Сравнительный анализ разработчиков программных средств обнаружения и отражения сетевых атак
Содержание:
Введение
В последние годы обнаружение и предотвращение сетевых атак стало неотъемлемой частью любой информационной системы. В локальных вычислительных сетях, имеющих доступ к сети Internet, вопрос сетевой безопасности стоит особенно остро.
При использовании современных компьютерных технологий несанкционированный доступ к информации становится возможным после удачного осуществления компьютерных сетевых атак.
В настоящее время интенсивное появление и разрастание информационного пространства приводит к появлению необходимости не только несанкционированно поделить это пространство, но и контролировать и управлять протекающими в нем процессами. Для этого используется, так называемое, информационное оружие, которое представляет собой средства уничтожения, искажения или хищения информации; ограничения санкционированного допуска пользователей; средства преодоления систем сетевой защиты; средства организации отказов в обслуживании технических средств, компьютерных систем. Обороноспособность от такого атакующего информационного оружия как компьютерные вирусы, логические бомбы, средства подавления информационного обмена в телекоммуникационных сетях, фальсификации информации в каналах государственного и военного управления, средств нейтрализации тестовых программ, напрямую зависит от правильности и надежности систем сетевой защиты информации, в том числе средств обнаружения и предотвращения сетевых атак.
Использование информации, циркулирующей в глобальных и корпоративных сетях, со временем приобрело высокую степень риска с точки зрения ее несанкционированного раскрытия и модификации.
В большинстве, современные организации, имеющие выход в Internet, не достаточно полно оценивают свою защитную систему, что, в свою очередь, является основной уязвимостью для существующих и реализуемых компьютерных атак. Наибольшее внимание ошибочно уделяется защите от злоумышленников извне, а внутренние угрозы, как более опасные, не рассматриваются. По последним статистическим данным от 70% до 80% всех компьютерных атак происходят внутри организации. Но большинство современных организаций от таких угроз остаются беззащитными.
Большинство преодолений средств защиты, таких как системы аутентификации, межсетевые экраны и т.д., установленных для разграничения доступа к ресурсам корпоративной сети, являются печальной основой мировой статистики по компьютерным преступлениям. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения обходящих средства сетевой защиты. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего реального местоположения, осуществляют атаки, распределенные во времени от нескольких часов до минут и даже секунд, что не позволяет обнаружить и предотвратить их стандартными защитными средствами.
Это связано с тем, что подавляющее большинство компьютерных защитных систем построено на классических моделях разграничения доступа, эффективность которых была актуальна с 70-х по 90-е года.
При решении задач, связанных с обеспечением сетевой защиты информации от несанкционированного доступа, в настоящее время используют средства обнаружения и предотвращения сетевых атак. Основными и наиболее перспективными методами, используемыми в разработке и работе таких средств, являются сетевое и хостовое обнаружение сетевых атак на основе статистических и сигнатурных методик.
Таким образом, актуальность темы диссертационной работы обусловлена тем, что в настоящее время средства и методы обнаружения сетевых атак базируются, в основном, на аналитических методиках, позволяющих обнаруживать известные атаки. Методология обнаружения сетевых атак, как система всех тех методов, которые применяются в области защиты информации, представляет собой достаточно разнородные описания как средств и методов, так и системы их применения в теории и на практике.
Обзор моделей обнаружения и предотвращения сетевых атак
Проблема обеспечения информационной безопасности должна решатся, в том числе, путем разработки и применения высокоэффективных систем обнаружения, предупреждения и ликвидации компьютерных атак (вторжений) на основе знания современного состояния зарубежных систем компьютерных атак и информационной безопасности в существующих отечественных инфокоммуникационных системах и сетях специального назначения.
Зарубежные системы обнаружения компьютерных атак (IDS – Intrusion Detection Systems) являются в настоящее время важнейшим элементом систем информационной безопасности специальных сетей. В ряде зарубежных документов предлагается ранжировать различные типы атак в соответствии с возрастанием их возможной опасности : – угадывание паролей; – репликационный код; – взлом паролей; – использование известных уязвимых мест; – отключение/обход систем аудита; – воровство данных; – специальные входы в программу, возникающие из-за ошибок при ее написании или оставленные программистами для отладки (back doors); – использование систем контроля содержимого (снифферов и sweepers); – использование программ диагностики сети для получения необходимых данных; – использование автоматизированных сканеров уязвимостей; – подмена данных в IP-пакетах; – атаки типа «отказ в обслуживании» (DoS); – атаки на Web-серверы (CGI-скрипты); – технологии скрытого сканирования; – распределенные средства атаки. Известны и применяются на практике различные способы классификации IDS. Например, по способу реагирования различают пассивные и активные IDS. Пассивные IDS фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например за счет реконфигурации межсетевого экрана или путем генерации списков доступа маршрутизатора.
При проведении сертификации ФСБ России выделяет четыре класса систем обнаружения атак (СОА) – от Г до А (от «низшего» к «высшему»).
В отечественных и в зарубежных СОА используются практически одни и те же принципы построения, функционирования систем и методы обнаружения атак (сигнатурный, эвристический и их комбинации).
Первичными источниками информации о компьютерных атаках являются сенсоры (с установленными на них программами агентов сети), которые выполняют такие же функции, что и детекторы атак в отечественных системах.
От сенсоров информация о компьютерных атаках поступает на центральный анализирующий сервер, который обеспечивает хранение и обработку информации с помощью интерфейса пользователя. Сервер реализует такие же функции, что и АРМ администратора в отечественных СОА.
Проблема обеспечения информационной безопасности может быть решена на основе разработки и упреждающего применения эффективных отечественных систем обнаружения, предупреждения и ликвидации компьютерных атак (вторжений).
Для достижения целей по защите информации необходимо сочетать правовые, организационные и технические меры. Это сочетание определяется степенью конфиденциальности защищаемой информации, характером опасности и наличием средств защиты.
Технологии обнаружения сетевых атак.
Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.
Для противодействия современным атакам недостаточно традиционных средств защиты, таких как межсетевые экраны, антивирусы и т.п. Требуется система мониторинга и обнаружения потенциально возможных атак и аномалий, реализующая следующие функции:
- обнаружение попыток вторжений в информационные системы;
- детектирование атак в защищаемой сети или ее сегментах;
- отслеживание неавторизованного доступа к документам и компонентам информационных систем;
- обнаружение вирусов, вредоносных программ, троянов, ботнетов;
- отслеживание таргетированных атак.
Важно учесть, что если в ИС компании обрабатывается информация, подлежащая обязательной защите в соответствии с требованиями российского законодательства (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами ФСТЭК России и/или ФСБ России.
С-Терра – СОВ
На протяжении многих лет компания «С-Терра СиЭсПи» производит VPN-продукты для организации криптографической защиты передаваемых данных и межсетевого экранирования. В связи с возросшими потребностями пользователей в повышении общего уровня безопасности ИС, компания «С-Терра СиЭсПи» разработала специальное средство защиты информации, обеспечивающее обнаружение атак и аномальных активностей.
С-Терра СОВ представляет собой средство защиты, позволяющее администраторам информационной безопасности выявлять атаки, основываясь на анализе сетевого трафика. В основе работы данного средства защиты лежит использование механизмов сигнатурного анализа.
Классификация атак на информационную систему.
Атака — это конкретный способ эксплуатации той или иной уязвимости, используемый для вторжения в информационную систему (ИС). Атаки могут успешно эксплуатировать как ошибки конфигурирования (настройки) элементов ИС (сервера, сетевое оборудование и т.д.), так и ошибки реализации, включая концептуальные ошибки, допущенные при проектировании операционных систем, разработке протоколов взаимодействия и программного обеспечения служб и приложений
Как правило, любое вторжение в ИС состоит из двух этапов. На первом этапе производится сбор информации об объекте атаки, позволяющей выявить у объекта наличие тех или иных уязвимостей (тип используемой операционной системы, сетевые адреса, доступные сетевые сервисы и т.д.). Второй этап представляет собой собственно процесс реализации атаки. Конечной целью атаки являются нарушение целостности, конфиденциальности или доступности информации, хранимой, обрабатываемой и передаваемой в ИС. В зависимости от уровня используемой уязвимости все атаки можно разделить на атаки уровня узла и атаки уровня сети.
Первые эксплуатируют концептуальные уязвимости и ошибки реализации прикладных протоколов (SMTP, DNS, SNMP и т.д.), компонентов операционных систем и программного обеспечения. Атаки уровня сети используют концептуальные уязвимости протоколов, соответствующих канальному, сетевому и транспортному уровням модели взаимодействия открытых систем.
Заключение
В диссертации проведена работа, заключающаяся в разработке методики и способа обнаружения сетевых атак, основанных на математической модели информационного обмена в локальной вычислительной сети с одновременным применением статистических и сигнатурных методов. В результате этих исследований получены следующие научные и практические результаты.
Разработана математическая модель информационного обмена между узлами в локальной вычислительной сети, в которой представлены сообщения, передаваемые в ЛВС, вероятности их передачи, состояния узлов, статистические и сигнатурные параметры, позволяющая рассматривать процесс обнаружения сетевых атак, использующий такую формализацию.
Разработан способ обнаружения сетевых атак, позволяющий обнаруживать как известные, так и не известные ранее сетевые атаки, основанный на обнаружении сетевых атак сигнатурными и статистическими методами, использующими нейросети прямого распространения, сеть Кохонена, сеть теории адаптивного резонанса и сигнатурный анализатор.
Разработаны устройство обнаружения сетевых атак в виде функциональных схем, и программное средство обнаружения вторжений, на которое получено свидетельство о регистрации в Роспатенте, позволяющие выявлять известные и неизвестные ранее сетевые атаки.
Разработана методика обнаружения сетевых атак, использующая разработанный способ, устройство и программное средство обнаружения сетевых атак для выявления вторжений в локальную вычислительную сеть, повышающая эффективность обнаружения аномалий и злоупотреблений.
Проведен сравнительный анализ надежности обнаружения сетевых атак по методу Каплана-Майера, позволяющий оценить процент выявления атак на любом количестве временных интервалов наблюдения.
Разработанные модель, способ, методики и результаты исследований могут быть применены при разработке и тестировании средств и методов обнаружения и предотвращения сетевых атак, разработке способов и методов улучшения качества обнаружения и предотвращения сетевых атак, использовании аппарата нейросетей для исследований в области сетевой безопасности.
Список литературы.
- Руководящий документ РФ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».
- Лукацкий А.В. Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях -http://www.infosec.ru/press/pub/tvl.zip.
- Лукацкий А.В. Адаптивное управление защитой Сети, № 10, 1999.
- Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ-Петербург, 2003.
- Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор "Открытые системы", № 07-08, 2002.
- Атака из Internet // И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, А.В. Лукацкий-М.: СОЛОН-Р 2002. isbn-5-9-3455-159-0.
- Григорий Масич. Системы обнаружения вторжений. Intrusion Detection System IDS. http://inform.p-stone.ru/libr/nets/security/.9. http://www.softportal.com/hotarticles/203.
- Ю.Абрамов E.C. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII-й Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог, 2004.
- Frequently Asked Questions (FAQ): Системы обнаружения атак на сетевом уровне. http://zeus.sai.msu.ru:7000/internet/securities/faqids001.shtml.
- Алексей Лукацкий. На страже корпоративных рубежей. http://www.i2r.ru/static/452/out12865.shtml.
- Лаборатория информационной безопасности, http://securitylab.ru.
- Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: ЮНИТИ-ДАНА, 2001.
- Сравнительный анализ систем обнаружения атак или вторжений.
- Протоколы удаленных соединений – L2TP, PPTP, PPPoe. Понятие VPN, принцип работы, назначение, адресация.
- Возможности векторного редактора CorelDraw.
- Международная экономическая интеграция понятие, причины возникновения.
- Федеральные стандарты оценки в России (Регулирование оценочной деятельности в РФ)
- Основы оценки нематериальных активов и объектов интеллектуальной собственности (ЭТАПЫ ОЦЕНКИ НМА И ИС)
- LanDocs (Примеры бизнес-решений, реализуемых на программной платформе LanDocs)
- Причины эмоционального сгорания педагогов
- Античная философия
- Административно–правовой статус вынужденных переселенцев и беженцев (ФЗ от 19 февраля 1993 г. N 4528-I "О беженцах" (с посл.изменениями от июля 2011 г.))
- Административно-правовые гарантии и охрана прав граждан.
- Путь к информационному обществу