Модели нарушителей глобальной информационной системы Интернет. Классификация угроз в соответствии с IT-Baseline Protection Manual. Реализация DoS/DDos атак. Программная реализация Snort: установка, препроцессоры и структура модулей обнаружения и вывода.
При низкой оригинальности работы "Разработка и анализ эффективности средств отражения распределенных атак", Вы можете повысить уникальность этой работы до 80-100%
В настоящее время, трудно себе представить успешную компанию, не использующую для организации делопроизводства достижения науки и техники в сфере информационных технологий. Такие средства криптографии как электронная цифровая подпись способны обеспечить обеспечение таких базовых услуг информационных систем как конфиденциальность, целостность информации и т.д [3]. К сожалению, в последнее время все большее распространение получил целый класс атак (DOS/DDOS), направленных на отказ в обслуживании. Успешная реализация таких атак позволяет блокировать доступ пользователей информационных систем к ресурсам различных серверов, что может вывести из рабочего состояния всю систему. В большинстве случаев, для организации таких атак используются компьютеры "мирных" пользователей без их ведома и согласия.Одним из замечательных продуктов этих технологий являются информационные системы (ИС), повсеместно внедряемые во всяческие сферы человеческой деятельности. Далее под информационной системой будем понимать объединенную совокупность аппаратных, программно-аппаратных и программных средств, осуществляющих создание, хранение, обработку и уничтожение разнообразной информации, а так же обмен ею путем взаимодействия между собой [6]. При низкой стоимости услуг (часто это только фиксированная ежемесячная плата за используемые линии или телефон) пользователи могут получить доступ к коммерческим и некоммерческим информационным службам практически всех мировых стран. В архивах свободного доступа сети Internet можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий до прогноза погоды на ближайший месяц. Кроме того, сообщение, посланное по электронной почте, дойдет до адресата за короткий промежуток времени (от нескольких десятков секунд), в то время как обычное письмо может добираться до адресата несколько дней и недель.В соответствии с [3], нарушитель - это пользователь, который осуществляет несанкционированный доступ к информации. Здесь стоит отметить, что под несанкционированным доступом к информации может быть как ознакомление с ней таки и ее редактирование и удаление. В соответствии с нормативными документами, действующими в Украине, определены четыре уровня возможностей нарушителя в ИС системе [9]: 1. Первый уровень - нарушитель, имеющий ограниченные средства и самостоятельно создающий средства и методы атак на средства КЗИ и ИТС, с применением широко распространенного ПО и вычислительной техники.Ущерб может заключаться в нарушении свойств информации путем ее разрушения, искажения или несанкционированного ознакомления, либо в разрушении, искажении или несанкционированном использовании ресурсов системы.В этом стандарте приводится перечень возможных угроз, а так же рекомендуются организационные и технические меры для защиты от них.Угрозы, связанные с техническими неисправностями.Ущерб в этом случае проявляется в том, что болезнь, смерть или забастовки персонала могут привести к прерыванию выполнения критичных задач, или выходу из строя критичных ресурсов. Например, во время пожара оборудование может подвергаться деструктивному воздействию не только от контакта с открытым огнем, но и под действием газовых смесей, образующихся при горении. Так же к угрозам этой группы относятся недопустимые температуры и влажность, пыль и грязь, который могут привести к выходу из строя некоторых ресурсов информационной системы. Для систем, подсистемы которых тесно связаны между собой, серьезными угрозами являются отказы и сбои в системе.Угрозы этой группы характеризуются тем, что их источником являются недоработки организационного характера. К таким угрозам относятся отсутствие или несовершенство регламентирующих правил и документов, недостаточное ознакомление с ними персонала, низкокачественный мониторинг и аудит мер ИТ безопасности. Например, если в политике безопасности не запрещено использование неучтенных носителей данных, или служащий не ознакомлен с этим положением, то значительно повышается вероятность попадания в корпоративную сеть вредоносного ПО (adware - вирусов, троянских коней и т.д.), принесенного сотрудником из дома на flash диске.Например, если пользователь распечатал информацию на принтере и забыл забрать распечатку, то ее содержание может стать доступно не имеющим на это прав пользователям. Например, хранение носителей информации в закрытом ящике стола еще не гарантирует достаточной защиты от неавторизованного доступа. Большая часть угроз этой группы связана с некорректным администрированием и настройкой системы. 1.3.1.4 Угрозы, связанные с техническими неисправностями. В результате реализации таких угроз может выйти из строя оборудование, что в свою очередь может привести к остановке функционирования всей системы, или ее отдельных компонентов.Конфиденциальность - это свойство информации, заключающееся в том, что она не может быть получена неавторизованным пользователем и (или) процессом [3]. Целостность - это свойство информации, заключающееся в том, что она не может
План
СОДЕРЖАНИЕ
СОКРАЩЕНИЯ И УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
ВВЕДЕНИЕ
1. ОПИСАНИЕ ИС
1.1 Описание ИС
1.2 Модель нарушителя
1.3 Модель угроз
1.3.1. Классификация угроз в соответствии с IT-Baseline Protection Manual
1.3.1.1 Угрозы, связанные с форс-мажорными обстоятельствами
1.3.1.2 Угрозы, связанные с недостатками организации и управления
1.3.1.3 Угрозы, связанные с человеческим фактором
1.3.1.4 Угрозы, связанные с техническими неисправностями
1.3.1.5 Угрозы, связанные со спланированными действиями нарушителей
1.3.2 Классификация угроз по нарушаемым базовым услугам ИС
1.3.2.1 Угрозы нарушения конфиденциальности информации
1.3.2.2 Угрозы нарушения целостности информации
1.3.2.3 Угрозы нарушения аутентичности
1.3.2.4 Угрозы нарушения наблюдаемости
1.3.2.5 Угрозы нарушения доступности ресурсов
1.4 Особенности реализации DOS/DDOS атак. TCP SYN атака
1.5 Постановка задач по защите от угроз
2. ИЗВЕСТНЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ TCP SYN АТАКЕ
2.1 TCP SYN cookies
2.2 TCP RST cookies
2.3 Floodgate
2.4 Предмаршрутизационная фильтрация
2.5 Random/Old Drop
2.6 Syn-Proxy
2.7 Stack tweaking
2.8 BLACKLISTING
3. МАТЕМАТИЧЕСКАЯ МОДЕЛЬ TCP SYN АТАКИ
3.1 Краткие сведения из теории систем массового обслуживания
3.2 Поток требования СМО
3.3. Сервер TCP соединения как СМО
3.4 СМО с бесконечным количеством обслуживающих приборов
3.5 Модель, учитывающая потерю пакетов в сети
4. МЕТОДИКИ СБОРА ДАННЫХ
4.1 Определение времени прохождения IP пакета по сети Internet
4.2 Определение вероятности потери пакетов в сети
4.3 Определение интенсивности входящего потока требований
5. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ
5.1 Особенности установки Snort
5.2 Внутренняя структура Snort
5.2.1 Препроцессоры
5.2.2 Модули обнаружения
5.2.3 Модули вывода
5.3 Разработка модуля обнаружения
5.3.1 Структура модуля TCPCONNESTTIMECHECKER
5.3.2 Структура модуля TCPSYNFLOODPREVENTIONMODULE
5.3.3 Взаимодействие TCPCONNESTTIMECHECKER и TCPSYNFLOODPREVENTIONMODULE в реализации tcp_syn_flood
ВЫВОДЫ
ПЕРЕЧЕНЬ ССЫЛОК
ПРИЛОЖЕНИЯ
СОКРАЩЕНИЯ И УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
