Обнаружение компьютерных атак на основе анализа поведения сетевых объектов

Обнаружение компьютерных атак на основе анализа поведения сетевых объектов

Автор: Гамаюнов, Денис Юрьевич

Шифр специальности: 05.13.11

Научная степень: Кандидатская

Год защиты: 2007

Место защиты: Москва

Количество страниц: 88 с. ил.

Артикул: 3344043

Автор: Гамаюнов, Денис Юрьевич

Стоимость: 250 руб.

Обнаружение компьютерных атак на основе анализа поведения сетевых объектов  Обнаружение компьютерных атак на основе анализа поведения сетевых объектов 

1.1. Задача обнаружения компьютерных атак
1.2. Актуальность темы
1. Цель работы
1.4. Методы решения .
1.5. структура работы
2. ОБЗОР МЕТОДОВ И СИСТЕМ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК
2.1. Критерии сравнения.
2.1.1. КРИТЕРИИ I1I1ИЯ МЕТОДОВ ОБНАРУЖЕНИЯ АТАК
2.1.2. КРИТЕРИИ СРАВНЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК.
2.2. Методы обнаружения атак миммнммнимммммтммт ииишиинммжмнжжним
2.2.1. МЕТОДЫ ОБНАРУЖЕНИЯ ЗЛОУПОТРЕБЛЕНИЙ
2.2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ.
2.2.3. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.
2.3. Современные открытые системы обнаружения атак.
2.3.1. ИССЛЕДОВАННЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
2.3.2. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.
2.4. Описание исследованных систем
2.4.1. .
2.4.2. .
2.4.3.
2.4.4. .
2.4.5. .
2.5. Заключение и выводы
3. МОДЕЛЬ ОБНАРУЖЕНИЯ АТАК
3.1. Модель функционирования РИС
3.1.1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
3.1.2. МОДЕЛЬ ПОВЕДЕНИЯ ОБЪЕКТА И МОДЕЛЬ АТАКИ.
3.2. Формальная постановка задачи обнаружения атак
3.3. Распознавание нормальных и аномальных траекторий. .
3.4. ЯЗЫК ОПИСАНИЯ автоматов первого и второго рода .
3.5. АЛГОРИТМЫ ОБНАРУЖЕНИЯ АТАК.
4. ЭКСПЕРИМЕНТАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК
4.1. АРХИТЕКТУРА И АЛГОРИТМЫ РАБОТЫ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
4.1.1. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ СЕТЕВОГО I I.
4.1.2. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ УЗЛОВОГО СЕНСОРА.
4.1.3. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ ПОДСИСТЕМЫ РЕАГИРОВАНИЯ
4.1.4. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ КОНСОЛИ УПРАВЛЕНИЯ.
4.1.5. ОРГАНИЗАЦИЯ ИЕРАРХИЧЕСКОГО ХРАНИЛИЩА ДАННЫХ.
4.2. Выводы по архитектуре
5. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ЭКСПЕРИМЕНТАЛЬНОЙ СОА
5.1. Набор тестовых примеров
5.2. Тестовые сценарии обнаружения .
5.3. Состав и структура инструментального стенда .
5.3.1. СЕТЕВАЯ ИНФРАСТРУКТУРА
5.3.2. СЕРВЕРНЫЕ УЗЛЫ.
5.3.3. РАБОЧИЕ СТАНЦИИ
5.3.4. АТАКУЮЩИЕ УЗЛЫ.
5.4. Порядок испытаний
5.5. РЕЗУЛЬТАТЫ ИСПЫТАНИЙ. 1м1мЖЖиммМммммн1мммммм1м1Нтг1нмиН1М1
6. ЗАКЛЮЧЕНИЕ
7. ЛИТЕРАТУРА
ПРИЛОЖЕНИЕ ЯЗЫК ОПИСАНИЯ ПОВЕДЕНИЯ СЕТЕВЫХ ОБЪЕКТОВ.
7.1. ЯЗЫК описания поведения объектов рис
7.2. Препроцехсор ЯЗЫКА . .
7.3. Лексическая структура языка
7.3.1. КОММЕНТАРИИ
7.3.2. КОНСТАНТЫ.
7.3.3. СИМВОЛЫ ОПЕРАЦИЙ.
7.3.4. КЛЮЧЕВЫЕ СЛОВА.
7.3.5. Идентификаторы.
7.4. Синтаксис и семантика языка
7.4.1. ТИПЫ ДАННЫХ
7.4.2. ОПЕРАЦИИ НАД ТИПАМИ ДАННЫХ.
7.4.3. ФУНКЦИИ
7.4.4. ВЫРАЖЕНИЯ
7.4.5. ОПЕРАТОРЫ
7.4.6. СЦЕНАРИИ.
7.5. ВСТРОЕННАЯ БИБЛИОТЕКА ЯЗЫКА
7.5.1. ВСТРОЕННЫЕ СТРУКТУРЫ.
7.5.2. ВСТРОЕННЫЕ ФУНКЦИИ.
ВВЕДЕНИЕ


В этих системах использовалось специализированное программное обеспечение на всех уровнях, включая системный. Однако, на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства i i, ix, и различные клоны V IX i, X, . Изза высокой сложности и дороговизны разработки защищнных систем i, тогда же в е годы XX века появилось и начало активно развиваться направление информационной безопасности, связанное с обнаружением и, возможно, последующим реагированием нарушений безопасности информационных систем, в качестве эффективного временного решения, позволяющего закрывать бреши в безопасности систем до их исправления 5,. Данное направление получило название обнаружение атак ii i и за прошедшие годы в рамках академических разработок были созданы сотни систем обнаружения атак для различных платформ от систем класса i до современных операционных систем общего назначения, СУБД и распространнных приложений 7,8,,. Создание эффективных систем защиты информационных систем сталкивается также с нехваткой вычислительной мощности. С самого начала развития компьютеров
и компьютерных сетей наблюдаются две тенденции, называемые законом Мура и законом Гилдера. Закон Мура говорит о ежегодном удвоении производительности вычислителей, доступных за одну и ту же стоимость, а закон Гилдера об утроении пропускной способности каналов связи за тот же период. Таким образом, рост вычислительной мощности узлов сети отстат от роста объмов передаваемой по сети информации, что с каждым годом ужесточает требования к вычислительной сложности алгоритмов систем защиты информации. Методы обнаружения атак в современных системах обнаружения атак далее СОА недостаточно проработаны в части формальной модели атаки, и, следовательно, для них достаточно сложно строю оценить такие свойства как вычислительная сложность, корректность, завершимость и т. Принято разделять методы обнаружения атак на методы обнаружения аномалий и методы обнаружения злоупотреблений 6. Ко второму типу методов относятся большинство современных коммерческих систем i I, I , они используют сигнатурные экспертные методы обнаружения 6,. Существует множество академических разработок в области обнаружения аномалий, но в промышленных системах они используются редко и с большой осторожностью, так как такие системы порождают большое количество ложных срабатываний. Для экспертных же систем основной проблемой является низкая, близкая к нулю, эффективность обнаружения неизвестных атак адаптивность 7,8,1. Низкая адаптивность до сих пор остатся проблемой, хотя такие достоинства как низкая вычислительная сложность и малая стоимость развртывания определяют доминирование таких систем в данной области. Целью данной работы является разработка метода и экспериментальной системы обнаружения атак на РИС на основе наблюдения за поведением объектов РИС, позволяющего объединить достоинства двух подходов обнаружения аномалий и обнаружения злоупотреблений при неухудшении показателей эффективности и сложности методов обнаружения злоупотреблений. РИС на базе ОС ix, i ХР и сетевого стека I. Предложен язык описания поведения объектов РИС, позволяющий описывать состояния объектов РИС и переходы между ними. В основу языка положен формализм конечных автоматов, в которых переходы между состояниями типизированы, а состояние определяется логическим предикатом. Глава 2 настоящей работы посвящена обзору близких по тематике методов обнаружения атак и ряда современных систем обнаружения атак. Глава 3 настоящей работы посвящена формальной модели функционирования РИС, на основе которой обосновывается применимость метода обнаружения атак, основанного на анализе переходов состояний, а также производится оценка вычислительной сложности и доказательство корректности метода. Глава 4 посвящена архитектуре экспериментальной системы обнаружения атак на основе предложенного метода. Глава 5 посвящена исследованию эффективности экспериментальной системы обнаружения атак.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.212, запросов: 244