Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы
- Автор:
Ушаков, Дмитрий Вячеславович
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2005
- Место защиты:
Москва
- Количество страниц:
175 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
1. Анализ применимости распределенных систем для обнаружения вторжений при комплексном подходе к обеспечению информационной безопасности
1.1. Методика адаптивного управления безопасностью
1.2. Классификация систем обнаружения вторжений
1.2.1. Узловые системы обнаружения вторжений
1.2.2. Сетевые системы обнаружения вторжений
1.2.3. Выбор класса системы обнаружения вторжений
1.3. Типы сетевых систем обнаружения вторжений
1.3.1. Сетевые системы выявления злоупотреблений
1.3.2. Сетевые системы выявления аномалий
1.3.3. Выбор типа системы обнаружения вторжений
1.4. Современные распределенные системы
1.4.1. Сравнительный анализ
% 1.4.2. Особенности метакомпьютерных распределенных систем
1.4.3. Механизмы обеспечения безопасности
1.5. Выводы
2. Разработка модели защищенной распределенной системы
2.1. Компоненты распределенной системы
2.2. Модель нарушителя
2.3. Сервисы защиты распределенной системы
2.4. Формальное представление модели
2.5. Алгоритмы работы защищенной распределенной системы
2.5.1. Алгоритм взаимодействия клиента с сервером
2.5.2. Алгоритм работы сервера аутентификации
2.5.3. Алгоритм работы информационного сервера
2.6. Протоколы защищенной работы в распределенной среде
2.7. Сценарий использования модели
ф. 2.8. Выводы
Глава 3. Синтез распределенной системы обнаружения вторжений
3.1. База данных сигнатур и файл обновлений
3.2. Компоненты распределенной системы обнаружения вторжений
3.2.1. Группы экспертов
3.2.2. Корпоративные системы обнаружения вторжений
3.2.3. Сервер публикации
3.3. Защита распределенной системы обнаружения вторжений
3.3.1. Аутентификация
3.3.2. Авторизация
3.3.3. Аудит
3.3.4. Защита каналов связи
3.3.5. Обеспечение доступности серверов системы
3.4. Алгоритмическое обеспечение распределенной системы обнаружения вторжений
3.4.1. Взаимодействие эксперта с сервером публикаций
3.4.2. Взаимодействие корпоративной системы обнаружения вторжений с сервером публикаций
3.4.3. Обработка запросов сервером публикаций
3.5. Протоколы распределенной системы обнаружения вторжений
3.6. Формат файла обновлений
3.7. Выводы
Глава 4. Практическая реализация распределенной системы обнаружения вторжений129
4.1. Структура системы обнаружения вторжений
4.2. Тестирование распределенной системы обнаружения вторжений
4.3. Рекомендации по практическому применению распределенной системы обнаружения вторжений
4.4. Оценка возможностей системы обнаружения вторжений
4.5. Выводы
Заключение
Список используемых сокращений
Список использованных источников
Приложение А. Формат схемы XML файла обновлений распределенной СОВ
Приложение Б. Скрипт обновления распределенной СОВ
Интенсивное развитие Интернет, повсеместный переход на электронные формы хранения и передачи информации, активное внедрение в повседневную жизнь электронных форм платежей и многие другие факторы сегодняшней реальности повлияли на то, что безопасность сетей и сетевых сервисов стала действительно насущной проблемой практически всех организаций. В небольших организациях со слабо развитой информационной структурой эта проблема пока что малозаметна, и решается она установкой антивирусного пакета, который, как правило, редко обновляется, и/или попытками ограничения доступа к ресурсам. Но, как показывает практика, этого явно недостаточно. Часто высококлассные и практически не подверженные никакому «взлому» системы защиты информации рушатся или бездействуют из-за беспечности технического персонала. Так, например, как показывает статистика, большинство «взломов» серверов электронной коммерции происходит по причине недосмотра персоналом незначительных на первый взгляд ошибок, в результате которых конфиденциальные данные из баз данных сайтов становятся доступными каждому желающему без каких-либо особых усилий [1].
Согласно отчету ФБР [2, 3] наибольшие потери за 2003 и 2004 года были вызваны атаками типа «отказ в обслуживании» (DoS), кражей конфиденциальной информации, распространением вредоносного программного обеспечения (ПО) и несанкционированным использованием сетевых ресурсов. Если с DoS-атаками бороться практически невозможно, так как не существует достаточно эффективных методик, не сказывающихся на доступности самого ресурса для законных пользователей, от всех остальных злоумышленных действий можно защититься путем применения совокупности организационных и технических мер.
Говорят, что имеет место атака, когда злоумышленник осуществляет в отношении какой-либо системы несанкционированные действия, используя ту или иную ее уязвимость [4]. Наличие уязвимости создает угрозу нарушения установленных правил работы с системой. Таким образом, угроза является потенциальной возможностью проведения атаки посредством реализации уязвимости. При этом сам процесс воздействия злоумышленника на систему называется вторжением [4].
Различают несколько видов вторжений в информационные системы [5]:
• Физическое вторжение. Злоумышленник имеет физический доступ к компьютеру (используется часть системы в непосредственном физическом контакте). Методы вторжения могут быть различными: от специальных привилегий при работе с консолью, до возможности использования части системы, к примеру, снятие винчестера для чтения/записи его на другой машине.
2. Разработка модели защищенной распределенной системы
Для разработки новой системы необходимо сначала создать методическую базу. Этой базой должны быть алгоритмы и протоколы взаимодействия участников информационного обмена, которые лягут в основу системы автоматического реагирования на вновь обнаруживаемые уязвимости. При этом стойкость или применимость описываемых алгоритмов и протоколов должна быть вербально или формально обоснована.
В данной главе предлагается модель защищенной распределенной системы, перечисляются компоненты типичной распределенной системы, строится модель нарушителя, предлагаются сервисы поддержки безопасности информационного взаимодействия между компонентами, а также описываются алгоритмы и протоколы их взаимодействия. В качестве подтверждения применимости протоколов приводится формальное доказательство корректности методов аутентификации с использованием сертификатов посредников на основе положений расширенной ВАЛ-логики (доказывается соответствующая теорема). В заключение в качестве примера приводится абстрактный сценарий использования модели.
2.1. Компоненты распределенной системы
Типичная распределенная система состоит из множества взаимодействующих компонент. В силу мировых тенденций в области построения подобных систем (раздел 1.4.2), уже не существует четкого разделения субъектов на классы «серверов» или «клиентов» по набору выполняемых ими задач. Поскольку в разные моменты времени один и тот же компонент может выступать как в роли запрашивающего (субъект), так и в роли обслуживающего запросы (объект), современные распределенные системы по свойствам больше попадают в класс так называемых одноранговых сетей (или многозвенных клиент-серверных систем) [89].
Тем не менее, в каждый конкретный момент информационного взаимодействия любой субъект может быть отнесен либо к группе, обслуживающей запросы других компонент системы, либо к группе, отправляющей такие запросы компонентам первой категории. Соответственно в каждый момент времени все участники распределенной системы могут быть поделены на серверы и клиенты.
Подобное деление необходимо для определения инициаторов запросов, то есть тех компонент, которые начинают информационное взаимодействие путем перехода в определенное состояние вследствие получения каких-то команд, данных или сигналов
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Обнаружение вторжений в распределенных информационных системах на основе методов скрытого мониторинга и анализа больших данных | Штеренберг, Станислав Игоревич | 2018 |
| Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта | Браницкий, Александр Александрович | 2018 |
| Система обнаружения атак в локальных беспроводных сетях на основе технологий интеллектуального анализа данных | Шарабыров, Илья Викторович | 2016 |