящий из ПЭВМ, принтера, коммутатора, почтового сервера и МЭ.
Для построения адекватной угрозам СОА необходимо разработать модель нарушителя безопасности информации. Под нарушителем понимается любое физическое лицо, предпринимающее несанкционированные действия на защищаемом (охраняемом) объекте.
Рисунок 7 - Вариант состава ЛВС штаба соединения
Под моделью нарушителя безопасности информации будем понимать абстрактное (формализованное или неформализованное) описание совокупности характеристик нарушителя, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на информацию, хранимой, обрабатываемой В ЛВС.
Нарушители (согласно РД ФСТЭК) классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.
Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
В работе предлагается несколько другой подход к классификации нарушителя и построении его модели, позволяющий расширить факторы, учитывающие мотивацию, цель, квалификацию, информативность, техническую оснащенность и др. Предлагаемая обобщенная модель нарушителя безопасности информации показана на рис. 8.

Рисунок 8 - Обобщенная модель нарушителя безопасности информации
В большинстве случаев нарушения безопасности информации исходят от внутренних сотрудников, случайные непреднамеренные какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это происходит вследствие некомпетентности или небрежности. Нарушение безопасности СВТ может быть вызвано и внешним нарушителем, работающим как внутри защищаемого объекта, так и из-за пределов контролируемой зоны. В этом случае он целенаправленно пытается преодолеть систему защиты от НСД к хранимой, передаваемой и обрабатываемой в СВТ информации. К таким нарушителям относятся: представители террористических и преступных организаций, а также агенты иностранных разведок.
1.4 Основные угрозы и уязвимые места
Угроза безопасности информации - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, обрабатываемую в ней. Методы реализации угроз нарушителями БИ в ЛВС представлены в табл. 1.
Таблица 1 - Методы реализации угроз нарушителями информационной безопасности
Основные методы реализации угроз информационной безопасности
Угроза раскрытия параметров системы
Угроза нарушения конфиденциальности
Угроза отказа служб (отказа доступа к информации)
Определение типа и параметров носителей информации.
Хищение (копирование) носителей формации. Перехват ПЭМИН
Уничтожение машинных носителей информации
Выведение из строя машинных носителей информации
Получение информации о программно-аппаратной среде. Получение детальной информации о функциях, выполняемых АС.
Получение данных о применяемых системах защиты
Несанкционированный доступ к ресурсам АС. Совершение пользователем несанкционированных действий. Несанкционированное копирование программного обеспечения. Перехват данных, передаваемых по каналам связи
Внесение пользователем несанкционированных изменений в программы и данные. Установка и использование нештатного программного обеспечения.
Проявление ошибок проектирования и разработки программно-аппаратных компонент АС.
Определение способа представления информации
Визуальное наблюдение. Раскрытие представления информации (дешифрование)
Внесение искажения в представление данных; уничтожение данных
Искажение соответствия синтаксических и семантических конструкций языка
Определение содержания данных на качественном уровне.
Разрабатываемая система обнаружения атак должна сводить к минимуму различные угрозы (случайные или преднамеренные) БИ: раскрытия параметров системы; нарушения конфиденциальности; нарушения целостности; отказа служб (отказа доступа к информации).
Уязвимость информационной системы (ЛВС) - это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. Уязвимости, реализуемые поставщиком (разработчиком), включают - ошибки, неустановленные обновления операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию.
Уязвимости, связанные с действиями администратора, представляют собой доступные, но неправильно используемые настройки и параметры информационной системы, не отвечающие политике безопасности (например, требования к минимальной длине пароля и несанкционированные изменения в конфигурации системы).
Уязвимости, относящиеся к деятельности пользователя, включают уклонения от предписаний принятой политики безопасности, например, отказ запускать ПО для сканирования вирусов или использование модемов для выхода в сеть Internet в обход межсетевых экранов, а также другие, более враждебные действия.
Анализ защищенности ЛВС является основным элементом аттестации АС. Типовая методика анализа защищенности ЛВС включает использование следующих методов:
оценка угроз, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим угрозам;
ручной анализ конфигурационных файлов маршрутизаторов, МЭ почтовых и DNS серверов;
анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.
Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с использованием специализированных программных средств.
1. В результате анализа условий функционирования ЛВС выявлены исходные данные по составу и аппаратно-программным средствам.
2. Анализ требований руководящих документов по защите информации показал, что для обеспечения эффективной защиты информации необходимо комплексное применение средств и систем защиты.
3. Определена типовая структура ЛВС, используемые ОС на рабочих местах должностных лиц и серверах, а также другие данные, необходимые для выбора средств защиты информации и способов их применения.
4. Разработана модель нарушителя безопасности информации, а также рассмотрены возможные угрозы безопасности информации ЛВС, которые создают необходимость разработки системы обнаружения атак.
2. Разработка модели системы обнаружения атак ЛВС
2.1 Обобщенная модель процесса обнаружения атак
В зависимости от степени абстрагирования модели от оригинала различают материальные (физические), абстрактные и комбинированные модели. К классу материальных моделей обычно относят пространственно подобные модели, отличительным признаком которых служит геометрическое подобие между объектом и моделью, либо модели, у которых процесс функционирования такой же, как и оригинала, и имеет ту же или подобную физическую природу. Можно выделить следующие виды таких моделей: натуральные (в рассматриваемым случае), масштабные и аналоговые.
Натуральные модели - это, как правило, прообразы реальных исследуемых систем. Их обычно называют стендами, макетами и опытными образцами. Натуральные модели имеют почти полное подобие с реальной системой, что обеспечивает высокую точность и достоверность результатов моделирования. Во время стендовых и комплексных испытания выявляется общие закономерности системы, накапливаются опытные данные, обработка которых позволяет получить обобщенные сведения о значениях характеристик существующих свойств исследуемых процессов и систем.
Обычно атака имеет три стадии: подготовка (сбор информации); реализация атаки; завершение атаки, представленные на рис. 9.
На этапе “подготовка” возможны действия злоумышленника: изучение окружения; топология сети; идентификация узлов; сканирование портов; идентификация ОС; идентификация роли узла; идентификация уязвимостей.
На этапе “реализация”: проникновение; установление контроля; непосредственные действия зловредных программ.
На этапе “завершения”: чистка логов; чистка ссылок и связей; удаление тела программы и своих модулей.
Разрабатываемая система СОА фиксирует атаку на последних двух стадиях. Что касается типов атак, выделим, что они бывают пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные. В рассматриваемом случае создается система обнаружения активных, внутренних и частично внешних, умышленных и неумышленных атак. Перечислим атаки, которые будут обнаруживаться разрабатываемой СОА:
локальное проникновение (local penetration) - атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена;
локальный отказ в обслуживании (local denial of service) - атака, позволяющая нарушить функционирование системы или перегрузить компьютер, на котором она реализуется;
взломщики паролей (password crackers) - программы, которые подбирают пароли пользователей.
Все СОА можно разделить на две категории - автономные и клиент-серверные системы. Первые выполняют сбор информации, ее анализ и реагирование на одном компьютере. Системы второй категории строятся по иному принципу. В наиболее критичных точках ЛВС устанавливаются агенты СОА (модули слежения, сенсоры), которые отвечают за выявление атак и реагирование на них. Все управление осуществляется с центральной консоли, на которую также передаются все сигналы тревоги.
В зависимости от используемых методов анализа база знаний СОА может хранить сигнатуры атак или профили пользователей. Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль обнаружения атак, который на основании полученного результата может отдавать команды модулю реагирования.
В том случае, если СОА построена как автономный агент, то все указанные модули находятся на одном компьютере. А если система разработана с учетом архитектуры "клиент-сервер", то в ней выделяются два основных уровня - сенсор (sensor), также называемый агентом (agent) или модулем слежения (engine), и консоль (console). Сенсор отвечает за обнаружение и реагирование на атаки, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления.
Разрабатываемую СОА предполагается строить по клиент-серверной технологии.
Обобщенная модель системы обнаружения атак приведена на рисунке 10.
Рисунок 10 - обобщенная модель системы обнаружения атак
Модуль сбора первичной информации (датчик, сенсор) располагается на АРМ ЛВС и предназначен для сбора информации, необходимой модулю выявления атак.
Модуль реакции располагается на сервере БИ ЛВС (менеджере). В зависимости настройки соответствующего шаблона реакция может быть следующая:
вывод сообщения о процессе нарушаемого политику;
запись в журнал (обязательное реагирование);
выполнения команды или группу команд на хосте (агентом).
Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в ЛВС, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование.
Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль СОА (на пейджер, телефон).
К категории "сохранение" относятся два варианта реагирования: регистрация события в БД и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору БИ воспроизводить в реальном масшт
Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения дипломная работа. Программирование, компьютеры и кибернетика.
Дипломная Работа На Тему Охраны Труда
Курсовая Анализ Видового Разнообразия Информационно Справочной Документации
Реферат по теме Повышение устойчивости к физической нагрузке у тренированных и нетренировнных лиц под влиянием тонизирующих фитосборов
Почему Детский Мир Жесток Сочинение
Курсовая Работа На Заказ Орск
Сочинение По Русскому Языку 4 Класс
Курсовая работа по теме Структура автоматизированной банковской системы 'БИСквит' фирмы 'БИС'
Как Избежать Речевых Ошибок В Сочинении
Контрольная работа: Право на свободу передвижения, выбора местопребывания и жительства в пределах РФ
Учебное пособие: Методические указания к выполнению организационно-экономической части дипломных научно-исследовательских работ
Реферат: Региональная политика России: концепции, проблемы, решения. Скачать бесплатно и без регистрации
Реферат: Туристические культурно-исторические ресурсы РФ. Скачать бесплатно и без регистрации
Лабораторная работа: Модульное программирование
Социальная Защита Ветеранов Дипломная Работа
Контрольная работа по теме Энергосбережение при освещении зданий
Эссе На Тему Облик Казахского Кино
Курсовая работа: Церковный раскол XVII века
Курсовая работа: Собственность как экономическая форма обмена
Реферат: Перспективы развития ОАО Кингисеппский хлебокомбинат
Реферат: Рекламная деятельность в системе маркетинга
Бухгалтерский учет в торговле и туризме - Бухгалтерский учет и аудит курс лекций
Основные направления развития Польши - История и исторические личности реферат
Контроль как функция управления - Менеджмент и трудовые отношения реферат