Природа и основные цели информационных компьютерных атак. Определение класса атак компьютерных сетей, уровни наблюдения за информационной системой. Адаптивность к неизвестным вирусным атакам и формирование ответной защитной реакции компьютерных систем.
Аннотация к работе
Курсовая работаВ конце 70-х - начале 80-х годов прошлого века стали появляться первые системы обнаружения атак на вычислительные системы. Поэтому формальные методы обнаружения атак проработаны недостаточно для широкого использования в реальных системах. Они все используют некоторые априорные предположения о том, что есть атака, какое поведение объекта в сети можно считать нормальным, а какое подозрительным. Коммерческие системы большей частью используют один и тот же эвристический метод обнаружения, основанный на экспертном подходе, когда система анализирует наблюдаемое поведение объектов в сети на основе существующей у нее базы описаний известных атак. Для экспериментальных систем характерно использование в большей степени формализованных методов обнаружения атак, которые используют формальную модель атаки и пытаются приблизить процесс ее обнаружения к полной автоматизации.Далее по каждому из критериев оценивалось соответствие ему каждой системы в отдельности и сравнение полученных характеристик систем в совокупности. Это один из ключевых критериев, так как сегодня ни одна система не способна обнаруживать атаки всех классов. Следующий критерий характеризует источники и способы сбора информации о поведении объектов и состоянии ресурсов: Уровень наблюдения за системой. От уровня наблюдения за системой зависит скорость сбора информации, влияние системы на собираемую информацию, вероятность получения искаженной информации. Следующий критерий определяет эффективность обнаружения атаки на основе анализа полученной информации.В данном разделе приводятся результаты сравнения рассмотренных семи СОА.Системы, рассмотренные в данной работе, предназначены для обнаружения атак разных классов. Другие системы обнаруживают только внешние (сетевые) атаки и используют для анализа информацию, получаемую из каналов передачи данных в сети (SHADOW, Snort, SNORTNET). В пределах атак тех классов, на которые они ориентированы, все системы имеют различную полноту обнаружения, т.е. потенциальное число обнаруживаемых атак (отношение числа обнаруженных атак к числу проведенных атак). Система имеет набор агентов, обнаруживающих аномалии для конкретных групп ресурсов. По классам обнаружения сетевых атак Prelude превосходит систему Snort, так как способна использовать базу описаний атак этой системы в дополнение к собственной.Система AAFID имеет в своем составе набор агентов, которые в явном виде используют характеристики атак, заданные человеком, реализовавшим агенты. Агенты представляют собой программные модули, написанные на алгоритмическом языке общего назначения, в которых жестко определены признаки тех атак, для обнаружения которых они предназначены. Система ASAX использует язык описания сценариев атак RUSSEL, который по описательной мощности эквивалентен алгоритмическому языку C [1]. Система NETSTAT использует язык описания сценариев атак STATL, особенностью которого является возможность описания сценария атаки в виде последовательности состояний атакуемого ресурса. Система Prelude использует отдельные базы сигнатур атак для сетевых данных и для журналов регистрации.Возможно использование экспериментального модуля статистического анализа системы Snort, но его эффективность не изучена.Поэтому большинство систем управляются локально с тех узлов, на которых установлены их компоненты. Некоторые системы имеют подсистемы управления удаленно через web-интерфейс (SHADOW, Prelude), но возможности этих интерфейсов ограничены. Система AAFID управляется централизованно с основного монитора системы (пользовательского интерфейса). Система ASAX управляется централизованно на том узле, где она установлена, при помощи файлов конфигурации. Система NETSTAT управляется распределенно через файлы конфигурации на всех узлах, где расположены компоненты системы.Все рассмотренные системы, кроме SHADOW, являются расширяемыми за счет добавления новых модулей со стандартизированным интерфейсом, а также за счет использования стандартных протоколов обмена сообщениями. AAFID имеет открытый интерфейс для добавления новых агентов и фильтров. Prelude имеет открытый интерфейс для добавления новых модулей анализа и реагирования, ведения журналов регистрации.Встроенную возможность реагирования на атаку имеют системы NETSTAT, Prelude и Snort.AAFID неустойчива к возможным атакам, направленным на нее саму, в силу особенностей реализации - использование алгоритмического языка Perl, который позволяет изменение программного кода на этапе выполнения. NETSTAT, Prelude, SNORTNET используют библиотеку OPENSSL для шифрования канала между компонентами. В системе используется специализированная библиотека, которая делает безопасными такие библиотечные функции алгоритмического языка С функции как printf, strcpy, которые не проверяют размер передаваемых им данных.4.1 приведены сводные результаты сравнения рассмотренных систем по выбранным критериям.Для каждой системы описывается ее архитектура, используемая платформа и некоторые индивидуальные особенности.
План
Содержание
1. Введение
2. Исследования системы обнаружения атак
3. Методика и критерии сравнения
4. Результаты
4.1 Класс обнаруживаемых атак
4.2 Уровень наблюдения за системой
4.3 Используемый метод обнаружения
4.4 Адаптивность к неизвестным атакам
4.5 Управление
4.6 Расширяемость
4.7 Формирование ответной реакции на атаку
4.8 Защищенность
4.9 Итоговая таблица по критериям сравнения
5. Описание исследованных систем
5.1 AAFID
5.2 ASAX
5.3 NETSTAT
5.4 SHADOW
5.5 Prelube
5.6 Snort
5.7 SNORTNET
6. Выводы
7. Список использованной литературы вирус атака информация компьютерная сеть