Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы
При этом в большинстве случаев негативных последствий можно было бы и избежать, еслибы администраторы своевременно среагировали и выполнили рекомендации по защите от вновь обнаруженных уязвимостей. В этом деле накоплена огромная мировая статистика, которая позволяет сделать вывод, что зачастую информация о новой уязвимости известна задолго (за месяцы) до того, как произойдет реальное вторжение… Читать ещё >
Содержание
- 1. Анализ применимости распределенных систем для обнаружения вторжений при комплексном подходе к обеспечению информационной безопасности
- 1. 1. Методика адаптивного управления безопасностью
- 1. 2. Классификация систем обнаружения вторжений
- 1. 2. 1. Узловые системы обнаружения вторжений
- 1. 2. 2. Сетевые системы обнаружения вторжений
- 1. 2. 3. Выбор класса системы обнаружения вторжений
- 1. 3. Типы сетевых систем обнаружения вторжений
- 1. 3. 1. Сетевые системы выявления злоупотреблений
- 1. 3. 2. Сетевые системы выявления аномалий
- 1. 3. 3. Выбор типа системы обнаружения вторжений
- 1. 4. Современные распределенные системы
- 1. 4. 1. Сравнительный анализ
- 1. 4. 3. Механизмы обеспечения безопасности
- 1. 5. Выводы
- 2. 1. Компоненты распределенной системы
- 2. 2. Модель нарушителя
- 2. 3. Сервисы защиты распределенной системы
- 2. 4. Формальное представление модели
- 2. 5. Алгоритмы работы защищенной распределенной системы
- 2. 5. 1. Алгоритм взаимодействия клиента с сервером
- 2. 5. 2. Алгоритм работы сервера аутентификации
- 2. 5. 3. Алгоритм работы информационного сервера
- 2. 6. Протоколы защищенной работы в распределенной среде
- 2. 7. Сценарий использования модели. ф. 2.8. Выводы
- 3. 1. База данных сигнатур и файл обновлений
- 3. 2. Компоненты распределенной системы обнаружения вторжений
- 3. 2. 1. Группы экспертов
- 3. 2. 2. Корпоративные системы обнаружения вторжений
- 3. 2. 3. Сервер публикации
- 3. 3. Защита распределенной системы обнаружения вторжений
- 3. 3. 1. Аутентификация
- 3. 3. 2. Авторизация
- 3. 3. 3. Аудит
- 3. 3. 4. Защита каналов связи
- 3. 3. 5. Обеспечение доступности серверов системы
- 3. 4. Алгоритмическое обеспечение распределенной системы обнаружения вторжений
- 3. 4. 1. Взаимодействие эксперта с сервером публикаций
- 3. 4. 2. Взаимодействие корпоративной системы обнаружения вторжений с сервером публикаций
- 3. 4. 3. Обработка запросов сервером публикаций
- 3. 5. Протоколы распределенной системы обнаружения вторжений
- 3. 6. Формат файла обновлений
- 3. 7. Выводы
- 4. 1. Структура системы обнаружения вторжений
- 4. 2. Тестирование распределенной системы обнаружения вторжений
- 4. 3. Рекомендации по практическому применению распределенной системы обнаружения вторжений
- 4. 4. Оценка возможностей системы обнаружения вторжений
- 4. 5. Выводы
Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы (реферат, курсовая, диплом, контрольная)
Интенсивное развитие Интернет, повсеместный переход на электронные формы хранения и передачи информации, активное внедрение в повседневную жизнь электронных форм платежей и многие другие факторы сегодняшней реальности повлияли на то, что безопасность сетей и сетевых сервисов стала действительно насущной проблемой практически всех организаций. В небольших организациях со слабо развитой информационной структурой эта проблема пока что малозаметна, и решается она установкой антивирусного пакета, который, как правило, редко обновляется, и/или попытками ограничения доступа к ресурсам. Но, как показывает практика, этого явно недостаточно. Часто высококлассные и практически не подверженные никакому «взлому» системы защиты информации рушатся или бездействуют из-за беспечности технического персонала. Так, например, как показывает статистика, большинство «взломов» серверов электронной коммерции происходит по причине недосмотра персоналом незначительных на первый взгляд ошибок, в результате которых конфиденциальные данные из баз данных сайтов становятся доступными каждому желающему без каких-либо особых усилий [1].
Согласно отчету ФБР [2, 3] наибольшие потери за 2003 и 2004 года были вызваны атаками типа «отказ в обслуживании» (DoS), кражей конфиденциальной информации, распространением вредоносного программного обеспечения (ПО) и несанкционированным использованием сетевых ресурсов. Если с DoS-атаками бороться практически невозможно, так как не существует достаточно эффективных методик, не сказывающихся на доступности самого ресурса для законных пользователей, от всех остальных злоумьппленных действий можно защититься путем применения совокупности организационных и технических мер.
Говорят, что имеет место атака, когда злоумышленник осуществляет в отношении какой-либо системы несанкционированные действия, используя ту или иную ее уязвимость [4]. Наличие уязвимости создает угрозу нарушения установленных правил работы с системой. Таким образом, угроза является потенциальной возможностью проведения атаки посредством реализации уязвимости. При этом сам процесс воздействия злоумышленника на систему называется вторжением [4].
Различают несколько видов вторжений в информационные системы [5]:
• Физическое вторжение. Злоумышленник имеет физический доступ к компьютеру (используется часть системы в непосредственном физическом контакте). Методы вторжения могут быть различными: от специальных привилегий при работе с консолью, до возможности использования части системы, к примеру, снятие винчестера для чтения/записи его на другой машине.
• Системное вторжение. Этот вид вторжения предполагает, что злоумышленник уже имеет учетную запись в информационной системе или части ее. Если в системе не установлены самые последние пакеты обновлений защиты, то велика вероятность получения административных или иных несанкционированных дополнительных привилегий.
• Удаленное вторжение. Злоумышленник пытается проникнуть в систему через сеть с удаленного узла или группы узлов, изначально действуя без каких-либо специальных привилегий. Существует множество типов подобной деятельности, которая заключается в особом воздействии на атакуемую систему программным образом по каналам связи, например, перехват или подмена сетевого трафика, использование уязвимостей ПО, подбор паролей, атака специальным образом сформированными пакетами и т. п. Особенность заключается в том, что при этом злоумышленник может находиться где угодно, и вычислить его в целях наказания без использования специальных средств просто невозможно.
Наиболее интересен как раз третий тип вторжений — удаленные, поскольку только они не накладывают принципиальных ограничений на изначальные знания или действия злоумышленников и являются типичными для большинства систем.
Один из основополагающих факторов хорошего уровня безопасности — обнаружение и пресечение попыток несанкционированного доступа (НСД) в реальном масштабе времени. Как правило, в полном объеме это необходимо только очень крупным сетям, но создать хорошо защищенную сеть без средств, позволяющих обнаруживать и пресекать НСД, просто невозможно. Примером средства пресечения является межсетевой экран. Существуют различные его реализации, но цель их применения одна — снижение риска проникновения в отдельный персональный компьютер или сеть. Однако если в сети установлен межсетевой экран, то это еще не означает, что безопасность гарантирована. Например, он не способен защитить от пользователей, прошедших аутентификацию. Кроме того, межсетевой экран, контролируя границы сети, не только не предотвращает вторжения в нее через модемные пулы или другие точки удаленного доступа, но и принципиально не может обнаружить такого злоумышленника [6−9].
В отличие от классических методов построения обороны, когда средства защиты действуют по принципу обособленных барьеров, устанавливаемых на границе сети (например, фильтрующий маршрутизатор или межсетевой экран), комплексная защита, включающая, помимо межсетевых экранов, целый набор компонентов (сканеры защищенности, системы аутентификации и авторизации, средства построения виртуальных частных сетей и т. п.) оказывается более эффективной. Один из необходимых элементов такой системы защиты информации — средства обнаружения вторжений. Обнаружение вторжений является процессом оценки подозрительных действий, которые происходят в контролируемой информационной системе.
Актуальность использования систем обнаружения вторжений подтверждается растущим интересом крупных и мелких организаций к данному сегменту рынка. Во многих отношениях он находится сейчас на той же стадии, что и рынок межсетевых экранов несколько лет назад. Тогда далеко не всякая компания понимала важность наличия пограничного устройства фильтрации, и еще меньшее число позаботилось об их установке. По всей видимости, обнаружение вторжений следует тем же путем. Сегодня практически каждая организация имеет, по крайней мере, один межсетевой экран для защиты своей сети. Однако при этом руководство и сотрудники этой организации могут практически ничего не знать о методах и средствах обнаружения вторжений. Тем не менее, это обстоятельство не помешало зарождению рынка [10].
Таким образом, обнаружение вторжений — один из ключевых компонентов комплексной системы защиты. Они позволяют увеличить безопасность сети, контролируя все входящие и исходящие потоки трафика, как внутри периметра защищаемой организации (отслеживая по разным оценкам от 70 до 80% нарушений, связанных с внутренними злоумышленниками [11, 12]), так и снаружи (выявляя попытки удаленных вторжений и собирая статистику неудачных проникновений). Кроме того, пожалуй, это один из немногих элементов системы защиты, в основе которого лежит динамический принцип работы, то есть возможность автоматического изменения логики своего функционирования по некоторому внешнему событию — изменению политики обнаружения вторжений (тогда как другие средства, например, межсетевые экраны, системы аутентификации, более консервативны и требуют явного вмешательства администратора).
Однако анализ статистики нарушений приводит к выводу, что и этого недостаточно [3]. Вне зависимости от того, какой класс СОВ используется для защиты (традиционно они делятся на два класса: сетевые и узловые) и какие принципы работы СОВ соответствующего класса применяются для обнаружения подозрительных действий в сети (выявление аномалий или злоупотреблений) или на узле (анализ журналов прикладных программ, изменений в файловой системе или контроль системных вызовов), особенности вторжений злоумышленников не позволяют их своевременно обнаруживать и блокировать. Причина в том, что разработчики не успевают выпускать дополнения и изменения к своим средствам защиты. В отношении СОВ это выражается в несвоевременном выпуске пополнений БД признаков вторжений. Можно возразить, что зачастую виновником оказывается даже не слишком медлительный разработчик, а сами администраторы, которые не успевают поддерживать системы в актуальном состоянии и своевременно устанавливать выпускаемые обновления. Но недавнее появление ряда угроз под названием «атаки с нулевым временем предупреждения» («zero-day attacks» [13]) снова ставит на первое место вопрос наискорейшего выпуска дополнений к БД признаков вторжений с описаниями последних обнаруженных уязвимостей, которые злоумышленники и используют при проведении своих атак [14].
При этом в большинстве случаев негативных последствий можно было бы и избежать, еслибы администраторы своевременно среагировали и выполнили рекомендации по защите от вновь обнаруженных уязвимостей. В этом деле накоплена огромная мировая статистика, которая позволяет сделать вывод, что зачастую информация о новой уязвимости известна задолго (за месяцы) до того, как произойдет реальное вторжение с ее использованием. Так, например, существует негласное правило, согласно которому, хакерская группа, обнаруживая новое некорректное поведение ПО, первым делом уведомляет об этом производителя продукта, давая ему возможность выпустить исправление («заплатку») и только спустя какое-то время распространяет полную информацию по уязвимости [15]. Хотя предоставление полной информации провоцирует атаки злоумышленников, осуждать подобные действия также трудно. Ведь, с одной стороны, разработчики объективно заинтересованы исключительно в повышении прибыли и снижении издержек, в частности связанных с задержкой выхода новых версий создаваемого ими ПО, их тщательным тестированием и т. п. С другой стороны, если бы у разработчиков не было мотивации в повышении качества своих продуктов и скором их исправлении (например, из-за подобных публикаций о вновь обнаруженных уязвимостях), то вряд ли бы их пользователи были бы еще больше защищены.
Например, эпидемию червя W32. Blaster (или W32.Lovsan.worm), заразившего миллионы компьютеров по всему миру в августе 2003 года, можно было бы избежать еще в середине июля, когда в список рассылки о вновь обнаруженных уязвимостях пришло сообщение от польской хакерской группы Last Stage of Delirium [16], а впоследствии и от группы китайских хакеров Xfocus [17], где говорилось о новой критической уязвимости во всех последних версиях ОС Microsoft. Действия злоумышленников привели как к непосредственным, так и опосредованным многомиллионным убыткам, на многие часы вывели из строя многие компьютерные системы. Но от атаки можно было защититься еще 12 июля. Например, описанных последствий можно было бы избежать, если бы системы обнаружения вторжений, установленные в большинстве крупных компаний, своевременно получили информацию о необходимости пассивного или активного реагирования при обнаружении подключений извне на порт ТСР/135, используемый сервисом RPC, или инициирования сессий по протоколу TFTP.
Аналогичный случай был и с червем, получившем название SQL Slammer, который заразил сотни тысяч машин в январе 2003 года [18−19]. Информация об уязвимости, связанной с переполнением буфера в сервисе MSSQLSERVER, в результате эксплуатации которой злоумышленник получал возможность запуска произвольных команд на машине-жертве, была известна в координационном центре CERT [20] еще в июле 2002 г. Практически сразу же Microsoft выпустила исправления для своего программного продукта. Однако по разным причинам, несмотря на наличие подробного описания и «заплатки», закрывающей уязвимость, по тем или иным причинам многие машины остались незащищенными. Если бы в сети стояла активная или пассивная система обнаружения вторжений, вовремя отследившая попытки подключения извне на 1434 порт с использованием транспортного протокола UDP и рассылки специфичных сообщений размером 376 байт по произвольным IP-адресам, огромного ущерба можно было бы избежать.
Можно спорить о том, насколько два приведенных примера показательны и позволяют судить об актуальности защиты, используемого ПО и АО от атак* злоумышленников при помощи различных средств защиты в общем и систем обнаружения вторжений в частности. Однако, объективная реальность такова, что человеку свойственно ошибаться, а следовательно, все, что он создает, в том числе прикладное и системное программное обеспечение, будет содержать ошибки, которые можно использовать для совершения несанкционированных действий [21]. Поэтому атаки наподобие описанных W32. Blaster, SQL Slammer, а также известных и несколько устаревших, но использующих тот же принцип, Code Red и Nimda [22], являются типичными и будут появляться в будущем. Поэтому актуальным является разработка общих подходов и систем, позволяющих от них защититься.
При этом на сегодняшний день разработки, связанные с обеспечением работоспособности СОВ, ведутся в основном в направлении создания систем централизованного управления и сбора событий, поскольку группы методов, используемых для выявления несанкционированных действий, считаются достаточно развитыми [23−33]. Многие крупные западные исследовательские институты и коммерческие организации также безуспешно пытаются найти подходы к оценке эффективности СОВ [30, 32, 34−35], причем работы по данной тематике можно найти и в России [36]. Публикаций, посвященных развитию их принципов функционирования, как в России, так и на Западе фактически нет. Изредка только можно встретить пресс-релиз о выходе продукта, поддерживающего тот или иной способ обнаружения вторжений.
Таким образом, можно сделать вывод о недостаточной эффективности используемых в настоящее время СОВ, сложности и актуальности темы, обозначенной в заглавии работы. С большинством современных сетевых угроз можно было бы легко справиться, если бы существовала автоматизированная система обнаружения вторжений, динамически подстраивающая правила обнаружения вторжений под вновь обнаруживаемые уязвимости.
Целью данной работы является разработка методов и алгоритмов функционирования систем обнаружения вторжений на основе централизованного управления правилами защиты.
Объектом исследования являются системы обнаружения вторжений. Предметом исследования являются механизмы защиты информации, используемые в системах обнаружения вторжений.
В соответствии с поставленной целью диссертационной работе решаются следующие задачи:
1) анализ и систематизация существующих классификаций систем обнаружения вторжений, выявление недостатков традиционных СОВ;
2) сравнительный анализ ряда существующих распределенных систем и механизмов обеспечения безопасности, которые в них применяются;
3) построение модели защищенной распределенной системы;
4) разработка алгоритмов надежной двусторонней аутентификации участников информационного обмена в распределенной системе;
5) синтез распределенной СОВ;
6) разработка структуры, алгоритмического обеспечения, а также протоколов распределенной СОВ;
7) систематизация знаний в области оценки функциональных возможностей СОВ и предложение методики оценки распределенной СОВ.
Основными методами исследования, используемыми в работе, являются методы теории множеств, математической логики, криптографии, теории алгоритмов и исследования операций.
Научная новизна работы заключается в следующем:
1) с учетом принципов переносимости и способности к взаимодействию, характерных для открытых систем, разработана универсальная модель, позволяющая создавать защищенные распределенные системы, способные противостоять типичным угрозам удаленных вторжений;
2) введена расширенная классификация компонентов распределенной системы, явно разделяющая функциональные возможности серверов по их способности аутентифицировать и обрабатывать запросы пользователей;
3) разработан протокол двусторонней аутентификации участников информационного обмена с применением сертификатов посредников, обладающий масштабируемостью и гибкостью, сформулирована и доказана теорема о его свойствах с использованием аппарата математической логики;
4) на основе модели защищенной распределенной системы разработана концепция распределенной СОВ с агентом автоматического обновления, позволяющим получать актуальную информацию о последних уязвимостях ПО и АО;
5) с использованием существующих стандартов и рекомендаций разработаны алгоритмы и протоколы работы и формат файла обновлений распределенной СОВ, обеспечивающие оперативное реагирование на новые уязвимости ПО и АО.
Практическую ценность представляют протокол двусторонней аутентификации участников информационного взаимодействия на основе сертификатов посредников, учитывающий особенности работы в распределенной системе, алгоритмическое и протокольное обеспечение ее модели, предложенный подход к построению СОВ на базе модели распределенной системы, а также разработанные рекомендации' по наиболее рациональному использованию СОВ.
На защиту выносятся следующие основные результаты работы:
1) набор классификационных признаков, позволяющих производить расширенную классификацию компонент распределенной системы;
2) модель защищенной распределенной системы в предположении о возможности активного вмешательства нарушителя в процесс ее функционирования;
3) протокол двусторонней аутентификации абонентов на основе сертификатов посредников, обеспечивающий гибкость и масштабируемость распределенной системы;
4) концепция, структура и содержание алгоритмического обеспечения модели и определение возможностей ее применения к построению распределенной СОВ;
5) подход к оценке возможностей систем обнаружения вторжений на основе их архитектурных особенностей и логики работы.
Достоверность результатов подтверждается использованием в алгоритмическом обеспечении в качестве составных частей стандартных алгоритмов и протоколов, широко проверенных на практике, результатами опытных испытаний, а также математическими и логическими доказательствами основных утверждений, сформулированных в работе.
Использование результатов исследования. Основные результаты диссертационного исследования используются в работе сектора информационной безопасности отдела сетевых проектов и технологий ЗАО «Техносервъ А/С». Результаты диссертационной работы также внедрены в учебный процесс на факультете «Информационная безопасность» Московского инженерно-физического института (государственного университета) и в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности информации в вычислительных системах средних и крупных корпоративных структур.
Публикации и апробация работы.
По теме диссертации опубликована 2 Г печатная работа, в том числе 1 учебное пособие, 8 научных статей, 4 конспекта лекций, 7 тезисов доклада и 1 книга (в соавторстве). Результаты работы докладывались на общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2003, 2004 и 2005 гг.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2005 г.), научно-практической конференции «Информационная безопасность — Юг России» (Таганрог, 2004 г.), а также на международных конференциях INC'04 (Великобритания, 2004 г.), EFIP 18 (Франция, 2004 г.) и ITA05 (Великобритания, 2005 г.).
Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных сокращений, списка использованных источников, включающего 179 наименований, а также двух приложений. Текст диссертации изложен на 175 страницах, включая 32 рисунка и 7 таблиц.
4.5. Выводы.
— можно реализовать СОВ как на базе традиционных программно-аппаратных компонентов, так и на базе перспективных программируемых логических устройств, которые позволяют уменьшить зависимость системы от объема анализируемого трафика, а следовательно, уменьшить количество ложных отрицательных срабатываний, что благоприятно сказывается на эксплуатационных характеристиках СОВ;
— особая структура ядра СОВ позволяет уменьшить зависимость нагрузки на систему от количества сигнатур в ее БД, что положительно сказывается на минимальных требованиях производительности и соответственно эксплуатационных характеристиках СОВ;
— более высокие эксплуатационные характеристики распределенной СОВ с агентом автоматического обновления по сравнению с традиционными сигнатурными сетевыми СОВ подтвердилось на испытательном стенде;
— особые варианты практического применения распределенной СОВ позволяют администраторам безопасности более полно контролировать соблюдение политики безопасности пользователями при доступе к внутренним и внешним ресурсам организации;
— сравнительный анализ известных подходов к оценке возможностей СОВ, сведенных в обобщенную методику оценки, где указывается зависимость критериев от свойств СОВ, позволил сделать вывод о более высоких эксплуатационных характеристиках предлагаемой распределенной СОВ по сравнению с доступными аналогами;
— классификация вторжений злоумышленников позволяет обосновать возможность выявления большинства существующих нарушений политик безопасности традиционными сигнатурными методами.
Заключение
.
Основным результатом диссертационной работы является разработка модели, методов и алгоритмов функционирования распределённой СОВ на основе централизованного управления правилами защиты.
В соответствии с поставленной целью в диссертации получены следующие результаты:
1. Проанализированы современные подходы к обеспечению безопасности информационных систем, а также виды современных распределенных систем и методы обнаружения вторжений, выявлены их достоинства и недостатки.
2. Предложена модель защищенной распределенной системы, в рамках которой вводится расширенная классификация компонентов, составляется модель нарушителя, разрабатываются и описываются алгоритмы и протоколы безопасного взаимодействия. Приводится сценарий использования модели, на котором демонстрируется применение изложенных алгоритмов и протоколов, а также решаются вопросы обеспечения доступности сервисов в распределенной сети.
3. Для модели защищенной распределенной системы доказана теорема о свойствах разработанного протокола двусторонней аутентификации с применением сертификатов посредников для клиентов, для чего используется аппарат BAN-логики.
4. На основе модели защищенной распределенной системы предложена распределенная СОВ, которая позволяет избавиться от недостатков традиционных систем и противостоять современным угрозам. Описаны компоненты СОВ, разработаны алгоритмы и протоколы работы системы. Даны рекомендации по реализации сервисов защиты.
5. С использованием существующих стандартов и рекомендаций разработан формат файла обновлений, который применим для модификации процесса обнаружения вторжений в распределенной СОВ и оперативного реагирования на новые уязвимости. Приведен пример использования файла обновлений.
6. Предложены качественный и количественный подходы к оценке функциональных возможностей СОВ. На основе результатов их применения сделан вывод о более высоких эксплуатационных характеристиках предлагаемой распределенной СОВ по сравнению с существующими аналогами.
7. Спроектирован и реализован экспериментальный стенд, который подтвердил более высокие эксплуатационные характеристики предложенной распределенной СОВ по сравнению с традиционными сигнатурными сетевыми СОВ.
8. Приведены рекомендации по реализации ядра СОВ, позволяющие уменьшить зависимость производительности СОВ от полноты БД признаков вторжений, а также указаны возможные варианты практического применения распределенной СОВ.
Разработанная модель защищенной распределенной системы является обобщенной и может использоваться в любых областях, где требуется обеспечить взаимодействие физически или логически распределенных субъектов, гарантированно сохраняя при этом аутентичность, конфиденциальность и целостность сеансов связи. Она применима для открытых и закрытых систем и сетей связи, обрабатывающих конфиденциальную информацию негосударственного сектора. Единственным требованием модели является использование стандартных алгоритмов и протоколов взаимодействия, что согласуется с принципами построения открытых систем.
Разработанная на базе общей модели распределенная СОВ применима в любых локальный и глобальных сетях, использующих в качестве основы для передачи информации стек протоколов TCP/IP. Для нее характерны традиционные ограничения сетевых СОВ, проявляющиеся при анализе подозрительных событий в коммутируемых сетях. Однако, как было отмечено в соответствующей главе, эти ограничения не являются существенными в виду наличия специализированных «разветвителей» (tap). СОВ рекомендуется использовать в составе комплексов сетевой защиты конфиденциальной информации негосударственного сектора.
В качестве дальнейшего развития работы можно назвать полную практическую реализацию модулей подсистемы защиты распределенной СОВ, более глубокое изучение методов оценки эффективности СОВ и разработку на их базе обобщенной методики, позволяющей аналитически, а не экспериментально, определять ключевые характеристики оцениваемых систем, а также применение разработанной модели защищенной распределенной системы к другим областям знания (например, при создании сложных географически распределенных автоматизированных систем, предоставляющих динамический набор сервисов своим пользователям).
Список используемых сокращений.
АО аутентификатор
БД.
Интранет.
ИОК.
НСД.
ОС.
ПО посредник.
СВА.
СВЗ.
СОВ.
ССОВ.
ССР.
СУБД.
ЦП.
УСОВ.
AAA.
ACL.
AD-IDS.
СА.
DCOM DNS.
DoS-атака.
FQDN.
Grid.
GSI.
HA.
HIDS.
HPC.
IDS.
MD-IDS.
NIDS.
PK3.
RBAC.
RMON.
ROC.
SLA.
SNMP.
SOAP аппаратное обеспечение специальным образом сформированный блок данных, подтверждающий полномочия пользователя на работу с информационной системой база данных.
Интрасеть (внутренняя сеть) организации инфраструктура открытых ключей несанкционированный доступ операционная система программное обеспечение абстрактная сущность, чаще всего какая-то прикладная программа пользователя, представленная аутентификатором, от имени которой исходят запросы на доступ к ресурсам системы.
Используется в технологии SSO (также называется прокси, рюху) система выявления аномалий система выявления злоупотреблений система обнаружения вторжений сетевая система обнаружения вторжений сервер списка ресурсов система управления базами данных центральный процессор узловая система обнаружения вторжений технология, объединяющая в себе методы аутентификации, авторизации и учета список контроля доступа система выявления аномалий (разновидность NIDS) удостоверяющий центр
Распределенная модель объектных компонентов система доменных имен атака типа «отказ в обслуживании» (Denial of Service) полностью квалифицированное доменное имя технология организации распределенных вычислений инфраструктура безопасности для Grid отказоустойчивый (кластер) система обнаружения вторжений для узлов (узловая IDS) высокопроизводительный кластер система обнаружения вторжений система выявления злоупотреблений (разновидность NIDS) система обнаружения вторжений для сетей (сетевая IDS) инфраструктура открытых ключей (Public Key Infrastructure) контроль доступа на основе ролей протокол удаленного мониторинга рабочая характеристика анализатора, описывающая зависимость вероятности обнаружения от вероятности ложного срабатывания сенсора системы обнаружения вторжений соглашение о качестве обслуживания простой протокол управления сетью простой протокол доступа к объектам sso.
UDDI.
VPN.
Web-сервис.
WSDL WWW XML технология однократной регистрации и последующего доступа пользователя к ресурсам заданной вычислительной среды без необходимости повторного прохождения процедуры подтверждения своей личности спецификация протокола описания, поиска и интеграции Web-сервисов с использованием универсальной поисковой базы данных с информацией об объектах виртуальная частная сеть (способ безопасного обмена информацией через открытые сети) некоторый функционал (одна функция или набор функций), как правило, предоставляемый организацией-владельцем посредством Интернет-соединения для обеспечения возможности доступа к нему другим компаниям или обычным пользователям язык описания Web-сервисов всемирная паутина", один из сервисов глобальной сети Интернет расширяемый язык разметки (документов) т.
Список литературы
- Безопасность и контроль. / В сб. материалов компании «Евроменеджмент». http://www.emd.ru/iit/defencecontr/
- Computer Security Institute. CSI/FBI2003 Computer Crime and Security Survey. 2003.
- Сайтарлы Т. Компьютерная преступность статистика ФБР за 2004 год. Computer Crime Research Center. 2004.
- Гостехкомиссия России. Каталог (глоссарий терминов по безопасности информации). 2002. http ://downlo ad. kompas .kolomna.ru/public/Docum ents/slo var/termins .htm
- FAQ: Network Intrusion Detection Systems. Windows Security. http://www.secinf.net/intrusion detection/FAQ Network Intrusion Detection Systemshtml
- Лукацкий А. В. Адаптивная безопасность сети. НИП «Информзащита». 2001.
- Лукацкий А. В. Адаптивное управление защитой. // Сети. 1999. — № 10.
- Лукацкий А. В. Мир атак разнообразен. // Сетевой. — 2001. — № 11.
- Лукацкий А. В. Новые подходы к обеспечению информационной безопасности сети. 2002.
- Howell D. Hackers often choose their corporate targets. // Investors Business Daily. — January 30,2002.
- Зотова Т. Сплоченная команда профессионалов главный гарант ИТ-безопасности. // Сетевой. — 2004. — № 5.
- Карр Д. Чужой среди своих. // Сетевые решения/ LAN. — 2002. — № 10.
- Schwartz М. New Technology Combats Zero-Day Attacks. August 2004.
- Игнатьев В. Очередная веская причина задуматься о переходе с ОС Windows на альтернативу. // Системный администратор. 2003. — № 9(10).
- Польская исследовательская группа «Last Stage of Delirium», http://www.lsd-pl.net.
- Китайская исследовательская группа «Xfocus». http://www.xfocus.org.
- Касперски К. Жизненный цикл червей. // Системный администратор. 2004. -№ 2(15).
- Уэллс Б. Сценарии на случай кризиса. // Windows & .NET MAGAZINE/RE. -2003. -№ 10.
- CERT Coordination Center, http://www.cert.org/.
- Исследование обнаружило в Linux мало ошибок. / В сб. материалов InfoSecurity.ru, 14 декабря 2004.
- Конри-Мюррей Э. Истребляя «паразитов». // Сетевые решения/LAN. 2002. -№ 1.
- Intrusion. Network Security Solutions, http://www.intrusion.com. '
- Radware. Application Security and Application Acceleration, http://www.radware.ru.
- Crosbie M. Automated Intrusion and Misuse Detection: A Guide to Understanding the Technology and Evaluating Your Needs. May 1999.
- The Science of Intrusion Detection System Attack Identification. / В сб. материалов компании Cisco Systems (White paper). 2003.
- Hollander Y., Agostini R. Stop Hacker Attacks at the OS Level. // Internet Security Advisor Magazine. September/October 2000.
- Network- vs. Host-based Intrusion Detection. A Guide to Intrusion Detection Technology. / В сб. материалов компании Internet Security Systems Inc. 1998.
- The evolution of intrusion detection technology. / В сб. материалов Internet Security Systems Inc. 2001.
- Evaluating an Intrusion Detection Solution. A Strategy for a Successful IDS Evaluation. / В сб. материалов компании Internet Security Systems Inc. August, 2000.
- Behavior-Based IDS: Overview and Deployment Methodology. / В сб. материалов компании Lancope Inc. 2003.
- Defining Next-Generation Network IDS: Top Ten Technical Requirements. / В сб. материалов компании McAfee Security (White paper). September 2003.
- Lindstorm P. Understanding Intrusion Prevention. A Spire Research Report. October 2003.
- Ulvila J., Gaffney J. Evaluation of Intrusion Detection Systems. // Journal of Research of the National Institute of Standards and Technology. — 2003. — № 6.
- Mell P., Ни V., Lippmann R., Haines J., Zissman M. An Overview of Issues in Testing Intrusion Detection Systems. / В сб. материалов National Institute of Standards and Technology. July 2003.
- Андриянов B.B., Зефиров C.JI., Трошин A.M. Выбор критериев оценки эффективности обнаружения вторжений в информационно-телекоммуникационых системах. / В сб. трудов НТК «Безопасность информационных технологий». Пенза: ПНИЭИ. 2001.
- Аудит и мониторинг сети. Адаптивное управление безопасностью. / В сб. материалов компании Ланит, http://www.isecuritv.ru/technologies/audit.php.
- Шиффман М. Защита от хакеров. Анализ 20 сценариев взлома. М.: Вильяме, 2002. -304 с.
- Милославская Н. Г. Безопасность в Intranet-сетях. / В сб. материалов курсов переподготовки специалистов ЦБ РФ и СБ РФ. 2001.
- Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети. НИП «Информзащита», июнь 2000.
- Советский энциклопедический словарь. Издание второе. Главный редактор А. М. Прохоров. М.: Советская энциклопедия. 1982.
- Yankee Group, http://www.yankeegroup.com/.
- Лукацкий А.В. Адаптивная безопасность: дань моде или осознанная необходимость? НИП «Информзащита», 2001.
- Драница А. Сторожевой пес. / В сб. материалов проекта InfoSecurity.ru.
- Васе R. Introduction to Intrusion Detection and Assessment. Infidel Inc. 1999.
- ГОСТ P 51 275−99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. 1999.
- Покровский П. Развертывание системы обнаружения вторжений. / В сб. материалов проекта InfoSecvirity.ru.
- Блэк У. Интернет: протоколы безопасности. Учебный курс. Питер. 2001. 288с.
- Колесников О., Хетч Б. Linux. Создание виртуальных частных сетей (VPN). КУДИЦ-Образ. 2004. 464 с.
- Запечников С.В., Милославская Н. Г., Толстой А. И. Основы построения виртуальных частных сетей. Горячая Линия Телеком. 2003. — 249 с.
- Spangler R. Packet Sniffer Detection with AntiSnifF. University of Wisconsin -Whitewater, Department of Computer and Network Administration, May 2003.
- Милославская Н.Г., Ушаков Д. В. Мониторинг безопасности в сетях. Серия «Учебная книга факультета „Информационная безопасность“ МИФИ». Выпуск 6 / Под ред. к.т.н. Малюка А. А., Конспект лекций. — М.: МИФИ, 2004. 142 с.
- Graham R. Sniffing (network wiretap, sniffer) FAQ. September 14,2000. http://www.robertgraham .com/pubs/sniffing-faq.html.
- Компания Network Critical, http://www.criticaltap.com/.
- Secure IDS Taps. / В материалах компании Intrusion Inc. http://www.intrusion.com/products/taps.asp.
- Олифер Н.А., Олифер В. Г., Храмцов П. Б., Артемьев В. И., Кузнецов С. Д. Стратегическое планирование сетей масштаба предприятия. Центр Информационных Технологий. 1997.
- Милославская Н. Г., Толстой А. И. Интрасети: доступ в Internet, защита. Учебное пособие для вузов. М.: ЮНИТИ-ДАНА, 2000. — 527 с.
- Tulloch М. Microsoft Encyclopedia of Security. Microsoft Press, 2003. 416 c.
- RealSecure Network Gigabit Sensor. http://www.iss.net/products services/enterprise protection/rsnetwork/gigabitsensor.php
- Enterasys Dragon Network Sensor. http://www.enterasys.com/products/ids/DSNSA-xxxx-xX/.
- McAfee IntruShield 4000. http://www.mcafeesecurity.com/us/products/mcafee/network ips/4000.htm.
- Intrusion SecureNet Sensors, http://www.intrusion.com/products/snsensors-specs.asp.
- Cisco IDS 4200 Series Sensors. http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod models home.html.
- Cisco IDS host sensors. Product Bulletin 2108. Addendum to End-of-Sale and End-of-Life Announcement for the Cisco IDS Host Sensor and Console Product Line.
- Карве А. Обнаружение атак как средство контроля за защитой сети. / В сб. материалов проекта HackZone. http://www.hackzone.ru.66. RealSecure Server Sensor. http://www.iss.net/products services/enterprise protection/rsserver/protector server. ph E
- Chuvakin A. 5 IDS mistakes that companies make. // Computerworld. 26 February, 2003.
- Жульков E. Поиск уязвимостей в современных системах IDS // Открытые системы. 2003. — № 7−8.
- Ptacek Т., Newsham Т. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Networks Inc. January, 1998.
- Райен Д., Менг-Янг JI., Ристо М. Обнаружение атак с помощью нейросетей. Перевод Лукацкого А. В. и Цаплева Ю.Ю.
- Маркус Р. Обнаружение атак: реальность и мифы. / В сб. материалов проекта Bugtraq. http://www.bugtraq.ru.
- Longman dictionary of contemporary English. Special edition. Longman, 1992.
- Cisco intrusion detection system solution Efficient Intrusion Protection. http://www.cisco.com/en/US/netsol/ns339/ns395/ns360/ns365/ns370/networking soluti ons sub solutionhome.html.
- The Open Source Network Intrusion Detection System Snort, http://www.snort.org.
- Орлов С. Искусство объединения. // Сетевые решения/LAN. — 2003. № 9.
- Орлов С. Кластеры на пробу. // Сетевые решения/LAN. — 2003. № 9.
- Воган-Николс С. Операционные системы для распределенных вычислений. // Открытые системы. 2003. — № 1.
- Черняк Л. Grid как будущее компьютинга. // Открытые системы. — 2003. — № 1.
- Дубова Н. Учет и контроль для «коммунальных вычислений». // Открытые системы. 2003. — № 1.
- Анни П. Этот Grid — неспроста. // Открытые системы. — 2003. № 1.
- Черняк Л. Под знаком Grid. // Computerworld. 2003. — № 3 5.
- Хэмблен М. Grid на горизонте. // Computerworld. 2003. — № 35.
- Мец К. Мощные вычислительные массивы. // PC Magazine/RE. 2003. — № 1.
- Дубова Н, Utility computing сквозь призму управления данными. // Открытые системы. 2004. — № 3.
- Орлов С. Считающие вместе. // Сетевые решения/LAN. — 2004. — № 3.
- Черняк Л. Эти разные тонкие клиенты. // Открытые системы. — 2004. № 4.
- Скэннел Э., Салливан Т. Utility computing в 2004 году. // Computerworld. — 2004. -№ 7.
- Ганьжа Д. Ни секунды простоя. // Сетевые решения/LAN. 2004. — № 5.
- Таненбаум Э., Ван Стеен М. Распределенные системы. Принципы и парадигмы. СПб.: Питер, 2003. 877 с.
- Михайленко К. Параллельный стиль. / В сб. материалов проекта AltLinux. http://www.altlinux.ru/index.php?module=articles&action~show&artid=13.
- Ушаков Д. Перспективные технологии для выполнения сложных вычислений. // Безопасность информационных технологий. 2004. — № 2.
- Ушаков Д. Сравнение способов решения вычислительно сложных задач. / С сб. трудов шестой международной научно-практической конференции «Информационная безопасность», Россия, Таганрог, 1−7 июля 2004.
- Jose D., Ni L., Yalmanchili S. Interconnection Networks: an engineering approach. IEEE Press, 1999.-518c.
- Грин Д. Серверы высокой производительности. // Windows & .NET Magazine/RE. -2003.-№ 11
- RFC3577. Introduction to the Remote Monitoring (RMON) Family of MIB Modules. August, 2003.
- Foster I. What is the Grid? A Three Point Checklist. Argonne National Laboratory & University of Chicago. July 20,2002.
- The Globus Alliance, www.globus.org.
- Gnutella community, www. gnute11a.com.
- United Devices, Grid MP Solutions, www.ud.com/solutions.
- The Globus Alliance testbeds & production projects. http://www.globus.org/research/testbeds.html.
- Гаврилова E. Grid-сеть. // Инженер-физик. 2004. -№ 1−3.
- Butler R., Welch V., Engert D., Foster I., Tuecke S., Volmer J., Kesselman С. A National Scale Authentication Infrastructure. IEEE Design&Test of computers, December 2000.
- Черняк JI. Сорок лет спустя, или реинкарнация одной модели компьютерного/ бизнеса. // Открытые системы. — 2004. № 2.
- The Globus Toolkit, http://www-unix.globus.org/toolkit/.
- Kirtland M. Designing Component-Based Applications. Microsoft Press, 1998.
- Common Object Request Broker Architecture. Getting Started with OMG specifications and Process, http://www.omg.org/gettingstarted/.107.0pen Grid Services Architecture, http://www.globus.org/ogsa/.
- Prosise J. Programming Microsoft .NET. Microsoft Press, 2002.
- RFC 2616. Hypertext Transfer Protocol-HTTP/1.1. June 1999.1.lO.Simple Object Access Protocol. http://www.w3.org/TR/soap/.1. l. Web Services Description Language version 1.1, W3C Note, 15 March 2001.
- Extensible Markup Language, http://www.w3.org/XML/.
- Kuhn R. The POSIX Open System Environment. October 1994.
- UDDI Technical White Paper. September 6, 2000.
- Галактионов В. Sun ONE и Microsoft .NET в борьбе за Web-службы. // Мир ПК. — 2003.-№ 10.
- Grid Security Infrastructure, http:// www-unix. globus .or g/securit у/.
- Vandenwauver M., Govaerts R., Vanderwalle J. Overview of Authentication Protocols. 1999.
- Ushakov D. Distributed authentication systems. Essay Presented to The University of the Aegean. IPICS'02. September 2002.
- Mats P., Ulf L. Kerberos and SESAME. September 6, 1999.
- Netscape. The SSL Protocol. Version 3. November 1996.
- Конри-Мюррей Э. Основные компоненты инфраструктуры с открытыми ключами. // Сетевые решения/LAN. — 2002. — № 1.
- Armstrong S. Security. Chapter 8. East Texas Data Service. May 2001.
- Инфраструктура открытых ключей. / В сб. материалов компании ООО Валидата. Август 2004.
- Burrows М., Abadi М., Needham R. A Logic of Authentication. // DEC System Research Center Report. —1989. № 39.
- Mills D. Network Time Protocol (Version 3) Specification, Implementation and Analysis. March 1992.
- NIST CSL Bulletin on RBAC. An Introduction to Role-Based Access Control. December 1995. http://csrc.nist.gov/rbac/.
- Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.
- ITU-T. Recommendation Х.509. The Directory authentication framework. ITU, 1988.
- The Open Group Architectural Framework Version 7, PART III: Foundation Architecture. Technical Reference Model-High Level Breakdown. Published in December 2001. http://www.opengroup.org/architecture/togaf7-doc/arch/.
- Gong L., Needham R., Yahalom R. Reasoning about Belief in Cryptographic Protocols. Proceedings of the IEEE 1990 Symposium on Security and Privacy, Oakland, California. May, 1990.
- Miloslavskaya N.G., Ushakov D.V. Introducing distributed computing into everyday life. Proceedings of the 4th International Network Conference. Network Research Group, University of Plymouth, 2004.
- Милославская H. Г., Толстой А. И. Интрасети: обнаружение вторжений. Учебное пособие для вузов. М.: ЮНИТИ-ДАНА, 2001 587 с.
- RFC 3376. Internet Group Management Protocol, Version 3.
- Arkills B. LDAP Directories Explained: An Introduction and Analysis. Addison Wesley. February 21, 2003.
- Лукацкий А. В. Как работает сканер безопасности?. / В сб. материалов проекта BugTraq.ru, 2002.
- Информация об уязвимостях. http://www.securitvfocus.org, http://www.bugtraq.ru.
- Learn the Planet: Glossary. Push technology (Pull technology). http://www.learnthenet.com/english/gIossary/.
- Ушаков Д.В. Основы сетевых технологий. Общие сведения о стеке протоколов TCP/IP. Серия «Учебная книга факультета „Информационная безопасность“ МИФИ». Выпуск 2 / Под ред. доц., к.т.н. Малюка А. А. Конспект лекций. М.: МИФИ, 2004. — 39 с.
- Open Source Snort Rules Consortium Charter. April, 2005.
- Open Source Snort Rules Consortium. Operating Plan. April, 2005.
- WorldSpy Computer Dictionary white hat hacker. http://www.wordspy.com/words/whitehathacker.asp.
- SearchSecurity Definitions black hat. http://searchsecurity.techtarget.com/sDefiiiition/Q"sidl4 gci550815.00.html.
- Gerald R., Patterson I. The Diary Of A Black Hat Hacker. GIAC Certified Incident Handler Candidate. April 2002.
- Webopedia Computer Dictionary script kiddie. http://www.webopedia.eom/TERM/S/scriptkiddie.html.
- Parker Т., Pinkas D. SESAME Technology Version 4 Overview. December 1995.
- Ashley P. Authorization For A Large Heterogeneous Multi-Domain System. Information Security Research Centre, Queensland University of Technology, 1999.
- ITU-T. Recommendation X.509. The Directory: Public-key and attribute certificate frameworks. Approved March 2000.
- Pernul G. Database Security: Scope, State-of-the-Art, and Evaluation of Techniques. Proceedings of the IPICS'03 Conference. Department of Information Systems, University of Essen, 2003.
- Keahey K., Welch V. Fine-Grain Authorization for Resource Management in the Grid Environment. August 2002.
- Keahey K., Welch V., Lang S., Lui В., Meder S. Fine-Grain Authorization Policies in the GRID: Design and Implementation. April 2003.
- Humphrey M., Knabe F., Ferrari A., Grimshaw A. Accountability and Control of Process Creation in the Legion Metasystem.
- Селезнев Д. Role Based Access Control в Solaris 9. // Системный администратор. -2004. -№ 5(18).
- Яремчук С. Rule Set Based Access Control для Linux. // Системный администратор. -2004. -№ 1(14).
- Cisco IOS Security Configuration Guide: AAA Overview. / В сб. материалов компании Cisco Systems, 2003.
- MonitorWare. Glossary. Syslog Facility. http://www.monitorware.com/Common/en/glossary/Svslog-Facilitv.php.
- Дейт К. Введение в системы баз данных. 6-е издание. Киев: Диалектика, 1998. — 784 с.
- Грязнов Е., Панасенко С. Безопасность локальных сетей. // Мир и безопасность. — 2003.-№ 2.
- Cisco IOS Security Configuration Guide: Configuring IPSec Network Security. / В сб. материалов компании Cisco Systems, 2003.
- RFC 2246. The TLS Protocol Version 1.0. January 1999.
- Cisco IOS Security Configuration Guide: Configuring Internet Key Exchange Security Protocol. / В сб. материалов компании Cisco Systems, 2003.
- Doraswamy N., Harkins D. IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks. Prentice Hall PTR, 2003.
- IETF IP Version 6 Working Group. IP Version 6 (IPv6). http://plavground.sun.com/pub/ipng/html/ipng-rnain.html.1 бб. Байрак А. Зеркалирование информации. // Системный администратор.—2004.—№ 5(18).
- Бойс Д. Развертывание приложений с помощью Group Policy. // Windows & .NET Magazine. 2004. — № 3.
- Kaijser P., Parker Т., Pinkas D. SESAME: The Solution To Security for Open Distributed Systems. // Computer Communications. 1994. — № 17(7).
- Dunsmore В., Brown J., Cross M. Mission Critical Internet Security. Syngress Publishing, 2001.-529 c.
- W3C XML Schema, http://www.w3.org/XML/Schema.
- The Extensible Stylesheet Language Family (XSL). http://www.w3.org/Stvle/XSL/.
- Debar H., Curry D., Feinstein B. The Intrusion Detection Message Exchange Format. IETF IDWG Internet-Draft. July 2004.
- Open Vulnerability Assessment Language. XML Schema. June 2004. http://oval.mitre.org/.
- Next Generation Intrusion Detection System. // В сб. материалов компании McAfee Security (White paper). November 2003.
- Хетагуров Я.А. Основы проектирования управляющих вычислительных систем. М.: Радио и связь, 1991. 288с.
- Чернов В.П., Ивановский В. Б. Теория массового обслуживания. Учебное пособие. М.: Инфра-М. 2000.
- Вентцель Е.С. Исследование операций. Задачи, принципы, методология. Учебное пособие для студентов ВТУЗов. 2-е издание. М.: Высшая школа, 2001. — 208с.