Розробка підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude
Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Розробка узгодженого інтерфейсу взаємодії користувача з підсистемою, візуалізації даних.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | украинский |
Дата добавления | 16.07.2014 |
Размер файла | 2,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
АНОТАЦІЯ
Кваліфікаційна робота: 83 сторінки, 22 рисунки, 3 таблиці, 3 додатки, 24 джерела.
У даній роботі обґрунтовано розробку підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude.
Запропонована програмна реалізація дозоляє підвищити ефективність роботи адміністратора безпеки щодо виявлення вторгнень в інформаційну мережу під час її функціонування, за рахунок візуалізації даних моніторингу
СИСТЕМА ВИЯВЛЕННЯ ВТОРГНЕНЬ, АДМІНІСТРАТОР БЕЗПЕКИ, ІНФОРМАЦІЙНА МЕРЕЖА, ЗАСОБИ ВІЗУАЛІЗАЦІЇ.
ANNОTATION
Qualifying work: 83pages, 22 pictures, 3 tables, 3 application, 24 sources.
In this work the development of subsystems interact with the system administrator security intrusion detection Prelude.
The proposed software implementation lets improve the efficiency of the safety manager on intrusion detection network information during its operation, through visualization of monitoring data.
INTRUSION DETECTION SYSTEM, SECURITY ADMINISTRATORS, INFORMATION NETWORK VISUALIZATION TOOLS.
ЗМІСТ
ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
ВСТУП
1. АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ПОСТАНОВКА ЗАДАЧІ
ДОСЛІДЖЕННЯ
1.1 Роль та задачі систем виявлення вторгнень
1.2 Сучасні тенденції у галузі розподілених систем виявлення комп'ютерних атак
1.3 Порівняльний аналіз систем виявлення вторгнень
Висновки
2. ПРОЕКТУВАННЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
2.1 Формування та аналіз вимог до підсистеми (програмного
модулю), що розробляється
2.1.1 Вимоги до програмного забезпечення підсистеми
2.2 Вимоги до технічного забезпечення підсистеми
2.3 Аналіз задач і функцій, які повинна вирішувати підсистема та проектування структури підсистеми
2.4 Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми
2.5 Проектування бази даних підсистеми
2.6 Обґрунтування вибору моделі «сутність-зв'язок»
2.7 Обґрунтування вибору системи керування базами даних
2.8 Концептуальне проектування бази даних
2.9 Фізичне проектування бази даних підсистеми
3. ПРОГРАМНА РЕАЛІЗАЦІЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
3.1 Проектування та розробка узгодженого інтерфейсу взаємодії користувача з підсистемою
3.2 Розробка компоненти ведення БД підсистеми
3.3 Розробка компоненти аналізу даних моніторингу об'єктів мережі
3.4 Розробка компоненти візуалізації даних аналізу
3.5 Інструкція користувачу по роботі з підсистемою (програмним модулем)
Висновки
4. ОЦІНКА ЕФЕКТИВНОСТІ ФУНКЦІОНУВАННЯ СИСТЕМИ ТА ЗАПРОПОНОВАНИХ РІШЕНЬ
4.1 Обґрунтування підходу до оцінки ефективності функціонування системи та вибір показників ефективності для оцінки отриманих
Результатів
4.2 Оцінка ефективності функціонування системи та запропонованих рішень
Висновки
ЗАКЛЮЧЕННЯ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
Додаток
безпека втогнення комп'ютерна атака
ПЕРЕЛІК УМОНИХ СКОРОЧЕНЬ
IDS - intrusion detection systems;
IDMEF - intrusion detection message exchange format;
БД - база даних;
ГШ - генеральний штаб;
ЗС - збройні сили;
ІАД - інтелектуальний аналіз даних;
ІАС - інформаційно-аналітична система;
ІМ - інформаційна мережа;
ІС - інформаційна система;
ІТ - інформаційні технології;
ЛОМ - локальна обчислювальна мережа;
МО - міністерство оборони;
ОВУ - орган військового управління;
ОПР - особа, що приймає рішення;
ОС - операційна система;
ПЗ - програмне забезпечення;
ПК - персональний комп'ютер;
РІС - розподілена інформаційна система;
СВВ - система виявлення вторгнень;
СД - сховище даних;
СКБД - система керування базами даних.
ВСТУП
Створення високоефективних і багатофункціональних інформаційних систем (ІС ) дозволяє на сьогоднішній день реалізувати їх в самих різних сферах життя сучасного суспільства. ІС дозволяють автоматизувати та підвищити ефективність обробки інформації шляхом застосування відповідного програмного і апаратного забезпечення. Проте використання ІС одночасно загострює і проблеми захисту ресурсів цих систем від загроз інформаційної безпеки. Однією з таких найбільш критичних загроз є можливість реалізації порушником інформаційних атак, спрямованих, наприклад, на порушення працездатності ІС або отримання несанкціонованого доступу до інформації, що зберігається в ІС, що є актуальним питанням, особливо коли автоматизація процесів управління військами визнається одним з пріоритетних напрямків розвитку ЗС України. Для протидії інформаційним атакам в даний час все частіше застосовуються спеціальні системи захисту - системи виявлення вторгнень.
В даний час інтенсивна поява і розростання інформаційного простору призводить до необхідності не тільки несанкціоновано поділити цей простір, а й контролювати і управляти процесами, які протікають в ньому. Для цього використовується, так звана, інформаційна зброя, яка представляє собою засоби знищення, перекручення або розкрадання інформації; обмеження санкціонованого допуску користувачів. Обороноздатність від такої атакуючої інформаційної зброї як комп'ютерні віруси, логічні бомби, засоби придушення інформаційного обміну в телекомунікаційних мережах, фальсифікації інформації в каналах державного та військового управління, безпосередньо залежить від правильності і надійності систем мережевого захисту інформації, у тому числі засобів виявлення і запобігання мережевих атак.
Використання інформаційних мереж має ряд очевидних переваг, першочерговою з яких для ЗС України є підвищення оперативності прийняття та доведення рішень у процесі управління військами (силами). Але поруч з перевагами використання інформаційних мереж, існують і суттєві недоліки, основним з яких є підвищені вимоги до забезпечення безпеки функціонування та відмовостійкості таких мереж. Звісно, в сучасних операційних системах та іншому програмному забезпеченні використовуються технології, що забезпечують безпеку системи та попереджують про її можливий вихід із ладу. Але, як свідчить світовий досвід, цього не достатньо для забезпечення оперативного реагування на комп'ютерні атаки. Перегляд докладного звіту подій в системі виявлення вторгнень вручну через консоль це трудомісткий рутинний процес, що уповільнює аналіз даних та реагування на події в системі виявлення вторгнень. У зв'язку з цим розробка графічних інтерфейсів розподілених систем виявлення комп'ютерних атак із використанням методів візуалізації даних, набуває все більшого та перспективного розмаху у інформаційних технологіях.
Усе вище наведене дозволяє зробити висновок щодо необхідності підвищення ефективності роботи адміністратора безпеки інформаційної мережі за рахунок автоматизації процесів обробки та аналізу даних, що поступають з підсистеми моніторингу даних шляхом побудови та впровадження підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude.
1. АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ПОСТАНОВКА ЗАДАЧІ ДОСЛІДЖЕННЯ
1.1 Роль та задачі систем виявлення вторгнень
Системи виявлення комп'ютерних вторгнень (IDS - Intrusion Detection Systems) - один з найважливіших елементів систем інформаційної безпеки інформаційної мережі органу військового управління (ОВУ), враховуючи, як зростає в останні роки число проблем, пов'язаних з комп'ютерною безпекою. Хоча технологія IDS не забезпечує повний захист інформації, проте вона грає досить помітну роль в цій галузі. Так як число і частота атак весь час збільшуються, стає дуже важливим ідентифікувати атаки на ранньому етапі їх розвитку і своєчасно зреагувати на них. У критичних випадках втручання в атаку має бути реалізовано набагато швидше, ніж зможе зреагувати людина.
IDS являють собою спеціалізовані програмно-апаратні комплекси, призначені для виявлення інформаційних атак в ІС. Типова архітектура систем виявлення вторгнень включає в себе наступні компоненти:
модулі-датчики (або модулі-сенсори), призначені для збору необхідної інформації про функціонування ІС;
модуль виявлення вторгнень, що виконує обробку даних, зібраних датчиками, з метою виявлення інформаційних вторгнень порушника;
модуль реагування на виявлені вторгнення;
модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а також результати роботи системи виявлення вторгнень. Таким модулем, як правило, є стандартна СКБД;
модуль управління компонентами системи виявлення вторгнень.
Всі перераховані вище модулі системи виявлення вторгнень можуть бути реалізовані як у вигляді одного, так і декількох програмно-апаратних компонентів
Як і багато інших механізмів захисту, технологія виявлення вторгнень повинна вирішувати кілька головних завдань:
зниження навантаження на персонал (або звільнення від нього), що відповідає за безпеку, від поточних рутинних операцій з контролю за користувачами, системами та мережами, які є компонентами інформаційної системи (ІС);
«розуміння» найчастіше незрозумілих джерел інформації про атаки (мережевого трафіку, журналів реєстрації, системних викликів і т.д.);
надання можливості управління засобами захисту не тільки експертам в галузі безпеки;
контроль всіх дій суб'єктів ІС (користувачів, програм, процесів і т.д.), в т.ч. і тими що володіють адміністративними привілеями;
розпізнавання відомих і по можливості невідомих атак попередження про них персоналу, що відповідає за забезпечення інформаційної безпеки;
аналіз інформаційних потоків. Нерідкі ситуації, коли співробітники відділів захисту інформації та відділів телекомунікацій не володіють достовірною інформацією про протоколи які використовуються в сегментах мережі [1, 2].
Механізми виявлення атак, що застосовуються в сучасних системах виявлення атак, засновані на декількох загальних методах. Слід зазначити, що ці методи не є взаємовиключними. У багатьох системах використовується комбінація декількох з них.
Технології, по яких будуються системи виявлення атак IDS (Intrusion Detection Systems), прийнято умовно ділити на дві:
виявлення аномальної поведінки (anomaly detection);
виявлення зловживань (misuse detection).
Технологія виявлення атак шляхом ідентифікації аномальної поведінки користувача заснована на наступній гіпотезі. Аномальна поведінка користувача (тобто атака або яка-небудь ворожа дія) часто виявляється як відхилення від нормальної поведінки. Прикладами аномальної поведінки можуть служити велике число з'єднань за короткий проміжок часу, високе завантаження центрального процесора і т.п. Схематично виявлення атак на основі аномальної поведінки зображено на рис.1.1.
Рис. 1.1. Схема виявлення атак на основі аномальної поведінки
Якби можна було однозначно описати профіль нормальної поведінки користувача, то будь-яке відхилення від такого слідувало б ідентифікувати як аномальне. Проте аномальна поведінка не завжди є атакою. Наприклад, одночасну посилку великого числа запитів від адміністратора мережі система виявлення атак може ідентифікувати як атаку типу «відмова в обслуговуванні».
При використовуванні системи з такою технологією можливі два крайні випадки:
виявлення аномальної поведінки, яка не є атакою, і віднесення її до класу атак;
пропуск атаки, яка не підпадає під визначення» аномальної поведінки. Цей випадок більш небезпечний, ніж помилкове віднесення аномальної поведінки до класу атак.
При налаштуванні і експлуатації систем даної категорії адміністратори стикаються з наступними проблемами:
побудова профілю користувача складно формалізується і є трудомісткою задачею, що вимагає від адміністратора великої попередньої роботи;
необхідне визначення граничних значень характеристик поведінки користувача для зниження вірогідності появи одного з двох вищеназваних крайніх випадків.
Поки технологія виявлення аномалій не набула широкого поширення і не використовується ні в одній комерційно поширюваній системі. Зв'язано це з тим, що дана технологія красиво виглядає в теорії, але її дуже важко реалізувати на практиці.
Суть іншого підходу до виявлення атак - виявлення зловживань - полягає в описі атаки у вигляді сигнатури (signature) і пошуку даної сигнатури в контрольованому просторі (мережевому трафіку або журналі реєстрації). Як сигнатура атаки може виступати шаблон дій або рядок символів, що характеризують аномальну діяльність. Сигнатурний метод виявлення атак зображено на рис.1.2.
Рис.1.2. Схема виявлення атак на основі сигнатур
Ці сигнатури зберігаються в базі даних, аналогічній тій, яка використовується в антивірусних системах. Слід зазначити, що антивірусні резидентні монітори є окремим випадком системи виявлення атак, але оскільки ці напрями спочатку розвивалися паралельно, то прийнято розділяти їх. Тому дана технологія виявлення атак дуже схожа на технологію виявлення вірусів; при цьому система може знайти всі відомі атаки, але мало пристосована для виявлення нових, ще невідомих.
Підхід, реалізований в таких системах, дуже простий, і саме на ньому засновані практично всі пропоновані сьогодні на ринку системи виявлення атак. Проте і при їх експлуатації адміністратори стикаються з проблемами. Перша складність полягає в створенні механізму опису сигнатур, тобто мови опису атак. Друга проблема, пов'язана з першою, полягає в тому, як описати атаку, щоб зафіксувати всі можливі її модифікації.
Слід зазначити, що перша проблема вже частково розв'язана в деяких продуктах. Наприклад, це система опису мережевих атак Advanced Packets Exchange, реалізована компанією Internet Security Systems Inc. і пропонована сумісно з розробленою нею системою аналізу захищеності Internet Scanner.
У практичній діяльності звичайно застосовується інша класифікація, що враховує принципи реалізації таких систем: виявлення атак на рівні мережі (network-based); виявлення атак на рівні хоста (host-based).
Системи, що входять в перший клас, аналізують мережевий трафік, використовуючи, як правило, сигнатури атак і аналіз «на льоту», тоді як системи другого класу перевіряють реєстраційні журнали ОС або додатку.
Метод аналізу «на льоту» полягає в моніторингу мережевого трафіку в реальному або близькому до реального часу і використовуванні відповідних алгоритмів виявлення. Часто використовується механізм пошуку в трафіку певних рядків, які можуть характеризувати несанкціоновану діяльність. До таких рядків можна віднести \WINNT\SYSTEM32\CONFIG (описує шлях до файлів SAM, Security і т.д.) або /etc/passwd (описує шлях до списку паролів ОС UNIX).
Аналіз журналів реєстрації - один з найперших реалізованих методів виявлення атак. Він полягає в аналізі журналів реєстрації (log, audit trail), створюваних операційною системою, прикладним програмним забезпеченням, маршрутизаторами і т.д. Записи журналу реєстрації аналізуються і інтерпретуються системою виявлення атак.
До переваг даного методу відноситься простота його реалізації. Проте за цією простотою ховається ряд недоліків:
для достовірного виявлення тієї або іншої підозрілої діяльності необхідна реєстрація в журналах великого об'єму даних, що негативно позначається на швидкості роботи контрольованої системи;
при аналізі журналів реєстрації дуже важко обійтися без допомоги фахівців, що істотно звужує круг розповсюдження цього методу;
до нашого часу немає уніфікованого формату збереження журналів;
аналіз записів в журналах реєстрації здійснюється не в режимі реального часу, тому даний метод не може бути застосований для раннього виявлення атак в процесі їх розвитку.
Як правило, аналіз журналів реєстрації є доповненням до інших методів виявлення атак, зокрема до виявлення атак «на льоту». Використовування даного підходу дозволяє проводити аналіз вже після того, як була зафіксовано вторгнення, щоб виробити ефективні заходи запобігання аналогічним атакам в майбутньому.
Кожний з двох класів систем виявлення атак (на рівні мережі і на рівні хоста) має свої переваги і недоліки. Необхідно зазначити, що лише деякі системи виявлення атак можуть бути однозначно віднесені до одного з названих класів. Як правило, вони включають можливості декількох категорій. Проте, приведена класифікація відображає ключові можливості, що відрізняють одну систему виявлення атак від іншої.
Ефективність системи виявлення атак багато в чому залежить від вживаних методів аналізу одержаної інформації. У перших системах подібного роду, розроблених на початку 80-х років, використовувалися статистичні методи виявлення атак. В наш час до статистичного аналізу додався ряд нових методик, починаючи з експертних систем, нечіткої логіки і закінчуючи використовуванням нейронних мереж.
Статистичний метод. Основні переваги статистичного підходу - це використовування вже розробленого і такого, що добре зарекомендував себе, апарату математичної статистики і адаптація до поведінки суб'єкта.
Спочатку для всіх суб'єктів аналізованої системи визначаються профілі. Будь-яке відхилення використовуваного профілю від еталонного вважається несанкціонованою діяльністю. Статистичні методи універсальні, оскільки для проведення аналізу не вимагається знання про можливі атаки і використовуваних ними вразливостей. Проте при використовуванні цих методик виникає і декілька проблем:
статистичні системи нечутливі до порядку проходження подій. В деяких випадках одні і ті ж події, залежно від порядку їх проходження, можуть характеризувати аномальну або нормальну діяльність;
дуже важко задати граничні (порогові) значення відстежуваних системою виявлення атак характеристик, щоб адекватно ідентифікувати аномальну діяльність;
статистичні системи можуть бути з часом «навчені» порушниками так, щоб атакуючі дії розглядалися як нормальні.
Слід також враховувати, що статистичні методи непридатні в тих випадках, коли відсутній шаблон типової поведінки користувача або останній схильний до несанкціонованих дій.
Експертні системи. Експертна система складається з набору правил, які охоплюють знання людини-експерта. Використовування експертних систем є поширеним методом виявлення атак, при якому інформація про атаки формулюється у вигляді правил. Вони можуть бути записані, наприклад, у вигляді послідовності дій або сигнатури. При виконанні будь-якого з цих правил ухвалюється рішення про наявність несанкціонованої діяльності. Важливим досягненням такого підходу є практично повна відсутність помилкових тривог.
База даних експертної системи повинна містити сценарії більшості відомих на сьогоднішній день атак. Для того, щоб залишатися постійно актуальними, експертні системи вимагають постійного оновлення бази даних. Хоча експертні системи пропонують хорошу можливість переглядання даних в журналах реєстрації, необхідні оновлення можуть або ігноруватися, або виконуватися адміністратором вручну. Як мінімум це приведе до експертної системи з ослабленими можливостями. У гіршому разі відсутність належного супроводу понизить ступінь захищеності всієї мережі, вводячи її користувачів в оману щодо дійсного рівня захищеності.
Основним недоліком слід визнати неможливість віддзеркалення невідомих атак. При цьому навіть невелика зміна вже відомої атаки може стати серйозною перешкодою для функціонування системи виявлення атак.
Нейронні мережі. Більшість сучасних методів виявлення атак використовує деяку форму аналізу контрольованого простору на основі правил або статистичного підходу. Як контрольований простір можуть виступати журнали реєстрації або мережевий трафік. Аналіз спирається на набір наперед заданих певних правил, які створюються адміністратором або самою системою виявлення вторгнень.
Використання нейронних мереж - один із способів подолання вказаних проблем експертних систем. На відміну від експертних систем, які можуть дати користувачу певну відповідь на питання, чи відповідають дані характеристики закладеним в базу даних правилам, нейромережа проводить аналіз інформації і надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона навчена розпізнавати. Тоді як ступінь відповідності нейромережевого уявлення може досягати 100%, достовірність вибору повністю залежить від якості системи в аналізі прикладів поставленої задачі.
Спочатку нейромережу «навчають» правильній ідентифікації на заздалегідь створеній вибірці прикладів наочної області. Реакція нейромережі аналізується, і система настроюється так, щоб досягти задовільних результатів. На додаток до початкового періоду навчання нейромережа «набирається досвіду» з часом, у міру того як проводить аналіз даних, пов'язаних з наочною областю.
Важливою перевагою нейронних мереж при виявленні зловживань є їх здатність «вивчати» характеристики умисних атак і ідентифікувати елементи, які не схожі на ті, що спостерігалися в мережі раніше.
Кожний з описаних варіантів володіє рядом переваг і недоліків, тому зараз важко зустріти систему, що реалізовує тільки один з цих методів. Як правило, вони використовуються в сукупності.
Атака не тільки повинна бути виявлена, необхідно ще правильно і своєчасно зреагувати на неї. Для цього необхідні системи, які здатні в режимі реального часу сповіщати оператора про перебіг подій в мережевому трафіку та спрацювання правил сигнатур щодо виявлених атак.
У існуючих системах застосовується широкий спектр методів реагування, які можна розділити на три категорії :
повідомлення;
зберігання;
активне реагування.
Застосування тієї або іншої реакції залежить від багатьох чинників.
Повідомлення. Найпростішим і широко поширеним методом повідомлення є відправка адміністратору безпеки повідомлень про атаку на консоль системи виявлення атак. Така консоль може бути встановлена не у кожного співробітника, що відповідає в організації за безпеку; крім того, цих співробітників можуть цікавити не всі події безпеки, тому необхідне застосування інших механізмів повідомлення. Такими механізмами можуть бути відправка повідомлень по електронній пошті, на пейджер, факсом або по телефону. Останні два варіанти присутні в системі виявлення атак RealSecureамериканської компанії Internet Security Systems Inc.
До категорії «збереження» відносяться два варіанти реагування:
реєстрація події в базі даних;
відтворення атаки в реальному масштабі часу.
Перший варіант широко поширений і в інших системах захисту. Для реалізації другого буває необхідно «пропустити» атакуючого в мережу компанії і зафіксувати всі його дії. Це дозволяє адміністратору безпеки потім відтворити в реальному масштабі часу (або із заданою швидкістю) всі дії, здійснені атакуючим, проаналізувати «успішні» атаки і запобігати їм надалі, а також використовувати зібрані дані в процесі аналізу.
Активне реагування. До цієї категорії відносяться наступні варіанти реагування:
блокування роботи атакуючого;
завершення сесії з атакуючим вузлом;
управління мережевим устаткуванням і засобами захисту [3].
Після виявлення в ІС вторгнення система виявлення вторгнень має можливість зробити певні відповідні дії, спрямовані на її блокування. За реалізацію цих дій відповідає модуль реагування системи виявлення атак. Базовим методом реагування системи виявлення атак є оповіщення адміністратора ІС про виявлену атаку. Система виявлення вторгнень може повідомити адміністратора наступними способами:
виведенням відповідного повідомлення на консоль управління адміністратора системою виявлення вторгнень;
посиланням адміністратору повідомлення засобами електронної пошти;
шляхом формування SNMP - trap повідомлення та подальшим його посиланням в систему управління (наприклад, HP OpenView, IBM Tivoli).
Для забезпечення високої якості аналізу даних моніторингу об'єктів мережі адміністратором безпеки (далі користувачем) та візуалізації даних аналізу потрібен відповідний графічний інтерфейс, у складі якого має функціонувати підсистема управління компонентами системи виявлення вторгнень. Зазначений графічний інтерфейс має надавати користувачеві можливість зміни політики безпеки для різних компонентів системи виявлення атак (наприклад, модулів стеження) та отримання інформації від цих компонентів (наприклад, відомості про зареєстровану атаку).
Розробка і впровадження засобів організаційно-технічного та програмного забезпечення діяльності персоналу є одним з важливих питань функціонування інформаційних систем структурних підрозділів ЗС України. На персонал покладається відповідальність за усунення невизначеності та прийняття рішень щодо оцінки негативного впливу на поточний стан інформаційної системи.
Для ефективної діяльності такого персоналу потрібна безперервна робота системи виявлення вторгнень. У зв'язку з цим накопичується дуже великий файл з інформацією про діяльність системи. З досвіду можна сказати, що об'єм інформації, який потрібно обробити адміністратору, значно перевищує оптимальний об'єм, який він в змозі обробити. З цього випливає, що час реакції оператора системи на певну проблему в мережі не дає змогу оперативно реагувати на події, що відбуваються в мережі. Тобто потрібно автоматизувати рутинні операції обробки великої кількості подій щодо реагування на невідомі досі події.
Методи аналізу інформації, що використовуються в сучасних системах виявлення вторгнень є достатньо ефективними якщо відомі точні характеристики подій [4, 5]. У ході дослідження було виявлено, що СВВ, наприклад, NetSTAT, OSSEC, Bro, Snort, Prelude збирають значну кількість інформації, але жодна не покриває всі рівні спостереження, та інформація, що аналізується кожною системою неповна з точки зору можливості виявлення атак всіх класів. Система OSSEC працює виключно з журналами реєстрації додатків і операційної системи. Системи Bro, Snort аналізують тільки мережеві дані. Системи NetSTAT і Prelude аналізують як дані з локальних системних джерел, так і мережеві дані. Тобто всі вони передбачають застосування методів, що пов'язані зі збором інформації про стан вузлів інформаційно-аналітичної системи. Але вручну переглядати всі нестандартні ситуації, що виникають, є досить об'ємною задачею, тому всю отриману для аналізу інформації потрібно систематизувати.
Переважна більшість сучасних систем виявлення комп'ютерних атак зустрічаються з однією і тією ж проблемою: характеристики проблем, що виникають, потребують швидкої і оптимально-правильної реакції системи, яка була б спроможна залишатись ефективною, навіть при невідомих точних характеристиках несправності. Отже, для ефективної роботи СВВ в розподіленій інформаційній системі потрібно покращити візуалізацію проаналізованих даних для автоматизації роботи персоналу, який приймає рішення.
Одним із способів вирішення даної задачі є використання узгодженого графічного інтерфейсу та технологій візуалізації інформації в системах виявлення комп'ютерних атак. Використання інтелектуальних технологій полегшить роботу персоналу, що відповідає за безпеку, в аналізі процесів функціонування комп'ютерних систем, оцінці та прогнозуванні виникнення можливих проблем та надасть можливість управляти засобами захисту не тільки експертам в галузі безпеки.
1.2 Сучасні тенденції у галузі розподілених систем виявлення комп'ютерних атак
Дослідження у галузі розподілених систем виявлення комп'ютерних вторгнень все ще йдуть. Технології виявлення вторгнень розвиваються в напрямку - здешевлення інфраструктури. Буде спостерігатися розвиток трьох областей: розгортання, технологічність і якість виявлення атак. Є кілька дослідних лабораторій, які за останні кілька років провели успішну роботу в галузі виявлення вторгнень. Це UC Davis, Haystack Labs і LANL. Ці роботи привели до успішного створення великого числа систем, серед яких можна назвати ASIM, Stalker, NADIR та інші
Як і прогнозували аналітики кілька років тому [5, 6] розвиток СВВ йде по шляху комбінування:
технологій виявлення аномальної активності і виявлення зловмисної поведінки: Перші - здатні виявляти нові типи атак, сигнатури для яких ще не розроблені, не потребують оновлення сигнатур і правил виявлення атак, генерують інформацію, яка може бути використана в системах виявлення зловмисної поведінки, але при цьому вимагають тривалого і якісного навчання, - генерують багато помилок другого роду (виявлення аномальної поведінки, яка не є атакою, і віднесення її до класу атак), дуже повільні в роботі і вимагають великої кількості обчислювальних ресурсів. Другі - компенсують недоліки перших тим, що не створюють у процесі пошуку величезної кількості помилкових повідомлень і детектори зловживань можуть швидко і надійно діагностувати використання конкретного інструментального засобу або технології атаки, але при цьому працюють на базі лише відомих конкретних сигнатур;
способів моніторингу: є видимою тенденція злиття network-based (NIDS), host-based (HIDS) і application-based (AIDS) способів моніторингу, що спричиняє за собою розподілене розташування сенсорів стеження: «В області розгортання ми бачитимемо розширення числа місць виявлення вторгнень: на мережному рівні (на міжмережних екранах, на комутаторах, на маршрутизаторах), на рівні операційної системи (на серверах, на робочих станціях) і на прикладному рівні (у СУБД або на сервері SAP, наприклад).» [6]. Завдяки централізації інформації про атаку від різних складових IDS (центральний аналізуючий сервер, агенти мережі, мережні сенсори) така система максимально підсилює захищеність корпоративної підмережі. На жаль, деякі переваги network-based IDS непридатні до сучасних комутованих мереж в тому випадку, якщо комутатори мережі не надають універсального моніторингу портів - це обмежує діапазон моніторингу сенсора network-based IDS лише одним хостом. Крім того, network-based IDS самі можуть стати предметом атаки DOS, заснованої, наприклад, на сегментації пакетів. Ще один недолік - network-based IDS не можуть аналізувати зашифровану інформацію. Зате hostbased системи можуть компенсувати вищеназвані недоліки, оскільки справляються з проблемою шифрування, на них не впливає наявність комутаторів, проте при цьому вони обмежені ресурсами ОС і використовують частину обчислювальної потужності хостів, за якими вони спостерігають, що впливає на продуктивність спостережуваної системи;
принципів сигналізуючих і експертних систем виявлення вторгнень.
Найбільш поширеним підходом є використання засобів штучного інтелекту (тобто різних адаптивних методів) в комбінації з класичними статичними методами. Найчастіше використовуються нейронні мережі, які добре проявили себе в системах розпізнавання. Рідше - молодші методи теорії імунних систем, можливо в комбінації з нечіткою логікою (НЛ), генетичними алгоритмами, методами нечіткого багатокритеріального ухвалення рішень і чисельними методами оптимізації. Вживання адаптивних методів обумовлене необхідністю налаштування на свій індивідуальний специфічний набір параметрів для кожної системи, що захищається. Поєднання нейронних мереж і інформаційних систем НЛ з одного боку забезпечують можливість навчання, а з іншого - процес вирішення завдань нечыткої логіки системами досить прозорий для пояснення отримуваних виводів [7];
програмного і апаратного рівнів забезпечення захисту інформації. Мережні сенсори, про які вище йшла мова, найчастіше реалізуються апаратно-програмними пристроями відомих фірм - виробників (Cisco). У мережних комутаторах Cisco як сенсор використовується технологія - SPAN - Switch Port Analyzer і RSPAN - Remote Switch Port Analyzer. Вона дозволяє «зеркалювати» трафік з одного порту, на іншій, або наприклад з VLAN вказаного, на порт, де знаходиться аналізатор трафіку, або якесь програмне забезпечення. Ця технологія дозволяє здолати обмеження комутованих мереж для network-based IDS, про які згадувалося вище.
Тому можна виділити наступні найбільш актуальні тенденції розвитку систем виявлення вторгнень.
На рівні виявлення вторгнень. Це, по-перше, розширення спектру підтримуваних прикладних протоколів, особливо з урахуванням розвитку індустрії IP- телефонії, технології VoIP і зростання популярності сервісу Video -On- demand, практично повсюдного використання систем миттєвого обміну повідомленнями. По-друге, додавання підтримки мобільних пристроїв і механізмів аналізу взаємодії з мобільними пристроями. По-третє, більш глибока проробка алгоритмів функціонування вже підтримуваних прикладних протоколів, включаючи механізми контролю стану сеансу; як наслідок, підвищення гнучкості визначення факту вторгнення. І, по-четверте, використання систем запобігання вторгнень для запобігання витоку конфіденційної інформації з організації по різних каналах.
На функціональному рівні. Це, по-перше, додавання функцій профілювання трафіку і введення механізмів якості обслуговування на рівні систем запобігання вторгнень. По-друге, розширення можливостей централізованого управління системами запобігання вторгнень. По-третє, розвиток засобів перетворення елементарних подій безпеки в «макро» - події, зручні для оператора.
На рівні інфраструктури IPS. Тут можливі два моменти . По-перше, розширення інтеграції хостових і мережевих систем запобігання вторгнень для поліпшення точності виявлення вторгнень. І, по-друге, розширення можливостей для інтеграції продуктів різних виробників, уніфікація форматів передачі даних і керуючих впливів.
1.3 Порівняльний аналіз систем виявлення вторгнень
До числа популярних систем виявлення вторгнень відносяться наступні:
OSSEC,розробник Daniel B. Sid,OSSEC.net;
STAT, розроблено в університеті University of California at Santa Barbara;
Prelude, розробники Yoann Vandoorselaere та Laurent Oudot;
Snort, розробник Martin Roesch;
Bro, розроблено в університеті University of California, Lawrence Berkeley National Laboratory.
Для порівняльного аналізу даних СВВ було обрано такі критерії:
класи атак;
рівень спостереження за системою;
метод виявлення атак;
адаптивність до невідомих атак;
масштабованість;
відкритість;
реакція на атаку;
захист.
Система Bro використовує регулярні вирази над трасами, які формуються мережевими протоколами. Набір регулярних виразів створюється експертами. Крім того, до складу системи входить транслятор сигнатур з формату системи Snort в сценарії Bro (хоча в даний час цей транслятор підтримує не всі конструкції мови Snort).
Система OSSEC є монолітною - в сенсори і аналізатори «зашиті» знання розробників системи виявлення вторгнень про те, які послідовності повідомлень в журналах можуть бути ознаками атаки. Така архітектура системи є важко розширюваною з точки зору бази знань про атаки.
Система Preludeвикористовує різні аналізуючі компоненти для мережевих даних і журналів реєстрації. Для аналізу мережевих даних можна використовувати систему Snort. Також використовується набір спеціалізованих модулів для виявлення специфічних вторгнень, таких як сканування портів, некоректні ARP-пакети і т.п. Спеціальні модулі проводять дефрагментацію IP, збірку TCP-потоку, декодування HTTP-запитів.
Система Snort використовує базу сигнатур відомих атак. У ній також використовується набір спеціалізованих модулів для виявлення специфічних атак, таких як сканування портів або відправка великого числа фрагментованих пакетів. Спеціальні модулі проводять дефрагментацію IP, декодування HTTP-запитів. Сторонні розробники часто реалізують інші методи виявлення атак у вигляді модулів (препроцесорів) Snort. Але в основну версію системи вони не входять.
Система NetSTAT використовує мову опису сценаріїв атак STATL, особливістю якого є можливість опису сценарію атаки у вигляді послідовності дій над ресурсом, що атакується. Таким чином, ця система використовує метод виявлення, близький до методу аналізу переходів станів.
Клас виявляються атак визначає, які класи атак здатна виявляти розглянута система. Це один з ключових критеріїв, так як сьогодні жодна система не здатна виявляти атаки всіх класів. Тому для більш повного покриття всього спектру атак необхідно комбінувати різні СВВ [8]. Системи, розглянуті в даній роботі, призначені для виявлення атак різних класів. Тому для поліпшення читабельності і скорочення обсягу тексту вводяться поняття об'єднання, перетину і вкладення класів атак. Для позначення об'єднання і перетину класів атак будемо використовувати символи "?" і "?" відповідно. Клас атаки - це четвірка <L,R,A,D>, де L - розташування атакуючого об'єкта, R - ресурс, що атакується, A - цільовий вплив на ресурс, D - ознака розподіленого характеру атаки. L: розташування атакуючого об'єкта. Воно може бути або внутрішнім по відношенню до системи, яку захищають, (li), або зовнішнім (le).R: ресурс, який атакується. Ресурси поділяються по розташуванню і за типом. За розташуванням: вузлові (rl), мережеві (rn). По типу: користувальницькі ресурси (ru), системні ресурси (rs), ресурси СКБД (Rd), обчислювальні ресурси (rc), ресурси захисту (rp). A: цільовий вплив на ресурс: збір інформації (as), отримання прав користувача ресурсу (au), отримання прав адміністратора ресурсу (ar), порушення цілісності ресурсу (ai), порушення працездатності ресурсу (ad). D: ознака розподіленого характеру атаки: розподілені (dd), нерозподілені (dn).
Частина систем, що аналізується орієнтована на виявлення вузлових атак, і використовує для аналізу такі джерела як журнали реєстрації додатків, ОС, журнали систем аудиту (OSSEC). Інші системи виявляють тільки зовнішні (мережеві) атаки і використовують для аналізу інформацію, що отримується з каналів передачі даних у мережі (Bro, Snort). Решта систем є гібридними і виявляють як локальні, так і зовнішні атаки (STAT, Prelude).
Система Bro є мережевою системою виявлення вторгнень. Вона являє собою набір модулів декомпозиції даних різних мережевих протоколів (від мережевого до прикладного рівня) і набір сигнатур над подіями відповідних протоколів. Сигнатури Bro фактично являють собою регулярні вирази в алфавітах протоколів.
Дана система виявляє вторгнення наступних класів (L, R, A, D):
L = {li ? le} (внутрішні та зовнішні атаки);
R = {rn} ? {ru ? rs} (атаки на мережеві користувальницькі ресурси і системні ресурси);
A = {as ? au ? ar ? ad} (збір інформації про систему, спроби отримання прав користувача, спроби отримання прав адміністратора і порушення працездатності ресурсу);
D = {dn ? dd} (нерозподілені та розподілені).
Система OSSEC, єдина з розглянутих в даній роботі, є спочатку орієнтованою на виявлення атак рівня системи (вузлових). Вона найбільш «молода» з розглянутих систем; її остання версія призначена, зокрема, для аналізу журналів реєстрації UNIX, типових додатків (ftpd, apache, mail, etc), а також журналів міжмережевих екранів і мережевих СВВ. OSSEC включає в себе набір аналізаторів для різних джерел даних, контроль цілісності файлової системи, сигнатури відомих троянських закладок (rootkits).
Виявляються атаки наступних класів:
L = {li} (атакуючі об'єкти знаходяться всередині системи);
R = {rl} ? {ru ? rs} (вузлові користувальницькі та системні ресурси);
A = {au ? ar ? ai} (спроби отримання прав користувача, спроби отримання прав адміністратора, порушення цілісності ресурсу);
D = {dn ? dd} (нерозподілені та розподілені).
Система STAT є експериментальною університетською розробкою, і найбільш «старою» з розглянутих систем - перші публікації про STAT датуються 1992 роком. Система включає в себе набір компонентів виявлення атак різних рівнів - мережевий (NetSTAT), вузловий (USTAT, WinSTAT), додатків (WebSTAT), тобто є класичною гібридною системою. СВВ виявляє вторгнення наступних класів: (L, R, A, D). Де:
L = {li ? le} (внутрішні та зовнішні атаки);
R = {rl ? rn} ? {ru ? rs} (атаки на вузлові або мережеві користувальницькі ресурси і системні ресурси);
A = {as ? au ? ar ? ad} (збір інформації про систему, спроби отримання прав користувача, спроби отримання прав адміністратора і порушення.
Система Prelude, є гібридною, тобто здатна виявити атаки як на рівні системи, так і на рівні мережі. Дана система спочатку розроблялася в якості самостійної СВВ, але в даний час є високорівневою надбудовою над відкритими СВВ і системами контролю цілісності (AIDE, Osiris тощо). Вузлова частина Prelude має досить широкий набір описів атак і, як джерело інформації, використовує різні журнали реєстрації:
журнали реєстрації брандмауера IPFW;
журнали реєстрації NetFilter ОС Linux;
журнали реєстрації маршрутизаторів Cisco and Zyxel;
журнали реєстрації GRSecurity;
журнали реєстрації типових сервісів OC UNIX та інші.
СВВ виявляє атаки наступних класів: (L, R, A, D). Де:
L = {li ? le} (внутрішні та зовнішні атаки);
R = {rl ? rn} ? {ru ? rs ? rp} (атаки на локальні чи мережеві користувальницькі ресурси, системні ресурси і ресурси захисту);
A = {as ? au ? ar ? ad} (збір інформації про систему, спроби отримання прав користувача, спроби отримання прав адміністратора і порушення працездатності ресурсу);
D = {dn} (нерозподілені).
Система Snort це найбільш популярна на сьогоднішній день некомерційна СВВ. Вона активно і динамічно розвивається, оновлення бази відомих атак відбуваються з частотою, яка порівнюється з комерційними аналогами (зазвичай поновлення Snort випереджають комерційні). Snort є чисто мережевою СВВ і, крім основної бази описів атак, має набір модулів для виявлення специфічних атак або реалізують альтернативні методи виявлення.
Система здатна виявити атаки наступних класів (L, R, A, D):
L = "внутрішні" ? "зовнішні";
R = {rl ? rn} ? {ru ? rs ? rp} (атаки на локальні чи мережеві користувальницькі ресурси, системні ресурси і ресурси захисту);
A = {as ? au ? ar ? ad} (збір інформації про систему, спроби отримання прав користувача, спроби отримання прав адміністратора і порушення працездатності ресурсу);
D = {dn ? dd} (нерозподілені та розподілені).
Жодна з розглянутих систем не покриває всю безліч класів атак. Слід також зазначити, що ці системи використовують не адаптивні методи виявлення вторгнень.
Рівень спостереження за системою визначає, на якому рівні система, що захищається збирає дані для виявлення атаки. Розрізняються системні і мережеві джерела. Усі розглянуті вище системи працюють з даними додатків та операційної системи на вузловому рівні , а також з мережевими даними, тобто інформація, що аналізується виходить з вторинних джерел, таких як журнали реєстрації додатків, ОС, або з мережевого каналу передачі даних. Система OSSEC працює виключно з журналами реєстрації додатків і операційної системи. Системи Bro, Snort аналізують тільки мережеві дані. Системи NetSTAT і Prelude аналізують як дані з локальних системних джерел, так і мережеві дані.
Адаптивність до невідомих атакам визначає, чи дозволяє використовуваний метод виявляти раніше невідомі атаки. На даний момент ця можливість в розглянутих СВВ відсутня. Можливе використання експериментального модуля статистичного аналізу системи Snort, але його ефективність не вивчена. За рахунок контролю цілісності ресурсів вузла в OSSEC присутня умовна адаптивність. Проте, слід визнати, що контроль цілісності вирішує не завдання виявлення атак, а лише завдання виявлення їх наслідків.
Масштабованість являє собою організацію управління системою та розподіленість архітектури системи виявлення вторгнень. Дані СВВ, за винятком Bro є добре масштабованими.
Відкритість визначає, наскільки система є відкритою для інтеграції в неї компонентів сторонніх розробників і для сполучення її з іншими системами захисту інформації. Три з розглянутих систем, за винятком Bro і OSSEC, мають відкритий інтерфейс для додавання нових аналізують модулів, а також використовують стандартний для систем виявлення атак формат обміну повідомленнями (IDMEF). NetSTAT має відкритий інтерфейс для додавання нових агентів і фільтрів. Prelude має відкритий інтерфейс для додавання нових модулів аналізу та реагування, а так само ведення журналів реєстрації. Обмін повідомленнями між компонентами системи відбувається за стандартом IDMEF (Intrusion Detection Message Exchange Format), оптимізованому для високошвидкісної обробки. Snort має відкритий інтерфейс для додавання нових модулів аналізу; є модуль, який реалізує протокол SNMPv2.
Вбудовану можливість реагування на атаку мають всі розглянуті системи. В системі NetSTAT це реалізовано лише в тестовому варіанті. Система Prelude має набір агентів у відповідь реакції, які можуть блокувати атакуючого за допомогою брандмауера. Ведуться роботи по агентам, здатним або повністю ізолювати атакуючого, або зменшити пропускну здатність його каналу. Система Snort має вбудовану обмежену можливість реагування на атаку шляхом відправки TCP - пакетів, що розривають з'єднання (з встановленим прапором RST), а також ICMP- пакетів, які повідомляють атакуючому вузлу про недоступність вузла, мережі або сервісу. Аналогічна функціональність з реагування доступна в системі Bro. Система OSSEC дозволяє використовувати довільні команди для реагування - для цього необхідно статично задати відповідність між подією, командою і параметрами її виклику.
Захищеність. Всі системи, які пересилають які-небудь дані, використовують для цього захищені канали. STAT і Prelude використовують бібліотеку OpenSSL для шифрування каналу між компонентами. Snort реалізує протокол SNMPv2, в якому присутні функції шифрування паролів при передачі даних. СВВ Prelude має додаткові механізми, що забезпечують безпеку її компонентів. У системі використовується спеціалізована бібліотека, яка робить безпечними такі бібліотечні функції алгоритмічної мови С як printf, strcpy, які не перевіряють розмір переданих ним даних. Додаткові модулі аналізу мережевих даних роблять систему стійкою до некоректних мережевих пакетів на різних рівнях стека і виходу її компонентів з ладу. Такі атаки, як відправка пакетів з неправильними контрольними сумами, обнуленими прапорами TCP, ресинхронізація сесій, випадкова відправка і «обрізання» сегментів системою ігноруються. З розглянутих систем питання безпеки найбільш опрацьований у системі Prelude.
Таким чином, якась «ідеальна» СВВ володіє такими властивостями:
покриває всі класи атак (система повна);
дозволяє аналізувати поведінку РІС, яку захищає на всіх рівнях: мережевому, вузловому і рівні окремих додатків;
адаптивна до невідомих атакам ( використовує адаптивний метод виявлення атак);
масштабується для РІС різних класів: від невеликих локальних мереж класу «домашній офіс» до великих багатосегментних і комутованих корпоративних мереж, забезпечуючи можливість централізованого управління всіма компонентами СВВ;
є відкритою;
має вбудовані механізми реагування на атаки;
є захищеною від атак на компоненти СВВ, у тому числі від перехоплення управління або атаки «відмова в обслуговуванні».
В таблиці 1.1. наведено характеристики провідних систем виявлення вторгнень. На підставі проведеного порівняльного аналізу можна зробити висновок, що жодна з розглянутих вище відкритих СВВ, не відповідає повною мірою критеріям «ідеальної» СВВ.
Основним недоліком є відсутність адаптивності до невідомих атакам і неможливість аналізувати поведінку об'єктів РІС на всіх рівнях одночасно. З розглянутих систем жодна не покриває всі рівні спостереження, та інформація,що аналізується кожною системою неповна з точки зору можливості виявлення атак усіх класів.
Таблиця 1.1
Порівняльна характеристика провідних систем виявлення вторгнень
Bro |
OSSEC |
STAT |
Prelude |
Snort |
||
1 |
2 |
3 |
4 |
5 |
||
Клас виявлення атак |
({li ? le}, {rl} ? {ru ? rs ? rc}, {as ? au ? ar ? ad}, {dn}) мережеві атаки |
({li },{rl} ? {ru ? rs}, {au ? ar ? ai}, {dn}) вузлових атак |
({li ? le}, {rl ? rn) ? (ru ? rs}, {as ? au ? ar ? ad}, {dn}) локальні і зовнішні атаки |
({li ? le}, {rl ? rn) ? {ru ? rs ?rp}, {as ? au ? ar ? ad}, {dn? dd}) локальні і зовнішні атаки |
({li ? le}, {rl ? rn) ? {ru ? rs ? rp}, {as ? au ? ar ? ad}, {dn}) мережеві атаки |
|
Рівень спостереження за системою |
Системний |
Системний |
Системний, мережевий |
Системний, мережевий |
Мережевий |
|
Метод виявлення атак |
Сигнатурний |
Сигнатурний |
Сигнатурний |
Сигнатурний |
Сигнатурний |
|
Адаптивність |
- |
+/- |
- |
- |
- |
|
Реакція |
- |
- |
+ |
+ |
+ |
|
Захист |
- |
- |
SSL |
SSL, Libsafe |
- |
|
Масштабованість |
- |
+ |
+ |
+ |
- |
|
Відкритість |
Відкритий API |
Відкритий API |
Відкритий API |
Відкритий API, IDMEF |
Відкритий APISNMPv2 |
На даний момент найбільш сприятлива система виявлення вторгнень - це Prelude, яка дозволяє забезпечити аналіз як даних з локальних системних джерел, так і мережевих даних, має додаткові механізми, що забезпечують безпеку її компонентів. З усіх розглянутих в даній роботі систем, система Prelude має найменше недоліків як в архітектурі, так і в реалізації. Вона потребує постійного оновлення бази знань про атаки описами нових атак, які виробляються експертами, тобто в даній системі відсутня адаптивність до невідомих атак.
Водночас, зважуючи на переваги зазначеної системи над іншими, слід відмітити, що ця IDS в останні роки практично не розвивається. Система проста в налаштуванні і обслуговуванні, проте в ній досить багато доводиться налаштовувати «руками», без зручного графічного інтерфейсу, що в свою чергу призводить до того що система не може бути використана оператором з низькою кваліфікацією і вимагає спеціальних знань та навчання. А також на сьогоднішній день атака триває не більше декількох секунд і може завдати дуже чутливу шкоду ІМ, тому адміністратор безпеки вимушений оперативно приймати рішення стосовно дій СВВ, що не дає змогу зробити виведення інформації в командний рядок, оскільки аналіз отриманих даних займає дуже багато часу. «Ручний» аналіз не дозволить своєчасно виявити і запобігти багатьом атакам.
Тому доцільно удосконалити роботу системи Prelude за рахунок розробки підсистеми графічної взаємодії користувача з системою та впровадженням в процес діяльності адміністратора безпеки методів інтелектуального аналізу даних, які збирає Prelude.
1.4 Аналіз функціональних можливостей системи виявлення вторгнень Prelude та обгрунтування вибору системи виявлення вторгнень
Система Prelude є системою з відкритими вихідними текстами. початок розробки - 1998 рік. Вона спочатку замислювалася як гібридна СВВ, яка могла б допомогти адміністратору мережі відстежувати активність як на рівні мережі, так і на рівні окремих вузлів. Система розподілена і складається з наступних компонентів [8]:
мережеві сенсори - різні сенсори, що аналізують дані на рівні мережі на основі сигнатурного аналізу. Сенсори генерують повідомлення про виявлення атак і відправляють їх модулям управління. Система Prelude використовує в якості мережевого сенсора систему Snort;
вузлові сенсори - різні сенсори рівня системи, що аналізують журнали реєстрації ОС, додатків. Сенсори генерують повідомлення про виявлення аномалій і відправляють їх модулям управління. Існуючий набір сенсорів дозволяє аналізувати дані журналів реєстрації таких систем і додатків, як міжмережевий екран IPFW, що входить до складу ОС FreeBSD, NetFilter ОС Linux 2.4.x, маршрутизатори Cisco і Zyxel, GRSecurity, і типові сервіси операційної системи UNIX;
модулі управління - процеси , які отримують і обробляють повідомлення сенсорів. Розрізняють наступні види модулів управління:
модулі журналізації - відповідають за реєстрацію повідомлень в журналах реєстрації або базах даних. В даний час реалізовані модулі для MySQL, PostgreSQL;
Подобные документы
Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Розробка програмного додатку - гри "Jump way", яка поєднала в собі сучасні методи побудови 2D ігор. Обґрунтування вибору мови програмування. Проектування UML-діаграм класів. Користувацький інтерфейс. Програмна реалізація гри. Інструкція користувача.
курсовая работа [1,2 M], добавлен 09.01.2017Розробка інтерфейсу користувача системи. Розробка підсистеми планування ремонтно-профілактичних робіт для відділу головного інженера на ВАТ "Макаронна фабрика". Розробка логічної і фізичної моделей бази даних. Опис реалізованих функцій системи.
дипломная работа [103,0 K], добавлен 14.02.2014Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Формування валютних операцій. Організація проведення контролю та аналізу валютних операцій. Характеристика автоматизованих систем валютних операцій. Обґрунтування вибору середовища розробки. Розробка програмного модуля. Реалізація інтерфейсу користувача.
курсовая работа [1,1 M], добавлен 03.06.2012Аналіз технічного забезпечення, вибір інструментального програмного забезпечення та середовища розробки програм. Створення класів для реалізації необхідних функцій для роботи програмного засобу. Розробка інтерфейсу для користувача та лістинг програми.
курсовая работа [343,9 K], добавлен 24.08.2012Широкі можливості по використанню комп'ютерних навчальних систем. Розробка навчальної системи мультимедійного посібника з дисципліни "Інформатика і ОТ" на тему "Особливості мови програмування С++. Вказівники". Вимоги до розробки навчальної програми.
курсовая работа [2,9 M], добавлен 23.11.2010Дослідження класифікації автоматизованих інформаційних систем. Обґрунтування вибору мови і системи програмування. Програмне забезпечення та опис компонентів середовища. Інтерфейс програмного комплексу. Розрахунок повної собівартості програмного продукту.
дипломная работа [584,1 K], добавлен 26.06.2015Вибір мови програмування та середовища розробки. Основні можливості мови php та сервера MySQL. Основні переваги середовища розробки NetBeans. Macromedia Dreamweaver як один з популярних середовищ розробки сайтів. Розробка програмного коду сайту.
контрольная работа [3,0 M], добавлен 16.02.2013Основні етапи програмування системної утиліти виявлення прихованих процесів для багатозадачних операційних систем сімейства Microsoft Windows. Розробка інтерфейсу та головного меню програмного засобу. Вибір форми діалогу між програмою та користувачем.
курсовая работа [2,0 M], добавлен 23.01.2012