Курсовая работа на тему: Способ и устройство обнаружения аномалий в сетях

Введение

Даже с самой совершенной защитой компьютерные системы нельзя назвать абсолютно неуязвимыми. В настоящее время актуальное значение приобрела проблема обнаружения аномалий в работе сетевых устройств, являющихся как результатом сетевых атак хакеров, так и сбоев в работе аппаратуры и программного обеспечения.

Существующие системы, решающие эту проблему, имеют серьезные ограничения, связанные с принципами функционирования реализованных в них сигнатурных методов обнаружения:

- для любой новой аномалии (атаки) требуется создание новой сигнатуры;

- существуют методы, позволяющие хакерам "обходить" сигнатуры на основе разнообразных методов изменения атакующих воздействий.

Понятие "обнаружение аномалий" возникло сравнительно недавно и сразу привлекло внимание специалистов в области сетевой безопасности. В середине 2003 года на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг сетевой безопасности начали активно предлагать соответствующие решения. Согласно прогнозам Gartner, 85% крупнейших международных компаний с вероятностью 0.8 воспользуются к 2007 году функциями современных систем обнаружения аномалий.

В разработанном Научно-техническим советом НАТО ранжированном списке из 11 важнейших технических задач на период 2002-2007 гг. три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах на основе TCP/IР. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО существующие системы обнаружения вторжений (IDS) ежедневно обнаруживают в среднем 400-600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают: данное число составляет не более 14-17% от общего числа реально осуществляемых атак и воздействий нарушителей. По понятным причинам эти факты настораживают и вызывают определенное беспокойство у специалистов в области защиты информации.

Оглавление

- Введение 6

- Из истории обнаружения вторжений

- Обзор технологий обнаружения вторжений

- Проблемы сбора данных

- Средства обнаружения атак

- Парадигмы в обнаружении вторжений

- Методы обнаружения

- Обнаружение аномалий

- Обнаружение злоупотреблений

- Ответные действия после вторжения

- Эффективность системы

- Производительность

- Анализ в масштабе всей сети

- Уведомления о взломе

- Заключение 24

- Список используемой литературы 26

Заключение

Даже по мере того, как защита сетей становится все надежнее, обнаружение аномалий всегда останется неотъемлемой частью любой серьезной системы безопасности. Сложившаяся сейчас тенденция к установке распределенных и специализированных датчиков приведет к появлению систем, состоящих из сотен, возможно даже тысяч датчиков, подключенных к сети с помощью инфраструктуры, которая поддерживает связь, контроль или изменение конфигурации. Хотя тип и характеристики данной инфраструктуры могут варьироваться, все они должны иметь возможность масштабироваться в очень больших пределах. Кроме того, процедура анализа, в конечном итоге, будет перенесена с низкоуровневых датчиков на высокоуровневые анализаторы, которые предоставят администраторам более полную и точную картину событий, важных для безопасности сети в целом.

В ближайшем будущем технология датчиков будет интегрирована в повседневную вычислительную среду. Нечто похожее произошло с межсетевыми экранами, которые теперь являются неотъемлемой частью операционных систем: и Unix, и Windows снабжены функциональностью, характерной для межсетевых экранов на базе хостов. Теперь настало время, когда операционные системы и сетевое программное обеспечение должны интегрировать датчики обнаружения вторжений. Обнаружение вторжений, без сомнения, станет обязательной функцией.

Повсеместная, распределенная сеть может быть развернута, если только есть возможность интегрировать различные виды датчиков, работающих на разных платформах, в разных средах и операционных системах. В силу этого необходимы стандарты, которые обеспечат интероперабельность. Первый шаг в этом направлении - стандарт Intrusion Detection Message Exchange Format, предложенный рабочей группой Intrusion Detection Working Group в составе Internet Engineering Task Force. IDMEF определяет формат предупреждений и протокол обмена предупреждениями. Необходимо предпринять дополнительные усилия, чтобы сформировать так называемую онтологию, которая позволит датчикам достигнуть соглашения по интерпретации воспринимаемой ими информации. Без такого общего способа описания используемых объектов датчики по-прежнему будут по-разному трактовать данные при обнаружении одного и того же вторжения.

По мере развития программных технологий обнаружения вторжений они могут трансформироваться в технологию датчиков, реализуемых аппаратно. Новые виды распределенных датчиков могут одновременно открыть новые направления в области обнаружения вторжений. Возможно, когда-нибудь наша оснащенная датчиками одежда будет способна выявлять вора-карманника. Перспективы эти исключительно заманчивы, если не безграничны.

Список литературы

1. Люцарев В.С., Ермаков К.В., Рудный Е.Б., Ермаков И.В. Безопасность компьютерных сетей на основе Windows NТ. - Москва, Русская редакция. - 1998.

2. С. Ко, М. Ruschitzka, К. Levitt, "Execution Monitoring оf Security-Critical Programs in Distributed Systems: А Specification-Based Approach", Proc. 1997

3. Хуотаринен А.В., Щеглов А.Ю. Технология физической защиты сетевых устройству/Экономика и производство. - №4. - 2002.

4. Щеглов А.Ю.Дарасюк М.В., Оголюк А.А. Технология защиты рабочих станций в сетевых архитектурах клиент-сервер//ВУТЕ. Россия - №1 - 2000.

Список использованных Интернет-ресурсов: