Системы обнаружения вторжений

Введение
1. Компьютерные атаки и технологии их обнаружения
1.1 Первый этап реализации атак
1.2 Реализация атаки
1.3 Завершение атаки
1.4 Средства обнаружения компьютерных атак
1.5 Сетевые системы обнаружения атак и межсетевые экраны
2. Программные средства анализа защищенности
3. Программные средства обнаружения и отражения угроз
4. Внедрение программных средств обнаружения атак для информационной системы предприятия
Заключение
Список использованных источников

Весь текст будет доступен после покупки

На современном этапе развития информационных технологий сложно представить организацию эффективной деятельности человека без использования информационно-телекоммуникационных сетей Интернет и других информационных технологий, которые оказывают значительное влияние на все её сферы: от социально-экономической до политической, не оставляя без внимания и остальные части нашего общества. Деятельность пользователей сети Интернет не всегда является законной: человечество столкнулось с проблемой роста киберпреступлений. Внедрение компьютерных сетей началось в 60-е годы XX века (первая стадия цифровизации), тогда началось создание первых компьютеров. Изначально они были внушительных размеров, способные занимать целые комнаты и в основном использовались в научной и военной областях. Уже на первой стадии цифровизации проявились угрозы, связанные с риском похищения ценной государственной информации. К 70-ым годам XX века (вторая стадия цифровизации) появились микро и мини электронно-вычислительные машины (ЭВМ), доступные для использования в других сферах, что также сопровождалось вероятностью нарушения их стабильности. Дальнейшие преобразования были направлены на миниатюризацию цифровых технологий. Поэтому в 80-х годах XX века (третья стадия цифровизации) были созданы и запущены в действие персональные компьютеры, облегчившие и ускорившие такие процессы как обработка, хранение и систематизация данных. В 90-ые годы ХХ века (четвертая стадия цифровизации), благодаря техническому прогрессу, в обществе произошли глобальные изменения, весь мир впервые стал взаимосвязан в единое информационное поле. После технический переворот был назван цифровизацией.
В настоящее время все больше предприятий так или иначе задумываются о сохранности информации и бесперебойной работе своих информационных систем. На рынке систем обнаружения атак представлено множество решений. Системы обладают различным функционалом, предлагают различные методы борьбы с атаками. Также наряду с коммерческими программными продуктами на рынке можно встретить и бесплатные версии систем обнаружения вторжений, которые доступны широкому потребителю.
В связи с усложнением используемого программного обеспечения и ростом числа его уязвимостей возрастает актуальность не только таких превентивных мер противодействия, как использование межсетевых экранов и обманных систем, но также и внедрения систем обнаружения вторжений, позволяющих активно противодействовать попыткам несанкционированного доступа.

Весь текст будет доступен после покупки

1. Компьютерные атаки и технологии их обнаружения

Вторжением в информационную систему называют преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.
На сегодняшний день считается неизвестным, сколько существует методов атак. Говорят, о том, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Но еще в 1996 году Фред Коэн описал математические основы вирусной технологии. В этой работе доказано, что число вирусов бесконечно. Очевидно, что и число атак бесконечно, поскольку вирусы — это подмножество множества атак.
Традиционная модель атаки строится по принципу "один к одному" или "один ко многим", т.е. атака исходит из одного источника. Разработчики сетевых средств защиты ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения "многие к одному" и "многие ко многим".
Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.

Весь текст будет доступен после покупки

1. Комплексный подход к построению интеллектуальной системы обнаружения атак / Васильев В. И., Свечников Л. А., Кашаев Т. Р. // Системы управления и информационные технологии, Воронеж, №2,2007. - С. 76-82.
2. Проблема построения защищенных Internet-серверов / Свечников Л.А., Кашаев Т.Р. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. - С. 9.
3. Использование AD для разработки защищенных приложений / Свечников Л.А., Кашаев Т.Р., Кустов Г.А. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. -С. 21.
4. Структура интеллектуальной распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., Калабухов М.С. // Компьютерные науки и информационные технологии: Труды 7-й Международной конференции (CSIT'2005), Т. 2, Уфа: Изд-во УГАТУ, 2005. - С. 200-206 (на англ. языке).
5. Архитектура распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., // Информационная безопасность: Материалы 8-й международной научно-практической конференции. Часть 1 - Таганрог: Изд-во ТРТУ, 2006. - С. 180-184.
6. Архитектура распределенной системы обнаружения атак/ Свечников Л.А. // Компьютерные науки и информационные технологии: Труды 8-й Международной конференции (CSIT'2006), г. Карлсруэ, Германия, Уфа: Изд-во УГАТУ, 2006. - Том 2, С. 177-179 (на англ. языке).

Весь текст будет доступен после покупки