Материал: Розробка підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude
Розробка підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude
АНОТАЦІЯ
Кваліфікаційна робота: 83 сторінки, 22 рисунки, 3 таблиці, 3 додатки, 24 джерела.
У даній роботі обґрунтовано розробку підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude.
Запропонована програмна реалізація дозоляє підвищити ефективність роботи адміністратора безпеки щодо виявлення вторгнень в інформаційну мережу під час її функціонування, за рахунок візуалізації даних моніторингу
СИСТЕМА ВИЯВЛЕННЯ ВТОРГНЕНЬ, АДМІНІСТРАТОР
БЕЗПЕКИ, ІНФОРМАЦІЙНА МЕРЕЖА, ЗАСОБИ ВІЗУАЛІЗАЦІЇ.
ANNОTATION
work: 83pages, 22 pictures, 3
tables, 3 application, 24 sources.this work the development of subsystems
interact with the system administrator security intrusion detection Prelude. proposed
software implementation lets improve the efficiency of the safety manager on
intrusion detection network information during its operation, through
visualization of monitoring data.DETECTION SYSTEM, SECURITY ADMINISTRATORS,
INFORMATION NETWORK VISUALIZATION TOOLS.
ЗМІСТ
ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
ВСТУП
. АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ПОСТАНОВКА ЗАДАЧІ
ДОСЛІДЖЕННЯ
.1 Роль та задачі систем виявлення вторгнень
.2 Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак
.3 Порівняльний аналіз систем виявлення вторгнень
Висновки
. ПРОЕКТУВАННЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
.1 Формування та аналіз вимог до підсистеми (програмного
модулю), що розробляється
.1.1 Вимоги до програмного забезпечення підсистеми
.2 Вимоги до технічного забезпечення підсистеми
.3 Аналіз задач і функцій, які повинна вирішувати підсистема та проектування структури підсистеми
.4 Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми
.5 Проектування бази даних підсистеми
.6 Обґрунтування вибору моделі «сутність-зв'язок»
.7 Обґрунтування вибору системи керування базами даних
.8 Концептуальне проектування бази даних
.9 Фізичне проектування бази даних підсистеми
. ПРОГРАМНА РЕАЛІЗАЦІЯ ПІДСИСТЕМИ (ПРОГРАМНОГО МОДУЛЮ)
.1 Проектування та розробка узгодженого інтерфейсу взаємодії користувача з підсистемою
.2 Розробка компоненти ведення БД підсистеми
.3 Розробка компоненти аналізу даних моніторингу об’єктів мережі
.4 Розробка компоненти візуалізації даних аналізу
.5 Інструкція користувачу по роботі з підсистемою (програмним модулем)
Висновки
. ОЦІНКА ЕФЕКТИВНОСТІ ФУНКЦІОНУВАННЯ СИСТЕМИ ТА ЗАПРОПОНОВАНИХ РІШЕНЬ
.1 Обґрунтування підходу до оцінки ефективності функціонування системи та вибір показників ефективності для оцінки отриманих
Результатів
.2 Оцінка ефективності функціонування системи та запропонованих рішень
Висновки
ЗАКЛЮЧЕННЯ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
Додаток
безпека втогнення комп’ютерна атака
ПЕРЕЛІК УМОНИХ СКОРОЧЕНЬ
IDS - intrusion detection systems;- intrusion detection message exchange format;
БД - база даних;
ГШ - генеральний штаб;
ЗС - збройні сили;
ІАД - інтелектуальний аналіз даних;
ІАС - інформаційно-аналітична система;
ІМ - інформаційна мережа;
ІС - інформаційна система;
ІТ - інформаційні технології;
ЛОМ - локальна обчислювальна мережа;
МО - міністерство оборони;
ОВУ - орган військового управління;
ОПР - особа, що приймає рішення;
ОС - операційна система;
ПЗ - програмне забезпечення;
ПК - персональний комп’ютер;
РІС - розподілена інформаційна система;
СВВ - система виявлення вторгнень;
СД - сховище даних;
СКБД
- система керування базами даних.
ВСТУП
Створення високоефективних і багатофункціональних інформаційних систем (ІС ) дозволяє на сьогоднішній день реалізувати їх в самих різних сферах життя сучасного суспільства. ІС дозволяють автоматизувати та підвищити ефективність обробки інформації шляхом застосування відповідного програмного і апаратного забезпечення. Проте використання ІС одночасно загострює і проблеми захисту ресурсів цих систем від загроз інформаційної безпеки. Однією з таких найбільш критичних загроз є можливість реалізації порушником інформаційних атак, спрямованих, наприклад, на порушення працездатності ІС або отримання несанкціонованого доступу до інформації, що зберігається в ІС, що є актуальним питанням, особливо коли автоматизація процесів управління військами визнається одним з пріоритетних напрямків розвитку ЗС України. Для протидії інформаційним атакам в даний час все частіше застосовуються спеціальні системи захисту - системи виявлення вторгнень.
В даний час інтенсивна поява і розростання інформаційного простору призводить до необхідності не тільки несанкціоновано поділити цей простір, а й контролювати і управляти процесами, які протікають в ньому. Для цього використовується, так звана, інформаційна зброя, яка представляє собою засоби знищення, перекручення або розкрадання інформації; обмеження санкціонованого допуску користувачів. Обороноздатність від такої атакуючої інформаційної зброї як комп'ютерні віруси, логічні бомби, засоби придушення інформаційного обміну в телекомунікаційних мережах, фальсифікації інформації в каналах державного та військового управління, безпосередньо залежить від правильності і надійності систем мережевого захисту інформації, у тому числі засобів виявлення і запобігання мережевих атак.
Використання інформаційних мереж має ряд очевидних переваг, першочерговою з яких для ЗС України є підвищення оперативності прийняття та доведення рішень у процесі управління військами (силами). Але поруч з перевагами використання інформаційних мереж, існують і суттєві недоліки, основним з яких є підвищені вимоги до забезпечення безпеки функціонування та відмовостійкості таких мереж. Звісно, в сучасних операційних системах та іншому програмному забезпеченні використовуються технології, що забезпечують безпеку системи та попереджують про її можливий вихід із ладу. Але, як свідчить світовий досвід, цього не достатньо для забезпечення оперативного реагування на комп’ютерні атаки. Перегляд докладного звіту подій в системі виявлення вторгнень вручну через консоль це трудомісткий рутинний процес, що уповільнює аналіз даних та реагування на події в системі виявлення вторгнень. У зв’язку з цим розробка графічних інтерфейсів розподілених систем виявлення комп’ютерних атак із використанням методів візуалізації даних, набуває все більшого та перспективного розмаху у інформаційних технологіях.
Усе вище наведене дозволяє зробити висновок щодо
необхідності підвищення ефективності роботи адміністратора безпеки
інформаційної мережі за рахунок автоматизації процесів обробки та аналізу
даних, що поступають з підсистеми моніторингу даних шляхом побудови та
впровадження підсистеми взаємодії адміністратора безпеки з системою виявлення
вторгнень Prelude.
. АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ПОСТАНОВКА ЗАДАЧІ
ДОСЛІДЖЕННЯ
.1 Роль та задачі систем виявлення вторгнень
Системи виявлення комп'ютерних вторгнень (IDS - Intrusion Detection Systems) - один з найважливіших елементів систем інформаційної безпеки інформаційної мережі органу військового управління (ОВУ), враховуючи, як зростає в останні роки число проблем, пов'язаних з комп'ютерною безпекою. Хоча технологія IDS не забезпечує повний захист інформації, проте вона грає досить помітну роль в цій галузі. Так як число і частота атак весь час збільшуються, стає дуже важливим ідентифікувати атаки на ранньому етапі їх розвитку і своєчасно зреагувати на них. У критичних випадках втручання в атаку має бути реалізовано набагато швидше, ніж зможе зреагувати людина.являють собою спеціалізовані програмно-апаратні комплекси, призначені для виявлення інформаційних атак в ІС. Типова архітектура систем виявлення вторгнень включає в себе наступні компоненти:
модулі-датчики (або модулі-сенсори), призначені для збору необхідної інформації про функціонування ІС;
модуль виявлення вторгнень, що виконує обробку даних, зібраних датчиками, з метою виявлення інформаційних вторгнень порушника;
модуль реагування на виявлені вторгнення;
модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а також результати роботи системи виявлення вторгнень. Таким модулем, як правило, є стандартна СКБД;
модуль управління компонентами системи виявлення вторгнень.
Всі перераховані вище модулі системи виявлення вторгнень можуть бути реалізовані як у вигляді одного, так і декількох програмно-апаратних компонентів
Як і багато інших механізмів захисту, технологія виявлення вторгнень повинна вирішувати кілька головних завдань:
зниження навантаження на персонал (або звільнення від нього), що відповідає за безпеку, від поточних рутинних операцій з контролю за користувачами, системами та мережами, які є компонентами інформаційної системи (ІС);
«розуміння» найчастіше незрозумілих джерел інформації про атаки (мережевого трафіку, журналів реєстрації, системних викликів і т.д.);
надання можливості управління засобами захисту не тільки експертам в галузі безпеки;
контроль всіх дій суб'єктів ІС (користувачів, програм, процесів і т.д.), в т.ч. і тими що володіють адміністративними привілеями;
розпізнавання відомих і по можливості невідомих атак попередження про них персоналу, що відповідає за забезпечення інформаційної безпеки;
аналіз інформаційних потоків. Нерідкі ситуації, коли співробітники відділів захисту інформації та відділів телекомунікацій не володіють достовірною інформацією про протоколи які використовуються в сегментах мережі [1, 2].
Механізми виявлення атак, що застосовуються в сучасних системах виявлення атак, засновані на декількох загальних методах. Слід зазначити, що ці методи не є взаємовиключними. У багатьох системах використовується комбінація декількох з них.
Технології, по яких будуються системи виявлення атак IDS (Intrusion Detection Systems), прийнято умовно ділити на дві:
виявлення аномальної поведінки (anomaly detection);
виявлення зловживань (misuse detection).
Технологія виявлення атак шляхом ідентифікації
аномальної поведінки користувача заснована на наступній гіпотезі. Аномальна
поведінка користувача (тобто атака або яка-небудь ворожа дія) часто виявляється
як відхилення від нормальної поведінки. Прикладами аномальної поведінки можуть
служити велике число з’єднань за короткий проміжок часу, високе завантаження
центрального процесора і т.п. Схематично виявлення атак на основі аномальної
поведінки зображено на рис.1.1.
Рис. 1.1. Схема виявлення атак на основі
аномальної поведінки
Якби можна було однозначно описати профіль нормальної поведінки користувача, то будь-яке відхилення від такого слідувало б ідентифікувати як аномальне. Проте аномальна поведінка не завжди є атакою. Наприклад, одночасну посилку великого числа запитів від адміністратора мережі система виявлення атак може ідентифікувати як атаку типу «відмова в обслуговуванні».
При використовуванні системи з такою технологією можливі два крайні випадки:
виявлення аномальної поведінки, яка не є атакою, і віднесення її до класу атак;
пропуск атаки, яка не підпадає під визначення» аномальної поведінки. Цей випадок більш небезпечний, ніж помилкове віднесення аномальної поведінки до класу атак.
При налаштуванні і експлуатації систем даної категорії адміністратори стикаються з наступними проблемами:
побудова профілю користувача складно формалізується і є трудомісткою задачею, що вимагає від адміністратора великої попередньої роботи;
необхідне визначення граничних значень характеристик поведінки користувача для зниження вірогідності появи одного з двох вищеназваних крайніх випадків.
Поки технологія виявлення аномалій не набула широкого поширення і не використовується ні в одній комерційно поширюваній системі. Зв’язано це з тим, що дана технологія красиво виглядає в теорії, але її дуже важко реалізувати на практиці.
Суть іншого підходу до виявлення атак -
виявлення зловживань - полягає в описі атаки у вигляді сигнатури (signature) і
пошуку даної сигнатури в контрольованому просторі (мережевому трафіку або
журналі реєстрації). Як сигнатура атаки може виступати шаблон дій або рядок
символів, що характеризують аномальну діяльність. Сигнатурний метод виявлення
атак зображено на рис.1.2.
Рис.1.2. Схема виявлення атак на основі сигнатур
Ці сигнатури зберігаються в базі даних, аналогічній тій, яка використовується в антивірусних системах. Слід зазначити, що антивірусні резидентні монітори є окремим випадком системи виявлення атак, але оскільки ці напрями спочатку розвивалися паралельно, то прийнято розділяти їх. Тому дана технологія виявлення атак дуже схожа на технологію виявлення вірусів; при цьому система може знайти всі відомі атаки, але мало пристосована для виявлення нових, ще невідомих.
Підхід, реалізований в таких системах, дуже простий, і саме на ньому засновані практично всі пропоновані сьогодні на ринку системи виявлення атак. Проте і при їх експлуатації адміністратори стикаються з проблемами. Перша складність полягає в створенні механізму опису сигнатур, тобто мови опису атак. Друга проблема, пов’язана з першою, полягає в тому, як описати атаку, щоб зафіксувати всі можливі її модифікації.
Слід зазначити, що перша проблема вже частково розв’язана в деяких продуктах. Наприклад, це система опису мережевих атак Advanced Packets Exchange, реалізована компанією Internet Security Systems Inc. і пропонована сумісно з розробленою нею системою аналізу захищеності Internet Scanner.
У практичній діяльності звичайно застосовується інша класифікація, що враховує принципи реалізації таких систем: виявлення атак на рівні мережі (network-based); виявлення атак на рівні хоста (host-based).
Системи, що входять в перший клас, аналізують мережевий трафік, використовуючи, як правило, сигнатури атак і аналіз «на льоту», тоді як системи другого класу перевіряють реєстраційні журнали ОС або додатку.
Метод аналізу «на льоту» полягає в моніторингу мережевого трафіку в реальному або близькому до реального часу і використовуванні відповідних алгоритмів виявлення. Часто використовується механізм пошуку в трафіку певних рядків, які можуть характеризувати несанкціоновану діяльність. До таких рядків можна віднести \WINNT\SYSTEM32\CONFIG (описує шлях до файлів SAM, Security і т.д.) або /etc/passwd (описує шлях до списку паролів ОС UNIX).
Аналіз журналів реєстрації - один з найперших реалізованих методів виявлення атак. Він полягає в аналізі журналів реєстрації (log, audit trail), створюваних операційною системою, прикладним програмним забезпеченням, маршрутизаторами і т.д. Записи журналу реєстрації аналізуються і інтерпретуються системою виявлення атак.
До переваг даного методу відноситься простота його реалізації. Проте за цією простотою ховається ряд недоліків:
для достовірного виявлення тієї або іншої підозрілої діяльності необхідна реєстрація в журналах великого об’єму даних, що негативно позначається на швидкості роботи контрольованої системи;
при аналізі журналів реєстрації дуже важко обійтися без допомоги фахівців, що істотно звужує круг розповсюдження цього методу;
до нашого часу немає уніфікованого формату збереження журналів;
аналіз записів в журналах реєстрації здійснюється не в режимі реального часу, тому даний метод не може бути застосований для раннього виявлення атак в процесі їх розвитку.
Як правило, аналіз журналів реєстрації є доповненням до інших методів виявлення атак, зокрема до виявлення атак «на льоту». Використовування даного підходу дозволяє проводити аналіз вже після того, як була зафіксовано вторгнення, щоб виробити ефективні заходи запобігання аналогічним атакам в майбутньому.
Кожний з двох класів систем виявлення атак (на рівні мережі і на рівні хоста) має свої переваги і недоліки. Необхідно зазначити, що лише деякі системи виявлення атак можуть бути однозначно віднесені до одного з названих класів. Як правило, вони включають можливості декількох категорій. Проте, приведена класифікація відображає ключові можливості, що відрізняють одну систему виявлення атак від іншої.