Разработка методов и программных средств выявления аномальных состояний компьютерной сети

Разработка методов и программных средств выявления аномальных состояний компьютерной сети

Автор: Дружинин, Евгений Леонидович

Шифр специальности: 05.13.13

Научная степень: Кандидатская

Год защиты: 2005

Место защиты: Москва

Количество страниц: 202 с. ил.

Артикул: 2748288

Автор: Дружинин, Евгений Леонидович

Стоимость: 250 руб.

СОДЕРЖАНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
ВВЕДЕНИЕ
ГЛАВА 1. КЛАССИФИКАЦИЯ СЕТЕВЫХ АНОМАЛИЙ И АНАЛИЗ СУЩЕСТВУЮШДХ МЕТОДОВ ИХ ОБНАРУЖЕНИЯ
1.1 Классификация сетевых аномалий.
1.1.1 Удаленное сканирование сетевых ресурсов
1.1.2 Отказ в обслуживании.
1.1.3 Удаленное переполнение буфера
1.1.4 Аппаратные сбои сетевых устройств
1.1.5 Программные сбои сетевых приложений
1.1.6 Вирусы, сетевые черви
1.1.7 Скрытые люки.
9 1.2 Особенности аномалий, распределенных во времени.
1.3 Обзор существующих методов обнаружения аномалий
1.3.1 Методы выявления аномалий, реализованные в современных системах
1.3.2 Обзор результатов исследований, проводимых в зарубежных научноисследовательских центрах
1.4 Требования к создаваемой методике и ее программной реализации
1.4.1 Требования к методу обнаружения аномалий.
1.4.2 Требования к технической реализации
1.4.3 Пользовательские требования
Выводы.
ГЛАВА 2. РАЗРАБОТКА МЕТОДИКИ ОБНАРУЖЕНИЯ АНОМАЛИЙ.
2.1 Схема обработки сетевого графика.
2.2 Выбор объекта анализа.
2.3 Модель сетевого устройства.
2.4 Структуризация сетевого трафика
2.5 Формирование шаблона нормального поведения сетевого устройства
2.6 Методика выявления распределенных во времени аномалий
Выводы.
ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПРИНЯТИЯ РЕШЕНИЙ ПО ВЫЯВЛЕНИЮ АНОМАЛИЙ, РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ
3.1. Исследование математических свойств характеристик сетевых устройств
3.1.1 Описание тестовой среды
3.1.2 Анализируемые массивы данных
3.1.3 Результаты анализа математических свойств отдельных характеристик Т одномерный анализ.
3.1.4 Результаты анализа математических свойств совокупности характеристик многомерный анализ.
3.2 Система принятия решений для выявления аномалий
3.2.1 Основные принципы, лежащие в основе системы принятия решений
3.2.2 Построение системы принятия решений, оценивающей степень аномальности отдельных событий.
3.2.3 Построение системы принятия решений, оценивающей степень аномальности множества событий.
3.3 ВОПРОСЫ автоматизации системы принятия решений и анализа ее
ЭФФЕКТИВНОСТИ.
ГЛАВА 4. РАЗРАБОТКА ПРОГРАММНОЙ СИСТЕМЫ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ. из
4.1 Архитектура САВС
4.1.1 Принципы функционирования.
4.1.2. Соотнесение принципов архитектуры САВС с требованиями к методике выявления аномалий
4.1.3 Вопросы повышения эффективности работы отдельных компонент
4.2 Структуры таблиц базы данных
4.3 Сетевой агент.
4.4 Система управления ресурсами
4.5 Система отображения и анализа данных
4.6 Интеграция компонент САВС.
Опытная эксплуатация САВС
ЗАКЛЮЧЕНИЕ в
БИБЛИОГРАФИЯ


Они связаны как с изначальным браком отдельных электронных компонент, так и • с их естественным старением. Однако, аппаратный сбой может являться следствием аппаратных закладок, активизируемых удаленно злоумышленником. Программные сбои сетевых приложений являются либо следствием ошибок, допущенных на этапе разработки и создания приложений, и не выявленных на этапе тестирования, либо следствием специально встроенных с различными целями программных закладок. Так как современные программные системы могут насчитывать огромный объем программного кода, создаваемого усилиями большого числа разработчиков, выявление ошибок является сложной задачи. Ошибки могут возникать как в отдельных модулях, так и на их стыке. Их проявление может заключаться во внезапных «зависаниях» сетевых приложений, изменении времени отклика па запросы, некорректном разрыве сетевых соединений и так далее. Выявление и устранение программных сбоев и является одной из ключевых задач администрирования, поэтому очень важно своевременно диагностировать их наличие. Следствием технических изъянов ПО является существование вирусов и сетевых червей. Сетевые черви и вирусы представляют собой исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Для своей активизации они чаще всего используют технологию «переполнение буфера». Кроме того, сетевые черви могут реализовывать собственную сетевую подсистему, позволяющую им искать и подключаться к уязвимым сетевым службам удаленных устройств. Их особенностью является способность самостоятельного размножения. Соответственно, в процессе своей деятельности они вызывают множество проявлений на уровне ссгсвого трафика. Их обнаружение может затрудняться в связи с возможностью маскировки автором сетевого червя сетевой активности под нормальные сетевые соединения. Раннее выявление и блокирование вирусов и сетевых червей является одной из важнейших задач сетевого администрирования. Скрытые люки (или backdoor) являются программами специально установленными злоумышленниками во взломанной системе с целью возможност и дальнейшего удаленного управления ею. Как правило, ими являются известные модифицированные программы удаленного администрирования (например, SSH) и различные системные утилиты, предоставляющие администратору важную информацию о процессах, файловой системе, сетевых соединениях. К скрытым люкам могут быть также отнесены программы типа spyware, выполняющие несанкционированные действия и замаскированные под нормальные. Такие программы могут быть установлены злоумышленником или самим пользователем (при необдуманном использовании ресурсов Internet). Программы типа spyware являются шпионами, собирающими различную информацию на компьютере пользователя и отсылающими ее заинтересованным лицам. Нахождение скрытых люков в системе злоумышленник обычно тщательно скрывает, маскируя как их местонахождение в файловой системе, так и их сетевые соединения. Наличие скрытых люков может проявляться по дополнительным специфическим сетевым соединениям, возникающим в ходе их аютшизации и использования. Своевременное обнаружение скрытых люков является очень важной задачей сетевого администрирования. Их наличие свидетельствует о том, что сеть была взломана, а если этот факт не был выявлен до этого момента, то за ним должен следовать комплекс мер по выявлению точки проникновения и устранению остальных последствий несанкционированных действий. Более детальный анализ особенностей проявления рассмотренных выше аномалий однозначно указывает на то, что все они вызывают проявления, связанные с отклонениями от обычного, «нормального» поведения сетевого трафика. Отклонения могут заключаться в изменении интенсивности соединений, появлении новых, ранее не существовавших сетевых сервисов и изменении многих других параметров отдельных сетевых пакетов и сетевого трафика в целом. Выше были рассмотрены наиболее распространенные типы аномалий. Их проявление может носить как быстропротекающий характер, так и быть распределенным во времени.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.252, запросов: 244