Главная
АИ #2 (184)
Статьи журнала АИ #2 (184)
Анализ систем обнаружения вторжений (часть 1)

Анализ систем обнаружения вторжений (часть 1)

Рубрика

Информационные технологии

Ключевые слова

информационная безопасность
защита информации
система обнаружения вторжений
система обнаружения атак
методы обнаружения атак
информационные технологии

Аннотация статьи

Современное развитие компьютерных сетей в организациях вызывает все большой интерес у злоумышленников, которые стремятся получить несанкционированный доступ к информационным ресурсам. Это создает серьезные проблемы в области информационной безопасности и требует разработки новых подходов для ее обеспечения. Одним из актуальных направлений в области технологий является построение систем обнаружений вторжений. Существует множество исследований, посвященных этой тематике, которые предлагают различные методы обнаружения вторжений. В данной статье мы рассмотрим несколько современных методов и проанализируем их достоинства и недостатки.

Текст статьи

Система обнаружения вторжений (СОВ) представляет собой комплекс мер, предназначенный для выявления и предотвращения несанкционированного доступа к информационным ресурсам организации. СОВ использует различные методы для обнаружения подозрительной активности, такие как анализ сетевого трафика, журналов событий и файлов конфигурации. Основная задача СОВ – обеспечить непрерывный мониторинг систем и своевременное выявление попыток несанкционированного доступа, утечки информации, а также атак вредоносного программного обеспечения. Работа системы базируется на анализе поведения пользователей и функционирования информационных систем (ИС).

Согласно законодательным актам ФСТЭК России существующие СОВ делятся на два уровня: уровня сети и уровня узла. В свою очередь они подразделяются на 6 классов защиты. Классы защиты от 6 до 4 установлены для систем с персональными данными (ПДн) и государственными ИС (ГИС), а с 3 по 1 – для систем с государственной тайной. Спецификация профилей защиты СОВ для каждого типа СОВ и класса защиты СОВ приведена в таблице (табл. 1).

Таблица 1

Спецификация профилей защиты СОВ для каждого типа СОВ и класса защиты СОВ

Класс защиты

Тип
системы
обнаружения
вторжений

6

5

4

3

2

1

Система обнаружения вторжений уровня сети

ИТ.СОВ. С6. ПЗ

ИТ.СОВ. С5. ПЗ

ИТ.СОВ. С4. ПЗ

ИТ.СОВ. СЗ.ПЗ

ИТ.СОВ. С2. ПЗ

ИТ.СОВ. С1. ПЗ

Система обнаружения вторжений уровня узла

ИТ.СОВ. У6. ПЗ

ИТ.СОВ. У5. ПЗ

ИТ.СОВ. У4. ПЗ

ИТ.СОВ. УЗ.ПЗ

ИТ.СОВ. У2. ПЗ

ИТ.СОВ. У1. ПЗ

Законодательные акты ФСБ России дают другое определение СОВ и предъявляют к ним свои требования. Для них это система обнаружения компьютерных атак (СОА) – программное, программно-аппаратное или аппаратное средство, выявляющая в автоматическом режиме воздействия на автоматизированную ИС, которые могут относиться к компьютерным атакам (КА). Всего в СОА определено 4 класса устройств (от Г до А). Методы классификации: функциональные возможности – СОА более высокого класса имеет весь функционал СОА предыдущего класса. Требований к ним представлены в таблице (табл. 2).

Таблица 2

Классификация систем СОА от ФСБ России

Предъявляемые требования

Класс Г

Класс В

Класс Б

Класс А

1.

Обнаружение атак

*

=

+

+

2.

Реакция на обнаруженную атаку

*

+

+

+

3.

Контролируемые ресурсы АИС

-

*

+

+

4.

Контролируемые протоколы

*

=

+

+

5.

Управление СОА

*

=

+

+

6.

Маскирование

-

*

+

+

7.

Наличие механизмов собственной защиты

*

+

+

+

8.

Оптимизация/модернизация СОА

*

+

=

+

9.

Ведение системного журнала

*

=

+

+

10.

Наличие документации

*

+

+

+

Структура СОВ

Современные СОВ состоят из нескольких основных элементов:

1. Подсистема сбора информации:

  • собирает первичную информацию о работе защищаемой системы с различных источников, таких как системные журналы, сетевой трафик, отчеты о безопасности и т.д.
  • использует различные методы сбора информации, включая агентов, датчики, ловушки и другие инструменты безопасности.
  • анализирует собранную информацию, чтобы выявить любые подозрительные или вредоносные действия.

2. Подсистема анализа (обнаружения):

  • осуществляет поиск атак и вторжений в защищаемую систему на основе собранной информации.
  • использует различные методы обнаружения, включая сигнатурный анализ, анализ аномалий, машинное обучение и другие алгоритмы обнаружения.
  • генерирует оповещения о безопасности при обнаружении подозрительной или вредоносной активности.

3. Подсистема представления данных (пользовательский интерфейс):

  • позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
  • предоставляет информацию об обнаруженных атаках, вторжениях и других инцидентах безопасности.
  • позволяет пользователям исследовать и анализировать собранные данные, чтобы получить более глубокое понимание угроз и рисков безопасности.

Кроме основных элементов, современные СОВ могут включать дополнительные компоненты, такие как:

1. Подсистема управления:

  • обеспечивает централизованное управление и контроль над СОВ и ее компонентами.
  • позволяет администраторам безопасности настраивать параметры обнаружения, оповещения, отчетности и другие функции СОВ.

2. Подсистема отчетности:

  • собирает и анализирует информацию о безопасности из различных источников, включая СОВ, системы безопасности, приложения и другие источники данных.
  • генерирует отчеты о безопасности, которые содержат информацию о выявленных инцидентах, тенденциях в области безопасности и общих показателях эффективности системы безопасности.

3. Подсистема интеграции с другими системами безопасности:

  • позволяет СОВ взаимодействовать с другими системами безопасности, такими как межсетевые экраны, системы предотвращения вторжений, системы управления событиями безопасности и другие компоненты архитектуры безопасности сети.
  • обеспечивает обмен информацией о безопасности между различными системами и позволяет им работать скоординированно для более эффективной защиты от КА.

Структура СОВ приведена ниже (рисунок).

Рис. Структура системы обнаружения вторжения

Классификации методов обнаружения атак

СОВ классифицируются по способам выявления атак. Принято выделять системы обнаружения аномалий и системы обнаружения злоупотреблений.

Сущность методов, используемых для обнаружения аномалий, заключается в том, что признаки сетевого трафика сравниваются с характеристиками штатной деятельности системы или пользователя. Чаще всего используют шаблон нормального поведения. При наблюдении расхождения сравниваемых параметров регистрируется сетевая аномалия. Если разница не несла никакого вреда, то происходит уточнение шаблона нормального поведения посредством изменения параметров его настройки.

Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных администратором безопасности как этапы реализации вторжения. Выделенные атрибуты и поля сетевых пакетов передаются в модуль, который выполняет поиск и проверку на соответствие входных данных правилам и оповещает о наличии угрозы в случае положительного срабатывания одного из правил.

Методы обнаружения злоупотреблений являются эффективным инструментом для борьбы с известными типами атак, но их применимость к новым атакам является безрезультативной.

Некоторые методы могут относиться к нескольким группам. К примеру, теоретически экспертные системы и конечные автоматы могут применяться в системах обнаружения аномалий, но на практике они применяются только для обнаружения злоупотреблений. В данной статье было принято решение показать схему различных групп методов по обнаружению вторжений, исходя из их применения на практике. Конкретнее каждая группа будет рассмотрена в следующей части статьи.

Список литературы

  1. Ананьин Е. В., Кожевникова И. С., Лысенко А. В., Никишова А. В. Методы обнаружения аномалий и вторжений // Проблемы современной науки и образования. № 34 (76). Иваново: Олимп, 2016. С. 48-50.
  2. Браницкий А. А., Котенко И. В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИРАН. № 2 (45). СПб.: ФГБУН «СПИИРАН», 2016. С. 207-244.
  3. Кусакина Н. М. Методы анализа сетевого трафика как основа проектирования системы обнаружения сетевых атак // Труды XLI Междунар. науч.-прак. конф. “International Scientific Review of the Problems and Prospects of Modern Science and Education”. Boston: Problems of Science, 2018. С. 28-31.

Поделиться

1321

Токарев М. Н. Анализ систем обнаружения вторжений (часть 1) // Актуальные исследования. 2024. №2 (184). Ч.I.С. 47-50. URL: https://apni.ru/article/8101-analiz-sistem-obnaruzheniya-vtorzhenij-chast

Обнаружили грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики)? Напишите письмо в редакцию журнала: info@apni.ru

Похожие статьи

Актуальные исследования

#47 (229)

Прием материалов

16 ноября - 22 ноября

осталось 2 дня

Размещение PDF-версии журнала

27 ноября

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

10 декабря