Разработка и исследование методов построения систем обнаружения атак

Разработка и исследование методов построения систем обнаружения атак

Автор: Абрамов, Евгений Сергеевич

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Год защиты: 2005

Место защиты: Таганрог

Количество страниц: 199 с. ил.

Артикул: 2771787

Автор: Абрамов, Евгений Сергеевич

Стоимость: 250 руб.

ВВЕДЕНИЕ
1. ОБЗОР СУЩЕСТВУЮЩИХ МЕТОДОВ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК
1.1. Анализ характеристик защищаемой информационной системы.
1.1.1. Основные понятия и определения.
1.1.2. Определение среды функционирования СОА
1.1.3. Классификация сетевых атак
1.2. Анализ существующих технологий систем обнаружения атак
1.2.1 Типовая архитектура СОА.
1.2.2. Анализ существующих подходов к построению СОА.
1.2.3. Методы обнаружения злоупотреблений
1.2.4. Обнаружение аномалий
1.3. Цель и задачи исследования
1.4. Выводы
2. РАЗРАБОТКА ЧАСТНЫХ МЕТОДОВ ОБНАРУЖЕНИЯ АТАК.
2.1. Определение задачи обнаружения атак.
2.1.1. Определение перечня признаков объектов
2.1.2. Классификация распознаваемых объектов.
2.1.3. Разработка общего метода распознавания атак.
2.2. Метод обнаружения аномалий
2.2.1 Применение нейронных сетей в задачах обнаружения аномалий
2.2.2 Выбор архитектуры нейросети
2.2.3 Разработка частного метода обнаружения аномалий
2.2.4 Методика формирования обучающей выборки
2.2.5 Обучение нейронной сети.
2.3 Метод поиска злоупотреблений.
2.3.1. Общие сведения об алгоритме неточно поиска сигнатур.
2.3.2. Описание алгоритма неточного поиска.
2.4 Применение комбинированного метода для построения архитектуры СОА
2.5 Выводы.
3. РАЗРАБОТКА МЕТОДИКИ ТЕСТИРОВАНИЯ СОА.
3.1. Общие положения
3.2. Критерии оценки для функциональных тестов
3.3. Методические рекомендации по тестированию систем обнаружения атак
3.4. Методы тестирования производительности.
4.5. Программноаппаратное обеспечение
4.6. Разработка интерпретатора языка программирования сценариев атак
4.7. Выводы
4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МОДЕЛИ СОА, Е ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ
4.1. Описание программной реализации модулей.
4.1.1 Описание программной реализации модулей СОА
4.1.2 Описание программной реализации модулей тестирования СОА
4.1.3 Описание программной реализации модуля подготовки данных для обучения нейросети.
4.2. Экспериментальное исследование программной модели
4.2.1 Исследование программной реализации нейронной сети.
4.2.2 Исследование программной модели неточного поиска.
4.3. Сравнение с аналогами.
4.3.1 Обзор аналогов.
4.3.2 Экспериментальное сравнение с аналогами
4.4. Выводы
ЗАКЛЮЧЕНИЕ.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ


Подразумевается, что компоненты ЛВС рассредоточены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, а программно - при помощи механизма сообщений, основанного на стеке протоколов TCP/IP. При этом все управляющие сообщения и данные, пересылаемые между объектами ЛВС, передаются по сетевым соединениям в виде пакетов обмена. С учётом этого можно уточнить определение атаки на АС. Событие или совокупность событий, которые применительно к каждому отдельно взятому объекту должны рассматриваться в качестве попыток совершения информационного воздействия противоправного или деструктивного характера будем называть атакой на АС. ЛВС узла, либо с узла, расположенного внутри ЛВС, но внешнего к непосредственному объекту воздействия. ЛВС обеспечить санкционированный доступ субъектов к информации, программным и аппаратным средствам. Возможность достижения субъектом воздействия той или иной цели рассматривается как угроза безопасности информации в ЛВС. Перечень событий, характеризующих процессы подготовки. ЛВС». Существуют различные типы классификации атак. Рассмотрим основные из них [, , ]. Еще одна заслуживающая внимания классификация предложена в [4, ]. Удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Примером такой программы является NetBus или BackOrifice. Локальное проникновение (local penetration). Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Примером такой программы является GetAdmin. Удаленный отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Примером такой атаки является Teardrop или trinOO. Локальный отказ в обслуживании (local denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является "враждебный" апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений. Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Примером такой программы можно назвать систему nmap. Сканеры уязвимостей (vulnerability scanners). Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Примером такого сканера можно назвать систему SATAN или ShadowSecurityScanner. Взломщики паролей (password crackers). Программы, которые "подбирают" пароли пользователей. Примером взломщика паролей можно назвать LOphtCrack для Windows или Crack для Unix. Анализаторы протоколов (sniffers). Программы, которые "прослушивают" сетевой трафик. Таким анализатором протоколов можно назвать Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer. Предварительный сбор информации. Эти атаки включают ping sweeps, передачу DNS-зоны, разведку с помощью e-mail, сканирование TCP или UDP-портов и анализ общественно доступных серверов с целью нахождения cgi-дыр. Попытки несанкционированного доступа. Атаки, основанные на использовании преимуществ скрытых возможностей или ошибок (exploit) для получения несанкционированного доступа к системе. Сюда также относятся попытки получения НСД с использованием «троянских коней». Атаки типа "отказ в обслуживании" (Denial of Service, DoS). Когда нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск. Нарушитель не пытается получить информации, а только затрудняет или блокирует доступ к ней для легальных пользователей. На рисунке 1. Рисунок 1. СОА классифицируют по этапам осуществления атак и по принципу реализации. По принципу реализации различают два основных типа СОА: host-based, т. Рисунок 1. Рисунок 1. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.255, запросов: 244