- •Введение
- •1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
- •Принципы функционирования сетевых систем обнаружения вторжений
- •Общая типовая схема систем обнаружения вторжений
- •Подсистема анализа, использующая сигнатурный метод
- •1.3.1. Общие требования к методу анализа
- •1.3.2. Реализация метода сигнатур. Принципы работы
- •1.3.3. Основные характеристики сигнатур
- •1.3.4. Основные алгоритмы поиска сигнатур атак
- •Принципы построения системы обнаружения вторжений
- •1.4.1. Предъявляемые требования и основные параметры
- •1.4.2. Состав и структура аппаратной реализации системы обнаружения вторжений
- •1.4.3. Автоматизированная генерация конфигураций
- •Характеристика направлений и групп методов обнаружения вторжений
- •1.5.1. Анализ методов обнаружения аномалий
- •1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Недостатки существующих систем обнаружения вторжений
- •Направления совершенствования сов
- •Оценка рисков и управление эффективностью
- •Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
Принципы функционирования сетевых систем обнаружения вторжений
В настоящее время разработкам в области обеспечения информационной безопасности цифровых инфокоммуникационных сетей уделяется повышенное внимание. Действующие специализированные департаменты в корпоративном секторе имеют одни из наибольших бюджетов по сравнению с другими структурными подразделениями. Наблюдаются закономерные тенденции оптимизации времени реагирования и комплексов контрмер к соответствующим угрозам, а также по повышению эффективности управления и контроля комплексных систем безопасности. При этом увеличение количества разновидностей потенциальных угроз, а также интенсивность их возникновения приводят к необходимости улучшения существующих и разработок новых методов и планов реагирования [1,8]. Разрабатываются общие и специальные рекомендации, методики ранжирования типов угроз информационной безопасности.
Для обеспечения оперативного контроля и прогнозирования состояния информационных ресурсов необходимо создание новых технологий обнаружения признаков удаленной атаки с использованием активных и пассивных методов и датчиков слежения, выходящих за рамки рутинного аудита операционных систем и журналов сетевых протоколов.
Для создания эффективной методики защиты необходима разработка системы профилирования массива данных, несущих информацию об угрозе. Существующие системы обнаружения сетевых атак [2] достаточно эффективно выполняют детализированные расследования и поиск злоумышленников на основании полученных во время атаки данных, однако, они не в состоянии прогнозировать цели, намерения, дальнейшие действия злоумышленников. В частности наиболее распространенные системы обнаружения вторжений, которые используются для обеспечения безопасности систем, обрабатывающих данные открытого характера, функционируют посредством сравнения элементов потока IP- данных с имеющейся базой сигнатур. На основании сравнительного анализа система принимает решение блокировать тот или иной пакет, либо пропускать для взаимодействия непосредственно с операционной системой. Сигнатурные системы обнаружения вторжений обладают высокой производительностью, эффективностью обнаружения при сравнительно невысоких требованиях к аппаратному обеспечению [3]
Сетевые системы обнаружения вторжений (ССОВ), являются важным инструментом информационной безопасности, все более широко используемым для защиты локальных вычислительных сетей от воздействия внешних вредоносных факторов. В связи с постоянным ростом числа и сложности компьютерных атак, а также из-за значительного увеличения объемов данных, передаваемых в сети, традиционные программные решения все хуже справляются с поставленными задачами. Ситуация усугубляется технологическим пределом, достигнутым недавно в микроэлектронной промышленности, в результате которого неизменный на протяжении десятилетий рост частоты микропроцессоров остановился.
Этими причинами обусловлен повышенный интерес к использованию в качестве аппаратной основы СОВ программируемых интегральных схем (ПЛИС) типа Field Programmable Gate Array (FPGA) [1].
Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Сетевые вторжения, локализуемые при помощи анализа соответствующих сигнатур в потоке данных, представляют собой массив несвязанных между собой конфигураций. Однако они включают элементы, которые можно объединить по определенным признакам. В рамках категорий сетевых вторжений (сбор информации, попытка несанкционированного доступа, отказ в обслуживании, подозрительная активность, системные атаки), существуют подвиды атак, которые могут быть реализованы с большей или меньшей вероятностью в зависимости от операционной системы, коммутационного оборудования, системы обнаружения вторжений, типа искомых данных, организационной инфраструктуры и т.д. Однако такое группирование не позволят делать выводы, необходимые для всестороннего изучения и принятия адекватных контрмер.
В данной работе рассмотрены основные принципы построения сетевых систем обнаружения вторжений.
Анализ информационных источников свидетельствует о наличии большого количества англоязычных публикаций по применению реконфигурируемых устройств на базе FPGA в составе NIDS. В то же время, информация на данную тему, фактически, отсутствует в литературе, издаваемой в странах СНГ.
Целью настоящей работы является исследование и обобщение основных принципов построения систем обнаружения вторжений по результатам анализа накопленного в мире опыта применения ПЛИС типа FPGA в составе NIDS.
Прежде, чем перейти непосредственно к принципам создания систем обнаружения вторжений на базе ПЛИС, необходимо рассмотреть несколько существенных моментов. В частности, нужно определить место и роль аппаратно реализованных компонентов в структуре СОВ, которая в общем случае может быть сложной и многоуровневой. Необходимо определиться с требованиями и основными параметрами, предъявляемыми к такому оборудованию, а также его функциональностью. Далее в работе рассматривается обобщенная структура СОВ, некоторые важные ее составные части и сопутствующие вопросы.