Проведение анализа существующих систем защиты компьютерных систем - Дипломная работа

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. Одним из первых количественную оценку значимости сетей дал Роберт Меткалф, участвовавший в создании Ethernet: по его оценке «значимость» сети во всех смыслах пропорциональна квадрату числа узлов в ней. Обеспечение работоспособности сети и функционирующих в ней информационных систем зависит не только от надежности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение ее работы. В последнее время четко наблюдается курс на всеобщую глобализацию, создаются транснациональные корпорации, успех которых зависит от скорости обмена информацией между филиалами. По некоторым данным, 92% всех взломов остаются неразглашенными, так как информация о взломе базы данных компании или о проникновении хакеров в сеть какого-либо банка может нанести огромный ущерб репутации пострадавшего предприятия.Обычно экономия времени и денег при организации сложных и простых распределенных сетей приводит к появлению явных и неявных угроз информационной безопасности. Поэтому часто применяются различные методы защиты подобного рода сетей от перехвата информации, например, организация виртуальных частных сетей. Но основным недостатком таких решений по-прежнему является высокая цена, и если крупные компании могут позволить себе эти решения, то небольшим компаниям они обойдутся неоправданно высоко. В данной дипломной работе были поставлены следующие задачи: - создание транспортной подсистемы системы обнаружения атак, которая будет быстро и эффективно передавать данные об обнаруженных сенсором атаках от клиента серверу, за минимальное время и без потерь и искажений информации; Таким образом, задача, решаемая в данной работе, состоит в следующем: - ознакомиться с информацией по данной теме;Они могли заметить атаку, обратив, к примеру, внимание на то, что пользователь, который должен находится в отпуске, вошел в систему, причем локально, либо необычайно активен принтер, который крайне редко используется. Это позволило обнаруживать атаки и попытки атак в момент их проведения, что, в свою очередь, дало возможность немедленно принимать ответные меры, а, в некоторых случаях, даже предупреждать атаки. Эти средства называют системами обнаружения атак на уровне хоста (Host-based Intrusion Detection Systems) или мониторами регистрационных файлов (Log-file monitors). При этом связи между системами, установленными на различных компьютерах нет, и администратору безопасности приходится либо загружать журналы регистрации системы обнаружения атак (IDS) на свой компьютер при помощи других средств, либо анализировать эти журналы на каждом компьютере. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером.Таким образом, системы обнаружения атак могут быть классифицированы по этапам осуществления атаки: - Системы, функционирующие на первом этапе осуществления атак и позволяющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Системы, функционирующие на втором этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Системы, функционирующие на третьем этапе осуществления атаки и позволяющие обнаружить уже совершенные атаки. Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, в сети могут работать ОС семейства Windows, Netware, Linux, MACOS, и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.Принимая во внимание механизм трансляции пакетов в технологии Ethernet, необходимо учесть следующую особенность архитектуры сети: если сеть узла Internet разбита на подсети с использованием маршрутизаторов с двумя и более сетевыми интерфейсами, то рабочая станция с установленным средством просмотра должна находиться в подсети, маршрутизатор которой является основным для всех остальных подсетей. Обычно сетевые сенсоры системы обнаружения атак устанавливаются на следующих участках сети: - между маршрутизатором и межсетевым экраном; Именно эта задача определяет первый вариант установки сетевого сенсора - между маршрутизатором и межсетевым экраном. Этот вариант позволит контролировать весь трафик, входящий в корпоративную сеть (в том числе и в демилитаризованную зону), а также весь исходящий трафик, который не блокируется межсетевым экраном. Кроме того, не стоит упускать из виду, что трафик, попадающий в сеть не чер

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА I. АНАЛИЗ ТЕХНИЧЕСКОГО ЗАДАНИЯ

ГЛАВА II. СУЩЕСТВУЮЩИЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

2.1 Обзор технологий обнаружения атак

2.2 Обзор систем обнаружения атак

2.2.1 Размещение сенсоров

2.2.2 Основные проблемы существующих технологий обнаружения атак

2.3 Выводы

ГЛАВА III. АРХИТЕКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

3.1 Клиент - серверная технология

3.2 Модуль шифрования

3.3 Модуль накопления и хранения предупреждений

3.4 Алгоритм работы подсистемы

3.5 Выводы

ГЛАВА IV. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ

4.1 Общая блок-схема подсистемы

4.2 Реализация клиент-серверной технологии

4.2.1 Серверная часть программы

4.2.2 Клиентская часть программы

4.3 Реализация модуля шифрования

4.4 Реализация модуля накопления и хранения предупреждений

ГЛАВА V. РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

ПРИЛОЖЕНИЕ А ПРИЛОЖЕНИЕ Б