Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп’ютерних систем та мереж

Методи і засоби побудови та експлуатації інтерактивних приманок, спрямованих на забезпечення стійкості до впливів зловмисника, прихованості й ізольованості механізмів обробки інформації. Методи підвищення достовірності операційного середовища приманок.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид автореферат
Язык украинский
Дата добавления 12.07.2015
Размер файла 1,5 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

УДК 004.5+004.7

05.13.05 - комп'ютерні системи та компоненти

Автореферат

дисертації на здобуття наукового ступеня

кандидата технічних наук

Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп'ютерних систем та мереж

Тимошик Назар Петрович

Львів 2010

Дисертацією є рукопис.

Робота виконана в Національному університеті “Львівська політехніка” Міністерство освіти і науки України

Науковий керівник - кандидат технічних наук, доцент Піскозуб Андріан Збігневич,

Національний університет “Львівська політехніка”, доцент кафедри “Захист інформації”.

Офіційні опоненти - доктор технічних наук, професор

Русин Богдан Павлович,

Фізико-механічний інститут ім. Г.В.Карпенка Національної академії наук України, завідувач відділу методів і систем обробки, аналізу та ідентифікації зображень; кандидат технічних наук, доцент

Браіловський Микола Миколайович,

Державний Університет Інформаційно-Комунікаційних Технологій, завідувач кафедри комп'ютерних систем та мереж.

Захист відбудеться 29 квітня 2011р. о 16.00 год. на засіданні спеціалізованої вченої ради Д 35.052.08 у Національному університеті “Львівська політехніка” (79013, м. Львів, вул. С. Бандери, 12)

З дисертацією можна ознайомитися у науково-технічній бібліотеці Національного університету “Львівська політехніка” (79013, м. Львів, вул. Професорська, 1)

Автореферат розісланий «29» квітня 2011 р.

Вчений секретар спеціалізованої вченої ради доктор технічних наук, професор Луцик Я.Т.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

приманка операційний інтерактивний

Актуальність роботи. На сучасному етапі динамічного розвитку й застосування інформаційних технологій виникає проблема підтримки належного рівня захищеності інформаційних середовищ від різноманітних видів атак та шкідливого програмного забезпечення (ШПЗ). Особливо актуальним є питання виявлення та протидії найновішим, ще невідомим типам та методам зламу, вірусам, шкідливому програмному забезпеченню та іншій зловмисній діяльності, які відомі під загальною назвою «0-day-атаки». Вирішення цього складного завдання покладено на системи-приманки (англ. Honeypots) - привабливі для атаки об'єкти, що функціонують на основі спеціалізованого програмного забезпечення (ПЗ) та мають можливість реєструвати процедури зламу, виявляти та аналізувати мережні атаки. Проте в даний момент зловмисники розробили ряд підходів до виявлення та блокування засобів стеження в приманках, що суттєво впливає на загальну статистику виявлених атак та часто призводить до втрати контролю над операційним середовищем приманки. Серед науковців, які вирішували окремі проблеми в цій області, можна назвати таких відомих вчених як Нґуен Анг Кйунг, М. Дорнзайф, Т. Хольц, К. Клайн, Т. Ґарфінкель, M. Розенблум, К. Асріго, Л. Літті, Д. Лі та інші. Проте значна кількість описаних проблем ефективного використання приманок, незважаючи на зусилля багатьох розробників, досі не вирішена.

Розроблення і дослідження нових методів розгортання систем та мереж приманок, їх аудит та аналіз зламу, пошук методів їхнього оптимального впровадження та використання з можливістю забезпечення всебічного контролю взаємодії між зловмисником та приманкою - це основні завдання даного дисертаційного дослідження. Вирішення цих завдань є необхідним для подальшого розвитку методів вивчення діяльності зловмисників та адекватного реагування на нові та невідомі досі загрози. Разом з тим, у зв'язку з тенденціями швидкого розвитку механізмів віртуалізації операційних систем (ОС), виникає ряд проблем щодо забезпечення захищеності віртуалізованої системи на рівні підсистеми віртуалізації. Саме тому розроблені у дисертації положення для отримання відомостей про системні події та діяльність користувачів в віртуалізованих операційних системах є актуальними для застосування та захисту сучасних інформаційних систем, що використовують віртуалізацію.

Отже, у дисертаційній роботі вирішується важливе науково-прикладне завдання - вдосконалення теоретичних та практичних засад побудови та функціонування систем приманок із забезпеченням прихованого та комплексного контролю процесу зламу для оперативного реагування на нові та невідомі атаки.

Зв'язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконана в рамках плану науково-дослідних робіт кафедри “Захист інформації” Національного університету “Львівська політехніка”. Результати роботи використано в наукових дослідженнях у держбюджетній темі “Розвиток методів та способів технічного захисту інформації”, номер державної реєстрації 0107U009524, 2006-2009 рр.

Метою дисертаційної роботи є розроблення методів і засобів побудови та експлуатації повно-інтерактивних приманок, що спрямовані на забезпечення стійкості до впливів зловмисника, прихованості й ізольованості механізмів збору та обробки інформації.

Для досягнення поставленої мети необхідно вирішити такі завдання:

- дослідити стан та тенденції розвитку методів побудови та використання систем віртуальних приманок з метою виявлення їх основних недоліків і шляхів їх поліпшення;

- розробити алгоритми та засоби для ефективного аналізу діалогу зловмисник - приманка;

- розробити алгоритмічне та програмне забезпечення і створити зразок комп'ютерної системи моніторингу подій у приманці;

- розробити методи виявлення та протидії атакам, спрямованим на порушення доступності та функціональності приманок;

- розробити методи підвищення достовірності операційного середовища приманок.

Об'єктом досліджень виступає процес отримання та аналізу інформації з систем, що виконують роль приманок, з метою вивчення діяльності зловмисника під час зламу.

Предметом досліджень є методи і засоби організації систем збору інформації з приманок.

Методи досліджень. Дослідження, виконані під час роботи над дисертацією, ґрунтуються на методах теорії операційних систем і системного програмування, алгоритмах методу групового врахування аргументів, теорії алгоритмів, нечіткої логіки, дослідженнях у галузі захисту інформації в комп'ютерних системах, структурних та об'єктно-орієнтованих методах аналізу та проектування ОС, методах віртуалізації операційних систем.

Наукова новизна роботи полягає у досягненні таких результатів:

1. Вперше розроблено метод моніторингу подій з урахуванням потреб у детальному аудиті інформації з віртуалізованих операційних систем, що виконують роль приманок. В основі даного методу лежить бінарна трансляція гіпервізором команд від віртуального процесора та зворотне семантичне перетворення системних викликів, що дозволяє отримувати відомості про події в операційній системі під час атаки, засобами, що розташовані поза межами операційного середовища приманки.

2. Вперше розроблено поведінкові моделі взаємодії між зловмисником та повно-інтерактивною приманкою з врахуванням особливостей їх функціонування та підходів до проведення атак, що дозволяє визначити додаткові параметри при аналізі систем та спростити виявлення атак.

3. Вперше розроблено метод захисту приманок від атак, спрямованих на блокування та унеможливлення доступу, що ґрунтується на алгоритмах математичних методів теорії групового врахування аргументів, та дав можливість створити систему, здатну динамічно змінювати ідентифікаційні ознаки приманки, забезпечуючи її подальше функціонування.

4. Отримав подальший розвиток метод контролю подій в приманці, що ґрунтується на аналізі послідовностей системних викликів, та дозволяє вивчати шляхи маніпуляцій зловмисника щодо приманки під час атаки на прикладну програму-сервіс. На основі цього методу стає можливим блокування спроб несанкціонованого доступу (НСД) на рівні систем віртуалізації.

5. Отримав подальший розвиток метод організації мереж віртуальних приманок, який, на відміну від існуючих, враховує можливість аналізу мережного потоку зловмисником та здійснює приховану передачу відомостей з віртуалізованої операційної системи приманки в базу даних для подальшого аналізу, із можливістю блокуванням спроб НСД та атак на інші системи в Інтернеті від імені приманки.

Практичне значення одержаних результатів:

На основі запропонованих методів реалізовано програмні модулі на мові програмування С++, що дало можливість отримання відомостей щодо дій користувачів у легітимних системах і приманках, які функціонують в операційній системі Лінукс. Основні результати дисертації використанні при викладанні дисципліни «Захист інформації в комп'ютерних системах і мережах» у Національному університеті «Львівська політехніка» та впроваджені на шести підприємствах. Впровадження розробленої системи реєстрації подій в операційних системах на рівні системи віртуалізації, дало змогу покращити процес аналізу атак, спільно використовувати обчислювальні ресурси комп'ютерного обладнання для організації мережі приманок в межах одного сервера, та забезпечило прихованість, стійкість та ізольованість механізмів стеження щодо впливів зловмисника. Також впровадження системи збору інформації і аналізу приманок (СЗІАП) за пропонованою схемою показало, що розміщення приманок у зовнішньому периметрі мережі перенаправляє 40% автоматизованих атак у мережу приманок, що підвищує захищеність промислових інформаційних систем та реалізує раннє попередження адміністративного персоналу про спроби НСД.

Практична цінність результатів дисертаційної роботи полягає також у нових можливостях при реалізації комплексного захисту операційних систем на рівні системи віртуалізації. Таким чином, на основі отриманих від приманок «відбитків атак» та запропонованих алгоритмах аналізу системних викликів стає можливим блокування атак та шкідливого програмного забезпечення (ШПЗ), ще до його потрапляння в операційну систему. Іншим аспектом практичного застосування є нові можливості для налагодження програмного забезпечення та дослідження діяльності вірусів, систем автоматизованих атак (зокрема бот-нетів) і іншого ШПЗ.

Впровадження результатів роботи. Результати роботи впроваджені у вигляді програмно-апаратного комплексу на таких підприємствах: фінансова компанія - ТзОВ “Максимум капітал”, торговельна компанія “Аптека 3І”, консалтингова ІТ-компанія “Інформ-консалт”, компанія ТзОВ “Кріс”, компанії з розробки програмного забезпечення ТзОВ «Елекс» та ТзОВ «Симфоні Солюшинс Україна».

Особистий внесок здобувача. Всі основні наукові результати дисертаційного дослідження, які представлені до захисту, одержані здобувачем особисто. У друкованих працях, опублікованих у співавторстві, особистий внесок здобувача такий: досліджено підходи до реалізації систем та мереж приманок та наведено переваги використання механізмів віртуалізації [1]; досліджено можливості використання механізмів віртуалізації для реалізації прихованого збору інформації з приманок зовнішніми засобами [2]; запропоновано та досліджено інтелектуальну систему і моделі для маршрутизації аномального трафіку в мережі приманок, та виявлення атак, спрямованих на їх блокування [3]; досліджено системи та моделі приманок, здійснено аналіз і вибір основних параметрів аудиту [4]; здійснено аналіз загроз та методів перехоплення інформації з приманок, розроблено моделі та реалізовано прототип системи збору інформації й аналізу приманок (СЗІАП) [5]; досліджено можливості реалізації механізмів аналізу інструкцій в віртуальних системах для перехоплення атак в режимі реального часу [6]; запропоновано та обґрунтовано метод аналізу віртуальних приманок на основі інтеграції в код гіпервізора Qemu спеціальної системи опрацювання переривань [7]; запропоновано вдосконалену схему організації збору інформації з віртуалізованих приманок на основі поведінкових моделей взаємодії зловмисника та приманки [8]; розроблено метод сегментування подій, запропоновану нову схему організації мереж приманок, здійснено експериментальне дослідження та аналіз отриманих результатів [9]; запропоновано способи вдосконалення гіпервізора Qemu для усунення недоліку виявлення віртуалізованості системи [10]; запропоновано механізм поєднання систем виявлення атак та механізмів аналізу приманок для систем створення «відбитків атак» [11]; запропоновано моделі для системи виявлення атак та динамічної зміни конфігурації приманок [12].

Апробація роботи. Основні положення дисертаційної роботи допові-далися та об-говорювалися на 5 міжнародних конференціях, а саме: на 1-ій та 3-ій Міжнародних конференціях молодих науковців “Комп'ютерні науки та інженерія” - Львів, (2006; 2009); на 4-ому та 5-ому міжнародних науково-технічних симпозіумах IEEE “Інтелектуальні засоби збору та аналізу даних і сучасні обчислювальні системи: розробка та застосування” (Дортмунд, Німеччина, 2007 р.; Ренде, Італія, 2009р.); на 4-ій Міжнародній науково-практичній конференції “Інформаційні технології і безпека управління” (м. Ялта, АРК, 2007р.); щорічних (2006 - 2009) наукових семінарах кафедри “Захист інформації” та наукових конференціях викладачів і науковців Національного університету “Львівська політехніка”.

Публікації. За темою дисертації опубліковано 12 наукових праць, серед них 5 статей опубліковано у фахових виданнях ВАК України, з них 1 - одноосібна.

Структура та обсяг роботи. Дисертаційна робота складається із : вступу, чотирьох розділів, висновку, списку літератури та додатків. Загальний обсяг дисертації 170 сторінок: з них 130 основного тексту, 34 рисунків і 8 таблиць, 40 сторінок додатків. Бібліографія містить 120 джерел.

ОСНОВНИЙ ЗМІСТ РОБОТИ

Матеріал дисертаційної роботи викладений у чотирьох розділах.

У вступі обґрунтовано актуальність теми, формулюється мета, основні завдання та методи досліджень, визначено наукову новизну, практичне значення й особистий внесок автора в одержані результати, подано відомості про апробацію і впровадження.

У першому розділі досліджено принципи функціонування та реалізації приманок, розглянуті недоліки існуючих підходів та реалізацій інструментів прихованого збору інформації з приманок, наводиться порівняння характеристик цих систем, з урахуванням можливості ідентифікації та розкриття приманок. Досліджено основні проблеми при розслідуванні та аналізі інцидентів у комп'ютерних системах, зокрема вибір параметрів перехоплення, неможливість реєстрації інформації в шифрованих потоках даних, можливість ліквідації зловмисником системних журналів, неможливість реєстрації виконаних у терміналі команд та інші. Здійснено дослідження функціональних можливостей різних класів приманок та встановлено, що найкращі можливості для організації ефективного збору та аналізу інформації про діяльність зловмисника мають саме повно-інтерактивні приманки, що ґрунтуються на операційних системах загального використання. Саме тому подальші дослідження спрямовані на розвиток методів збору інформації з часто вживаних ОС, що функціонують як приманки.

Обґрунтовано необхідність розроблення нових методів та засобів перехоплення дій зловмисника в приманці, що відповідають вимогам прихованості, ізольованості та стійкості до атак на функціональність засобів стеження (з гарантованим забезпеченням достовірності та цілісності даних) і на їх основі створення нового покоління систем-приманок. Крім цього, обґрунтовано необхідність розроблення нових методів та засобів формалізації взаємодії між зловмисником та приманкою, створення на їх основі засобів аналізу та кореляції інформації з зовнішніх здавачів, з метою отримання в подальшому ознак та відбитків невідомих атак.

У другому розділі з застосуванням апарату методу групового врахування аргументів (МГВА) розроблено методи виявлення та зупинки атак на блокування приманок, досліджено методи вдосконалення організації систем та мереж приманок, розглянуто шляхи усунення відомих підходів виявлення приманок та механізмів віртуалізації, розроблено теоретичні засади створення комп'ютерної системи збору інформації та аналізу приманок (СЗІАП).

На основі проведених досліджень сформульовано процедури розслідування інцидентів у приманках, аналізу процесів та причин успішного проникнення, а також проведено визначення критичних областей системи, за якими необхідно здійснювати моніторинг. Отримані параметри аудиту використані в подальшому при створені підсистеми оперативного аналізу приманок і атак.

Для врахування необхідних параметрів аудиту інформації та формалізації процесу функціонування приманок під час зламу розроблено поведінкову модель дій зловмисника при доступі до приманки

де - множина доступних атак на приманки; L - етапи реалізації зламу li L, i=1..n (кількість етапів залежить від класу атаки); m=mdp| - матриця відношень d дій зловмисника та p системних вразливостей; D = |Dzx| - матриця відношень дій z Z зловмисника і x X доступних служб; F - функція, яка визначає взаємодію між об'єктами зловмисника і приманки j; тоді множина zF(xi,j) є набором можливих дій, які зловмисник zi здійснює щодо доступних сервісів xi приманки j ; K - відношення між приманкою та її станами, при цьому, відношення jKl означає, що приманка перебуває у стані l ; відношення означає, що приманка не перебуває в стані l ; V - характеристичні параметри відношень, G=Ge - набір подій (реакцій) приманки на атаку, з нормованими пріоритетними вагами W=we,( ), що враховують рівень їхньої небезпеки для приманки.

Щоб задати відношення між зловмисником, його діями та станом приманки, введено поняття наступного змісту:

якщо ,то дія zZ спричиняє перехід із стану li в стан li+1.

Тоді приманка, життєвий цикл якої має усі етапи, проходить можливий шлях

де означає можливість нестандартної атаки: коли, зловмисник використав непередбачену атаку, або застосував досі невідомий підхід. Така подія повинна бути зареєстрована в журналі як «виняткова ситуація» для детальнішого вивчення.

На основі поведінкової моделі взаємодії зловмисника та приманки побудовано моделі базових класів атак з урахуванням особливостей їх реалізації. Так, модель для атаки класу «Використання вразливості в веб-сервері» описується як:

де - множина атак на веб-сервер ; = - дії зловмисника, - дії при проведенні атаки на модулі сервісу;- дії спрямовані на блокування сервісу; X- множина скомпрометованих в результаті реалізації атаки приманок, що розташовані в одній підмережі; Det - ознака проведення атаки ; Q - відношення, що описує активну мережну взаємодію зі зловмисником; W - відношення дій зловмисника, що призводить до виконання команд в операційній системі приманки; E - відношення дій, що спричиняють створення оболонки та доступ до приманки.

Досліджено специфічні для приманок загрози та атаки на функціональність, можливості розкриття та дискредитації систем приманок та мереж, а також методи блокування розглянутих загроз (через агрегування даних, захист від умисного передавання великих обсягів інформації зловмисником). Здійснено аналіз відомих методів виявлення ознак віртуалізації операційних систем у зв'язку з появою нових методів атак спрямованих на обхід ізольованості віртуального середовища. Запропоновано шляхи усунення наведених недоліків для гіпервізора Qemu, що реалізовано в розробленій СЗІАП й забезпечило привабливість і автентичність віртуалізованих приманок.

Для оцінки можливості використання різних алгоритмів вирішення завдання протидії атакам на функціональність приманок та віртуалізованих систем, враховувалися такі вимоги як швидкість, дискретність, мультимодальність. Найпридатнішим з точки зору повноти розв'язків даної задачі виявився комбінаторний алгоритм методу групового врахування аргументів (МГВА). Як показали попередні дослідження, алгоритм здатний автоматично створювати моделі поведінки мережних сервісів під час атаки та нормальному режимі, виявляти аномалії, та ефективний для виявлення та прогнозування атак за умови попереднього навчанні системи. Параметри одержані з моделей атак «відмова в обслуговуванні» при взаємодії між зловмисником і приманкою та набір експериментальних даних, дали змогу розробити підсистему захисту приманок від атак, спрямованих на блокування та унеможливлення доступу.

Процес отримання моделі для кожного сервісу та служби в приманці розбивався на кілька етапів. Кожен із етапів починався формуванням ряду селекції, а закінчувався визначенням групи найточніших моделей і переведенням цих моделей на вищий ряд селекції. При формуванні ряду селекції повний опис об'єкту Y= f(x1, x2, …, xn) замінювався кількома рядами окремих описів вигляду y=f(x1, x2). В цей опис, попарно комбінуючись, входили всі параметри повного опису. При цьому параметрами моделей, що формувалися на даному ряді селекції, служили функції з попереднього ряду селекції, що були переведені у вищий ряд за критерієм максимальної точності.

Параметри моделі на першому ряді селекції використовувалися з матриці досліджень :

y1=f(x1,x2), y2=f(x2,x3), y3= f(x1,x2), , ys=f(xn-1,xn),

При створенні моделей другого ряду селекції за параметри функції “Z” приймалися моделі попереднього ряду, що переведені на вищий ряд селекції --“Y”.

Z1=f(y1,y2), z2=f(y2,y3), z3= f(y1,y2), , zp=f(yn-1,yn),

На етапі адаптації коефіцієнтів структура моделі не змінювалася. Оцінки коефіцієнтів, отримані методом найменших квадратів, приймалися за перше наближення і уточнювалися (підвищується точність екстраполяції). Процес генерації рядів селекції зупинявся у відповідності до правила зупинки селекції.

З отриманих рівнянь селекціонувалися (по точності, що вимірюється з використанням перевірочної послідовності даних) F найточніших рівнянь. До них додавалася наступна “порція” узагальнених змінних (наприклад, z5 , z6 при F = 2). Далі знову прораховуються всі можливі варіанти для розширеної множини zі і вибиралися F найточніших рішень рівнянь регресії і т. д. З ряду в ряд селекції проходили F рівнянь. Число можливих варіантів, які повинні бути випробувані при селекції для кожного сервісу становить

.

Найкраща модель вибиралася виходячи з мінімуму значення зовнішнього критерію:

;

Перше рівняння описує абсолютну похибку на перевіряючій послідовності, а друге - середньоквадратичну похибку.

Отримана таким чином модель для атак на веб-службу приманки приймає вигляд:

Y = 0.8839689939 - 0.0964805224?x1 + 1.0177636990?x2 - 1.8548670424?x3 + 0.0002119108? x4 + 0.0005481563?x5 + 0.0015273027?x8 + 0.0031079916?x9

Параметри x6 , x7 в моделі відсутні, оскільки визначені алгоритмом, як несуттєві.

Модель атаки Syn-Flood має вигляд:

Y= -0.1242369493 + 0.0503407721?x1 + (-0.1423708499)?x2 + 0.2042127335?x3 + 0.0025105782?x4 + (-0.0002562813) ?x5 + 0.0019438319?x6 + 0.0033123612?x8.

Для протидії атакам «відмова в обслуговуванні» на приманки розроблено метод динамічної зміни конфігурації, який полягає в автоматичній зміні зовнішніх атрибутів та характерних ознак віртуалізованої операційної системи з новими адресами доступу.

На основі розроблених моделей отримано залежності (рис.1), завдяки яким для окремого сервісу можливо генерувати сигнал про небезпеку у випадку проведення атаки та активувати систему динамічної зміни конфігурації.

На рис. 1 приведено порівняльну характеристику трьох моделей, отриманих на основі атаки “відмова в обслуговуванні” веб-сервера Apache. Перевірка моделі в екзаменаційному режимі підтвердила збіг прогнозованих та експериментальних даних.

Рис.1. Порівняння результатів отриманих під час моделювання (1,2) та експериментальних досліджень атаки на веб-сервер (3).

На підставі отриманих у процесі моделювання результатів, зроблено висновок, про необхідність формування вхідних даних моделювання на основі справжніх атак, що дозволить СЗІАП отримувати відомості, в яких зацікавлені спільноти науковців та аналітиків інформаційної безпеки. Саме тому значну увагу в роботі приділено формалізації механізмів моніторингу найнеобхіднішими фрагментами атаки.

Для вирішення цього завдання автором запропоновано та описано метод контролю послідовностей системних викликів, що дозволяє вивчати шляхи зловмисних маніпуляцій під час атаки на прикладну програму-сервіс. Метод дозволяє виявляти та реєструвати шляхи та залежності при реалізації спроб НСД, що здійснюються через помилки в програмному ресурсі. Необхідно зазначити, що пропонований метод може стати цінним для розробників програмного забезпечення, оскільки дає змогу на системному рівні вивчати поведінку програми та створювати фільтри, здатні припинити некоректне виконання коду. До прикладу, метод здатний забезпечити контроль перебігу мережної атаки через блокування інструкцій та послідовностей, що визначені як небезпечні, надавати та унеможливити доступ до системної оболонки, при цьому обслуговування легітимних користувачів відбуватиметься в штатному режимі. Іншою перевагою пропонованого методу є можливість зупинки атак зсередини, наприклад, при спробах легітимних користувачів підвищити власні привілеї або здійснити інші несанкціоновані дії.

Прикладом такої атаки може бути використання зловмисником вразливості функції довжини стрічки, при передачі рядку даних з великим числом значень вигляду "\x6c\x79\x6e\x78\x20". Ця атака викликає переповнення значення довжини стрічки вразливого сервісу для перезапису новою адресою пам'яті. Наступним кроком зловмисника є передача в доступну для запису ділянку пам'яті коду програми, які ініціює відкриття командного рядка доступу зловмисника на сервер. Оскільки будь-яка подія на рівні ядра ОС проходить через механізм системних викликів, стає можливо контролювати значення аргументів та довжини виконуваної стрічки.

Вхідними даними для аналізу виступає множина системних викликів , що зареєстровані під час нормального функціонування системи. При цьому необхідно створювати окремий профіль для кожної програми/сервісу. Кожен системний виклик складається зі списку аргументів , типу і значення повернення (rs ). На першому етапі необхідно створити профіль сервісу для кожного типу системних викликів (sys_read, sys_execvе, sys_write, …).

Пропонується два варіанти реалізації даного методу. Перший варіант полягає у підтримці набору шаблонів, які містять набір (що складається для кожного з системних викликів) системних викликів, і відстані в 0, 1,..., k системних викликів. Другий варіант полягає в тому, що в якості шаблонів використовуються послідовності деякої фіксованої довжини n. Даний метод є більш прийнятним для обчислень. Під час тестування для виявлення профілю нормальної поведінки використовувалася фіксована довжина послідовності n = 20 і «ковзаюче вікно» довжиною 20 системних викликів для кожної траси (оскільки при наборі менше 20 спостерігалась велика кількість хибних спрацювань). Кожна нова послідовність додавалася в набір шаблонів. Послідовності зберігалися у вигляді дерева, що прискорило пошук і знизило витрати на зберігання даних.

У рамках запропонованої системи аналізу подій (перший рівень моніторингу - контроль подій у приманці; другий рівень - контроль послідовностей системних викликів; третій рівень - реєстрація зовнішніх подій СВА та підсистемою порційної реєстрації), стає можливим таке представлення схеми функціонування СЗІАП (див. рис.2).

Процес аналізу включає наступні етапи: - аналіз спрацювання та сигналізації системи виявлення втручань, - відслідковування стеку віртуальної приманки, - аналіз системного виклику на наявність аномалій ( в довжині стрічки, при спробі переходу в заборонену область памяті), - співставлення поведінки на основі поведінкових моделей, - аналіз інтенсивності мережних звернень, що можуть спричинити недоступність сервісу.

Для формалізації виконання етапів аналізу атаки розроблено модель процесу аудиту приманки під час зламу ( з врахуванням параметрів, які використовують вищевказані етапи):

,

де для -: - множина системних об'єктів отриманих в процесі аналізу пам'яті , що включає множину системних викликів, причому ; W - результуюче значення , яке можливість використання тої чи іншої вразливості; M - множина поведінкових моделей ; r - відношення між M та W; ()- функція аналізу аномалій системних викликів яка включає - аналіз довжини стрічки, - аналіз отримуваного значення повернення, - аналіз послідовностей згідно шаблону; - спрацювання системи виявлення атак ; Q - множина записів щодо подій під час атаки в журналах ОС приманки ; S - модифіковані зловмисником файли приманки для створення системи прихованого лазу; l - множина записів мережного потоку зареєстрованих методом «ковзаючого вікна».

У третьому розділі автором розроблено моделі та алгоритм перехоплення інструкцій віртуального процесора та моніторингу пам'яті приманки.

Досліджено питання реалізації механізму стеження за діями зловмисника, питання комплексності заходів при аналізі інформації під час зламу. Для цього розроблено модель надійної інформаційно-обчислювальної системи перехоплення подій у системі приманок на основі гіпервізора Qemu.

Важливим аспектом для реалізації задачі реєстрації дій зловмисника та захисту приманок від атак на функціональність є можливість надавати різноманітним механізмам захисту, наприклад, антивірусним програмам та системам контролю стану доступ до даних у віртуальному середовищі через спеціальні інтерфейси. За завданнями та реалізацією механізми адаптивного контролю віртуальних машин запропоновано розділяти на два типи: механізми, що стежать за діяльністю у віртуальному середовищі, та механізми, здатні взаємодіяти з віртуальним середовищем.

Размещено на http://www.allbest.ru/

Рис.2. Запропонована схема побудови та функціонування системи збору і аналізу інформації з різних інформаційних підсистем під час здійснення атаки

Перевагою пропонованого підходу на основі СЗІАП перед існуючими в даний час рішеннями є відсутність необхідності вносити зміни у вихідний код ядра віртуалізованої чи основної ОС, неможливість виявити та заблокувати засоби моніторингу, можливість віртуалізації більшості відомих процесорів та забезпечення повної емуляції апаратури. Розглянуті передумови, необхідні для практичної реалізації концептуальної моделі.

Оскільки реєстрація системних подій у віртуалізованій системі можлива лише шляхом семантичної реконструкції інструкцій, які індукують виконання системного виклику в віртуалізованій системі та передаються ядром ОС віртуальному процесору, то необхідно дослідити процедуру опрацювання інструкцій гіпервізором. На основі проведеного аналізу розроблено функціональну модель семантичного інтерпретатора подій монітора віртуальних машин (МВМ), яку подано на рис. 3.

Рис. 3. Функціональна модель розробленого МВМ

Як видно на рис.3, аналізатор інтегровано в основний цикл МВМ. Це дає змогу відслідковувати усі операції, що відбуваються у віртуальній машині. В загальному вигляді справедлива наступна схема: якщо опрацьовувач переривань отримує переривання 0х80, то викликається функція з визначення аргументів системного виклику, їх опрацювання та збереження, в іншому випадку опрацювання переривань відбувається без змін. При проектуванні СЗІАП також враховувався той факт, що механізм обробки системних викликів (перехід від простору користувача до простору ядра) може бути різним для різної архітектури процесорів. Наведений механізм обробки системних викликів та переривань є ключовою ланкою для перехоплення та зворотної інтерпретації подій у приманці.

На основі наведеної на рис.3 моделі була розроблена діюча діаграма потоків в гіпервізорі, з функціоналом СЗІАП, яку подано на рис.4. Як видно з рисунку, діаграма включає можливість запуску віртуалізованих приманок з-під середовища не віртуалізованої ОС на рівні привілеїв 3, з розташуванням МВМ у кільці захисту 0. Гіпервізор передає дані вводу/виводу через регістри центрального процесора (ЦП) та повертає в МВМ (бінарний транслятор) інструкції, які перехоплюються СЗІАП. Опрацьовувач винятків необхідний для ситуацій, які МВМ не спроможний коректно опрацювати, і дані виняткові ситуації повинні передаватися прямо центральному процесору сервера приманок. На рис.4 також представлено рівні виконання операцій та процедуру опрацювання подій і сигналів центральним процесором, гіпервізором та операційною системою.

Завдяки розробленій діаграмі потоків даних в СЗІАП враховуються особливості функціонування гіпервізора та усувається загроза розкриття присутності в операційній системі віртуалізованої приманки засобів стеження за діяльністю зловмисника.

Рис. 4. Діаграма потоків в СЗІАП на основі гіпервізора Qemu.

Задача визначення ефективності функціонування приманки з розроблюваною СЗІАП є багатокритеріальною задачею. Тому для знаходження характеристик структурних одиниць системи збору інформації й аналізу атак, оцінку ефективності здійснимо на основі мультиплікативного критерію якості, а врахування додаткових характеристик у загальній ефективності аналізу - на основі адитивного критерію. При цьому ефективність підсистеми аналізу приманки:

де і - коефіцієнти ефективності гіпервізора і аналізатора переривань

; , - достовірності роботи гіпервізора та аналізатора відповідно; - об'єми даних, що проходять у процесі моніторингу приманки; причому достовірність результатів отриманих з приманки:

(1)

де mi - кількість атак і-го класу, , oi - кількість атак, зареєстрованих СЗІАП , - відсоток і-го класу від всіх атак,

У четвертому розділі описано впроваджену систему збору інформації та аналізу приманок (СЗІАП), при проектуванні та розробленні якої було використано результати досліджень попередніх розділів та результати експериментальних досліджень на підприємствах.

Зокрема, використано елементи концептуальної та функціональної моделі як основи для побудови СЗІАП, систему динамічної зміни конфігурації та механізм виявлення зловмисника через «ефект голуба». Використання у СЗІАП запропонованого методу порційної реєстрації подій дало змогу реалізувати задачу комплексного аудиту та виявлення атак на операційні системи на ядрі Лінукс, через кореляцію даних від різних зовнішніх підсистем. Серед них: підсистема виявлення атак, підсистема перехоплення мережного потоку, підсистема аналізу послідовностей системних викликів (див.рис.2). Використання математичних моделей, отриманих методом групового врахування аргументів при реалізації СЗІАП, виключило загрозу реалізації атак, спрямованих на блокування доступу, а виправлення недоліків у МВМ ліквідувало загрозу розкриття віртуалізованості приманок.

Для проектування структури мережі віртуальних приманок необхідно оцінити ймовірність реалізації атаки на сегмент корпоративної мережі, що містить потенційно вразливі системи, за умови, що система виявлення атак (СВА) зафіксувала спроби сканування в пограничному периметрі мережі. Позначимо - кількість успішно атакованих серверів за одиницю часу. Тоді ймовірність того, що за час t будуть реалізовані атаки на m- пристроїв (з n доступних), описується розподілом Пуассона:

Для оцінки використовувались результати натурних експериментів. Представимо як суму інтенсивності кінцевого числа різних видів успішних атак. Таким чином,

де - ймовірність атак і-го виду, кількість атак і-го виду, i.

Як показали дослідження, розміщення приманок за запропонованою на рис.5 схемою (у зовнішньому периметрі мережі) переводить 40% автоматизованих атак у мережу приманок, лише за рахунок видимості відомих вразливостей примани. При цьому при використанні взаємозв'язку СВА та системи маршрутизації мережного потоку, це число зростає на 10-20%. Таким чином можливо в автоматичному режимі підвищити захищеність промислових інформаційних систем та реалізувати раннє попередження адміністративного персоналу про спроби НСД.

Проведене експериментальне дослідження на різних обчислювальних платформах доводить можливість застосування СЗІАП в реальному часі. Розроблена СЗІАП дає виграш продуктивності за рахунок інтеграції всіх внутрішніх підсистем аналізу і перехоплення в код гіпервізора, та використання методу сегментування мережного потоку. Метод сегментування мережного потоку полягає в тому, що на початковому етапі відбувається повна реєстрація вхідної та вихідної мережної активності в процесі функціонування приманки, а під час реєстрації атаки завдяки механізму «ковзаючих вікон» зберігаються лише ті фрагменти мережних даних, які безпосередньо відносяться до проведеної атаки, що зменшує надлишковість інформації при аналізі атаки.

Для визначення можливостей вивчення атак в лабораторних умовах було проведено автоматизовані атаки 3 вірусними програмами та здійснено графічну реконструкцію атаки черв'яком Slapper. Для цього ШПЗ створено відбиток атаки, та реалізовано модуль СЗІАП здатний автоматично виявити та зупинити цю атаку при спробі виконання в середовищі приманки. Серед проведених на приманки атак, досліджувались 5 клавіатурних шпигунів, 5 систем прихованого лазу, 6 експлойтів на підвищення привілеїв та 4 експлойти на прикладні сервіси.

Рис.5. Реалізація нового методу розгортання підмереж приманок.

На основі теоретичних результатів попередніх розділів також розроблено підсистему для візуального аналізу подій(адміністративний інтерфейс) (рис.6) з можливістю фільтрації та пошуку зв'язків між подіями й давачами з журналів внутрішніх підсистем СЗІАП (див.рис.2). Як видно з рис.6, система здатна забезпечити реєстрацію та візуалізацію даних із приманки в різних режимах відображення.

Для експериментального визначення ефективності та точності роботи системи використовувалося порівняння вводу команд і виконання програм у віртуалізованій приманці з журналами СЗІАП. Розрахунок достовірності аналізу у порівнянні відомими аналогами проводився згідно формули (1), а його результати підтверджені експериментально на основі порівняння журналів системних викликів СЗІАП та програми Syscalltrack.

Рис.6. Інтерфейс адміністратора СЗІАП для аналізу подій та процесів у приманці під час атаки.

Тестування продуктивності здійснювалося п'ятьма різними тестами в розгорнутій СЗІАП, системі Sebek та в не модифікованій операційній системі приманки. При першому тесті програмою ApacheBench веб-сервер Apache запускався на операцій системі без використання віртуалізації. Всі інші показники порівнювалися у відповідності до даних тестів, які були отримані на не модифікованій системі приманки. Так, наприклад, при тесті unixbench СЗІАП показала значення 87,4% порівняно з ОС без засобів аналізу, що на 15% вище, ніж у Лінукс версії Sebek v.3 при реалізації віртуалізації RooHoneynet на МВМ VmWare. Це пов'язано з інтеграцію підсистеми стеження Sebek в ядро ОС приманки та затрат на передавання шифрованих даних через мережу у централізоване сховище. Водночас в запропонованій СЗІАП значення продуктивності могло б бути вищим, проте за рахунок інтеграції в гіпервізор додатково розроблених аналітичних механізмів збільшується використання обчислювальних ресурсів.

Як видно з рис. 7, втрати продуктивності у віртуалізованій ОС складають 10-15% порівняно з не віртуалізованою ОС, що пов'язано з аналітичним навантаженням на СЗІАП у коді МВМ та затримками запису даних у відповідні журнали реєстрації подій на файловій системі.

Рис. 7. Порівняння продуктивності не модифікованого гіпервізора та розробленої СЗІАП

ВИСНОВКИ

У дисертації вирішується важливе науково-прикладне завдання - вдосконалення принципів побудови повно-інтерактивних приманок та розширення їх функціоналу шляхом розроблення нового механізму збору даних з приманок при застосуванні механізмів віртуалізації.

При цьому отримано такі наукові та практичні результати:

1. Досліджені підходи до організації й функціонування приманок та засобів прихованого стеження за приманками, показано, що розташування засобів зняття інформації в операційному середовищі приманки є ненадійне. Запропоновано шляхи вдосконалення принципів побудови і функціонування приманок, що ґрунтуються на реалізації моніторингу через механізми віртуалізації засобами, що інтегруються в код гіпервізора і є основою для розвитку нових методів збору, аналізу та моніторингу подій в операційних системах під час проведення атак.

2. Розроблено поведінкові моделі взаємодії між зловмисником та приманкою, що враховують особливості функціонування повно-інтерактивних приманок на основі ОС загального призначення та відомих підходів під час реалізації атак, що дозволило визначити додаткові параметри при аналізі подій і спростити виявлення та аналіз атак.

3. Розширено функціонал системи контролю подій в приманці, за допомогою методу аналізу послідовностей системних викликів, що дозволив вивчати шляхи маніпуляцій зловмисника щодо приманки під час атаки на прикладну програму-сервіс на системному рівні. Запропонований метод також дозволяє блокувати спроби несанкціонованого доступу (НСД) на рівні систем віртуалізації.

4. Запропоновано новий підхід до виявлення місцезнаходження зловмисника, який полягає у розміщенні в приманці потенційно привабливої інформації, що може бути викрадена, та при ознайомленні з якою з комп'ютера на якому здійснюється перегляд цих даних - надсилається таємне повідомлення з відомостями про його місцезнаходження. Таким чином створюються передумови для притягнення зловмисників до відповідальності. Серед впроваджених мереж приманок було зареєстровано чотири випадки коли зловмисник виявив своє місцезнаходження таким чином.

5. Для вирішення проблеми ідентифікації систем, що функціонують як приманки, та зупинки атак, спрямованих на блокування та унеможливлення доступу до них, розроблено математичну модель захисту, яка ґрунтується на алгоритмах математичних методів теорії групового врахування аргументів, на основі якої створено підсистему, здатну динамічно змінювати ідентифікаційні ознаки приманки, забезпечуючи їх подальше функціонування.

6. На основі теоретичних та експериментальних досліджень розроблено та впровад-жено мережу приманок на 6 виробничих підприєм-ствах. Перевагою запропонованої конфігурації є можливість скерувати близько 40% атак в мережу приманок, за рахунок об'єднання систем виявлення атак і аномалій та пристроїв маршрутизації. У процесі натурних випробувань отримано експериментальні дані, які підтвердили реальну можливість оперативного, прихованого та ізольованого стеження за приманкою і дали змогу зафіксувати та проаналізувати здійснені атаки.

7. Розроблене програмне забезпечення на мові програмування С++ для реалізації запропонованих у дисертації методів та засобів екс-перимен-таль-ного дослідження приманок у процесі їх експлуатації. Перевагами розробленого ПЗ є стійкість до виявлення та блокування зловмисником засобів прихованого стеження, новий підхід до збору даних під час атаки, зручність аналізу даних аналітиками систем захисту інформації, робота в режимі реального часу, одночасне опрацювання результатів від підсистем виявлення атак та реєстрації подій в приманці, що важливо при виявленні та реєстрації нових методів атак.

У додатках подані сценарії та програмні коди інформаційної системи моніторингу приманок, акти впроваджень результатів дисертаційного дослідження.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Тимошик Н.П. Використання віртуалізації для виявлення 0-day атак та розгортання систем віртуальних приманок / В.Б.Дудикевич, Н.П.Тимошик, А.З.Піскозуб, Т.В.Дуткевич // Вісник Східноукраїнського національного університету ім. В.Даля. - 2007. - №5 (111). - С. 53-58.

2. Тимошик Н.П. Новітні підходи прихованого збору інформації про діяльність зловмисника на системі-приманці / В.Б.Дудикевич, Н.П.Тимошик, А.З.Піскозуб, Р.П.Тимошик // “Комп'ютерні технології друкарства“: Збірник наукових праць. - Львів, 2008. - №19. - C. 231-240

3. Тимошик Н.П. Застосування методу групового врахування аргументів для системи автоматичної побудови моделей мережного трафіку систем виявлення атак / Н.П.Тимошик // Вісник Національного університету “Львівська політехніка” “Автоматика, Вимірювання та Керування”. - Львів. - 2009. - №63. - C. 133-142.

4. Тимошик Н.П. Методи та засоби аналізу системи-приманки в процесі зламу / В.Б.Дудикевич, Н.П.Тимошик, А.З.Піскозуб, Р.П.Тимошик, Т.В.Дуткевич // Науково-технічний журнал “Захист інформації”. - Київ. - 2009. - №1(42). - C. 27-31.

5. Тимошик Н.П. Результати досліджень та реалізації механізму прихованого збору інформації з систем віртуальних приманок / Н.П.Тимошик, Р.П.Тимошик // Міжвідомчий науково-технічний збірник “Вимірювальна техніка та Метрологія”, Національний університет “Львівська політехніка”. - Львів. - 2009. - С. 57-65.

6. Тимошик Н.П., Використання багатоядерних процесорів і віртуалізації для підвищення продуктивності та надійності систем виявлення та запобігання атак у високошвидкісних корпоративних мережах / В.Б.Дудикевич, Н.П.Тимошик, А.З.Піскозуб, Т.В.Дуткевич // Вісник Східноукраїнського національного університету ім. В.Даля. - 2007. - №5 (111). - С. 73-80.

7. Тимошик Н.П. Вибір системи віртуалізації для реалізації honeypot систем / Н.П.Тимошик, А.З.Піскозуб, Т.В.Дуткевич // Сборник трудов второй международной студенческой научно-технической конференции “Информатика и компьютерные технологии 2006”. - Донецьк. - 2006. - С. 164-165.

8. Tymoshyk. N. Real-Time Intrusion Prevention and Anomaly Analyze System for Corporate Networks" / N.Tymoshyk, T.Dutkevych, A.Piskozub // Proceedings of IEEE International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. - Dortmund, Germany. - 2007 - P. 599-602.

9. Tymoshyk N. Monitoring of malefactor's activity in virtualized honeypots on the base of semantic transformation in Qemu hypervisor / N.Tymoshyk, R.Tymoshyk, A.Piskozub, P.Khromchak, V.Pyvovarov, A.Novak // Proceedings of the 5-th IEEE International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. - Rende, Italy. - 2009. - P. 370-374.

10. Тимошик Н.П. Способи виявлення віртуалізації систем приманок / Н.П.Тимошик // Збірник праць ІІІ міжнародної конференції молодих вчених CSE-2009 “Комп'ютерні науки та інженерія - 2009”. - Львів. - 2009. - С. 1762-178.

11. Тимошик Н.П. Захист компютерних мереж на основі техтологій Intrusion Prevention Systems + Honeynets / Тимошик Н.П. // Збірник праць “Комп'ютерні науки та інженерія - 2006”, НУ “Львівська політехніка”. - Львів. - 2006. - С. 76-80.

12. Тимошик Н.П. Система виявлення та захисту від аномалій і 0-day атак в корпоративній мережі / Н.П.Тимошик, Т.В.Дуткевич, А.З.Піскозуб // Сборник трудов второй международной студенческой научно-технической конференции “Информатика и компьютерные технологии 2006”. - Донецьк. - 2006. - С. 142-143.

АНОТАЦІЇ

Тимошик Н.П. Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп'ютерних систем та мереж. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.05 - комп'ютерні системи та компоненти - Національний університет “Львівська політехніка”, Львів, 2011.

Дисертація присвячена питанням вдосконалення повно-інтерактивних приманок із забезпеченням стійкої до виявлення та блокування зловмисником систем реєстрації подій та знімання інформації з каналів взаємодії зловмисника та приманки. Розроблено нові підходи до розв'я-зання поставлених задач на основі бінарної реконструкції команд віртуального процесора на гіпервізорі Qemu. Досліджено та розроблено нові методи реєстрації та моніторингу зламу комп'ютерних систем. Розроблено математичну модель та підсистему протидії атакам на доступність та функціональність приманок. Запропоновані та розроблені методи дозволили програмно реалізувати систему захисту та моніторингу приманок під назвою “Система збору інформації та аналізу приманок” (СЗІАП). Розроблено поведінкову модель взаємодії між зловмисником та приманкою яка дозволила обирати параметри моніторингу подій у приманці.

...

Подобные документы

  • Поняття засобів захисту інформації, їх сутність та особливості, різновиди та характеристика, відмінні риси. Методика виявлення радіозаставних пристроїв, їх основні ознаки. Засоби ультразвукового захисту приміщень, пристрої віброакустичного захисту.

    реферат [17,6 K], добавлен 26.04.2009

  • Поняття, сутність, призначення і класифікація комп’ютерних мереж, особливості передачі даних в них. Загальна характеристика локальних комп’ютерних мереж. Етапи формування та структура мережі Інтернет, а також рекомендації щодо збереження інформації у ній.

    реферат [48,1 K], добавлен 05.12.2010

  • Аналіз організації передачі даних по каналах комп’ютерних мереж. Фізична сутність та порядок організації їх каналів. Сутність існуючих методів доступу до каналів комп’ютерних мереж. Місце процесів авторизації доступу при організації інформаційних систем.

    дипломная работа [2,4 M], добавлен 12.09.2010

  • Методи побудови мультисервісних локальних територіально розподілених мереж. Обґрунтування вибору технології побудови корпоративних мереж MPLS L2 VPN. Імітаційне моделювання у пакеті "OPNET modeler 14.5" та аналіз характеристики переданого трафіку.

    дипломная работа [1,2 M], добавлен 20.09.2016

  • Методи і засоби вводу інформації в автоматизовану систему обробки зображень. Огляд механізмів сканування та цифрових камер. Розробка і опис структурної схеми пристрою фотовводу інформації в АСОЗ. Розробка і опис алгоритму роботи пристрою фотовводу.

    дипломная работа [55,6 K], добавлен 30.01.2011

  • Історія розвитку послуг IN. Розподілена та централізована архітектура побудови IN. Переваги цифрових комутаційних систем і цифрових систем передачі. Функції контролю та адміністративного управління IN. Частково розподілена архітектура побудови IN.

    реферат [558,8 K], добавлен 16.01.2011

  • Шляхи забезпечення захисту мовної інформації в каналі зв'язку, сучасні методи криптографічного захисту. Аналіз організації інформаційного обміну по мережах зв'язку загального користування. Основні методи перетворення мовного сигналу і їх взаємозв'язок.

    контрольная работа [380,4 K], добавлен 13.10.2010

  • Принципи побудови й основні особливості волоконнооптичних систем передачі в міських телефонних мережах. Загальні розуміння з розрахунку принципової схеми пристрою. Методи побудови структурних схем оптичних систем передачі. Розрахунок ємностей фільтрів.

    курсовая работа [251,0 K], добавлен 15.03.2014

  • Характеристика обладнання для побудови мереж IN компанії Lucent Technologies. Система 5ESS-2000, що складається з концентраторів SM-2000, модуля зв'язку СМ і адміністративного модуля AM. Архітектура та програмне забезпечення всіх компонентів IN.

    контрольная работа [350,6 K], добавлен 09.01.2011

  • Аналіз якості лінійних безперервних систем автоматичного управління. Методи побудови перехідної функції, інтегральні оцінки якості. Перетворення структурної схеми, аналіз стійкості розімкнутої та замкнутої систем. Розрахунок часових та частотних функцій.

    курсовая работа [1,1 M], добавлен 07.03.2014

  • Структура системи електрозв'язку. Топологічна структура первинної мережі. Особливості взаємодії первинної і вторинної мереж. Магістральні, внутрішньозонові, місцеві вузли зв'язку. Класифікація мереж зв'язку, їх характеристика. Елементи кодових комбінацій.

    реферат [230,8 K], добавлен 05.01.2011

  • Аналіз принципів і особливості захисту кабельних мереж агрокомбінату. Розрахунок максимального струму навантаження лінії. Обґрунтування вибору трансформатора напруги. Проведення структурного аналізу захисту кабельних мереж від міжфазних коротких замикань.

    автореферат [3,4 M], добавлен 20.09.2014

  • Поняття сигналу, їх види - аналогові і цифрові. Фізичні процеси передачі інформації. Смуга пропускання і пропускна здатність. Цифрове та логічне кодування бітових даних. Гальванічна розв’язка електричних кіл ліній передачі даних комп’ютерних мереж.

    презентация [1,3 M], добавлен 18.10.2013

  • Принципи організації мереж і систем поштового зв’язку. Задача побудови найкоротшої мережі та найкоротших маршрутів перевезень пошти. Визначення числа робочих місць з оброблення поштових відправлень. Організація перевезень пошти, обробки поштових відправ.

    методичка [166,5 K], добавлен 05.02.2015

  • Методи й засоби комп'ютерної обробки зображень. Розгляд двох існуючих методів покращення якості зображень, основаних на суб’єктивному сприйнятті роздільної здатності і кількості кольорів. Порівняльна характеристика вейвлет-методу та градієнтського потоку.

    реферат [317,1 K], добавлен 03.12.2009

  • Загальна характеристика систем мобільного зв’язку: основні типи і структура мереж. Здійснення злочинів у сфері мобільного зв’язку: злочини проти компанії стільникового зв’язку, несанкціоноване перехоплення інформації, методи запобігання злочинам.

    курсовая работа [494,1 K], добавлен 28.02.2011

  • Загальна характеристика та принципи роботи основних видів брандмауерів. Специфічні правила та основи фільтрації та фрагментації пакетів. Особливості доступу та захисту служб локальної мережі. Рекомендації щодо вибору серверів для установки в системі.

    курсовая работа [464,5 K], добавлен 07.10.2010

  • Проблема захисту комп'ютерних мереж. Призначення виводів мікроконтролера ATmega8. Розробка принципової схеми тестеру Ethernet кабелю. Виготовлення спеціалізованого тестера-пробника, що має необхідні роз'єми підключення кабелю, алгоритм тестування.

    курсовая работа [1,4 M], добавлен 03.05.2015

  • Загальна характеристика синхронного цифрового обладнання, основні методи перетворення та інформаційна структура, короткий опис апаратури мереж та основні аспекти архітектури. План побудови транспортної мережі на основі синхронного цифрового обладнання.

    курсовая работа [677,0 K], добавлен 07.05.2009

  • Методи моделювання динамічних систем. Огляд методів синтезу. Математичне забезпечення вирішення задачі системи управління. Моделювання процесів за допомогою пакету VisSim. Дослідження стійкості системи управління. Реалізація програмного забезпечення.

    дипломная работа [3,8 M], добавлен 07.11.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.