Автор работы: Пользователь скрыл имя, 15 Апреля 2013 в 18:00, диссертация
Данная работа посвящена разработке метода обнаружения атак на распределенные информационные системы (РИС) на основе анализа поведения объектов защищаемой системы. Суть задачи состоит в создании модели компьютерной атаки и метода автоматического обнаружения атаки на основе данной модели, позволяющего обнаруживать компьютерные атаки при наблюдении за поведением объектов РИС и их взаимодействием.
ВВЕДЕНИЕ...............................................................................................................................................4
1.1. ЗАДАЧА ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК.......................................................................................................4
1.2. АКТУАЛЬНОСТЬ ТЕМЫ...........................................................................................................................................4
1.3. ЦЕЛЬ РАБОТЫ.......................................................................................................................................................5
1.4. МЕТОДЫ РЕШЕНИЯ...............................................................................................................................................5
1.5. СТРУКТУРА РАБОТЫ..............................................................................................................................................6
2. ОБЗОР МЕТОДОВ И СИСТЕМ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК.....................7
2.1. КРИТЕРИИ СРАВНЕНИЯ..........................................................................................................................................7
2.1.1. КРИТЕРИИ СРАВНЕНИЯ МЕТОДОВ ОБНАРУЖЕНИЯ АТАК.................................................................7
2.1.2. КРИТЕРИИ СРАВНЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК...................................................................8
2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АТАК.............................................................................................................................10
2.2.1. МЕТОДЫ ОБНАРУЖЕНИЯ ЗЛОУПОТРЕБЛЕНИЙ............................................................................11
2.2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ.......................................................................................13
2.2.3. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.................................................................................14
2.3. СОВРЕМЕННЫЕ ОТКРЫТЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК...................................................................................14
2.3.1. ИССЛЕДОВАННЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК.....................................................................14
2.3.2. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.................................................................................15
2.4. ОПИСАНИЕ ИССЛЕДОВАННЫХ СИСТЕМ.................................................................................................................20
2.4.1. BRO...................................................................................................................................20
2.4.2. OSSEC.............................................................................................................................20
2.4.3. STAT...............................................................................................................................21
2.4.4. PRELUDE.............................................................................................................................22
2.4.5. SNORT................................................................................................................................24
2.5. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ.....................................................................................................................................26
3. МОДЕЛЬ ОБНАРУЖЕНИЯ АТАК ................................................................................................28
3.1. МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ РИС...................................................................................................................28
3.1.1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ....................................................................................29
3.1.2. МОДЕЛЬ ПОВЕДЕНИЯ ОБЪЕКТА И МОДЕЛЬ АТАКИ ....................................................................31
3.2. ФОРМАЛЬНАЯ ПОСТАНОВКА ЗАДАЧИ ОБНАРУЖЕНИЯ АТАК.....................................................................................34
3.3. РАСПОЗНАВАНИЕ НОРМАЛЬНЫХ И АНОМАЛЬНЫХ ТРАЕКТОРИЙ...............................................................................34
3.4. ЯЗЫК ОПИСАНИЯ АВТОМАТОВ ПЕРВОГО И ВТОРОГО РОДА......................................................................................36
3.5. АЛГОРИТМЫ ОБНАРУЖЕНИЯ АТАК........................................................................................................................39
4. ЭКСПЕРИМЕНТАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК............................................41
4.1. АРХИТЕКТУРА И АЛГОРИТМЫ РАБОТЫ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК...................................................................41
4.1.1. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ СЕТЕВОГО СЕНСОРА.............................................................43
4.1.2. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ УЗЛОВОГО СЕНСОРА............................................................50
4.1.3. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ ПОДСИСТЕМЫ РЕАГИРОВАНИЯ...............................................51
4.1.4. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ КОНСОЛИ УПРАВЛЕНИЯ........................................................53
4.1.5. ОРГАНИЗАЦИЯ ИЕРАРХИЧЕСКОГО ХРАНИЛИЩА ДАННЫХ.............................................................57
4.2. ВЫВОДЫ ПО АРХИТЕКТУРЕ .................................................................................................................................58
5. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ЭКСПЕРИМЕНТАЛЬНОЙ СОА...........................60
5.1. НАБОР ТЕСТОВЫХ ПРИМЕРОВ...............................................................................................................................60
5.2. ТЕСТОВЫЕ СЦЕНАРИИ ОБНАРУЖЕНИЯ...................................................................................................................60
5.3. СОСТАВ И СТРУКТУРА ИНСТРУМЕНТАЛЬНОГО СТЕНДА...........................................................................................62
5.3.1. СЕТЕВАЯ ИНФРАСТРУКТУРА...................................................................................................64
- 2 -
5.3.2. СЕРВЕРНЫЕ УЗЛЫ.................................................................................................................64
5.3.3. РАБОЧИЕ СТАНЦИИ...............................................................................................................64
5.3.4. АТАКУЮЩИЕ УЗЛЫ..............................................................................................................64
5.4. ПОРЯДОК ИСПЫТАНИЙ........................................................................................................................................64
5.5. РЕЗУЛЬТАТЫ ИСПЫТАНИЙ...................................................................................................................................65
5.6. ВЫВОДЫ............................................................................................................................................................65
6. ЗАКЛЮЧЕНИЕ...................................................................................................................................66
7. ЛИТЕРАТУРА.....................................................................................................................................68