Повышение производительности систем выявления вторжений

Повышение производительности систем выявления вторжений

Автор: Дорошенко, Иван Николаевич

Шифр специальности: 05.13.13

Научная степень: Кандидатская

Год защиты: 2008

Место защиты: Пенза

Количество страниц: 250 с. ил.

Артикул: 4041411

Автор: Дорошенко, Иван Николаевич

Стоимость: 250 руб.

Повышение производительности систем выявления вторжений  Повышение производительности систем выявления вторжений 

Оглавление
Введение
1 Анализ недостатков современных систем выявления вторжений.
1.1 Построение современных систем выявления вторжений
1.2 Особенности современных систем выявления вторжений
1.3 Недостатки современных систем выявления вторжений.
1.3.1 Идеологические недостатки
1.3.2 Технические недостатки
г м
1.3.3 Другие недостатки
1.4 Наблюдающие системы .
1.5 Задача повышения производительности системы выявления вторжений.
Выводы но главе.
2 Сокращение количества аудита.
2.1 Список событий аудита.
2.1.1 Реальные события.
2.1.2 Абстрактные события
2.2 Перехват вызовов системных операций ОС с позиции временной логики.
2.2.1 Перехват вызовов системных операций на пользовательском уровне с позиции временной логики.
2.2.2 Перехват вызовов системных операций на уровне ядра ОС с позиции временной логики.
2.3 Унификация событий аудита.
2.4 Фильтрация событий аудита.
2.5 Достаточность и полнота списка событий, получаемого после фильтрации
аудита.
2.5.1 Файловые операции
2.5.2 Сетевые функции
2.6 Способ сокращения количества аудита.
Выводы по главе.
3 Повышение скорости проверки сигнатур.
3.1 Модель поведения информационновычислительной системы.
3.2 Отношение модели поведения информационновычислительной системы и базового формата описания,сигнатур.
3.3 Место компоненты, реализующей построение модели поведения информационновычислительной системы, в структуре и архитектуре классической системы выявления вторжений.
3.4 Способ повышения скорости проверки сигнатур, основанный на модели поведения информационновычислительной системы.
3.5 Список ожидаемых событий
3.6 Список активизированных сигнатур
Выводы но главе.
I
4 Результаты исследования, алгоритмы фильтрации аудита и анализ
результатов.
4.1 Характеристики аудита рабочих станций.
4.1.1 Характеристики рабочих станций и особенности протоколирования
событий
С 4.1.2 Среднее количество событий, генерируемое одной рабочей станцией за
единицу времени
I 4.1.3 Максимальное количество событий, генерируемое одной станцией за
единицу времени
4.1.4 Средний объем данных событий, передаваемый одной рабочей станцией
4.2 Характеристики баз данных.
4.3 Алгоритм фильтрации аудита
4.4 Влияние фильтрации на характеристики аудита
4.4.1 Процент фильтруемых событий
4.4.2 События, которые наиболее и наименее подвержены фильтрации.
4.5 Выбор производительности сервера системы выявления вторжений.
5 Выводы по главе
Заключение3
Список использованных источников


Неправильная реализация алгоритма корректировки может привести к перегрузке вычислительных возможностей сервера системы. Большинство современных хостовых систем выявления вторжений базируются на анализе протоколов системных операций ОС. На рисунке 7 приведен пример настройки политики протоколирования событий операционной системы МБ Ушс1оУ8 /ХР. Security Settings “SfjAudrt account logon events Success. Fadure Success. J} Account Policies S3 Audit account management Success. Failure Success. Local Policies SQAud directory service access Success. S3 Audit logon events Success. Failure Success. Й User Rights Assigi S3 Audit object access Success. Failure Success. Security Options S3'Audrt policy change Success. Failure Success. IP Secuity Policies or S3 Audit process tracking SQAudit system events Success, Failure Success. Failure Success. Fadure Success. Более подробно о принципах формирования протоколов ОС MS Windows, Unix/Linux расписано в приложении 8. Основной недостаток систем выявления вторжений, которые базируются на анализе протоколов работы ОС, заключается в том, что системам приходится доверять содержимому файлов протоколов. Системы не способны проконтролировать соответствия записей файлов протоколов реально произошедшим системным операциям. Недостаток 1. Протоколы ОС имеют низкий уровень доверия. Низкий уровень доверия основан на особенностях работы сенсоров СВВ и правилах формирования файлов протоколов. Здесь, во-первых, в период между итерациями чтения файла другой процесс способен модифицировать содержимое файла. Во-вторых, файлы протокола в MS Windows имеют ограничения на размер, поэтому за заданный период файл может переполниться и часть событий потеряется. В-третьих, ОС Linux поставляется вместе с исходными файлами, сделать изменения в программе syslog или любой другой программе, генерирующей события для протокола, (Apach, Fl’P или др. Второй недостаток хостовых систем связан с невозможностью контролирования операций ОС, поскольку доступно только сбор и анализ данных по операциям. Недостаток 2. Хостовым системам, генерирующим события на основе протоколов ОС, требуется дополнительные средства для реализации пресечения вторжения. Дополнительные средства предполагают самостоятельное программное обеспечение, которое имеет ограниченный набор реакций. В большинстве своем все реакции категоричны (например: полное отключение сети, насильное завершение программы, блокировка работы компьютера и т. Недостаток 3. Системы не способны выполнять мягкую, реакцию на запрещенные действия, когда пресекается только запрещенное действие. Третий недостаток связан с составом и форматом протокола. Состав и формат определяется разработчиками ОС и программных продуктов, генерирующих события. Здесь, во-первых, в 'протоколе могут быть несоответствия и ошибки (см. Audit Policy» в MS Windows). Во-вторых, формат протокола может быть изменен при переходе на новую версию ОС. В-третьих, в ОС Unix/Linux записи в протокол формируют приложения/модули ядра. При изменении приложения (переход на новую версию или установка другой аналогичной программы) возможно изменение состава и/или формата записей протокола. В-четвертых, в протокол включается только та информация, которая предусмотрена разработчиком ПО. Так, в MS Windows полностью фиксируются события регистрации пользователя и старт/стоп приложения. Не фиксируются сетевые события. Файловые события фиксируются только для каталогов, в атрибутах которых прописано Auditing (обязательное условие - файловая система NTFS). Недостаток 4. Зависимость от платформы и программных продуктов. Недостаток всех хостовых систем состоит в большом количестве событий аудита, получаемом с одной рабочей станции (см. Большое количество аудита негативно влияет на всю информационную систему: на контролируемой рабочей станции сенсор потребляет большее количество ресурсов (памяти и процессора). В локальной сети больше ресурсов отводится на передачу аудита. Сервер СВВ должен обработать большее количество данных. В результате система становится ресурсоемкой и инертной.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.201, запросов: 244