Доставка любой диссертации в формате PDF и WORD за 499 руб. на e-mail - 20 мин. 800 000 наименований диссертаций и авторефератов. Все авторефераты диссертаций - БЕСПЛАТНО
Половко, Иван Юрьевич
05.13.19
Кандидатская
2012
Таганрог
157 с. : ил.
Стоимость:
499 руб.
Оглавление
ВВЕДЕНИЕ
1 Исследование и анализ методов и систем обнаружения сетевых атак
1.1 Основные проблемы при использовании СОА
1.2 Используемые критерии сравнения
1.2.1 Критерии, применяемые для сравнения методов обнаружения атак
1.2.2 Критерии, применяемые для сравнения СОА
1.3 Методы и подходы к обнаружению атак
1.3.1 Методы обнаружения злоупотреблений
1.3.2 Методы обнаружения аномалий
1.3.3 Результаты сравнительного анализа методов обнаружения атак
1.4 Современные СОА с открытым исходным кодом
1.4.1. Перечень исследованных СОА
1.4.2. Результаты сравнительного анализа СОА
1.5 Описание проанализированных систем обнаружения атак
1.5.1 СОА Вго
1.5.2 Open Source Host-based Intrusion Detection System
1.5.3 State Transition Analysis Technique
1.5.4 COA Prelude
1.5.5 СОА/СПА Snort
1.6 Заключение и выводы
2 Разработка требований к составу характеристик для сравнения СОА
2.1 Основные значимые компоненты СОА
2.2 Разработка требований для оценки качественных характеристик СОА
2.2.1 Область действия качественных характеристик
2.2.2 Перечень функциональных характеристик
2.3 Разработка требований для оценки производительности СОА
2.4 Зависимость качественных характеристик от количественных
2.5 Заключение
3. Разработка системы оценки качества СОА
3.1 Общие положения
3.2 Анализ взаимосвязи характеристик СОА и примитивных операций
3.3 Обоснование требований к составу программно-аппаратного комплекса и структуре системы оценки качества
3.3.1 Обоснование требований к составу программно-аппаратного комплекса
для проведения тестовых проверок
3.3.2 Структура системы оценки качества СОА
3.4 Разработка методики оценки качества СОА
3.5 Заключение
4. Экспериментальные исследования и сравнение с аналогами
4.1 Описание разработанного ПО
4.1.1 Язык описания сценариев атак
4.1.2 Основные функции по работе с сетью
4.1.3 Руководство по использованию средств имитации атак
4.1.4 Разработка средств тестирования производительности
4.1.5 Руководство по использованию средств тестирования
производительности
4.2 Экспериментальные исследования и сравнение с аналогами
4.2.1 Экспериментальное исследование применения методики оценки качества СОА
4.2.2 Сравнение с аналогами
4.3 Заключение
ЗАКЛЮЧЕНИЕ
Список литературы
Приложение А
Приложение Б
Приложение В
Приложение Г
ВВЕДЕНИЕ
Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании ЕЙтегпер «значимость» сети пропорциональна квадрату числа узлов в ней, то есть, зависимость от нормальной работы сетей, растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем, зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение её работы.
Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и
зарубежных исследователей в этой области, таких как [А.Аграновский
В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.
Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак, изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.
Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (СОА) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на
подобные механизмы. Другими словами, подход STAT лишен недостатков, присущих сигнатурному подходу. Методы, заложенные в сценариях STAT, могут быть применены для создания любого вида датчиков HIDS, NIDS и AIDS, что делает данную технологию универсальной. К примеру, два тогда еще концептуальных датчика NetSTAT и USTAT, прошли в конце прошлого века полевые испытания в MIT Lincoln Laboratory и Air Force Research Laboratory (AFRL). В ходе которых заслужили высокую оценку и, что самое главное, была доказана жизненность предложенных методик обнаружения атак и обнаружена схожесть путей представления сценариев атак и архитектуры различных типов датчиков.
Методика анализа смены состояний (STAT) описывает возможные угрозы, как некие сценарии. В сценариях атаки представлены как последовательности состояний, которые характеризуют эволюцию состояний защиты системы от начального до скомпрометированного. Описания атак включают в себя как минимум две позиции: запускающее initial-состояние и, по крайней мере, одно конечное состояние компрометации системы. Так, в сценарии атаки, описывающей попытку нарушить защиту операционной системы, формулируются утверждения вроде монопольного использования файла, идентификации или авторизации пользователя, а в сценарии, описывающем сканирование портов, описываются типичные действия и сегменты TCP, используемые при сканировании портов хоста.
Для описания сценариев атаки используется расширяемый язык STATL. Вообще необходимо отметить, в последнее время заметен интерес к подобным разработкам и появилось множество языков, что полностью оправдывает себя, т.к. появляется возможность выявить общие закономерности, присущие атакам, произвести их классификацию и анализ зависимостей среди различных атак, что позволит опознавать скоординированные и растянутые по времени атаки против компьютерных систем. По крайней мере, сейчас известны шесть категорий «attack languages»: языки событий, языки реакции, языки отчетов,
Название работы | Автор | Дата защиты |
---|---|---|
Разработка метода оценивания эффективности систем защиты информации | Парахин, Виктор Николаевич | 1999 |
Модель и метод двухпотоковой аутентификации субъекта при построении системы защиты информации | Корбаинова, Елена Владимировна | 2011 |
Обоснование мероприятий информационной безопасности социально-важных объектов | Носаль, Ирина Алексеевна | 2015 |