ВкаждойIPSсодержитсямодульIDS.
2.2 ПроектMinnesotaIntrusionDetectionSystem (MINDS)Примером работы системы обнаружения вторжений может служить реализация проекта MinnesotaIntrusionDetectionSystem (MINDS), основанного на DM технологии обнаружения аномалий вторжений. Рисунок 2 иллюстрирует процесс анализа данных реального сетевого трафика данных с помощью MINDS. Рисунок 2. Система обнаружения вторжений MINDSВход в MINDS осуществляет модуль NetFlowdate версии 5, с помощью инструментов потока (flow-tools) (www.tcptrace.org). F low-tools сбора информации отражают только заголовки пакетов (то есть, не отражают содержание сообщения) и создают однонаправленные сессии (потоки).Netflowdate для 10-минутных окон, которые обычнорезультируют 1−2 млн.
потоков, хранящихся в плоских файлах. Аналитик использует MINDS для анализаэтих 10-минутных файлов данных в пакетном режиме. Причиной, по которой система работает в пакетномрежиме, возникает не из-за времени, которое требуется, чтобы проанализировать эти файлы, но это удобно для работы аналитиков. Перед тем как данные подают в модуль обнаружения аномалий, аналитик выполняет шаг фильтрации данных, чтобы удалить сетевой трафик, не представляющий интереса для анализа. Например, отфильтрованные данные, могут включать в себя трафик из надёжных источниковили необычное / аномальное поведение сети. Первым шагом в MINDS является извлечение признаков, используемых в DM анализе.
Основные признаки и возможности признаков включают источники и назначения IP-адресов, источник и назначениепорта, протокола, признаки, число байтов и число пакетов. Производные признаки включают в себяокно времени (time-window) и окна подключения (connection-windows) на основе признаков. Time-window на основе признаковпостроены для отражения связей с аналогичными характеристиками на последних T секундах. В таблице 4.
3. обобщены временные окна на основе инструментария. Таблица 1- Окна времени на основе признаков.
НаименованиепризнаковОпределение признаковcount-destКоличество потоков в уникальных IP-адресах назначения внутрисети в последние T секунд из того же источникаcount-srcКоличество потоков от уникальногоIP-адреса источников внутри сетиработающих на последних секундах T в том же направленииcount-serv-srcКоличество потоков от источника IP к одному порту назначенияна последних секундах Tcount-serv-destКоличество потоков в адрес назначения при использовании одного источника порта на последних секундах T"Медленные" операции по сканированию, т. е. те, которые сканируют хосты (или порты) и используют намногобольшие интервалы времени, чем несколько секунд, например, одно касание в минуту или даже одно касание в час, не могут быть отделены от остальной части трафика с использованием временного окна на основе признаков. Чтобы сделать это MINDS также получает окна подключения на основе признаков, которые охватывают те же характеристики подключения, как окна времени на основе признаков, но вычисляют с использованием последних N подключений, происходящих из (поступающих в) различных источников (адресов). Окна подключения на основе признаков приведены в таблице 2. Таблица 2. -Окна подключения на основе признаков.
Наименованиепризнаков Определение признаковcount-dest-connКоличество потоков в уникальных IP-адресах назначения всторону сети в последних N потоках из того же источникаcount-src-connКоличество потоков от уникальных адресов IP источника внутрисети впоследних N потоков в том же направленииcount-serv-src-connКоличество потоков от источника IP на тот же адресатпортов в последних N потоках count-serv-dest-connКоличество потоков в адрес назначения, используя тот жепорт источника в последних N потоках.
После стадии строительства признаков, используется модуль обнаружения известных атак, чтобыобнаруживать сетевые подключения, соответствующие атакам для которых сигнатуры являются доступными, а затем удалить их из дальнейшего анализа. Затем данные подают в модуль обнаружения аномалий MINDS, использующий алгоритм обнаружения выброса на основе подхода LOF, чтобы идентифицировать аномальные результаты для каждого сетевого соединения. После чего аналитик должен рассмотреть только самые аномальные соединения с целью определения являются ли онифактическими атаками или другим интересным поведением. Ассоциативный шаблон модуля анализа MINDS обобщает сетевые подключения, ранжируя высоко аномальные с помощью модуля обнаружения аномалий. Аналитик обеспечиваетобратную связь после анализа обобщений, создаёт и решает, является ли это обобщение полезным для разработки новых правил, которые могут быть использованы в модуле обнаружения известных атак.
Заключение
.
Проблемы защиты информации привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. Наиболее рациональными и широко применяемыми способами обеспечения безопасности информации являются системы обнаружения вторжений. Настоящее исследование было направлено на определение круга задач, решаемых системами обнаружения вторжений и позволило сформулировать ряд положений:
главными задачами обеспечения безопасности КС является обеспечение доступности, целостности, конфиденциальности;
атаки на КС возможны через активизацию той или инойуязвимости, которая присутствует в системе;
основная задача систем обнаружения вторжений заключается в обнаружении события несанкционированного проникновения (вторжения или сетевой атаки) в компьютерную систему или сеть. Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении. Библиографический список.
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)Барабаш П. А. Безопасность персональных данных. Учебное пособие. — СПб.: Политехника, 2012. — 167с. Курбатов, В. А. Руководство по защите от внутренних угроз информационной безопасности/ В. А. Курбатов, В. Ю. Скиба.
— СПб, Питер, 2011 г.- 320 с. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. Учебное пособие/ В. В. Платонов. — М.: Академия, 2012. —.
240 с. Терещенко Л. К., Тиунов О. И. Информационная безопасность органов исполнительной власти на современном этапе / Л. К. Терещенко, О. И. Тиунов // Журнал российского права. — 2015. — № 8. — С.100−109.Хорошко, В. А. Методы и средства защиты информации/ В. А. Хорошко, А. А. Чекатков. ;
К.: Юниор, 2013 г. — 504с. Шаньгин, В. Ф. Защита информации и в компьютерных системах и сетях/ В. Ф. Шаньгин. — М.: Издательство ДМК, 2012. — 255с.Аверченков.
В.И. Защита персональных данных в организации: монография [Электронный ресурс]. — Режим доступа: rucont.ru/file.ashx?guid=ea25d135−5cc7−4ed7-a041−6ff556db68be (Дата обращения 17.
01.17)Глобальный тренд — утечки данных [Электронный ресурс] // Политика и финансы в новом окне. — Режим доступа:
http://www.trust.ua/news/133 322-globalnyj-trend-utecki-dannyh.html (Дата обращения 18.
01.17)Шабанов И. Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2013;2016 [Электронный ресурс] / И. Шабанов // Anti-Malware. — Режим доступа:
http://www.anti-malware.ru/node/19 583# (Дата обращения 18.
01.17).
