Курсовая работа: Способ и устройство обнаружения аномалий в сетях

Введение. 6

Из истории обнаружения вторжений. 7

Обзор технологий обнаружения вторжений. 8

Проблемы сбора данных. 9

Средства обнаружения атак. 10

Парадигмы в обнаружении вторжений. 12

Методы обнаружения. 14

Обнаружение аномалий. 14

Обнаружение злоупотреблений. 15

Ответные действия: после вторжения. 16

Эффективность системы.. 17

Производительность. 18

Анализ в масштабе всей сети. 19

Уведомления о взломе. 20

Заключение. 24

Список используемой литературы.. 26

Введение

Даже с самой совершенной защитой компьютерные системы нельзя назвать абсолютно неуязвимыми. В настоящее время актуальное значение приобрела проблема обнаружения аномалий в работе сетевых устройств, являющихся как результатом сетевых атак хакеров, так и сбоев в работе аппаратуры и программного обеспечения.

Существующие системы, решающие эту проблему, имеют серьезные ограничения, связанные с принципами функционирования реализованных в них сигнатурных методов обнаружения:

- для любой новой аномалии (атаки) требуется создание новой сигнатуры;

- существуют методы, позволяющие хакерам «обходить» сигнатуры на основе разнообразных методов изменения атакующих воздействий.

Понятие "обнаружение аномалий" возникло сравнительно недавно и сразу привлекло внимание специалистов в области сетевой безопасности. В середине 2003 года на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг сетевой безопасности начали активно предлагать соответствующие решения. Согласно прогнозам Gartner, 85% крупнейших международных компаний с вероятностью 0.8 воспользуются к 2007 году функциями современных систем обнаружения аномалий.

В разработанном Научно-техническим советом НАТО ранжированном списке из 11 важнейших технических задач на период 2002-2007 гг. три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах на основе TCP/IP. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО существующие системы обнаружения вторжений (IDS) ежедневно обнаруживают в среднем 400-600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают: данное число составляет не более 14-17% от общего числа реально осуществляемых атак и воздействий нарушителей. По понятным причинам эти факты настораживают и вызывают определенное беспокойство у специалистов в области защиты информации.

Из истории обнаружения вторжений

Первоначально системные администраторы обнаруживали вторжения, сидя перед консолью и анализируя действия пользователей. Они могли заметить атаку, обратив, к примеру, внимание на то, что пользователь, который должен находиться в отпуске, вошел в систему, причем локально, либо необычайно активен принтер, который крайне редко используется. Когда-то достаточно эффективная, эта форма обнаружения вторжений была вместе с тем сугубо ориентированной на конкретные ситуации и не обладала масштабируемостью.

На следующем этапе для обнаружения вторжений стали использоваться журналы регистрации, которые системные администраторы просматривали в поисках признаков необычных или злонамеренных действий. В конце 70-х и в начале 80-х годов администраторы, как правило, печатали журналы регистрации на перфорированной бумаге, которая к концу рабочей недели представляла собой кипу высотой в полтора-два метра. Поиск по такому листингу, безусловно, занимал уйму времени. При огромном количестве информации и исключительно ручных методах анализа, администраторы зачастую использовали журналы регистрации в качестве доказательства нарушения защиты уже после того, как оно произошло. Надежда на то, что удастся обнаружить атаку в момент ее проведения, была крайне мала.

По мере того, как дисковая память становилась все дешевле, журналы регистрации стали создавать в электронном виде; появились программные средства для анализа собранных данных. Однако подобный анализ выполнялся очень медленно и зачастую требовал значительных вычислительных ресурсов, так что, как правило, программы обнаружения вторжений запускались в пакетном режиме, по ночам, когда с системой работало мало пользователей. Большинство нарушений защиты по-прежнему выявлялись уже постфактум.

В начале 90-х годов были разработаны системы обнаружения вторжений в оперативном режиме, которые просматривали записи в журнале регистрации сразу, как только они генерировались. Это позволило обнаруживать атаки и попытки атак в момент их проведения, что, в свою очередь, дало возможность немедленно принимать ответные меры, а, в некоторых случаях, даже предупреждать атаки.

Самые последние проекты, посвященные обнаружению вторжений, сосредоточиваются вокруг создания инструментов, которые могут эффективно развертываться в крупных сетях. Эта задача отнюдь не проста, учитывая все большее внимание, уделяемое вопросам безопасности, бесчисленное количество новых методов организации атак и непрерывные изменения в окружающей вычислительной среде.

Обзор технологий обнаружения вторжений

Цель обнаружения вторжений, на первый взгляд, очень проста: выявить проникновение в информационную систему. Однако это весьма сложная задача. На самом деле, системы обнаружения вторжений никаких вторжений вообще не обнаруживают — они только выявляют признаки вторжений либо во время таких атак, либо постфактум.

Такие свидетельства иногда называют «проявлениями» атаки. Если никаких проявлений нет, если о таких проявлениях нет необходимой информации, либо если информация есть, но не внушает доверия, система не в состоянии обнаружить вторжение.