Статья:

Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений

Конференция: XXXIV Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»

Секция: Технические науки

Выходные данные
Самсоненкова И.И., Цымбал А.А. Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений // Технические и математические науки. Студенческий научный форум: электр. сб. ст. по мат. XXXIV междунар. студ. науч.-практ. конф. № 11(34). URL: https://nauchforum.ru/archive/SNF_tech/11(34).pdf (дата обращения: 23.12.2024)
Лауреаты определены. Конференция завершена
Эта статья набрала 0 голосов
Мне нравится
Дипломы
лауреатов
Сертификаты
участников
Дипломы
лауреатов
Сертификаты
участников
на печатьскачать .pdfподелиться

Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений

Самсоненкова Ирина Игоревна
студент, ФГБОУ ВО Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, Санкт-Петербургский колледж телекоммуникаций им. Э.Т. Кренкеля, РФ, г. Санкт-Петербург
Цымбал Анжелика Андреевна
студент, ФГБОУ ВО Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, Санкт-Петербургский колледж телекоммуникаций им. Э.Т. Кренкеля, РФ, г. Санкт-Петербург
Кривоносова Наталья Викторовна
научный руководитель, ФГБОУ ВО Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, Санкт-Петербургский колледж телекоммуникаций им. Э.Т. Кренкеля, РФ, г. Санкт-Петербург

 

Аннотация. В условиях цифровизации экономики вместе с удобством работы с сервисами пришли и проблемы безопасности. Объекты КИИ и банковские информационные системы подвергаются атакам злоумышленников с частотой, увеличивающейся в геометрической прогрессии. Для противостояния атакам необходимы определенные ресурсы. Одним из таких ресурсов и являются системы обнаружения вторжений (СОВ). Данная работа будет посвящена обзору рынка существующих систем обнаружения  вторжений и формированию рекомендаций по определению перечня функциональных возможностей системы  согласно требований заказчика.

 

На сегодняшний день такие традиционные средства защиты, как межсетевой экран и антивирусное программное обеспечение не могут обеспечить должный уровень защиты инфокоммуникационной сети компании. Программно-аппаратные средства получения несанкционированного доступа сегодня представляют собой сложные и многофункциональные программные и технические решения, противостоять которым - одна из главных задач в отрасли безопасности инфокоммуникаций. Системы обнаружения вторжений (далее - СОВ) - это один из инструментов, который решает эту задачу.

Определений системы обнаружения вторжений в научной литературе много. В данной работе будет принято определение СОВ как программного или программно-технического средства, предназначенного для автоматизированной регистрации подозрительных действий, наблюдения за сетевой и системной активностью, обнаружения вредоносных действий и нарушений политики безопасности.

Как правило, любая СОВ состоит из нескольких компонентов: сенсоры; центр распределения регистрационной информации; модуль анализа информации и принятия решений; хранилище данных.

Сенсоры просматривают сетевой трафик, центры распределения передают данные анализаторам, итогом работы которых является вывод информации в административный интерфейс. На рисунке 1 представлена структура типовой СОВ.

Основными задачами такой  системы является распознавание возможных подозрительных активностей, хранение сведений о них и составление отчетов о попытках взлома.

 

Рисунок 1. Структура СОВ

 

Как правило, существующие на рынке СОВ являются “коробочными решениями”, функционал которых заранее определен компанией-разработчиком. При этом покупка и сопровождение такого решения не всегда доступна для предприятий малого и среднего бизнеса. Поэтому актуальной задачей во многих компаниях является разработка собственной СОВ на основе дифференцированного подхода к определению базового функционала. Прежде чем определить базовые требования к СОВ, необходимо провести обзор наиболее популярных “коробочных” решений на российском рынке.

В работе будет проведено сравнение решений ViPNet IDS HS, Ребус-СОВ и Кречет. В таблице 1 представлено сравнение указанных СОВ по таким параметрам, как класс защиты, функциональные возможности, достоинства заявленные разработчиком.

Программно-аппаратный комплекс ViPNet IDS работает по принципу динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI). Программный комплекс «Ребус-СОВ» предназначен для обнаружения и блокирования угроз безопасности информации внешних и внутренних атак. СОВ «КРЕЧЕТ» — система уровня сети, которая  автоматически выявляет несанкционированные действия в информационной системе.

Таблица 1.

Сравнение указанных СОВ

 

ViPNet IDS HS

Ребус-СОВ

Кречет

Производитель

ОАО «ИнфоТеКС»

Научно-исследовательский институт «Центрпрограммсистем»

Научно-производственное предприятие «Гамма»

Класс защиты

IV

II

IV

Функциональные возможности

  • сбор событий из источников обнаружения вторжений (ViPNet IDS);
  • анализ событий;
  • автоматическое категорирование инцидентов;
  • система оповещения;
  • предоставление дополнительной информации по инцидентам;
  • графический интерфейс системы мониторинга;
  • формирование отчетов;
  • ручное управление инцидентами;
  • работа в режиме реального времени.
  • анализирует сетевой трафик сигнатурный анализ журналов аудита операционной системы и прикладного программного обеспечения;
  • контроль нештатных сетевых подключений
  • работа в режиме реального времени визуализация статистики о вторжениях;
  • центральное управление блокировкой станций и сетевого трафика;
  • формирование  отчетов.
  • встраивается в сетевую инфраструктуру;
  • подключение в порт зеркалирования пограничного сетевого устройства;
  • сигнатурный и эвристический анализ актуальных атак;
  • выявляет:

-плохой трафик и использование эксплоитов;

-сканирование системы и атаки на службы (Telnet, FTP, DNC)

- атаки, связанные с web-серверами (cgi, php, iss);

-атаки на базы данных;

-web-фильтры и вирусы.

Состав (составные части)

  • агент;
  • сервер;
  • консоль управления

 

  • консоль управления;
  • агент;
  • сервер;
  • модуль сбора данных и обнаружения вторжений;
  • модуль противодействия вторжениям
  • агент;
  • модуль обнаружения вторжений

 

Особенности (преимущества) заявленные производителем

  • сокращение времени обнаружения;
  • снижение затрат на эксплуатацию;
  • упрощение реагирования на угрозы;
  • автоматизация сбора данных о работе системы;
  • сопровождение
  • функционирование  на уровне сети и на уровне узла;
  • поддержка ОС Microsoft Windows, МСВС 5.0, Astra Linux Special Edition;
  • функционирование в гетерогенных сетях;
  • выявление вторжений по данным аудита АПКЗИ от НСД «Ребус-М»;
  • контроль нештатных сетевых подключений в сети;
  • гибкая настройка автоматической реакции на вторжения;
  • подключение дополнительных модулей сбора данных и их анализа;
  • взаимодействие с межсетевыми экранами
  • написание собственных правил;
  • расширение функциональности;
  • гибкая система оповещения об атаках (Log файлы, устройства вывода, БД и т.д.).

 

 

В ходе сравнения указанных продуктов были сделаны следующие выводы:

  1. Ребус-СОВ лучше использовать в организациях, где необходима работа с гостайной, так как этой системе присвоен II класс защиты;
  2. СОВ Кречет можно использовать для компании любых масштабов, так как есть возможность подключения/отключения модулей системы;
  3. ViPNet IDS HS можно использовать в компаниях, где важна скорость реагирования на атаку.

Таким образом, на сегодняшний день любая компания может столкнуться с выбором СОВ по соотношению “цена/качество”. Существующие решения могут быть избыточны/не достаточны по функциональным возможностям для защиты ИТ-инфраструктуры компании.

Авторы работы предлагают оптимальный набор модулей для СОВ, который может быть реализован для конкретной компании на основании анализа защищаемых информационных активов.

Основное название СОВ в компании:

  • сбор информации с маршрутизаторов Магистральной сети передачи данных, обнаружения DoS/DDoS-атак, оповещении системы  и ответственных лиц по каналам связи об обнаруженных атаках;
  • работа с сетевым оборудованием компании;
  • создание отчетов для пользователей системы об обнаружении атак.

Минимальный набор задач СОВ:

  • контроль коммутационного оборудования и сетей связи;
  • создание правил по настройке маршрутизаторов магистральной сети;
  • предоставление отчетов по сетевому трафику.

Минимальный набор модулей СОВ:

  • подсистема сбора данных для статистического анализа распределения трафика;
  • подсистема управления и принятия решений;
  • подсистема резервного копирования

Наиболее перспективным направлением развития СОВ является внедрение когнитивных способностей в функционал этих систем с использованием искусственных нейронных сетей и нечеткой логики. Кроме того, наблюдается тенденция к миниатюризации, что в будущем позволит  устанавливать СОВ на каждое устройство в сети, повышая уровень безопасности в целом. Идеальная СОВ в автоматическом режиме выявляет несанкционированные действия в системе и оперативно их блокирует, осуществляет постоянный мониторинг состояния сети. Возможность изменения СОВ на пользовательском уровне, составление точных отчетов о всех совершенных действиях и поддержание множества ОС также являются важными параметрами при выборе “коробочного решения”. Однако дифференцированный подход при определении базовых функциональных требований к СОВ позволяет уйти от использования готовых решений  или же выбирать имеющиеся решения с возможностью масштабирования системы или отказа от части неиспользуемых модулей.

 

Список литературы:
1. Программный комплекс обнаружения вторжения «Ребус-СОВ»- [Электронный ресурс] – Режим доступа. –URL:  https://rebus-sov.ru/
2. Гамма искусство безопасности  научно-производственное предприятие. Кречет - [Электронный ресурс] – Режим доступа. –URL: https://nppgamma.ru/catalog/setevaya_bezopasnost/krechet/
3. ViPNet IDS HS. Система обнаружения атак, защита рабочих станций и серверов. ИнфоТеКС - [Электронный ресурс] – Режим доступа. –URL:  https://infotecs.ru/product/vipnet-ids-hs-versiya-1.html
4. Технические средства и методы защиты информации. 7-е издание. Александр Зайцев, Роман Мещеряков, Горячая линия-Телеком, 2012, 442 c.
5. Введение в информационную безопасность автоматизированных систем Бондарев В., МГТУ им. Н. Э. Баумана, 2016, 250 c.