Диплом, курсовая, контрольная работа
Помощь в написании студенческих работ

Разработка и исследование системы оперативного сетевого мониторинга событий безопасности

Диссертация: Разработка и исследование системы оперативного сетевого мониторинга событий безопасности
ДиссертацияПомощь в написанииУзнать стоимостьмоей работы

Актуальность. Одной из основных целей развития современных сетевых технологий является обеспечение доступности требуемой информации из любой точки сети. Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть. Для противодействия попыткам НСД разработчики программных… Читать ещё >

Содержание

  • 1. АНАЛИЗ ПОДХОДОВ К ОБРАБОТКЕ ДАННЫХ АУДИТА СОБЫТИЙ БЕЗОПАСНОСТИ
    • 1. 1. Актуальность регистрации и анализа событий безопасности
    • 1. 2. Анализ существующих подходов к обработке данных о событиях безопасности
    • 1. 3. Цель и задачи диссертационной работы

Разработка и исследование системы оперативного сетевого мониторинга событий безопасности (реферат, курсовая, диплом, контрольная)

Актуальность. Одной из основных целей развития современных сетевых технологий является обеспечение доступности требуемой информации из любой точки сети. Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть. Для противодействия попыткам НСД разработчики программных и аппаратных средств компьютерных сетей развивают средства идентификации и аутентификации пользователей, средства разграничения доступа к сетевым информационным ресурсам, криптографические средства защиты информации и т. п. Указанные традиционные средства защиты информационных систем от НСД являются достаточно эффективными, однако их чрезмерное усложнение часто негативно сказывается на доступности информации в сети. Таким образом, возникает проблема разработки методов и средств повышения защищенности информационных ресурсов от НСД в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей. В настоящее время задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Однако задачам эффективной организации оперативного анализа зарегистрированных событий безопасности не уделяется должного внимания.

Для обеспечения оперативного анализа событии безопасности в компьютерной сети целесообразно разрабатывать и внедрять системы мониторинга событий безопасности (СМСБ), обеспечивающие автоматизированный сбор и оперативный анализ данных о новых событиях безопасности, возникающих на компьютерах сети. Разработка и исследование принципов построения СМСБ особенно актуальны потому, что применение таких систем является эффективным методом защиты информации в компьютерных сетях, позволяющим оперативно обнаруживать ошибки в политике использования традиционных средств защиты информации. СМСБ могут также применяться для анализа рациональности и адекватности использования сетевых ресурсов пользователями сетевой информационной системы.

Целью работы является разработка и исследование архитектуры, методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности, предназначенной для эффективной автоматической обработки данных аудита событий безопасности, возникающих в сети.

Для достижения поставленной цели решаются следующие основные задачи:

1. Разработка и исследование эффективной архитектуры системы.

2. Разработка методов и алгоритмов оперативного автоматического обнаружения и анализа новых данных аудита событий безопасности, возникающих в компьютерной сети.

3. Разработка программной реализации макета системы и экспериментальное сравнение эффективности его функционирования с аналогами.

Методы исследования основаны на использовании методов математического анализа, теории вероятностей, теории множеств, теории конечных автоматов.

Основные положения и результаты, выносимые на защиту:

1. Постановка новой научной задачи эффективного распределения функций обработки событий безопасности в системе и результаты анализа возможных вариантов решения этой задачи, позволяющие обосновать выбор архитектурных решений для программной реализации системы.

2. Методы и алгоритмы, форматы и структуры данных, используемые при оперативном сборе и автоматическом анализе данных о событиях безопасности в системе, позволяющие оперативно обрабатывать данные о событиях безопасности и рационально использовать системные ресурсы.

3. Результаты экспериментального исследования эффективности и сравнения с аналогами макета программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Научная новизна работы заключается в следующем:

1. Впервые поставлена научная задача исследования эффективного распределения функций обработки событий безопасности в системе оперативного автоматического сетевого мониторинга событий безопасности, получены ее решения, предложены методика и критерии оценки эффективности решений поставленной задачи.

2. Разработаны новые методы и алгоритмы оперативного обнаружения происходящих в сети событий безопасности и автоматического анализа обнаруженных событий на основе формальных признаков и правил.

3. Разработана и исследована программная реализация макета новой системы оперативного автоматического анализа событий безопасности в компьютерной сети, отличающаяся от известных распределенной архитектурой принятия решений с централизованным хранением результатов обработки событий безопасности.

Практическая ценность работы определяется возможностью использования полученных результатов при создании новых эффективных систем сетевого мониторинга событий безопасности в компьютерных сетях. Практическую ценность также имеет разработанная автором программная реализация основных компонентов системы, позволяющая моделировать нагрузку на процессоры компьютеров и пропускную способность сети, возникающую при функционировании вновь создаваемых систем оперативного сетевого мониторинга событий безопасности.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность» (ТРТУ, г. Таганрог) 2001,2003,2004 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва) 2003 и 2004 годов.

3. Республиканской научно-практической конференции «Современные управляющие и информационные системы» (АН РУз, г. Ташкент) 2003 года.

4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г. Таганрог) 2004 года.

Публикации. По теме диссертации опубликовано 7 научных статей и тезисов докладов, зарегистрирована 1 программа для ЭВМ.

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 38 наименований, 2 приложений. Текст диссертации изложен на 164 страницах, включая 59 рисунков и 5 таблиц.

4.3 Основные результаты и выводы.

В первой части главы были рассмотрены особенности программной реализации системы сетевого мониторинга событий безопасности. Были проанализированы особенности современных сетевых операционных систем, влияющие на программную реализацию системы, был сделан вывод о целесообразности реализации макета системы в среде ОС семейства Microsoft Windows NT.

Далее в главе были проанализированы достоинства и недостатки двух наиболее перспективных вариантов архитектуры системы, выбранных с учетом особенностей ОС семейства Microsoft Windows NT. По результатам этого анализа был обоснован выбор одного из вариантов для дальнейшей программной реализации. Далее в главе были рассмотрены особенности программной реализации системы согласно выбранной архитектуре.

Вторая часть главы посвящена экспериментальному исследованию разработанной системы и сравнению ее с аналогами. В качестве основного аналога разработанной системе была выбрана распространенная и доступная для исследования система мониторинга и автоматического анализа событий безопасности GFI LANguard Security Event Log Monitor. В некоторых экспериментах разработанная система сравнивалась также с программой мониторинга событий и тревожного оповещения Ascella Log Monitor Plus. В главе были кратко рассмотрены особенности аналогов, с которыми производилось сравнение. Основной особенностью системы GFI LANguard Security Event Log Monitor, отличающей ее от разработанной системы, является архитектура с пассивными агентами, в роли которых выступают стандартные сервисы сетевого доступа к журналам аудита, встроенные в ОС семейства Microsoft Windows NT. В результате этого система GFI LANguard Security Event Log Monitor обнаруживает новые события за счет периодического опроса журналов аудита.

Для сравнения разработанной системы с аналогами были проведены следующие экспериментальные исследования:

— исследование оперативности обработки новых событий и оповещения;

— исследование влияния систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров;

— исследование влияния систем анализа событий безопасности на загрузку процессора компьютера центра обработки событий;

— исследование влияния систем анализа событий безопасности на загрузку сети.

Проведенные эксперименты позволили оценить производительность разработанной системы по сравнению с аналогами, а также оценить влияние функционирования сравниваемых систем на производительность сетевых компьютеров и пропускную способность сети.

Проведенные экспериментальные исследования дали следующие результаты.

1. Оперативность обработки событий и оповещения у всех исследованных систем оказалась приемлемой и примерно одинаковой. Исследованные системы обеспечивали обнаружение и обработку новых событий в среднем в течение 3−5 секунд. При этом GFI LANguard Security Event Log Monitor обеспечивала оповещение о возникновении критических событий в течение 2−7 секунд с момента их возникновения. Разработанная система и программа Ascella Log Monitor Plus обеспечивали оповещение о возникновении критических событий в течение 0−6 секунд с момента их возникновения. Более высокая оперативность разработанной системы и программы Ascella Log Monitor Plus объясняется их архитектурными особенностями, а именно способом обнаружения новых событий.

2. Влияние всех исследованных систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров незначительно. При этом система GFI LANguard Security Event Log Monitor, в отличие от других исследованных систем нагружала процессор контролируемого компьютера даже при отсутствии новых событий в журнале аудита, что является недостатком системы. Этот недостаток объясняется архитектурными особенностями системы, а именно способом асинхронного обнаружения новых событий.

3. Система GFI LANguard Security Event Log Monitor оказывает существенное влияние на загрузку процессора компьютера, на котором она функционирует, как при малом числе контролируемых компьютеров, так в отсутствии новых событий. Разработанная система не оказывает влияния на компьютер, на котором функционирует сервер событий безопасности, если отсутствуют новые события, и создает существенно меньшую нагрузку при наличии новых событий, по сравнению с системой GFI LANguard Security Event Log Monitor. Разработанная система более рационально использует вычислительные ресурсы, по сравнению с системой-аналогом GFI LANguard Security Event Log Monitor.

4. Исследование влияния систем на загрузку сети также выявило преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с системой GFI LANguard Security Event Log Monitor, поскольку разработанная система продемонстрировала более рациональное использование пропускной способности тестовой компьютерной сети.

В целом, экспериментальные исследования выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с известным и широко распространенным аналогом — системой мониторинга и анализа событий безопасности GFI LANguard Security Event Log Monitor. Преимущества разработанной системы по сравнению аналогом, выявленное в ходе экспериментов, объясняется более эффективной архитектурой и более эффективными алгоритмами, обеспечивающими более оперативную обработку событий безопасности и рациональное использование системных ресурсов.

ЗАКЛЮЧЕНИЕ

.

Диссертационная работа посвящена актуальной проблеме разработки методов и средств повышения защищенности информационных ресурсов от несанкционированного доступа в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей и безопасность информационных ресурсов. В настоящее время в современных сетевых информационных системах задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Поэтому наибольшую актуальность приобретают задачи организации оперативного анализа зарегистрированных событий безопасности.

В диссертационной работе были проанализированы основные подходы к обработке данных о зарегистрированных событиях безопасности. Были сделаны выводы о необходимости автоматизации анализа событий безопасности, которая позволяет добиться максимальной оперативности обнаружения ситуаций, угрожающих информационной безопасности в компьютерной сети.

Одной из основных задач при автоматизации анализа событий безопасности в сети является обеспечение оперативного обнаружения новых событий за счет постоянного мониторинга изменений в журналах аудита компьютеров сети. Поэтому в работе было предложено систему оперативного автоматического анализа событий безопасности в сети называть системой сетевого мониторинга событий безопасности.

Целью диссертационной работы является разработка и исследование такой системы, ее архитектуры, методов и алгоритмов. Для достижения цели в работе был решен ряд задач.

При разработке архитектуры системы была поставлена и успешно решена новая научная задача эффективного распределения функций обработки событий безопасности между компонентами системы. В рамках условий, определенных при постановке данной задачи, были найдены возможные решения, которые затем были исследованы. В работе была предложена методика исследования решений, заключающаяся в теоретической оценке параметров эффективности (отказоустойчивости и производительности) различных вариантов распределения функций обработки событий безопасности между компонентами системы, что позволило ранжировать решения по значению общего рейтинга эффективности. Это, в свою очередь, позволило аргументировано выделить наиболее эффективные варианты архитектуры системы. Исследование показало, что для сформулированных в работе условий и ограничений задачи наиболее эффективна распределенная архитектура принятия решений с централизованным хранением результатов обработки событий безопасности.

Ценность выполненного исследования для науки и практики заключается в возможности использования его результатов для обоснованного выбора архитектурных решений при разработке таких новых средств обеспечения информационной безопасности как системы мониторинга событий безопасности.

Эффективность функционирования системы оперативного сетевого мониторинга событий безопасности зависит не только от выбранной архитектуры, но и от применяемых методов и алгоритмов обработки данных. Поэтому значительная часть диссертационной работы посвящена разработке методов и алгоритмов обработки данных о событиях безопасности.

Для разработки и применения общего метода автоматического анализа событий безопасности необходимо, чтобы данные об анализируемых событиях были представлены в некотором общем формате. Анализ особенностей систем аудита современных сетевых операционных систем позволил разработать такой общий формат внутреннего представления событий безопасности в системе. Для оперативного обнаружения новых данных о событиях безопасности, возникающих в сети, и преобразования этих данных в формат внутреннего представления событий безопасности был разработан метод извлечения и формализации данных о событиях безопасности и алгоритмы, реализующие этот метод.

На заключительном этапе обработки событий безопасности необходимо выполнить оповещение администратора безопасности об обнаруженных событияхтревогах и сохранить обработанные события в базе данных событий безопасности. Соответствующие алгоритмы также разработаны и рассмотрены в работе. Анализ структуры и типичных объемов данных о событиях безопасности с учетом способов их дальнейшего использования позволил сделать вывод о необходимости использования двух баз данных событий безопасности — архивной и оперативной. В работе были предложены структуры баз данных событий безопасности и алгоритмы сохранения событий в базы данных.

При функционировании системы существует необходимость сетевого взаимодействия между компонентами системы. Для организации такого взаимодействия был разработан и рассмотрен прикладной протокол сетевого клиент-серверного взаимодействия.

Для эффективного решения задачи оперативного анализа событий безопасности был разработан метод автоматического анализа событий безопасности по формальным признакам. Суть разработанного метода заключается в определении принадлежности каждого нового события к одному или нескольким классам. Принадлежность события к классу характеризует его важность для обеспечения информационной безопасности. Было предложено выделить 5 классов событий безопасности: архивные события, события-отказы, информативные события, события-предостережения и события-тревоги. В работе подробно рассматриваются особенности каждого из классов и предложенные принципы классификации событий безопасности.

В предложенном методе анализа событий безопасности принадлежность события к классам событий-предостережений и событий-тревог определяется на основе правил, задаваемых пользователем-администратором системы. Были разработаны структура представления правил анализа событий в оперативной памяти вычислительной машины и способ описания правил при долговременном хранении на внешних запоминающих устройствах. В работе подробно описаны алгоритмы, реализующие предложенный метод анализа событий безопасности.

Разработанные методы и алгоритмы функционирования системы сетевого мониторинга событий безопасности позволили выполнить программную реализацию макета системы, которая затем была экспериментально исследована.

Основной задачей экспериментов было сравнение эффективности разработанной системы с известными аналогами. Проведенные эксперименты выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с хорошо известным и широко распространенным аналогом — системой мониторинга и анализа событий безопасности GFI LANguard Security Event Log Monitor.

Выявленные в ходе экспериментов преимущества разработанной системы по сравнению аналогом были обеспечены благодаря использованию более эффективных архитектуры и алгоритмов, разработанным в ходе диссертационного исследования и позволившим реализовать более быструю обработку событий безопасности и более рациональное использование системных ресурсов.

Таким образом, в диссертационной работе были получены следующие основные результаты, имеющие научную и практическую ценность.

1. Для поставленной новой научной задачи синтеза эффективной архитектуры системы оперативного сетевого мониторинга событий безопасности и эффективного распределения функций обработки событий безопасности между компонентами системы были найдены, проанализированы, исследованы и сравнены возможные решения. Сравнение найденных решений при помощи предложенной методики вычисления интегральных рейтинговых оценок на основе таких показателей, как вероятность отказа системы и среднее время обработки событий в системе, позволило выделить наиболее эффективные решения для архитектуры системы и организации процесса оперативного анализа событий безопасности, возникающих в сети. Это позволило обоснованно выбрать наиболее эффективный вариант архитектуры системы для последующей программной реализации макета системы — распределенная архитектура принятия решений с централизованным хранением результатов обработки событий безопасности.

2. Для эффективной обработки событий безопасности в системе были разработаны методы и алгоритмы оперативного обнаружения новых данных в сети, преобразования данных к общему формату представления событий безопасности. Так же были разработаны структура базы данных событий безопасности и алгоритмы обработки событий безопасности на этапе оповещения и сохранения обработанных событий в базах данных событий безопасности. Для организации сетевого взаимодействия между компонентами системы были разработаны прикладной протокол и алгоритмы клиент-серверного сетевого взаимодействия. Для решения задачи оперативного анализа выявленных новых событий безопасности в сети были разработаны новые метод и алгоритмы оперативного автоматического анализа событий безопасности на основе формальных правил. В предложенном методе правила анализа задают формальные условия принадлежности событий к определенным классам, характеризующим степень важности событий и степень их влияния на информационную безопасность сети. Разработанные алгоритмы позволяют быстро выделять подмножество правил и проверять события по критериям, задаваемым этим подмножеством правил, что обеспечивает высокую оперативность анализа новых событий и выявления опасных событий, возникающих в сети. Эффективность разработанных алгоритмов обработки событий безопасности была подтверждена экспериментально.

3. Для экспериментального исследования разработанных архитектуры, методов и алгоритмов системы и сравнения разработанной системы с аналогом была выполнена программная реализация макета системы оперативного сетевого мониторинга событий безопасности. В ходе экспериментов были выявлены преимущества разработанной системы по сравнению аналогом. Разработанная система обеспечивает более оперативную обработку и более рационально использует системные ресурсы, создавая существенно меньшую нагрузку на сеть и процессоры компьютеров сети, что подтверждает высокую эффективность архитектуры системы и разработанных алгоритмов, по сравнению с аналогом.

Полученные результаты позволяют утверждать, что поставленная цель в диссертационной работе была успешно достигнута.

Показать весь текст

Список литературы

  1. B.C., Ермаков К. В., Рудный Е. Б., Ермаков И. В. Безопасность компьютерных сетей на основе Windows Ш-М.:Изд.отдел «Русская редакция», 1998.-304с.
  2. Р. Система безопасности Windows 2000. пер. с англ., М: Издательский дом «Вильяме», 2001. — 592 с.
  3. Э., Снайдер Г., Сибс С., Хейн Т. UNIX: руководство системного администратора. Для профессионалов, пер. с англ., С-Пб: Питер, К: Издательская группа BHV, 2002. — 928 с.
  4. РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.
  5. РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992.
  6. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France Germany — the Netherlands — the United Kingdom. — Department of Trade and Industry, London, 1991.
  7. С. Анализ типовых нарушений безопасности в сетях. Киев: Лорри, 2001 192с.
  8. А.В., Обнаружение атак. СПб.: БХВ-Петербург, 2001. — 624с.
  9. К. Техника и философия хакерских атак. М.: Солон, 2001. 256 с.
  10. Р.Н., Лиходедов Д. Ю., Золотарева К. А. Анализ способов проведения атак на информационные ресурсы компьютерных сетей. Сборник материалов конференции «Инфофорум-5 летняя сессия», Москва, 2003, с. 136−138.
  11. GFI LANguard Security Event Log Monitor http://www.gfi.com/lanselm/
  12. Dorian Software Creation http://www.doriansoft.com/
  13. Winalysis Software http://www.winalysis.com/
  14. AAR Software http://www.aarsoftware.com/
  15. С.В., Ломотько Д. В. Базы данных. М: ООО «Издательство ACT" — Харьков: Фолио, 2002. — 504 с.
  16. И.А., Задача синтеза эффективной структуры сетевого монитора событий безопасности. Тематический выпуск. Материалы VI Международной научно-практической конференции «Информационная безопасность», Таганрог: ТРТУ, 2003, с. 182−184.
  17. М.М., Костогрызов А. И., Львов В. М., Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем «КОК»: руководство системного аналитика. М.: Вооружение. Политика. Конверсия. 2001. -313с.
  18. А.С., Коровин А. В., Удалов В. Н. Эффективное функционирование управляющих мультипроцессорных систем. М.: Радио и связь, 1984. — 328 с.
  19. Т. Рейтинговая оценка деятельности филиалов. -http://www.fd.ru/article/5627.html
  20. А. Стратегический подход к оценке бизнеса. -http://www.deloshop.ru/menu5-textmaloe0−12−795.html
  21. В.М., Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. — 512 с.
  22. Microsoft Developer Network Library (MSDN) http://www.msdn.microsoft.com
  23. Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000. Мастер-класс./пер. с англ. СПб: Питер- М.: Издательско-торговый дом «Русская редакция», 2001. — 752 е.: ил.
  24. Д. Защита и безопасность в сетях Linux. Для профессионалов. СПб.: Питер, 2002.-480 с.
  25. Д. Искусство программирования. Том 1. Основные алгоритмы. М: Издательский дом «Вильяме», 2000. — 720 с.
  26. Д. Искусство программирования. Том 3. Сортировка и поиск. М: Издательский дом «Вильяме», 2000. — 832 с.
  27. Н. Алгоритмы и структуры данных.-СПб: Невский диалект, 2001. 352 с.
  28. Ю.Г. Теория автоматов: Учебник для вузов. СПб.: Питер, 2002. -224с.
  29. Д., Мотвани Р., Ульман Д., Введение в теорию автоматов, языков и вычислений, 2-е изд.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. -528с.
  30. А. Программирование в сетях Microsoft Windows. СПб.: Питер, 2002. -608с.
  31. A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2002. — 528 с.
  32. Д. Производительность Pentium 4 и HyperThreading -http://tech.stolica.ru/article.php?id=2 002 122 101
  33. Дж. Системное программирование в среде Win32, 2-е изд.: пер. с англ.: -М: Издательский дом «Вильяме», 2001. 464 с.
  34. Джеффри Рихтер. Windows для профессионалов: создание эффективных Win32-приложений с учетом специфики 64-разрядной версии Windows./nep. с англ. -4-е изд. СПб: Питер- М.: Издательско-торговый дом «Русская редакция», 2001.-752 с.
  35. Кэнту М. Delphi 5 для профессионалов. СПб: Питер, 2001. — 944 с.
  36. С., Пачеко К. Delphi 5. Руководство разработчика. 2 том. Разработка компонентов и работа с базами данных. Пер. с англ. М.: Издательский дом «Вильяме», 2001. — 992 с.
Заполнить форму текущей работой

На отлично!