Программная система и способ выявления угроз информационной безопасности в компьютерных сетях
ВВЕДЕНИЕ
В ходе своего развития глобальная вычислительная сеть Интернет постепенно оказывает влияние на все новые и новые сферы нашей жизни, становясь наиболее востребованным каналом социальных коммуникаций. Отрасли экономики, непосредственно связанные с информационными и телекоммуникационными технологиями, по сравнению с традиционной промышленностью, растут более быстрыми темпами и приобретают все большее значение. Происходит стремительное развитие единого глобального информационно-телекоммуникационного пространства. Появляются новые социальные группы, формируется новая идеология, новый образ жизни. К сожалению, на сегодняшний день наблюдается стремительный рост не только новых технологий, обеспечивающих информационную потребность антропогенной сферы, но и разнообразия преступных действий, осуществляемых с помощью этих же новых средств и зачастую имеющих последствия, выходящие далеко за пределы области их реализации.
Сегодня мы наблюдаем появление новых видов преступлений, облас
СОДЕРЖАНИЕ
Обозначения и сокращения 5
Введение 6
Глава 1. Обзор существующих методов и систем обнаружения сетевых атак 17
1.1 Классификация существующих подходов к обнаружению атак 20
1.2 Известные методы и технологии обнаружения атак 21
1.2.1 Методы сигнатурного анализа 21
1.2.2 Методы статистического анализа 22
1.2.3 Нейросетевые методы 23
1.2.4 Искусственные иммунные системы 24
1.2.5 Графовые модели атак 25
1.2.6 Биометрические методы 25
1.2.7 Методы кластерного анализа 26
1.2.8 Экспертные системы 26
1.2.9 Сводная характеристика рассмотренных методов обнаружения атак 27
1.3 Обзор и анализ существующих систем обнаружения сетевых атак 28
1.3.1 Система обнаружения атак Snort 29
1.3.2 Система обнаружения атак Bro 30
1.3.3 Система обнаружения атак STАТ 31
1.3.4 Система обнаружения атака Prelude 32
1.3.5 Система обнаружения атак OSSEC 33
1.3.6 Аппаратно-программные средства Cisco Secure IPS 34
1.3.7 Система обнаружения атак RealSecure (IBM ISS) 34
1.3.8 Средства обнаружения атак Symantec Network Security 36
1.3.9 Система обнаружения атак eTrust Intrusion Detection 36
1.3.10 Сводная характеристика рассмотренных СОА 37
1.4 Обзор и анализ существующих алгоритмов поиска сигнатур в сетевом трафике 40
1.5 Постановка задач исследования 46
1.6 Выводы 48
Глава 2. Разработка модели сетевой атаки и метода обнаружения угроз на базе событий безопасности 49
2.1 Модель атаки 56
2.2 Вспомогательные понятия 58
2.3 Алгоритм анализа событий безопасности для обнаружения атак 61
2.4 Архитектура сенсора 67
2.5 Способ размещения сенсоров 70
2.6 Выводы 73
Глава 3. Разработка способа обработки сетевого трафика и локальных событий уровня хоста и алгоритма быстрого поиска для обнаружения сигнатур с неточным соответствием 74
3.1 Способ обработки сетевого трафика и локальных событий 74
3.2 Модификация алгоритма Ахо-Корасик для поиска неточного соответствия 78
3.3 Выводы ........................................, 90
Глава 4. Разработка программной системы выявления угроз информационной безопасности и проведение экспериментальных исследований 91
4.1 Программная системы обнаружения угроз 91
4.2 Архитектура программной системы 92
4.2.1 Архитектура и алгоритмы работы сетевого сенсора 94
4.2.2 Разработка программных модулей сетевого сенсора 96
4.2.3 Обработчики сообщений ядра сетевого сенсора 99
4.2.4 Встроенные и подключаемые модули сенсора 102
4.2.5 Структура сообщения ядра сенсора 105
4.2.6 Формат правил настройки сенсоров 107
4.3 Проведение экспериментальных исследований 109
4.4 Выводы 117
Заключение 118
Список литературы 121
СПИСОК ЛИТЕРАТУРЫ
1. Aho Alfred V., Corasick Margaret J. Efficient String Matching: An Aid to BiЬliographic Search // Communications ofthe АСМ, Number 6, 1975.
2. Boyer R.S., J.S. Moore. А fast string searching algorithm // Communications of the АСМ 20, October 1977.
3. Commentz-Walter, В. А string matching algorithm fast on the average. // Proc. 6th Intemational Colloquium on Automata, Languages, and Programming 1979.
4. CVE-Common VulneraЬilities and Exposures [Электронный ресурс] / The MITRE Corporation, 2011/ Режим достуа: http://cve.mitre.org/.
5. Cormen Т.М., Leiserson С.Е., Rivest R.L., Stein С. Introduction to Algorithms, Second Edition // MIT Press and McGraw-Hill. Chapter 32: String Matching, 2001, рр.906-932.
6. Coull Scott, Branch Joel, Szymansky Boleslaw, Bremier Eric. Intrusion Detection: А Bioinformatics Approach/ // Computer Security Applications Conference, 2003. Proceedings. 19th Annual.
7. Common Vulnerability Scoring System (CVSS-SIG) [Электронный ресурс.]/ FIRST.org, Inc. Режим доступа: http://www.first.org/cvss/.
8. Gorodetskiy V., Kotenko I., Attacks against Computer Network: Formal Grammar-Based Framework and Simulation Tool. Conference proceedings // Fifth Intemational Symposium. RAID 2002. Zurich, Switzerland. October 2002. Proceedings. Р.219-238.
9. Karp Richard М., RaЬin Michael О. Efficient randomized pattem-matching algorithms // IBM Joumal of Research and Development, Volume: 31 Issue:2, 1987.
10. Kaspersky Security Bulletin 201О [Электронный ресурс]/ Kaspersky Lab ZAO, 2010 Режим доступа http://www.securelist.com/.
11. Кnuth Donald Е., Moпis James Н., Pratt Vaughan R. Fast pattem matching in strings // SIAM Joumal on Computing 6 (2), 1977
12. Lindqvist U., Ропаs Р.А. Detecting Computer and Network Misuse with the Production-Based Expert System Toolset // IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif., 1999.
13. Sandeep Kumar and Eugene Н. Spafford, "А pattem matching model for misuse intrusion detection." // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994
14. Sandeep Kumar and Eugene Н. Spafford, "An application of pattem matching in intrusion detection." // Technical Report CSD-TR-94-013, The COAST Project, Dept. of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994
15. Schneier В. Modelling security threats // Dr. Dobb's Joumal, December, 1999.
16. Sebring, М., Shellhouse, Е., Hanna, М. & Whitehurst, R. Expert Systems in Intrusion Detection: А Case Study. // Proceedings of the 11th National Computer Security Conference, 1988
17. Sheyner, Oleg "Scenario Graphs and A
Эта информация содержится в таблице сдвигов. Временная
сложность работы алгоритма в худшем случае О(тп), а сложность построения таблицы O(l) для каждого из п шаблонов. Суммарное время работы алгоритма в среднем О ( т + п).
Данный метод хорошо работает для образцов и текстов с большимколичеством повторов, что, впрочем, редко встречаются на практике. Поэтому в среднем алгоритм Кнута-Морриса-Пратта не намного быстрее наивного метода. Зато ему не требуется проводить перебор с возвратами во входном тексте, что избавляет от необходимости использовать схемы буферизации, например, при чтении текстов с устройств последовательного доступа.
Алгоритм Рабина-Карпа использует принципиально другой метод поиска, основанный на использовании хэш-таблиц. В основе алгоритма лежит факт, что если две строки одинаковы, то и хэ