- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Принципы функционирования сетевых сов
Принципы построения сетевых сов
Обнаружение вторжения являться актуальным вопросом вот уже на протяжение двух. Начало этому было положено в 1980 г. статьей Джеймса Андерсона "Мониторинг угроз компьютерной безопасности". Чуть позже, в 1987 г. это направление было развито публикацией статьи "О модели обнаружения вторжения" Дороти Деннинг. Она дала базу и методологию для зарождения коммерческих продуктов в области обнаружений вторжений [18].
Изучение методов обнаружения аномалий было предварено аксиомой, что можно различать маскирующихся и действительно законных пользователей посредствам выявления отклонений от исторически сложившегося использования системы. Выражалась надежда, что подход на основе анализа данных аудита будет полезен для идентификации не только кракеров, разными способами добывающих информацию об идентификации и аутентификации и применяющих её для маскировки под авторизованных пользователей, но также и самих авторизованных пользователей, выполняющих несанкционированные действия, т.е. злоупотребляющих своими привилегиями. По статистике, около 80% процентов взломов производится изнутри, то есть сотрудниками самой организации.
СОВ являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, СОВ становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены СОВ, как выбрать и сконфигурировать СОВ для конкретных систем и сетевых окружений, как обрабатывать результаты работы СОВ и как интегрировать СОВ с остальной инфраструктурой безопасности предприятия.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. СОВ являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
СОВ состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений [31].
СОВ - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост в последние годы числа проблем, связанных с компьютерной безопасностью, привёл к тому, что СОВ очень быстро стали ключевым компонентом любой стратегии сетевой защиты. За последние несколько лет их популярность значительно возросла, поскольку продавцы средств защиты значительно улучшили качество и совместимость своих программ.
СОВ называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Но СОВ лишь один из инструментов защитного арсенала и он не должен рассматриваться как замена для любого из других защитных механизмов. Защита информации наиболее эффективна, когда в интрасети поддерживается многоуровневая защита. Она складывается из следующих компонентов:
Политика безопасности интрасети организации;
Система защиты хостов в сети;
Сетевой аудит;
Защита на основе маршрутизаторов;
Межсетевые экраны;
СОВ;
План реагирования на выявленные атаки.
Следовательно для полной защиты целостности сети необходима реализация всех вышеперечисленных компонентов защиты. И использование многоуровневой защиты является наиболее эффективным методом предотвращения несанкционированного использования компьютерных систем и сетевых сервисов. Таким образом, СОВ – это одна из компонент обеспечения безопасности сети в многоуровневой стратегии её защиты [10].