Розробка підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude
Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Розробка узгодженого інтерфейсу взаємодії користувача з підсистемою, візуалізації даних.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | украинский |
Дата добавления | 16.07.2014 |
Размер файла | 2,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
модулі реагування - аналізують повідомлення і генерують можливу відповідну реакцію СВВ на атаку. Можливі такі види реакції як блокування порушника на міжмережевому екрані (NetFilter, IPFilter). Надалі можливі такі типи реакції як ізоляція порушника і звуження пропускної здатності каналу порушника;
агенти реагування - реалізують згенеровану менеджером реакцію на атаку інформаційної мережі [9].
Налаштування Prelude здійснюється через інтерфейс командного рядка.
Взаємодія компонентів системи вказана на рисунку 1.3.
Рис.1.3. Архітектура системи виявлення вторгнень Prelude
Пропонується, досить гнучка система конфігурації і широкі можливості налаштувань. При першому знайомстві з програмою, система налаштування дається не відразу, але при подальшому знайомстві з налаштуваннями і документацією по ним, як виявилося не є дуже складною і відкриваються широкі можливості моніторингу. Оскільки ця IDS в останні роки практично не розвивається, то на даний момент «web-візуалізація» для конфігурації від розробників відсутня, але є варіанти розроблені сторонніми програмістами.
IDS Prelude дозволяє:
реагувати в режимі реального часу на внутрішні і зовнішні загрози;
збирати, аналізувати і готувати звіти про стан РІС;
проаналізувати дані, які стосуються безпеки подій;
сприяти дотриманню нормативних вимог;
уникнути пошкодження даних і ресурсів компанії;
забезпечити сумісність внутрішніх та зовнішніх політик безпеки;
отримувати інформацію про потенційні загрози і підозрілі події в ІМ;
негайно встановити причинно-наслідкові зв'язки між інформацією і подіями та їх наслідками;
контролювати мережеву активність і управляти ризиками в оптимізованому режимі.
На рисунку 1.4 представлена логічна схема з'єднання компонентів системи виявлення вторгнень Prelude.
У системи Prelude є кілька особливостей, які відрізняють її від інших сучасних відкритих СВВ. Система скрізь, де можливо, побудована на використанні відкритих стандартів. Так, для обміну повідомленнями використовується формат IDMEF ( Intrusion Detection Message Exchange Format), оптимізований для високошвидкісної обробки. Це дозволяє надалі інтегрувати компоненти в системи сторонніх виробників і навпаки.
При розробці системи особлива увага була приділена питанням безпеки.
Канали передачі даних шифруються по протоколу SSL, крім того, використовується спеціалізована бібліотека, яка запобігає класичні помилки виходу за межі масивів та переповнення буферів.
Додаткові модулі аналізу мережевих даних роблять систему стійкою до некоректних мережевих пакетів на різних рівнях стека і виходу її компонентів з ладу. Такі атаки як відправка пакетів з неправильними контрольними сумами, обнуленими прапорами TCP, ресинхронізація сесій, випадкова відправка і «обрізання» сегментів системою ігноруються і не призводять до відмови компонентів системи виявлення вторгнень.
Механізми виявлення вторгнень, реалізовані в системі Prelude:
відстеження процесів, які запускаються шляхом аналізу журналів ОС;
відстеження спроб аутентифікації в системі, шляхом аналізу журналів операційної системи;
відстеження мережевого трафіку.
Відстеження операцій з файловою системою і реєстром в системі Prelude не реалізовано.
Отже, в якості системи виявлення вторгнень, було обрано систему Prelude, яка є найбільш сприятливою для роботи через свої широкі можливості. З усіх розглянутих в даній роботі систем, система Prelude дозволяє забезпечити аналіз як даних з локальних системних джерел, так і мережевих даних, має додаткові механізми, що забезпечують безпеку її компонентів, а також має найменше недоліків як в архітектурі, так і в реалізації. Дана система побудована на використанні відкритих стандартів, що дає змогу надалі інтегрувати компоненти сторонніх виробників і навпаки.
Рис.1.4 Логічна структура СВВ Prelude.
1.5 Постановка задачі дослідження
Таким чином, постановка задачі дослідження полягає у наступному:
дано: система виявлення вторгнень Prelude;
необхідно: розробити спеціальне програмне забезпечення у вигляді інтерфейсного модулю взаємодії користувача з системою виявлення вторгнень Prelude та впровадженням в процес діяльності адміністратора безпеки методів інтелектуального аналізу даних, які збирає СВВ.
Висновки
Отже, системи виявлення комп'ютерних вторгнень є одним з найважливіших елементів систем інформаційної безпеки інформаційної мережі органу військового управління, враховуючи, як зростає в останні роки число проблем, пов'язаних з комп'ютерною безпекою. IDS являють собою спеціалізовані програмно-апаратні комплекси, призначені для виявлення інформаційних атак в ІС. Аналіз показав, що до основних задач системи виявлення вторгнення можна віднести задачі, що вирішують питання своєчасної та достовірної ідентифікації виникнення помилок, нестандартних чи конфліктних ситуацій. Проведено аналіз наступних програмних продуктів виявлення комп'ютерних вторгнень: OSSEC, розробником якої є Daniel B. Sid, STAT, розробленої в університеті University of California at Santa Barbara, Prelude, розробниками якої є Yoann Vandoorselaere та Laurent Oudot, Snort, розробної Martin Roesch, Bro, розробленої в університеті University of California, Lawrence Berkeley National Laboratory. Жодна з розглянутих вище відкритих СВВ, не відповідає повною мірою критеріям «ідеальної» СВВ. Основним недоліком є відсутність адаптивності до невідомих атакам і неможливість аналізувати поведінку об'єктів РІС на всіх рівнях одночасно. На даний момент найбільш сприятлива система виявлення вторгнень - це Prelude.
Тому, підвищення ефективності діяльності адміністратора безпеки інформаційних мереж є можливим, шляхом розробки підсистеми графічної взаємодії користувача з СВВ Prelude.
Застосування даного підходу надасть змогу ефективно аналізувати дані про вторгнення до інформаційної мережі в більш прийнятний термін, з метою своєчасного прийняття необхідних заходів для їх усунення або зменшення можливої шкоди.
2. ПРОЕКТУВАННЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
2.1 Формування та аналіз вимог до підсистеми (програмного модулю), що розробляється
2.1.1 Вимоги до програмного забезпечення підсистеми
Вимоги до програмного забезпечення серверної частини.
Для функціонування підсистеми необхідно наступне програмне забезпечення:
Операційна система - CentOS 6 x86_64, Fedora, Debian, Ubuntu, FreeBSD, Mac OSX, NetBSD, OpenBSD, Solaris;
Веб-сервер - Apache версії не нижче 1.3.26;
СУБД - MySQL версії не нижче 4.0.18.
Вимоги до клієнтського програмного забезпечення.
Web-інтерфейс СВВ Prelude повинен бути доступний для повнофункціонального перегляду за допомогою наступних щих браузерів:
Microsoft IE;
Firefox;
Opera;
Safari;
Google Chrome;
та інші webkit браузери.
2.2 Вимоги до технічного забезпечення підсистеми
Для функціонування підсистеми необхідно наступне технічне забезпечення зі слідуючими мінімальними характеристиками:
Процесор - Intel Pentium III 1 ГГц;
Оперативна пам'ять - 512 Мб оперативної пам'яті;
Жорсткий диск - 20 Гб місця на HDD.
Серверне, комп'ютерне та мережне обладнання повинно бути оснащене джерелами безперебійного живлення, здатними підтримати працездатність комплексної системи для безпечного завершення роботи.
2.3 Аналіз задач і функцій, які повинна вирішувати підсистема та проектування структури підсистеми
Адміністратори безпеки використовують IDS, як інструмент управління безпекою ІМ, тому доцільно для полегшення роботи та пришвидшення реагування на події в СВВ використовувати методи візуалізації даних для покращення аналізу інформації. Візуальне представлення даних є набагато інформативнішим за інші методи отримання та сприйняття інформації, більш зручним і легшим для сприйняття та розуміння ніж наприклад представлення даних у таблицях, схемах, математичних матрицях, або просто в числах.
Людина має винятковий візуальний інтелект, який може розпізнавати об'єкти і моделі легше, ніж згадуючи їх, без підказки, з пам'яті [10, 11]. Завдяки цьому можливо зменшити навантаження на адміністратора безпека, за рахунок непотрібності пам'ятати неважливі деталі.
Інтерфейс, який дозволяє адміністраторові швидко інтерпретувати підозрілі мережеві події, в контексті великого набору таких подій, сприятиме виявленню істинного рівня загрози.
З точки зору мережевого адміністратора безпеки, є величезна кількість даних, отриманих навіть невеликими мережами і підмережами. Майже неможливим є перевірка всіх звітів, журналів, встановлення конфігураційних файлів, підтримка цілісності ситуаційної обізнаності в реальному часі. На додаток до звичайних журналів і звітів, системи IDS мають тенденцію генерувати величезну кількість помилкових спрацьовувань, і всі вони заслуговують на увагу адміністратора безпеки.
Рис.2.1. Звіт сигналізації СВВPrelude
На рис.2.1 представлено знімок екрана з доповіді сигналізації системи виявлення вторгнень Prelude. Хоча це докладний звіт, що забезпечує достатньо інформації для того, щоб дослідити і вирішити проблему. Але це трудомісткий рутинний процес, щоб переглянути його вручну. Виходячи з цього можна зробити висновок, що ця інформація повинна бути показана по-іншому, за допомогою засобів візуалізації [11, 12].
Візуалізація зазвичай не пов'язана з мережевою безпекою, але це хороший спосіб зрозуміти та проаналізувати велику кількість мережевих даних. Різні методи візуалізації можуть бути використані для формування зображення в цілому, управління безпекою, розуміння поточної ситуації швидко і легко.
Під час визначення структури підсистеми взаємодії адміністратора безпеки з системою необхідно провести аналіз вимог та задач, які вона має вирішувати, розробити архітектуру підсистеми, обґрунтовано обрати алгоритми їх реалізації, а також визначити комплекс програмно-технічних засобів. Структура вважатиметься оптимальною, якщо загальна ефективність системи, що проектується є максимальною [10,14].
Процес проектування оптимальної структури підсистеми взаємодії адміністратора безпеки з системою ІМ включає послідовне рішення задач синтезу основних елементів та частин системи.
На першому етапі визначається організаційна структура системи, виходячи з цілей та стратегій функціонування ІМ. На другому етапі, обирається метод візуалізації в залежності від функцій, які вони повинні виконувати та комплекс програмних та технічних засобів для реалізації підсистеми [13].
Графічний інтерфейс адміністратора безпеки об'єднує в собі всі елементи та компоненти системи виявлення вторгнень, які впливають на взаємодію адміністратора безпеки з системою та виконує функції: навігації між блоками системи, відображення інформації про поточний стан системи, зворотний зв'язок з адміністратором безпеки, підтримку прийняття рішень при реагуванні на події в системі.
Основними методами візуалізації, які можуть бути використані в графічному інтерфейсі системи виявлення атак Prelude є: гістограми, лінійні графіки, графіки посилання, діаграми розсіювання та використання кольорів у вигляді графіків [15]. Дані методи дозволяють забезпечити якийсь обов'язковий набір «умінь», яким обов'язково повинна володіти підсистема взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude, згідно з тенденціями сьогоднішнього дня:
завдання шаблонів фільтрації трафіку;
централізоване управління модулями стеження;
фільтрація мережевого трафіку по протоколу, портам і IP- адресами відправника і одержувача;
аварійне завершення з'єднання з атакуючим вузлом;
управління міжмережевим екранами і маршрутизаторами;
завдання сценаріїв з обробки атак;
запис атаки для подальшого відтворення та аналізу;
потужна система генерація звітів;
вміти створювати звіти: розподілення трафіку по користувачам, протоколах, типу даних, часу доби, днях тижня, датах та місяцями;
входи і виходи з системи.
Запропонована архітектура системи виявлення атак Prelude представлена на рис.2.2, де модуль візуалізації результатів функціонування має вигляд вказаний на рис. 2.3 [5].
Рис.2.2. Загальна архітектура системи виявлення атак Prelude з
розроблюваною підсистемою
Процес візуалізації результатів функціонування інформаційної мережі включає наступні етапи:
визначення проблеми;
доступ до наявних даних;
обробка інформації;
візуальна трансформація інформації;
перетворення виду;
інтерпретування і прийняття рішення.
Рис.2.3. Структурна схема модуля візуалізації результатів функціонування
Вхідна інформація поступає від датчиків моніторингу стану ІМ, потім проходить первинну обробку у блоці збору даних та їх первинного аналізу. Далі реєструються події в системі виявлення вторгнень, які за допомогою обраних методів візуалізації відображаються в блоці взаємодії адміністратора безпеки з системою та зберігаються в відповідній базі даних.
Реалізація описаної наукової задачі дозволить в значній мірі підвищити оперативність діяльності адміністратора безпеки та якість функціонування інформаційної мережі в режимі реального часу під впливом різнорідних зовнішніх та внутрішніх факторів.
2.4 Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми
Python - інтерпретована об'єктно-орієнтована мова програмування високого рівня з динамічною семантикою. Розроблена в 1990 році Гвідо ван Россумом. Структури даних високого рівня разом із динамічною семантикою та динамічним зв'язуванням роблять її привабливою для швидкої розробки програм, а також як засіб поєднання існуючих компонентів. Python підтримує модулі та пакети модулів, що сприяє модульності та повторному використанню коду. Інтерпретатор Python та стандартні бібліотеки доступні як у скомпільованій так і у вихідній формі на всіх основних платформах. В мові програмування Python підтримується декілька парадигм програмування, зокрема: об'єктно-орієнтована, процедурна, функціональна та аспектно-орієнтована.
Серед основних її переваг можна назвати такі:
чистий синтаксис (для виділення блоків слід використовувати відступи);
переносимість програм (що властиве більшості інтерпретованих мов);
стандартний дистрибутив має велику кількість корисних модулів (включно з модулем для розробки графічного інтерфейсу);
можливість використання Python в діалоговому режимі (дуже корисне для експериментування та розв'язання простих задач);
стандартний дистрибутив має просте, але разом із тим досить потужне середовище розробки, яке зветься IDLE і яке написане на мові Python;
зручний для розв'язання математичних проблем (має засоби роботи з комплексними числами, може оперувати з цілими числами довільної величини, у діалоговому режимі може використовуватися як потужний калькулятор).
Python має ефективні структури даних високого рівня та простий, але ефективний підхід до об'єктно-орієнтованого програмування. Елегантний синтаксис Python, динамічна обробка типів, а також те, що це інтерпретована мова, роблять її ідеальною для написання скриптів та швидкої розробки прикладних програм у багатьох галузях на більшості платформ.
Інтерпретатор мови Python і багата стандартна бібліотека (як вихідні тексти, так і бінарні дистрибутиви для всіх основних операційних систем) можуть бути отримані з сайту Pythonwww.python.org, і можуть вільно розповсюджуватися. Цей самий сайт має дистрибутиви та посилання на численні модулі, програми, утиліти та додаткову документацію.
Інтерпретатор мови Python може бути розширений функціями та типами даних, розробленими на C чи C++ (або на іншій мові, яку можна викликати із C). Python також зручна як мова розширення для прикладних програм, що потребують подальшого налагодження. Python портований та працює майже на всіх відомих платформах - від ПК до мейнфреймів. Існують порти під Microsoft Windows, всі варіанти UNIX (включаючи FreeBSD та GNU/Linux), Plan 9, Mac OS та Mac OS X, iPhoneOS 2.0 і вище, Palm OS, OS/2, Amiga, AS/400 та навіть OS/390, Symbian та Android.Python - стабільна та поширена мова. Він використовується в багатьох проектах та в різних якостях: як основна мова програмування або для створення розширень та інтеграції застосувань. На Python реалізована велика кількість проектів, також він активно використовується для створення прототипів майбутніх програм.
Потужність і гнучкість мови програмування Python це його найбільша перевага від інших мов [16].
Отже, Python має простий і ясний синтаксис, його бібліотеки містять лаконічну документацію, а процес тестування та кодування - досить комфортний. Перенесення коду з однієї платформи на іншу - майже безболісний.
Для розробри підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude було обрано програмне середовище Virtual Studio з безкоштовним розширенням Python Tools for Virtual Studio (PTVS) як Integrated Development Environments (IDE) для Python.
Visual Studio допомагає писати код швидше, підтримуючи безліч засобів і можливостей, які підвищують продуктивність праці: технологію IntelliSense, автозавершення операторів, автоматичне виділення кольором синтаксичних конструкцій, пошук методів, перевірку синтаксису і типів, оптимізацію (рефакторінг) коду, управління фрагментами коду і багато іншого.
Пакет PTVS додає в IDE VS можливість повноцінної підтримки мови програмування Python, редагування коду з підсвічуванням, навігацією по коду, налагодженням, профілюванням і т.п. Virtual Studio у поєднанні PythonTools становить повноцінне безкоштовне середовище розробки на мові Python. Вибором PTVS для розробки підсистеми також послужила його відносна простота в установці та налаштуванні.
PTVS підтримуємо практично всі реалізації Python в тій чи іншій мірі - CPython, IronPython, Jython, PyPy, Stackless - але пріоритетним є підтримка стандартного, і використовуваного більшістю розробників інтерпретатора CPython.
2.5 Проектування бази даних підсистеми
Обґрунтування вибору моделі «сутність-зв'язок»
Основою бази даних є модель даних - фіксована система понять і правил для представлення даних структури, стану і динаміки проблемної області в базі даних. Подання інформації про предметну область пов'язане з моделюванням даних. Нині існують різні моделі даних зі своїми перевагами й недоліками, і кожна з них має сферу застосування.
Дослідження в галузі моделювання даних розпочались у 80-ті рр. минулого сторіччя, коли Е. Кодд уперше ввів поняття моделі даних [17]. Моделі даних за можливостями побудови опису предметної області в термінах, близьких до термінів предметної області, можна поділити на дві групи. До першої належать універсальні моделі даних: ієрархічна, мережева, реляційна, об'єктно-орієнтована, що дозволяють розв'язувати широке коло задач, але елементи даних цих моделей мають порівняно малу інформативність. До другої групи належать моделі, що забезпечують подання інформації на рівні, близькому до уявлень спеціалістів предметної області, яких не цікавлять способи подання даних та їх взаємозв'язків. Моделі другої групи використовують для побудови концептуальних моделей, які потім можна транслювати в моделі першої групи. До даної групи можна віднести, наприклад, модель "сутність-зв'язок" [18], семантичну об'єктну модель. Однією з найпопулярніших концептуальних мод модель "cутність-зв'язок", або ER-модель (англ. - Entity Relationship model). На використанні різновидів даної моделі базуються більшість сучасних підходів до проектування моделей даних (головним чином - реляційних або об'єктно-орієнтованих). Модель "сутність-зв'язок" є простою візуальною моделлю даних (графічною нотацією). Можна провести аналогію між елементами реляційної моделі даних і елементами моделі «сутність-зв'язок». Реляційні відносини відповідають наборам сутностей, а кортежі - сутностям. Тому, також як і в моделі «сутність-зв'язок» стовпці в таблиці, що представляє реляційне відношення, називають атрибутами.
Кожен атрибут визначений на домені, тому домен можна розглядати як безліч допустимих значень даного атрибуту. Кілька атрибутів одних відносин і навіть атрибути різних відносин можуть бути визначені на одному і тому ж домені.
Іменоване безліч пар «ім'я атрибута - ім'я домену» називається схемою відношення. Потужність цієї множини - називають ступенем чи «арністю» відносини. Набір іменованих схем відносин представляє із себе схему бази даних.
Атрибут, значення якого однозначно ідентифікує кортежі, називається ключовим (або просто ключем). У нашому випадку ключем є атрибут «Табельний номер», оскільки його значення унікально для кожного працівника підприємства. Якщо кортежі ідентифікуються тільки зчепленням значень декількох атрибутів, то говорять, що відношення має складовий ключ. Ставлення може містити кілька ключів. Завжди один із ключів оголошується первинним, його значення не можуть обновлятися. Всі інші ключі відносини називаються можливими ключами.
Модель "сутність-зв'язок" - це модель даних, що використовується при проектуванні різноманітних моделей (інформаційних систем, баз даних, архітектур комп'ютерних додатків та інших систем) і є високорівневою концептуальною моделлю. Вона ґрунтується на деякій важливій семантичній інформації про реальний світ і є графічною нотацією, за допомогою якої можна описувати об'єкти логічних моделей даних і відношення між об'єктами. У даному контексті модель "сутність-зв'язок" є мета моделлю даних, тобто засобом специфікації логічних моделей даних, що будуються на основі вихідної концептуальної моделі даних. Модель "сутність-зв'язок" використовують при концептуальному моделюванні для отримання концептуальної моделі, яку потім транслюють у логічні моделі, зазвичай реляційні або об'єктно-орієнтовані [19]. Модель "сутність-зв'язок" запропонував П. Чен із метою впорядкування задачі проектування моделей, її проект був опублікований у 1976 р.[20]. Дана модель задовольняє дві важливі умови:
потужність її засобів дозволяє досить адекватно описувати структуру різноманітних предметних областей;
розрив між можливостями моделі та CASE-засобів (Computer Aided Sof ftware Engineering1), що її підтримують, не надто великий.
На сьогодні не існує єдиного загальноприйнятого стандарту для моделі "сутність-зв'язок", але є набір загальних конструкцій, що лежать в основі більшості її варіантів. Така ситуація виникла через те, що різні автори пропонують свої елементи моделі й відповідну термінологію.
Базовими елементами моделі "сутність-зв'язок" є сутності, атрибути і зв'язки. У цьому підрозділі розглядаються й уточнюються дані елементи. З об'єктами моделі "сутність-зв'язок" пов'язані поняття: тип - набір однорідних предметів, явищ, що виступають як єдине ціле; екземпляр - конкретний елемент набору, який (набір) визначає деякий тип; множина - конкретний набір екземплярів типу в деякий момент часу.
Очевидно, що ототожнення понять типу та множини є помилкою, особливо під час розгляду моделей, пов'язаних із часовими аспектами. При розгляді сутностей і зв'язків необхідно розрізняти, з одного боку, поняття сутності (екземпляра сутності), типу сутності й множини сутності, з іншого - поняття зв'язку (екземпляра зв'язку), типу зв'язку та множини зв'язку.
Виходячи з наведеного зробити висновок, що найбільш сприятлива модель подання даних в розроблюваній базі даних є модель «сутність - зв'язок», яка є простою, доступною для розуміння розробника і користувача та збільшує швидкість розробки поставленої задачі оперативного аналізу.
2.7 Обґрунтування вибору системи керування базами даних
Без використання баз даних не обходиться створення практично жодного динамічного web-додатку. Всі сучасні системи управління контентом (CMS) працюють з використанням баз даних. При комп'ютерній обробці інформації впорядковані-якимось чином дані прийнято зберігати в базах даних. База даних являє собою набір інформації, організованої тим чи іншим способом. У базі даних можуть зберігатися тексти статей, посилання на графічні файли, аудіо, відео і т.д. Для роботи з базами даних передбачено спеціальне програмне забезпечення - СКБД, яке використовуються для зберігання і обробки великих обсягів інформації: додавання інформації, її редагування, перегляд, копіювання, видалення, пошук, сортування і т.д. [21]. MySQL - це система керування реляційними базами даних. До відмінних рис фізичної організації збереження і обробки даних, наявними в СКБД MySQL, можна віднести наступні:
програмний код написаний на мові С + +;
СКБД MySQL є кросплатформеним додатком з інтерфейсами С, C + +, Eiffel, Java, Perl, PHP, Python, Ruby і Tel.
можливість роботи в багатопроцесорних системах;
забезпечення транзакційних і нетранзакційних механізмів зберігання;
використання дуже швидких дискових таблиць (MylSAM) із стисненням індексів на основі бінарних дерев (В-дерев);
можливість порівняно простого додавання іншого механізму зберігання, це зручно, якщо потрібно додати SQL-інтерфейс до бази даних власної розробки;
швидкодію системи розподілу пам'яті, заснованої на потоках;
можливість зберігання в пам'яті хеш-таблиць як тимчасових;
функції SQL реалізовані з використанням високо оптимізованої бібліотеки класів і повинні виконуватися гранично швидко. Як правило, будь-якого розподілу пам'яті після ініціалізації запиту не виконується;
код MySQL протестований за допомогою інструментів пошуку витоку пам'яті;
сервер доступний як окрема програма для використання в клієнт-серверної мережевий середовищі. Крім того, він також поставляється у вигляді бібліотеки, яка може бути вбудована в окремі автономні програми. Такі програми можуть застосовуватися в ізольованому середовищі або середовищі, що не має доступу до мережі;
На синтаксичному рівні даних виділяються наступні переваги:
безліч типів даних для стовпців таблиць: знакові табез знакові, цілі і просторові типи OpenGIS;
записи фіксованої і змінної довжини;
повна підтримка операцій і функцій в конструкціях SELECT і WHERE запитів, підтримка псевдонімів для таблиць і стовпців, як вимагає стандарт SQL.
повна підтримка конструкцій GROUP BY і ORDER BY. Підтримка групових функцій (COUNT (), COUNT (DISTINCT ), AVG (), STD (), SUM (), ІGROUP_CONCAT () MAX (), MIN (),);
підтримка LEFT OUTER JOIN і RIGHT OUTER JOIN як з синтаксисом SQL, так і з синтаксисом ODBC;
оператори DELETE, insert, REPLACE і UPDATE повертають кількість рядків, які були змінені. Авангард-чемпіон. Замість цього можна задати повернення кількості рядків, які відповідають запиту, для чого буде потрібно встановити відповідний прапор при підключенні до сервера;
специфічна для MySQL команда SHOW може бути використана для добування інформації про бази даних, таблицях і індексах. Команда EXPLAIN дозволяє переглянути, як оптимізатор виконує запит;
клієнтам надано можливість підключатися до сервера MySQL, використовуючи сокети TCP / IP на будь-якій платформі. У Windows-системах сімейства NT (NT, 2000 або ХР) клієнти можуть підключатися з використанням іменованих каналів. У системах на базі UNIX клієнти можуть підключатися через файли сокетів UNIX-доменів;
інтерфейс Connector / ODBC дозволяє MySQL підтримувати клієнтські програми, які використовують ODBC-з'єднання. Наприклад, для підключення до сервера MySQL можна використовувати MS Access. Клієнтське програмне забезпечення може виконуватися під управлінням Windows або UNIX. Вихідні тексти інтерфейсу Connector / ODBC доступні. Підтримуються всі функції ODBC 2.5, так само як і безліч інших;
сервер MySQL має вбудовану підтримку SQL-операторів для перевірки, оптимізації і відновлення таблиць. Ці оператори можна виконувати в режимі командного рядка, використовуючи клієнтський додаток mysqlcheck. MySQL включає також myisamchk - дуже швидку утиліту командного рядка для реалізації тих же операцій над таблицями MylSAM.
Таким чином, СУБД MySQL є досить потужним інструментом для розробки додатків, різних за структурою і призначенням. Притаманні СКБД MySQL особливості та можливості дозволяють реалізувати досить складні за своєю структурою, об'ємні бази даних, що складаються з безлічі таблиць з даними певних типів. Характер зв'язку між таблицями також може бути повною мірою вказаний для всіх відносин. Специфічні команди дозволяють швидко виконувати ряд операцій з таблицями, полями та даними, що в них знаходиться.
2.8 Концептуальне проектування бази даних
Виходячи з поставленого завдання була розроблена база даних розташована на сервері mysql та складається з набору таблиць, зв'язаних між собою. Концептуальну схему створеної бази даних зображено на рис.2.4. та складається з шести таблиць, де Prewikka _ Filter, Prewikka _ Filter_ Criterion, Prewikka _ Permission, Prewikka_Session, Prewikka_Version- таблиці вимірів та Prewikka_User - таблиця фактів.
Рис.2.4. Концептуальна схема бази даних
Кожна таблиця створеної бази даних необхідна для збереження інформації, що фіксуюється розроблюваною системою підтримки прийняття рішень в системою виявлення вторгнень. Так, як приклад, таблиця Prewikka_User призначена для збереження даних про налаштування обліковіого запису користувача, таблиця Prewikka_Permission- для збереження привілеїв, що надані користувачам у використанні розроблюваної системи, таблиця Prewikka_Version призначена для зберігання версії СППР, для подальшого оновлення її налаштувань.
2.8 Фізичне проектування бази даних підсистеми
Створивши та перевіривши концептуальну модель бази даних за допомогою інструментів програми SybasePowerDesigner 15.3 згенеруємо фізичну модель бази даних. Вона матиме наступний вигляд, як це показано на рис.2.5:
Рис.2.5. Фізична модель бази даних
Наступним етапом є генерація самої бази даних. Результатом генерації бази даних є скрипт, приведений у додатку Б.
Отже, використовуючи утиліту SybasePowerDesigner 15.3. спроектовано концептуальну модель бази даних, згенерувано фізичну модель та відповідний скрипт бази даних.
Висновки
Таким чином, в даному розділі проаналізовано та сформовано вимоги до програмного модулю що розробляється. Обґрунтовано вибір програмного середовища та мови програмування для розробки підсистеми, побудована концептуальна та фізична схема бази даних. Обґрунтовано вибір СКБД MySQL як досить потужного інструменту для розробки додатків, різних за структурою і призначенням.
3. ПРОГРАМНА РЕАЛІЗАЦІЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
3.1 Проектування та розробка узгодженого інтерфейсу взаємодії користувача з підсистемою
Оскільки якість процесу інтерактивної взаємодії користувача із системою (швидкість, зручність, низький рівень втоми) пов'язана з такими психологічними характеристиками людини як короткострокова та середньострокова пам'ять, час реакції, можливості сприйняття візуальної інформації, то при розробці інтерфейсу необхідно пам'ятати, що:
інтерфейс - сама важлива частина СВВ з точки зору її реклами з метою продажу і з точки зору безпосереднього адміністратора безпеки інформаційної мережі, який може працювати з нею по декілька годин поспіль;
інтерфейс впливає на характер рішень, які приймає ОПР, він може прискорювати час прийняття рішення та покращувати або погіршувати їх якість;
який саме конкретний тип інтерфейсу можна створити за допомогою вибраних інструментальних засобів і які принципові можливості може надати інструментальна система.
Основними властивостями, яким повинні задовольняти інтерфейси, є:
адаптованість означає, що інтерфейс повинен бути: сумісним з потребами та можливостями користувача; забезпечувати простоту переходу від виконання однієї функції до іншої; забезпечувати користувача, на високому рівні, вказівками стосовно його можливих дій, а також генерувати належний зворотній зв'язок на його запити; надавати користувачу можливість відчувати себе повноправним керівником ситуації при розв'язанні всіх типів задач, тобто, забезпечувати його всією необхідною інформацією; користувач повинен бути впевненим, що він сам розв'язує поставлену задачу; забезпечувати користувача різними, взаємно доповнюючими формами представлення результатів в залежності від типу запиту або від характеру отриманого рішення; враховувати особливості користувачів різних рівнів;
дружність інтерфейсу: це максимальна простота його використання і готовність в повній мірі задовольнити запити адміністратора безпеки при розв'язанні визначеного класу задач;
гнучкість інтерфейсу: гнучкість інтерфейсу - це можливість його адаптування до розв'язання конкретної задачі. Якщо розв'язувана задача дуже складна, то інтерфейс повинен полегшувати формулювання запитів і видавати результати у формі, яка легко і швидко сприймається користувачем. Тобто інтерфейс повинен буди максимально простим навіть у випадку, коли розв'язується дуже складна задача.
При цьому простота означає таке: інтерфейс не повинен бути перевантажений деталями щодо представлення розв'язку поставленої задачі - користувач може не охопити всіх подробиць (і в цьому, як правило, немає потреби) - тобто нічого зайвого, крім того, що необхідно для розуміння результату; він не повинен містити зайвих декоративних деталей, які відволікають від головної задачі; інтерфейс повинен бути консистентним, тобто, ґрунтуватись на використанні відомих, загальноприйнятих методів і засобів представлення інформації; в ідеалі процес взаємодії адміністратора безпеки з системою не повинен представляти ніяких труднощів.
Вміле поєднання вказаних атрибутів дозволяє суттєво підвищити швидкість сприйняття та глибину розуміння результатів роботи СППР, прискорити процеси вводу/виводу даних.
3.2 Розробка компоненти ведення БД підсистеми
При розробці програмного забезпечення були використанні різні технології побудови програмних засобів. Система ведення бази знань системи підтримки прийняття рішень будується на основі web інтерфейсу, та розміщується на сервері Apache, що являє собою найпопулярніший сервер для розміщення web-додатків.
Для того, щоб система виявлення вторгнень здійснювала внесення повідомлень до бази даних, у разі спрацювання відповідностей сигнатури атак до потоку інформації в комп'ютерній мережі, необхідно перш за все завантажити схему бази даних та налаштувати Prelude. Завантаження здійснюється за командою $ mysql -u prelude prelude -p < /usr/share/libpreludedb/classic /mysql.sql. Всі налаштування зберігаються в конфігураційному файлі prelude-manager.conf. Для цього необхідно прописати наступні рядки:
[db]
type = mysql
host = localhost
port = 3306
name = prelude
user = prelude
pass = prelude
Після цього система виявлення атак Prelude буде заносити інформацію стосовно виявлених атак до бази даних, що у відповідності буде мати вигляд, зображений на рис.3.1.
Рис.3.1. Таблиця Prelude_User в базі даних Prelude
Для того, щоб розроблювана СППР здійснювала внесення даних до бази даних, необхідно створити в MySQL базу данних Prewikka и надати права користувачу prewikka наступними командами:
# mysql -u root -p:
Prelude
mysql> CREATE DATABASE prewikka;
mysql> GRANT ALL PRIVILEGES ON prewikka.* TO prewikka@localhost
-> IDENTIFIED BY 'prewikka';
Далі завантажити раніше згенерований, використовуючи утиліту SybasePowerDesigner 15.3. скрипт для створення таблиць, індексів в БД - командою #mysql -u prewikka prewikka -p < /usr/share/prewikka/database /mysql.sql
Налаштувати конфігураційний файл prewikka.conf. Для цього необхідно прописати наступні рядки:
[database]
type: mysql
host: localhost
user: prewikka
pass: prewikka
name: prewikka
Після цього маємо створену БД з відповідними таблицями, що вказано на рисунку 3.2:
Рис.3.2. База даних Prewikka
Розроблювана СППР буде заносити інформацію, наприклад версії розробки, до бази даних, що у відповідності буде мати вигляд, зображений на рис. 3.3:
Рис.3.3. Таблиця Prewikka_Version в базі даних Prewikka
Для взаємодії СППР з створеною БД Prewikka використовується мова запитів SQL. Приклад запиту:
def createUser(self, login, email=None):
self.query("INSERT INTO Prewikka_User (login, email) VALUES (%s,%s)" % \ (self.escape(login), self.escape(email)))
3.3 Розробка компоненти аналізу даних моніторингу об'єктів мережі
В рамках дипломної роботи було спроектовано та розроблено СППР, яка у режимі реального часу здатна відслідковувати зміни, що викликають потік інформації до сховища даних, їх аналіз та виведення на екран попередження про спробу чи реалізацію комп'ютерного вторгнення. СППР на основі сигнатур СВВ Prelude має функціональні можливості відображення атак та суб'єктів атаки за останні 24 години, за розподілом часу а також графічно представляти виявлення підозрілої активності. Все це дає змогу адміністратору безпеки в режимі реального часу відслідковувати зміни, що відбуваються в мережі та приймати невідкладні рішення щодо подальших дій.
Для доступу до розробленої системи необхідно запустити сервер, на якому вона розташовується, та в адресній строчці web-оглядача вписати наступну адресу: http://localhost/, або якщо доступ здійснюється віддалено то ввести адресу сервера , а саме: http://10.0.2.15/. Після автентифікації відкривається стартове вікно з вкладкою «Сигнали тривоги». Для детального розбору подій в мережі, які зафіксувала СВВ було розроблено додаткове вікно, перехід до якого можливо здійснити натисканням по запису події після чого з'являється підказка «Переглянути деталі попередження». Приклад зображено на рисунку 3.4:
Рис.3.4. Підказка «Переглянути деталі попередження», що з'являється при натисканні на подію
В розробленому додатковому вікні деталізується інформація про сигнал тривоги, аналізатор, що виявив дану подію, ціль та додаткову інформацію, як вказано на рис. 3.5.
Рис.3.5. Додаткове вікно деталізації інформації про сигнал тривоги
Для прикладу адреса вузла, тобто цілі вторгнення визначається наступним чином:
def buildNode(self, node):
if not node:
return
self.newTableEntry(_("Node location"), node["location"])
addr_list = None
node_name = None
for addr in node["address"]:
address = addr["address"]
if not address:
continue
node_name = resolve.AddressResolve(address)
if addr["category"] in ("ipv4-addr", "ipv6-addr", "ipv4-net", "ipv6-net") and self.env.enable_details:
addr_list += self.getUrlLink(address, "%s?host=%s" %(self.env.host_details_url, address))
else:
addr_list += address
if node["name"]:
self.newTableEntry(_("Node name"), node["name"])
…
self.newTableEntry(_("Node address"), addr_list)
3.4 Розробка компоненти візуалізації даних аналізу
Система оповіщення, в залежності від потоку інформації в комп'ютерній мережі, а саме від інтенсивності спрацювань системою виявлення вторгнень на деструктивні дії, що відбуваються на систему, відображає інтенсивність цих дій за допомогою графіків та кругових діаграм, які будуються за допомогою бібліотеки cairoplot, що побудована на мові програмування python, та служить для конструювання графіків та діаграм різного вигляду та різних завдань. Вона досить легко вбудовується до розроблюваних додатків. Вкладка «Статистика», де реалізовані графіки та кругові діаграми, розроблена для полегшення роботи адміністратора безпеки інформаційної мережі шляхом візуалізації отриманих даних про події від системи виявлення вторгнень Prelude. Для побудови графіку використовується мова програмування python, загальний опис має наступний вигляд:
class CairoTimelineChart(TimelineChartCommon):
def render(self, name, expire=None, suffix=".png", uid=None, gid=None):
fname = self._getFilename(name, expire, uid, gid);
colors = []
values = utils.OrderedDict()
for name in self._values.keys():
nname = name[0:min(len(name), 25)]
if not values.has_key(nname):
values[nname] = []
for item in self._values[name]:
values[nname].append(item[0])
colors.append(self.hex2rgb(self.getItemColor(name)))
cairoplot.dot_line_plot(fname, values, self._width, self._height, border=0, axis=True, grid=True,
x_labels=self._labels, series_legen=True, series_colors=colors)
Після чого створюється графік часу роботи системи, встановлюються налаштування, та вказується джерело даних для відображення:
def _generateTimeline(self, user, width, height):
start, end, step, format, zoom_view, timeline_type, timeline_time = self._getStep(self.parameters["timeline_type"])
timeline = self._newTimeline(user, width, height)
if timeline_type != "custom":
base_parameters = { "timeline_unit": "min" }
else:
base_parameters = { "timeline_type": timeline_type }
self.dataset["timeline_user_type"] = self.parameters.get("timeline_type")
while start < end:
c = self._getTimeCrit(start, step) + self._criteria
if timeline_type != "custom":
base_parameters["timeline_start"] = long(time.mktime(start.timetuple())) #long(start)
else:
self._setTimelineZoom(base_parameters, start, start + step)
link = utils.create_link(zoom_view, base_parameters)
count = self._getAlertCount(c, link, zoom_view)
label = start.strftime(format)
start += step
timeline.addLabelValuePair(label, count, link)
return timeline
Графік відображення вторгнень за останні 24 години зображено на рис.3.6.
Рис.3.6. Графік відображення атак за останні 24 години
У відповідності, аналогічно до попереднього, відображення вторгнень за останній місяць має вигляд, що зображений на рис.3.7.
Рис.3.7. Графік відображення вторгнень за останній місяць
Тип сенсора та відсоток виявлених ним вторгнень зображено на панелі «Аналізатори» представлено на рис.3.8.
Рис.3.8. Діаграма, що відображає тип сенсорів
Система має змогу поряд з відображенням активності оповіщень, відображати суб'єкти, які стали ціллю дії вторгнення. Зокрема, останні суб'єкти зображено на рисунку 3.9.
Рис.3.9. Діаграма, що відображає суб'єкти, які стали ціллю дії вторгнення
3.5 Інструкція користувачу по роботі з підсистемою (програмним модулем)
Для доступу до розробленої системи необхідно запустити сервер, на якому вона розташовується, та в адресній строчці web-оглядача вписати наступну адресу: http://localhost/, або якщо доступ здійснюється віддалено то ввести адресу сервера, а саме: http://10.0.2.15/. Далі відкриється вікно входу в систему, де користувач повинен вказати свій пароль та логін. Після успішної автентифікації завантажується для перегляду головна сторінка системи.
На вкладці «Сигнали тривоги» вказується інформація про події в системі, а саму джерело вторгнення, ціль, тип аналізатора, що виявив подію та час її виникнення. Аналогічно на вкладці «Агенти» - про сенсори, які використовуються в системі виявлення вторгнень, їх назва, модель версія клас, час останньої активації та стан на поточний момент, про вузли. Що аналізуються системою. Вкладка «Статистика» - призначена для візуалізації отриманих від СВВ даних про аналізатори, джерела подій їх цілі та завантаженість системи у вигляді графіків та діаграм. На вкладці «Налаштування» користувач має можливість переглядати та налаштовувати свій обліковий запис в залежності від наданих йому прав. Зокрема це створювати фільтри, змінювати пароль, мову та права доступу. Огляд додаткової інформації про дану систему виявлення вторгнень Prelude її комерційні ліцензії, контакти розробників системи можливо здійснити на вкладці «Про систему».
Додавання користувача можливе тільки для адміністратора системи користувачам, які мають відповідні права.
Необхідно перейти на вкладку «Налаштування» - «Список користувачів» та натиснути кнопку «Створити користувача». Після чого відкриється вікно для налаштувань нового облікового запису, як це зображено на рисунку 3.10, де необхідно заповнити поля: «Логін», «Мова», «Привілеї», «Новий пароль», «Підтвердити новий пароль» та натиснути кнопку «Підтвердити зміні».
Рис.3.10. Вікно для налаштувань нового облікового запису
Значення прав, які надаються користувачам:
IDMEF_VIEW - доступ до вкладок «Сигнали тривоги» та «Агенти»;
IDMEF_ALTER - можливість видалення записів про події та активацію агентів;
USER_MANAGER - можливість створення, зміни, видалення облікових записів користувачів на вкладці «Налаштування»;
COMMAND, INTRUSIVE_COMMAND - дозвіл на введення команд, доступний тільки в комерційній версії Prewikka.
Аналогічно видалення користувачів можливе тільки для адміністратора безпеки або для користувачів, які мають відповідні права. Необхідно перейти на вкладку «Налаштування» - «Список користувачів» встановити галочку навпроти відповідного запису та натиснути кнопку «Видалити користувача».
Налаштування облікового запису користувача можливе при переході на вкладку «Налаштування» - «Мій обліковий запис», або при натисканні на посилання в полі «логін», після чого відкриються налаштування відповідного користувача на вкладці «Налаштування» - «Список користувачів.
Зміна налаштувань необхідної мови здійснюється на вкладці «Налаштування» - «Мій обліковий запис» де в полі «Мова» потрібно обрати необхідну мову : англійська, німецька, українська, російська, італійська, польська, португальська(Бразилія), французька та натиснути на кнопку «Прийняти зміни».
Для зміни паролю на вкладці «Налаштування» - «Мій обліковий запис» в полі «Змінити пароль» необхідно ввести поточний пароль, новий та підтвердити пароль, а далі натиснути на кнопку «Прийняти зміни».
Створення нових, видалення та завантаження існуючих фільтрів здійснюється на вкладці «Налаштування» - «Фільтр». В полі «Доступні фільтри» потрібно обирати з випадаючого списку наявні в системі фільтри та натиснути кнопку «Завантажити» для завантаження фільтрів, що були створені раніше. Для додавання нового фільтру необхідно в полі А ввести шлях, оператор та значення фільтру, при необхідності додати нові чи видалити існуючі аргументи можливо при натисканні на знак «+» або «-», навпроти поточного поля, в полі «Формула» за прикладом ввести формулу нового фільтру, як це вказано на рисунку 3.11, в полі «Ім'я» - назву нового фільтру та в полі «Коментар» - коментарі до створюваного фільтрую й натиснути кнопку «Зберегти» для збереження нового фільтру в БД.
Рис.3.11. Додавання нового чи зміна поточного фільтру подій в ІМ
Для детального розбору подій в мережі, які зафіксувала СВВ потрібно перейти до додаткового вікна натисканням по запису події на вкладці «Сигнали тривоги», після чого з'являється підказка «Переглянути деталі попередження». В даному вікні здійснюється детальний розбір події. Також для детального розбору активності сенсорів потрібно натиснути на посилання назви сенсора на вкладці «Агенти», після чого з'явиться підказка з трьома пунктами для аналізу: «Аналіз пульсу», «Список пульсу», «Список подій». Натиснувши на відповідне посилання відкриється додаткова вкладка з докладною інформацією про відповідні властивості.
Щоб вийти з системи необхідно натиснути на посилання «Вихід» в правому верхньому куті сторінки.
Висновки
Отже, спроектована та розроблена СППР здатна відслідковувати зміни, що викликають потік інформації до сховища даних, їх аналіз та виведення на екран попередження про спробу чи реалізацію комп'ютерного вторгнення. Програмний модуль системи оповіщення про виявлені атаки дозволяє досягти мети дослідження: підвищити ефективність роботи адміністратора безпеки за рахунок покращення показника оперативності в його роботі.
4. ОЦІНКА ЕФЕКТИВНОСТІ ФУНКЦІОНУВАННЯ СИСТЕМИ ТА ЗАПРОПОНОВАНИХ РІШЕНЬ
4.1 Обґрунтування підходу до оцінки ефективності функціонування системи та вибір показників ефективності для оцінки отриманих результатів
На сьогоднішній день у галузі моніторингу мережевої активності на випадок атаки різко зростає необхідність більш ретельно та достовірно аналізувати та виявляти деструктивні дії, що спрямовані на заподіяння будь-якого ураження комп'ютерним системам. Це, безперечно, впливає на якісні зміни вимог, що висуваються до СВВ. Сучасна система виявлення вторгнень в інформаційно-аналітичній системі має забезпечувати безпечне і швидке функціонування інформаційної системи за різних умов з урахуванням різноманітних чинників.
Відповідно до основних завдань, що вирішує система виявлення вторгнень в інформаційну мережу, її властивостями має бути оперативність qоп та обґрунтованість qоб. Кількісною мірою оперативності (критерієм оперативності cоп) обирається допустимий відрізок часу такий що :
, де
- витрати часу на обробку мережевого трафіку системою виявлення вторгнень;
- витрати часу на співставлення сигнатур відомих атак до мережевих пакетів, та занесення інформації до сховища даних;
- витрати часу на представлення інформації про виявлену атаку;
- витрати часу на реакцію оператора системи виявлення атак щодо прийняття рішення.
У свою чергу, витрати часу визначаються методами й алгоритмами обробки інформації й прийняття рішення адміністратором безпеки і містять дві складові:
, де
- витрати часу на підготовку рішення за допомогою засобів автоматизації, - витрати часу на прийняття рішення адміністратором безпеки.
Таким чином, підвищення оперативності системи безпеки інформації може бути досягнуто шляхом зменшення складової , зокрема, за рахунок розробки й упровадження нових методів обробки й подання інформації адміністратору безпеки інформаційної мережі.
Загальну структуру прийняття рішення можливо представити у вигляді графа Г (), який зображено на рисунку 4.1, де - множина елементів або дій адміністратора безпеки, а - множина існуючих відображень. Зміст етапів прийняття рішення пояснюється в таблиці 4.1. Дії 1 - 6 відносяться до етапу інформаційної підготовки (Н1), 7 - 10 - до вибору рішення та його реалізації (Н2 та Н3 ). З цього слідує, що для автоматизації інформаційного забезпечення прийняття рішення необхідно покласти виконання дій 1 - 6 на технічні засаби, тобто автоматизувати функції розпізнання подій в інформаційній мережі, управління системою для відбору необхідної для прийняття рішення інформації та оптимізації умов сприйняття [24].
Область роботи адміністратора безпеки полягає у виконанні пов'язаних між собою дій, що проектують модель роботи системи в цілому. Оперативність прийняття рішення визначається на етапі 10 (H3). Показник оперативності залежить від комплексу дій самої системи, щодо своєчасного оповіщення про можливі вторгнення до комп'ютерної системи. Розроблена підсистема здійснює аналіз бази даних, і в режимі реального часу оповіщає адміністратора безпеки про виявленні порушення нормальної роботи системи, що і є підвищенням одного з пунктів роботи адміністратора безпеки - оперативності його реагування на виявлені вторгнення.
Таблиця 4.1.
Зміст етапів процесу аналізу даних та прийняття рішення адміністратором безпеки
Етап прийняття рішення |
Формальне представлення |
Опис етапу |
|
1 |
2 |
3 |
|
Прослуховування інформаційної мережі |
|||
Збір даних сенсорами СВВ |
|||
Управління системою для покращення умов сприйняття |
|||
Реалізація окремих операцій з управління відображенням |
|||
Виявлення конфліктних ситуацій та їх реєстрація |
|||
Контроль обстановки при відсутності конфліктних ситуацій |
|||
Корегування СВВ для деталізації інформації (візуалізаціяданих) |
|||
Обробка результатів аналізу |
|||
Перехід до прийняття рішення |
|||
Повернення до контролю обстановки при відсутності конфліктних ситуацій |
|||
Визначення цілі та критеріїв прийняття рішення |
|||
Затвердження рішення і перехід до його реалізації |
|||
Генерування альтернатив і оцінка результатів рішення |
|||
Додаткове прогнозування стану системи при труднощах в виборі рішення |
|||
Реалізація ПР і перехід до аналізу обстановки |
|||
Оцінка результатів ПР та їх запам'ятовування (накопичення знань) |
Подобные документы
Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Розробка програмного додатку - гри "Jump way", яка поєднала в собі сучасні методи побудови 2D ігор. Обґрунтування вибору мови програмування. Проектування UML-діаграм класів. Користувацький інтерфейс. Програмна реалізація гри. Інструкція користувача.
курсовая работа [1,2 M], добавлен 09.01.2017Розробка інтерфейсу користувача системи. Розробка підсистеми планування ремонтно-профілактичних робіт для відділу головного інженера на ВАТ "Макаронна фабрика". Розробка логічної і фізичної моделей бази даних. Опис реалізованих функцій системи.
дипломная работа [103,0 K], добавлен 14.02.2014Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Формування валютних операцій. Організація проведення контролю та аналізу валютних операцій. Характеристика автоматизованих систем валютних операцій. Обґрунтування вибору середовища розробки. Розробка програмного модуля. Реалізація інтерфейсу користувача.
курсовая работа [1,1 M], добавлен 03.06.2012Аналіз технічного забезпечення, вибір інструментального програмного забезпечення та середовища розробки програм. Створення класів для реалізації необхідних функцій для роботи програмного засобу. Розробка інтерфейсу для користувача та лістинг програми.
курсовая работа [343,9 K], добавлен 24.08.2012Широкі можливості по використанню комп'ютерних навчальних систем. Розробка навчальної системи мультимедійного посібника з дисципліни "Інформатика і ОТ" на тему "Особливості мови програмування С++. Вказівники". Вимоги до розробки навчальної програми.
курсовая работа [2,9 M], добавлен 23.11.2010Дослідження класифікації автоматизованих інформаційних систем. Обґрунтування вибору мови і системи програмування. Програмне забезпечення та опис компонентів середовища. Інтерфейс програмного комплексу. Розрахунок повної собівартості програмного продукту.
дипломная работа [584,1 K], добавлен 26.06.2015Вибір мови програмування та середовища розробки. Основні можливості мови php та сервера MySQL. Основні переваги середовища розробки NetBeans. Macromedia Dreamweaver як один з популярних середовищ розробки сайтів. Розробка програмного коду сайту.
контрольная работа [3,0 M], добавлен 16.02.2013Основні етапи програмування системної утиліти виявлення прихованих процесів для багатозадачних операційних систем сімейства Microsoft Windows. Розробка інтерфейсу та головного меню програмного засобу. Вибір форми діалогу між програмою та користувачем.
курсовая работа [2,0 M], добавлен 23.01.2012