Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Аналіз системи виявлення вторгнень та комп’ютерних атак

Скачати 168.33 Kb.

Аналіз системи виявлення вторгнень та комп’ютерних атак




Скачати 168.33 Kb.
Дата конвертації12.05.2017
Розмір168.33 Kb.


АНАЛІЗ СИСТЕМИ ВИЯВЛЕННЯ ВТОРГНЕНЬ
ТА КОМП’ЮТЕРНИХ АТАК

Радченко М.М., Іванов О.І.,

Прохорський С.І., Мужеський К.К.
НЦЗІ ВІТІ ДУТ
У статті проведений аналіз проектування системи виявлення атак, розглянуто основні принципи створення засобів виявлення і протидії комп’ютерним атакам, приведено опис застосовуваних при виявленні та запобіганні мережевих атак методи і моделі, надано характеристики моделям виявлення вторгнень.

В статье проведен анализ проэктирования системы выявления атак, рассмотрены основные принципы создания средств выявления и противодействия компьютерным атакам, приведено описание применяемых при выявлении и противодействии сестевым атакам методов и моделей, даны характеристики моделям выявления вторжений.

The analysis of the proektirovanie system of exposure of attacks is conducted in the article, basic principles of creation of facilities of exposure and counteraction to the computer attacks are considered, description over is brought applied at an exposure and counteraction to the network attacks of methods and models, descriptions are given to the models of exposure of encroachments.
Актуальність. Як відомо, навіть найнадійніші системи захисту не здатні захистити від атак комп’ютерні системи державних та відомчих установ. Одна з причин – у тому, що в більшості систем безпеки застосовують стандартні механізми захисту: ідентифікацію та аутентифікацію, механізми обмеження доступу до інформації згідно з правами суб’єкта і криптографічні механізми. Це традиційний підхід із своїми недоліками, як-то: незахищеність від власних користувачів – зловмисників, розмитість поділу суб’єктів системи на „своїх” і „чужих” через глобалізацію інформаційних ресурсів, порівняна легкість підбору паролів внаслідок використання їхнього змістового різновиду, зниження продуктивності і ускладнення інформаційних комунікацій внаслідок обмеження доступу до ресурсів організації.
Інформаці́йні ресу́рси (Information resources) - документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних сховищах і т.і.). Розрізняють інформаційні ресурси державні та недержавні.
Важливо, щоб такі системи могли протистояти атакам, навіть якщо зловмисник уже був аутентифікований та авторизований і з формальної точки зору додержання прав доступу мав необхідні повноваження на свої дії.
Право доступу (англ. access right) - дозвіл або заборона здійснення певного типу доступу до інформаційної системи.
Аспект (лат. aspectus - вигляд, погляд) - поняття філософії (онтології, теорії пізнання). У філософії аспект розглядається

Ці функції і виконують системи виявлення вторгнень (intrusion detection systems, IDS). Оскільки передбачити всі сценарії розгортання подій в системі з активним „чужим” суб’єктом неможливо, слід або якомога детальніше описати можливі „зловмисні” сценарії або ж, навпаки, –“нормальні” і постулювати, що всяка активність, яка не підпадає під прийняте розуміння „нормальності”, є небезпечною.



Мета — визначення проблемних питань при проведенні заходів з проектування системи виявлення вторгнень, тестування розробленого програмного засобу, виявлення та усунення його недоліків, зведення методик виявлення мережевих атак до єдиного критерію, наприклад, таким як повнота охоплення всіх аналізованих параметрів, необхідних для точного і найбільш ймовірного виявлення атаки з мінімально хибним спрацьовуванням.

Проведений аналіз свідчить, що що IDS поділяються на системи, що реагують на відомі атаки – системи виявлення зловживань (misuse detection systems, MDS) і системи виявлення аномалій (anomaly detection systems, ADS), які реєструють відхилення еволюції системи від нормального перебігу.

Моделі виявлення і запобігання мережевих атак діляться на два типу:

1. Хостова (host-based) модель виявлення мережевих атак передбачає аналіз даних, одержуваних і переданих в мережу, і аналіз різних журналів реєстрації, наявних на конкретному вузлі (хості) шляхом застосування відповідних методик і алгоритмів;

Аналіз даних - розділ математики, що займається розробкою методів обробки даних незалежно від їх природи.

2. Мережева (network-based) модель виявлення мережевих атак передбачає аналіз мережевого трафіку безпосередньо в мережі, тобто аналізуються дані, взяті з технічних каналів зв’язку, з використанням середовища передачі даних і каналоутворюючого обладнання обчислювальної мережі, шляхом застосування відповідних методик і алгоритмів мережевого аналізу даних.

Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.

Засобами технології виявлення мережевих атак є програмні та апаратні системи виявлення атак, які функціонують переважно в TCP / IP мережах і базуються на сигнатурних та статистичних методиках виявлення на основі хостових і мережевих моделей.

Виявлення атак вимагає виконання однієї з двох умов: або розуміння очікуваного поведінки контрольованого об’єкта системи, або знання всіх можливих атак і їх модифікацій. У першому випадку використовується технологія виявлення аномальної поведінки (anomaly detection), а в другому – технологія виявлення зловмисної поведінки або зловживань (misuse detection).

Серед відомих методів виділяються наступні:



  • Статистичний метод.

  • Приховані марківські моделі.

  • Нечітка логіка.

  • Експертні системи.

  • Використання прогнозованих шаблонів.

  • Генетичні алгоритми.

  • Штучні нейронні мережі.
    Штучна нейронна мережа (ШНМ, англ. artificial neural network, ANN, рос. искусственная нейронная сеть, ИНС) - це математична модель, а також її програмна та апаратна реалізація, побудовані за принципом функціювання біологічних нейронних мереж - мереж нервових клітин живого організму.


  • Аналіз переходів зі стану в стан.

  • Data mining-методи.

Застосовувані при виявленні та запобіганні мережевих атак методи і моделі зводяться до мережевого і хостового аналізу сигнатурних і статистичних даних мережевого трафіку з подальшим виведенням засобів виявлення атак про здійснення атаки. До таких висновків відносяться повідомлення на консоль або в журнали засобів виявлення атак про час виявлення і проведення, назві та типу атаки. Результатами роботи засобів виявлення атак є дані про номери пакетів, що містяться в сеансі атаки.

Сигнатурний аналіз і контроль профілів при виявленні комп’ютерних атак включає в себе аналіз заданих заздалегідь послідовностей, як самих аналізованих даних, так і послідовностей дій. Сучасні методики виявлення мережевих атак досить різнорідні і не зведені до єдиного критерію, за яким можливо оцінювати ефективність їх застосування. Таким критерієм може служити повнота охоплення всіх аналізованих параметрів, необхідних для точного і найбільш ймовірного виявлення атаки з мінімально хибним спрацьовуванням.

Недоліками розглянутих моделей є: для моделей, які використовують статистичні методики, – велика кількість помилкових тривог і помилок другого роду, для моделей, що використовують сигнатурні методики, – неможливість самостійного виявлення нових атак і постійна необхідність оновлення бази сигнатур.

При виявленні та запобіганні мережевих атак вже використовуються методики, що мають можливість саме запобігання мережевих атак (МА) і включають в себе тільки лише такі дії, як блокування прийому / передачі тих мережевих пакетів, які ідентифікуються як пакети, містяться в атаці.

Методики виявлення і запобігання зводяться до застосування технологій виявлення мережевих атак, які включають в себе програмні та апаратні системи виявлення атак, функціонуючі переважно в TCP / IP мережах і базуються на сигнатурних та статистичних методиках виявлення атак, на основі хостових і мережевих моделей, результатом яких є виявлення атак з метою автоматизації забезпечення захисту ЛОМ.

У таких методиках спільною рисою з формальної точки зору є те, що існує кілька підходів подання повідомлень про виявлені атаки.

При виявленні МА в основному застосовуються методики, узагальнення приватних рішень які будуються з використанням різноманітних методів і технологій. Найбільш відповідні області застосування методики:


  • Класичні методи експертних систем.
    Експе́ртна систе́ма - це методологія адаптації алгоритму успішних рішень однієї сфери науково-практичної діяльності в іншу. З поширенням комп'ютерних технологій це тотожна (подібна, заснована на оптимізуючому алгоритмі чи евристиках) інтелектуальна комп'ютерна програма, що містить знання та аналітичні здібності одного або кількох експертів щодо деякої галузі застосування, і здатна робити логічні висновки на основі цих знань, тим самим забезпечуючи вирішення специфічних завдань (консультування, навчання, діагностування, тестування, проектування тощо) без участі експерта (фахівця в конкретній проблемній галузі). Також визначається як система, яка використовує базу знань для вирішення завдань (видачі рекомендацій) у деякій предметній галузі. Цей клас програмного забезпечення спочатку розроблявся дослідниками штучного інтелекту в 1960-ті та 1970-ті і здобув комерційне застосування, починаючи з 1980-х. Часто термін система, заснована на знаннях використовується як синонім експертної системи, однак можливості експертних систем ширші за можливості систем, заснованих на детермінованих (обмежених, реалізованих на поточний час) знаннях.


  • Нейронні мережі.

  • Нечітка логіка.

  • Візуалізація.

  • Статистика.

  • k-найближчий сусід (метод з теорії розпізнавання).

  • Метод аналізу ієрархій.

Для того, щоб система прийняття рішень могла узагальнювати дані, отримані від різних підсистем системи виявлення вторгнень, необхідно стандартизувати формат повідомлень про атаки, що посилаються цими аналізаторами. Підсистема системи виявлення вторгнень повинна передавати в СПР вектор виду:

,

де А – системний ідентифікатор виявника атаки, С – ідентифікатор виявленої атаки, Gвид атаки, Т – системний час атаки, М – ідентифікатор методу, яким виявлена атака, Р – вірогідність проведення атаки, Рн – нижня межа ймовірності атаки, Рвверхня межа ймовірності атаки.

Точна верхня межа (верхня грань) і точна нижня межа (нижня грань) - узагальнення понять максимуму та мінімуму відповідно.

Подальша обробка проводиться роздільно для кожного з видів атак. Тимчасова вісь t розбивається на інтервали аналізу Δt. Довжина інтервалу Δt визначається виходячи з типу атаки і швидкості її виявлення підсистемами СВВ. У кожному інтервалі проводиться аналіз повідомлень з метою оцінки узагальненої ймовірності атаки. У ряді робіт, виконаних у суміжних областях, показано, що вироблення оптимального методу об’єднання статистичних гіпотез про виявлення різнорідних об’єктів в практичній ситуації неможлива. Для систем виявлення атак це пояснюється відсутністю даних про апріорні ймовірності атак різних видів, різною природою проаналізованих ознак, неможливістю оцінки спільних рис розподілу значень цих ознак, рознесенням в часі моментів повідомлень про атаки.

Збільшення ймовірності виявлення атаки веде до зростання ймовірності „помилкової тривоги”. Для того щоб ймовірність „помилкової тривоги” залишалася в допустимих межах, пропонується використовувати мажоритарний критерій для прийняття рішень. Якщо в системі присутні кілька виявників атак, які виявлятимуть заданий вид атаки, то рішення про наявність атаки приймається в випадку, якщо вона виявлена більш ніж половиною СВА.

Розвитком мажоритарного підходу є вимоги трудомісткої експертної роботи та застосування при обчисленні ймовірності атаки апріорної інформації про властивості підсистем, які реалізуються на основі обчислення зваженої суми значень Pi, де в якості ваги застосовується ступінь довіри до того чи іншого виявника (підсистемі СВВ) при розгляді даної конкретної атаки. Тоді ймовірність виявлення атаки (Класу або групи атак) k може бути представлена виразом:

де mчисло аналізаторів, що використовуються в СВВ, Pkj – ймовірність атаки k, передана j-м аналізатором на інтервалі Δti,, Wkj – ступінь довіри результатам роботи аналізатора j при виявленні атаки k, причому . Якщо повідомлень про атаки в інтервалі аналізу Δti не зафіксовано, .

Відповідно застосування ймовірнісної оцінки виявлення атак, залежить від числа аналізаторів, ймовірності атаки і ступеня довіри аналізаторам при виявленні атаки.

Сучасні засоби захисту можна розділити за характеристиками, що представлені на рисунку 1:



Рис.1. Характеристики систем виявлення вторгнень


Основними принципами створення засобів виявлення і протидії комп’ютерним атакам є наступні:

1.

Система виявлення атак (вторгнень) - програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет.
Принцип прозорості. Система виявлення та протидії комп’ютерним атакам (КА) повинна функціонувати у фоновому режимі непомітно для користувачів, не знижуючи оперативності виконання технологічних циклів управління, при цьому забезпечуючи виконання своїх цільових функцій.
Технологі́чний проце́с - це впорядкована послідовність взаємопов'язаних дій та операцій, що виконуються над початковими даними до отримання необхідного результату.
Цільова функція - функція, що зв'язує мету (змінну, що оптимізується) з керованими змінними в задачі оптимізації.

2. Принцип оптимальності. Розробка системи виявлення та протидії КА повинна проводитися з урахуванням того, що кожен з методів виявлення (протидії) КА дозволяє досить ефективно і достовірно виявляти (нейтралізувати) тільки певні види КА. Тому при створенні системи виявлення та протидії КА повинно бути знайдено оптимальне співвідношення між методами виявлення і протидії КА і способами їх застосування в складі системи.

3. Принцип адекватності. Розробляються для реалізації в системі виявлення та протидії КА проектні рішення повинні бути диференційовані залежно від частоти, ймовірності та очікуваного збитку від успішної реалізації кожного виду КА.

4. Принцип повноти. Даний принцип полягає у використанні для виявлення КА інформації про стан і значення основних параметрів всіх програмних і технічних елементів пунктів управління АС.

5. Принцип адаптивності. Система виявлення та протидії КА повинна створюватися з урахуванням того, що з розвитком АС здійснюватиметься поступова зміна складу і характеристик програмних і технічних засобів АС, що, у свою чергу, призведе до розширення переліку загроз безпеки. Тому при створенні системи виявлення та протидії КА в її складі повинні бути передбачені механізми адаптації системи до мінливих умов функціонування.


Огляд засобів мережевого захисту


Розміщення всередині однієї ЛОМ здійснюється наступним чином. СВА розміщують таким чином, щоб вона могла спостерігати за всіма підконтрольними їй сегментами мережі. Як правило, безпосереднє спостереження здійснюють кілька розташованих в ній сенсорів.

Сенсорами можуть бути як мережевими інтерфейсами, так і групами мережевих інтерфейсів під управлінням операційної системи (наприклад, кластер NIDS).

Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.
У самому простому випадку IDS встановлюють на вхід сегменту, яких захищають таким чином, щоб весь трафік сегмента проходив через систему.

У цього варіанту є свої плюси і мінуси. До перших можна віднести:


  • відсутність трафіку, що не проходить через IDS, що знижує ймовірність непоміченого попадання зловмисного трафіку в сегмент;

  • можливість установки системи активного реагування на атаку (наприклад, комбінація Snort Guardian дозволяє змінювати правила ipchains /iptables відповідно з подіями IDS).

У числі недоліків назвемо:

  • поява додаткової ланки, вихід якої з ладу може позначитися на працездатності мережі в цілому;

  • складність масштабування IDS внаслідок непростої установки додаткових сенсорів (на цей час необхідний фізичний розрив з’єднання);

  • залежність продуктивності мережі при взаємодії з зовнішніми сегментами від продуктивності IDS,

  • мережевий інтерфейс, на якому виконується спостереження, може бути керуючим.

Всередині мережеві засоби мережевого захисту використовують як мережеву, так і хостову моделі виявлення мережевих атак. Даний факт дозволяє використовувати всі переваги таких моделей, а саме методики та алгоритми, що враховують характеристики мережевих атак, такі як події, зареєстровані в журналах:

  • конкретної операційної системи;

  • журналах додатків, що використовуються на хості;

  • міжмережевих екранів.

У цих засобах аналіз мережевого трафіку здійснюється безпосередньо в мережі, тобто аналізуються дані, взяті з технічних каналів зв’язку, з використанням середовища передачі даних і каналоутворюючого обладнання обчислювальної мережі, шляхом застосування відповідних методик і алгоритмів мережевого аналізу даних.

До таких засобів відносяться більшість відомих і перерахованих на сьогоднішній день програмних продуктів.

Програ́мний проду́кт (англ. programming product) - це: програмний засіб, програмне забезпечення, які призначені для постачання користувачеві (покупцеві, замовникові). програма, яку може запускати, тестувати, виправляти та змінювати будь-яка людина.

Засоби мережевого захисту між ЛОМ пропускають через себе весь мережевий трафік, що проходить між сегментами розподіленої обчислювальної мережі. При використанні таких засобів вузли ЛОМ не задіяні у виявленні атак і у разі виявлення мережевої деструктивної дії атаки, спрямовану на вузли ЛОМ, блокується на початковому етапі реалізації мережевої атаки.

До таких засобів, наприклад, відносяться – мережеве рішення компанії Ranch Networks і Російська СВА Intrusion Prevention – Proventia G і Proventia М.

До відмінних властивостей таких засобів можна віднести:


  • захист від dos-атак;

  • ідентифікація та авторизація користувачів;

  • зміна стратегії захисту мережі залежно від її стану (policy driven security-on-demand);

  • захист мережі за індивідуальними адресами;

  • захист як вхідних, так і вихідних інформаційних потоків для кожної зони;

  • підтримка мережевої безпеки бездротової передачі даних (wifi) і передачі голосу через інтернет (voip);

  • зручне підключення до систем виявлення несанкціонованого доступу, а також програм вірусів і „черв’яків” (ids).
    Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.

Огляд параметрів і характеристик захищеної ІС


Під захищеною ІС розуміється система, в якій використовуються персональні комп’ютери (ПК), технічні канали зв’язку, які передбачають середовище передачі даних і каналоутворюючого обладнання локальної обчислювальної мережі (ЛОМ).

У таку ІС входять:



  • Програмне забезпечення, що використовується при роботі користувачів і виконанні основних функцій по роботі з базами даних, клієнтськими додатками та інше.

  • Технічні засоби – вузли ЛОМ, комунікаційне і каналоутворююче обладнання та лінії зв’язку між ними, сукупність яких утворює фізичну топологію мережі.

  • Програмні засоби, що забезпечують функціонування, а також фізичну та логічну взаємодію всіх технічних засобів, що входять в ІС, такі як системне ПЗ, спеціалізоване мережеве ПЗ.

Огляд параметрів і характеристик захищеної ІС


Основною проблемою і обов’язковою умовою у створенні захищеної ІС є формалізація методу опису предметної області та оперування моделями, які адекватно описують архітектуру і функціонування об’єкта, що проектується.
Предме́тна о́бласть (ПрО) - множина всіх предметів, властивості яких і відношення між якими розглядаються в науковій теорії. В логіці - гадана область можливих значень предметних змінних логічної мови.
Для опису платформи безпеки (ПБ) розподілених ІС використовують формалізм семантичних мереж фреймів:

В основі мережевих моделей лежить конструкція виду:



,

де I – множина інформаційних одиниць, Ci, C2, ...

Семантична мережа - інформаційна модель предметної області, що має вигляд орієнтованого графа, вершини якого відповідають об'єктам предметної області, а ребра задають відносини між ними. Об'єктами можуть бути поняття, події, властивості, процеси.
, Cn – множина типів зв’язків між елементами; Г – відображення, що задає зв’язок з прийнятого набору між інформаційними одиницями.

З точки зору захищеності ІС розглядають графову модель системи захисту з повним перекриттям.

У цій моделі розглядається взаємодія „області загроз”, „область, що захищається” (ресурсів АС) і „системи захисту” (механізмів безпеки АС).

Таким чином, маємо три множини:

Т = {ti} – множина загроз безпеки, О = {oj} – множина об’єктів (Ресурсів) захищеної системи, М = {mk} – множина механізмів безпеки.

Елементи цих множин знаходяться між собою у певних відношеннях, власне і описують систему захисту.

Для опису системи захисту зазвичай використовується графова модель. Множина відношень загроза-об’єкт утворює дводольний граф {<Т, О>}. Мета захисту полягає в тому, щоб перекрити всі можливі ребра в графі. Це досягається введенням третього набору М. У результаті виходить тридольний граф {<Т, М, О>}. Розвиток цієї моделі припускає введення ще двох елементів:

Vнабір вразливих місць, які визначаються підмножиною декартового добутка Т*О: vr = i, оj>. Таким чином, під вразливістю системи захисту будемо розуміти можливість здійснення загрози t відносно об’єкта о (на практиці під вразливістю системи захисту зазвичай розуміється не сама можливість здійснення загрози безпеки, а ті властивості системи, які сприяють успішному здійсненню загрози, або можуть бути використані зловмисником для здійснення загрози);

В – набір перешкод, що визначається декартовим добутком V*M: bi = i,Oj,mk>, які представляють собою шляхи здійснення загроз безпеці, перекриті засобами захисту.

Відповідно при побудові систем захисту, що використовують виявлення мережевих атак, необхідно використовувати існуючі мережеві та хостові моделі, що включають сигнатурні та статистичні методи для повного перекриття підсистемами захисту М вдалого здійснення мережевих атак.

Стати́стика - наука, що вивчає методи кількісного охоплення і дослідження масових, зокрема суспільних, явищ і процесів. А також власне кількісний облік масових явищ. Зокрема, облік у будь-якій галузі господарства, суспільного життя, що здійснюється методами цієї науки, а також дані цього обліку.

Загалом ІС повинна надавати такі види послуг:


  • встановлення зв’язку – реалізується засобами каналоутворюючого обладнання за допомогою каналів зв’язку;

  • передача даних – ЛОМ оснащена апаратурою та каналами передачі даних для забезпечення заданих швидкостей і надійності обробки даних.
    Обробка інформації́ - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [6.


Параметри захищається ІС повністю підходять під описані нижче:

Залежно від виду засобів, методів і алгоритмів керування, можна виділити ІС з централізованим і розподіленим управлінням. При цьому можуть виконуватися як жорсткі, так і гнучкі алгоритми управління ІС, що враховують численні фактори. Об’єднання мереж здійснюється або через загальний вузол, або шляхом створення спеціальних каналів, з’єднують вузли однієї системи з вузлами іншої. Якщо мережа може бути з’єднана з іншими, то вона називається відкритою, якщо ні, то – закритою.

За функціонально-цільовим і прикладним призначенням ІС можна розділити на дві групи: загального користування та спеціального призначення.

ІС загального користування призначені для різних сфер застосування незалежно від конкретного змісту даних, що обробляються в ІС. Засоби, структура і функціональні можливості виявляються однаковими для багатьох випадків застосування і забезпечують широкий діапазон послуг.

ІС спеціального призначення призначені для вирішення завдань в певній предметній або відомчої області.

Якісні характеристики ІС поділяються за такими показниками:



  • загальне число зв’язків;

  • тимчасові характеристики якості ІС;

  • середній час обслуговування;

  • надійність обслуговування;

  • достовірність передачі;

  • можливість доступу.

Характеристики засобів, що забезпечують обробку даних в ІС, включають:

  • технічні засоби (сервера, робочі станції, комунікаційне обладнання, міжмережеві екрани) і лінії зв’язку між ними, сукупність яких утворює фізичну топологію АС (ЛОМ) та точки взаємодії (Стики) з іншими АС;
    Робоча станція (англ. workstation) - комплекс апаратних і програмних засобів, призначених для вирішення певного кола завдань.
    Міжмережевий екран, Мережевий екран, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна» - пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.


  • програмні засоби, що забезпечують функціонування, а також фізична і логічна взаємодія (канали керування і передачі даних) всіх технічних засобів, що входять до АС (системне ПЗ, спеціалізоване мережеве ПЗ);

  • прикладне та сервісне програмне забезпечення, що розробляється окремо від загальносистемного ПЗ і виконує покладені на нього функції в рамках реалізації тієї чи іншої інформаційної технології (СУБД, офісні додатки, редактори, компілятори, WEB-сервера і пр.).
    Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.


Мається на увазі, що компоненти ЛОМ розосереджені в просторі і зв’язок між ними фізично здійснюється за допомогою мережевих з’єднань, а програмно – за допомогою механізму повідомлень, заснованого на стеку протоколів TCP / IP. При цьому всі керуючі повідомлення і дані, пересилаються між об’єктами ЛОМ, передаються по мережевим з’єднанням у вигляді пакетів обміну.

Характеристики захищається ІС включають в себе :



  • категорії оброблюваної в ІС інформації, вищий гриф секретності;

  • загальну структурну схему і склад ІС, в яку входять: перелік і склад устаткування, технічних і програмних засобів, користувачів, даних та їх зв’язків, особливості конфігурацій і архітектури;

  • тип ІС (одне або багатокористувацька система, відкрита мережа, одно- або багаторівнева система);

  • обсяги основних інформаційних масивів і потоків;

  • швидкість обміну інформацією і продуктивність системи при рішенні функціональних завдань;
    Структу́рна схе́ма - схема, яка визначає основні функціональні частини виробу, їх взаємозв'язки та призначення. Під функціональною частиною розуміють складову частину схеми: елемент, пристрій, функціональну групу, функціональну ланку.
    Комуніка́ція (від лат. communicatio - єдність, передача, з'єднання, повідомлення, пов'язаного з дієсловом лат. communico - роблю спільним, повідомляю, з'єдную, похідним від лат. communis - спільний) - це процес обміну інформацією (фактами, ідеями, поглядами, емоціями тощо) між двома або більше особами, спілкування за допомогою вербальних і невербальних засобів із метою передавання та одержання інформації.


  • тривалість процедури відновлення працездатності після збоїв, наявність засобів підвищення надійності та живучості;

  • технічні характеристики каналів зв’язку (пропускна здатність, типи кабельних ліній, види зв’язку з віддаленими сегментами ІС і користувачами);

  • територіальне розташування компонентів ІС, їх фізичні параметри;

  • наявність особливих умов експлуатації.
    Умо́ви експлуата́ції - сукупність факторів, що діють на виріб при його експлуатації і впливають на функціювання й працездатність цього виробу.

Класифікація атак на інформаційну систему


Серед існуючих різних класифікацій мережевих атак найбільш повними є:

1) за характером впливу;

2) за метою впливу;

3) за умовою початку здійснення впливу;

4) за наявності зворотного зв’язку із об’єктом атаки;

5) по розташуванню атакуючого до об’єкта атаки;

6) за кількістю атакуючих;

7) за рівнем еталонної моделі iso / osi, на якому здійснюється вплив;

8) з причини появи помилки захисту, яка використовується;

9) по об’єкту атаки;

10) за способом впливу на об’єкт атаки;

11) по засобам атаки, що використовується;

12) стан об’єкта атаки;

13) за силою впливу на область ураження.

Також атаки поділяються на категорії за методами і засобам їх проведення:


  • віддалене проникнення (remote penetration);

  • локальне проникнення (local penetration);

  • віддалена відмова в обслуговуванні (remote denial of service);

  • локальна відмова в обслуговуванні (local denial of service);

  • мережеві сканери (network scanners);

  • сканери вразливостей (vulnerability scanners);

  • зломщики паролів (password crackers);

  • аналізатори протоколів (sniffers).

Основні проблемні питання:

1.Складність об’єднання усіх принципів створення систем виявлення і протидії атакам до однієї системи.

2. Зростання переліку загроз із розвитком технічної та програмної складової АС.

3. Можливість виявлення лише деяких відомих видів атак.

4. Відсутність нормативної законодавчої бази щодо відповідальності за реалізацію комп’ютерних атак та вторгнень.

ЛІТЕРАТУРА



  1. Н. Н. Куссуль, А. М. Соколов. Адаптивное обнаружение аномалий в поведении пользователей компьютерных систем с помощью марковских цепей изменяющегося порядка // Кибернетика и вычислительная техника.

  2. J. Allen et al. State of the practice of intrusion detection technologies. TR CMU/SEI-99-TR-028, Carnegie Mellon University, Software Engineering Institute, Pittsburgh, Jan. 2000.
    Університет Карнегі-Меллон (англ. Carnegie Mellon University, CMU) - приватний університет і дослідний центр, розташований в місті Піттсбург, штат Пенсильванія, США.


  3. D. Wagner and R. Dean. Intrusion detection via static analysis. In Proc. of the 2001 IEEE Symposium on Security and Privacy, pages 156-169, Los Alamitos, CA, May 14-16 2001.

  4. Фленов М. Е. РНР глазами хакера. – СПб.: БХВ-Петербург, 2005. –
    304 с :

  5. Denning, D. 1986. An intrusion-detection model. In Proceeding of 1986 IEEE computer society symposium on research in security and privacy held in Oakland, California, April 7 – 9, 1986, by IEEE Computer Society, 118 – 31. Los Alamitos, CA: IEEE Computer Society Press.

  6. Дэвид Г. Метод парных сравнений / Дэвид Г. – М.: Статистика, 1978. – 218 с.

  7. Тоценко В.Г. Методы и системы поддержки принятия решений. Алгоритмический аспект / Тоценко В.Г. – К.: Наукова думка, 2002. – 381 с.
    Нау́ка - сфера діяльності людини, спрямована на отримання (вироблення і систематизацію у вигляді теорій, гіпотез, законів природи або суспільства тощо) нових знань про навколишній світ. Основою науки є збирання, оновлення, систематизація, критичний аналіз фактів, синтез нових знань або узагальнень, що описують досліджувані природні або суспільні явища та (або) дозволяють будувати причинно-наслідкові зв'язки між явищами і прогнозувати їх перебіг.


  8. НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу.
    Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
    – Введ. 28.04.1999. – К.: ДСТСЗИ СБ Украины, 1999.

  9. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. – Введ. 28.04.1999. – К.: ДСТСЗИ СБ Украины, 1999.

  10. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.
    Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.
    – Введ. 04.12.2000. – К.: ДСТСЗИ СБ Украины, 2000.

  11. Нелешенко B.C. Обзор методик обнаружения сетевых атак. // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике», часть II, 2006.

  12. А.Ф. Чипига, B.C. Пелешенко. Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике»,часть II, Ставрополь, 2006.

  13. А.Ф. Чипига, B.C. Пелешенко. «Формализация процедур обнаружения и предотвращения сетевых атак» // журнал «Известия ТРТУ». Таганрог: Изд-во ТРТУ, 2006.


Скачати 168.33 Kb.

  • Огляд засобів мережевого захисту
  • Огляд параметрів і характеристик захищеної ІС
  • Класифікація атак на інформаційну систему