Программная система и способ выявления угроз информационной безопасности в компьютерных сетях
- Автор:
Селин, Роман Николаевич
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2011
- Место защиты:
Ростов-на-Дону
- Количество страниц:
130 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
СОДЕРЖАНИЕ
Обозначения и сокращения
Введение
Глава 1. Обзор существующих методов и систем обнаружения сетевых атак
1.1 Классификация существующих подходов к обнаружению атак
1.2 Известные методы и технологии обнаружения атак
1.2.1 Методы сигнатурного анализа
1.2.2 Методы статистического анализа
1.2.3 Нейросетевые методы
1.2.4 Искусственные иммунные системы
1.2.5 Графовые модели атак
1.2.6 Биометрические методы
1.2.7 Методы кластерного анализа
1.2.8 Экспертные системы
1.2.9 Сводная характеристика рассмотренных методов обнаружения атак
1.3 Обзор и анализ существующих систем обнаружения сетевых атак
1.3.1 Система обнаружения атак Snort
1.3.2 Система обнаружения атак Вго
1.3.3 Система обнаружения атак STAT
1.3.4 Система обнаружения атака Prelude
1.3.5 Система обнаружения атак OSSEC
1.3.6 Аппаратно-программные средства Cisco Secure IPS
1.3.7 Система обнаружения атак RealSecure (IBM ISS)
1.3.8 Средства обнаружения атак Symantec Network Security
1.3.9 Система обнаружения атак eTrust Intrusion Detection
1.3.10 Сводная характеристика рассмотренных СОА
1.4 Обзор и анализ существующих алгоритмов поиска сигнатур в сетевом трафике
1.5 Постановка задач исследования
1.6 Выводы
Глава 2. Разработка модели сетевой атаки и метода обнаружения угроз на
базе событий безопасности
2.1 Модель атаки
2.2 Вспомогательные понятия
2.3 Алгоритм анализа событий безопасности для обнаружения атак
2.4 Архитектура сенсора
2.5 Способ размещения сенсоров
2.6 Выводы
Глава 3. Разработка способа обработки сетевого трафика и локальных событий уровня хоста и алгоритма быстрого поиска для обнаружения сигнатур с неточным соответствием
3.1 Способ обработки сетевого трафика и локальных событий
3.2 Модификация алгоритма Ахо-Корасик для поиска неточного соответствия
3.3 Выводы
Глава 4. Разработка программной системы выявления угроз информационной безопасности и проведение экспериментальных исследований
4.1 Программная системы обнаружения угроз
4.2 Архитектура программной системы
4.2.1 Архитектура и алгоритмы работы сетевого сенсора
4.2.2 Разработка программных модулей сетевого сенсора
4.2.3 Обработчики сообщений ядра сетевого сенсора
4.2.4 Встроенные и подключаемые модули сенсора
4.2.5 Структура сообщения ядра сенсора
4.2.6 Формат правил настройки сенсоров
4.3 Проведение экспериментальных исследований
4.4 Выводы
Заключение
Список литературы
конкретного узла. Система обнаруживает, как внешние атаки, так и внутренние злоупотребления, направленные на серверы приложений, вебсерверы, базы данных, рабочие станции, маршрутизаторы и межсетевые экраны.
Система RealSecure имеет трехуровневую архитектуру и состоит из модулей распознавания для сегментов сети и отдельных серверов и модуля администратора. Модуль распознавания для сегментов функционирует на специализированных рабочих станциях; он отвечает за обнаружение вторжения и реакцию на него. Каждый такой модуль контролирует трафик в определенном сетевом сегменте на наличие сигнатур нападения. Обнаружив неправомочное действие, сетевой модуль может отреагировать на него разрывом соединения, посылкой сообщения по электронной почте или на пейджер, или другими заданными пользователем действиями. Он также передает сигнал тревоги модулю администратора или пульту управления.
Модуль распознавания для серверов - это дополнение к сетевому модулю. Он анализирует файлы регистрации с целью выявить нападение; определяет, было нападение успешным или нет; предоставляет некоторую другую информацию, недоступную в реальном масштабе времени. Каждый такой модуль установлен на рабочей станции или сервере и полностью исследует файлы регистрации этой системы по контрольным образцам нарушений защиты. Модули этого типа предотвращают дальнейшие вторжения, завершая пользовательские процессы и приостанавливая работу учетных записей пользователя. Модуль может посылать сигнал тревоги, регистрационные события и выполнять другие определяемые пользователем действия. Все модули распознавания объединяются и конфигурируются административным модулем с единственной консоли.
Сенсором Real Secure является модуль обнаружения атак Protocol Analysis Module (РАМ). Основным отличием IDS от IPS является установка относительно сети: IDS прослушивает трафик через SPAN порт, Hub или устройство ТАР, a IPS пропускает трафик через себя, что позволяет на IPS
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Исследование и разработка алгоритмов интегральной оценки безопасности информационно-телекоммуникационных систем на основе рационирования структуры частных показателей защиты информации | Дмитриев, Юрий Васильевич | 2000 |
| Методология защиты информации на основе технологий сетевого уровня мультисервисных сетей связи | Новиков, Сергей Николаевич | 2016 |
| Управление сертификатами ключей проверки электронной подписи | Аристархов, Иван Владимирович | 2012 |