Способы обнаружения компьютерных атак
Природа и основные цели информационных компьютерных атак. Определение класса атак компьютерных сетей, уровни наблюдения за информационной системой. Адаптивность к неизвестным вирусным атакам и формирование ответной защитной реакции компьютерных систем.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 26.11.2014 |
Размер файла | 1,7 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Система Snort имеет реализации под множество UNIX платформ, а так же под ОС компании Microsoft.
5.7 SnortNet
SnortNet это распределенное расширение системы Snort, целью которого является придание ей дополнительных возможностей по масшабируемости и расширяемости [21].
Система состоит из нескольких программных модулей: сенсоров, модулей пересылки сообщений и станции мониторинга. Система позволяет осуществлять мониторинг сетевого трафика и осуществлять информирование станции мониторинга обо всех обнаруженных аномалиях в поведении сетевых объектов. Система использует Snort в качестве сетевого сенсора. В качестве протокола обмена данными система использует протокол Internet Alert Protocol (Протокол передачи сигналов тревоги - IAP). Для шифрования каналов передачи данных, аутентификации и контроля доступа система использует библиотеки SSL и TCP wrappers.
Обнаружение атак производится сенсорами Snort , после чего сообщения отправляются по протоколу IAP через модули пересылки сообщений (proxy) на станцию мониторинга. Модули пересылки сообщений и станцию мониторинга рекомендуется располагать в демилитаризованной зоне сети (см. рис 5.7).
Система SnortNet протестирована под операционными системами Linux, FreeBSD, OpenBSD.
Рис. 5.7. Конфигурация системы сенсоров SnortNet.
6. Вывод
Роль систем обнаружения атак для обеспечения информационной безопасности неуклонно возрастает. Стоимость систем и затраты на их эксплуатацию для коммерческих СОА очень велика. Учитывая рост популярности открытого программного обеспечения и его существенно более низкую, по сравнению с коммерческим программным обеспечением, стоимость, представляется, что роль некоммерческих СОА будет расти еще быстрее.
Рассмотренные в данной работе СОА сильно отличаются друг от друга по качественным характеристикам. Сравнение количественных характеристик может послужить предметом отдельного исследования.
По ключевым критериям сравнения систем можно сделать следующие выводы:
Классы обнаруживаемых атак. Часть из рассмотренных систем ориентированы на обнаружение исключительно сетевых атак, часть - на обнаружение системных атак. Две системы являются гибридными. Поэтому при выборе СОА для внедрения в систему можно либо выбирать несколько наиболее эффективных специализированных сетевых и системных СОА и устанавливать их в дополнение друг к другу, либо брать одну гибридную систему. Первый вариант может обеспечить высокую начальную эффективность обнаружения атак, но при этом дороже в поддержке, так как придется одновременно поддерживать и внедрять две или более несовместимых или слабо совместимых системы. Второй вариант может иметь меньшую начальную эффективность, но будет дешевле в эксплуатации. Таким образом, использование гибридных СОА представляется более предпочтительным. Наиболее эффективны в этом смысле системы Prelude, Snort, SnortNet.
Методы обнаружения. Наиболее распространенные сегодня методы обнаружения атак не позволяют системе адаптироваться к новым атакам и обнаружение атак начинается лишь после явного внесения их описания в базу знаний системы. Такие системы требуют постоянной поддержки. Более сложные методы пока используются не очень широко, но их роль неизбежно будет возрастать.
Архитектура. Распределенные СОА сложнее в установке и администрировании, но они сильно выигрывают у нераспределенных СОА в масштабируемости и расширяемости. Для крупных сетей распределенные СОА более предпочтительны.
Открытая архитектура необходима также для сопряжения СОА с другими средствами защиты информации в сетях. Одним из слабых мест коммерческих СОА является поддержка стандартов в области обнаружения атак. Открытая архитектура и поддержка открытых стандартов позволит некоммерческим системам занять достойное место на рынке. Наиболее эффективнор проработана архитектура в системах AAFID, NetSTAT, Prelude.
Защита. Собственная защита СОА часто является довольно слабой. Некоторые коммерческие СОА требуют выделения отдельной технологической сети для связи компонентов. Устойчивость СОА к атакам является одним из ключевых вопросов обеспечения безопасности в сети, частью системы защиты которой является эта СОА.
Из рассмотренных 7 систем наиболее полно удовлетворяют всем критериям следующие 3 системы: Prelude, Snort, SnortNet. При этом система Prelude менее популярна, но имеет несколько важных преимуществ перед системой Snort - распределенность, масштабируемость и расширяемость.
7. Литература
1. A. Mounji, Languages and Tools for Rule-Based Distributed Intrusion Detection, PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.
2. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.
3. Jai Balasubramaniyan, Jose Omar Garcia-Fernandez, E. H. Spafford, Diego Zamboni, An Architecture for Intrusion Detection using Autonomous Agents, Department of Computer Sciences, Purdue University; Coast TR 98-05; 1998.
4. A. Baur & W. Weiss, “Audit Analysis Tool for Systems with High Demands Regarding Security and Access Control”, Research Report, ZFE F2 SOF 42, Siemens Nixdorf Software, Mьnchen, November 1988.
5. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents, Technical Report 95-022, COAST Laboratory, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, March 1994.
6. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents, in: Proceedings of the 18th National Information Systems Security Conference, October 1995.
7. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," in Proceedings of the ACM Workshop on Intrusion Detection, Athens, Greece, 2000.
8. N. Habra, B. Le Charlier, A. Mounji & I. Mathieu, “Preliminary Report on Advanced Security Audit Trail Analysis on UniX”, Research Report 1/92, Institut d'Informatique, University of Namur, January 1992.
9. N. Habra, B. Le Charlier, A. Mounji, Advanced Security Audit Trail Analysis on uniX. Implementation Design of the NADF Evaluator. Research Report, Computer Science Institute, University of Namur, Belgium, March 1993.
10. S. Kumar, Classification and detection of computer intrusions, Ph.D. Thesis, Purdue University, West Lafayette, IN 47907, 1995.
11. Kumar, S. & Spafford, E. (1995) A Software Architecture to Support Misuse Intrusion Detection. Department of Computer Sciences, Purdue University; CSD-TR-95-009.
12. A. Mounji, B. Le Charlier, D. Zampuniйris, N. Habra, Preliminary Report on Distributed ASAX. Research Report, Computer Science Institute, University of Namur, Belgium, May 1994
13. Porras, P. A., Ilgun, K., and Kemmerer, R. A. (1995). State transition analysis: A rule-based intrusion detection approach. IEEE Transactions on Software Engineering,SE-21: 181-199.
14. Ralph, William D., SHADOW version 1.7 Installation manual, 2001, http://www.nswc.navy.mil/ISSEC/CID/Install.pdf
15. Roesch, Martin, Snort Users Manual, Snort Release: 1.8.1, 2001, http://www.snort.org/
16. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents, Computer Networks, 34(4):547-570, October 2000.
17. G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach," in Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.
18. G. Vigna, R.A. Kemmerer, "NetSTAT: A Network-based Intrusion Detection System," Journal of Computer Security, 7(1), IOS Press, 1999.
19. Diego Zamboni , E. H. Spafford, AAFID2 Users Guide. Department of Computer Sciences; 1998.
20. Yoann Vandoorselaere, Laurent Oudot, “Prelude, an Hybrid Open Source Intrusion Detection System”, http://www.prelude-ids.org/, 2002.
Размещено на Allbest.ru
...Подобные документы
Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Топология компьютерных сетей. Методы доступа к несущей в компьютерных сетях. Среды передачи данных, их характеристики. Структурная модель OSI, её уровни. Протокол IP, принципы маршрутизации пакетов. Физическая топология сети. Определение класса подсети.
контрольная работа [101,8 K], добавлен 14.01.2011Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Основные методы атак на информацию и способы защиты от компьютерных злоумышленников. Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.
курсовая работа [52,5 K], добавлен 31.08.2010Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.
реферат [30,8 K], добавлен 23.10.2011Классификация компьютерных сетей в технологическом аспекте. Устройство и принцип работы локальных и глобальных сетей. Сети с коммутацией каналов, сети операторов связи. Топологии компьютерных сетей: шина, звезда. Их основные преимущества и недостатки.
реферат [134,0 K], добавлен 21.10.2013Функции компьютерных сетей (хранение и обработка данных, доступ пользователей к данным и их передача). Основные показатели качества локальных сетей. Классификация компьютерных сетей, их главные компоненты. Топология сети, характеристика оборудования.
презентация [287,4 K], добавлен 01.04.2015Анализ инцидентов информационной безопасности. Структура и классификация систем обнаружения вторжений. Разработка и описание сетей Петри, моделирующих СОВ. Расчет времени реакции на атакующее воздействие. Верификация динамической модели обнаружения атак.
дипломная работа [885,3 K], добавлен 17.07.2016Системы пакетной обработки данных. Появление первых глобальных и локальных компьютерных сетей. Классификационные признаки компьютерных сетей. Четыре основных вида компьютерных преступлений, их характеристика. Распространение вирусов через Интернет.
реферат [32,6 K], добавлен 29.03.2014Основные признаки классификации компьютерных сетей как нового вида связи и информационного сервиса. Особенности локальных и глобальных сетей. Объекты информационных сетевых технологий. Преимущества использования компьютерных сетей в организации.
курсовая работа [1,9 M], добавлен 23.04.2013Особенности функционирования антивирусных программ при работе в сети, классификация и разнообразие способов защиты пользователя и компьютера от различных вирусных атак. Использование структурированных кабельных систем и информационная безопасность.
курсовая работа [875,6 K], добавлен 09.03.2015Анализ средств построения динамически масштабируемых ВС. Разработка алгоритма, обеспечивающего устойчивость функционирования информационно-вычислительных сетей в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений.
дипломная работа [3,8 M], добавлен 21.12.2012Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.
дипломная работа [2,0 M], добавлен 05.06.2011Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011История появления компьютерных игр, классификация их жанров. Негативные воздействия от компьютерных игр: компьютерное излучение, проблемы со зрением, сбои в работе нервной и сердечнососудистой системы, психологическая зависимость. Польза компьютерных игр.
научная работа [75,0 K], добавлен 18.02.2010Классификация и характерные черты компьютерных преступлений против банка. Анализ возможных угроз безопасности системы, методика их предупреждения и порядок выявления. Диагностика возможных атак автоматизированной банковской системы на различных уровнях.
контрольная работа [27,5 K], добавлен 26.07.2009Обзор технологий обнаружения атак. Модуль накопления и хранения предупреждений. Алгоритм работы подсистемы. Реализация клиент-серверной технологии. Клиентская часть программы. Реализация модуля шифрования, модуля накопления и хранения предупреждений.
дипломная работа [582,6 K], добавлен 17.11.2014