Особенности формирования требований к системе учета и анализа аномалий сетевого трафика | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 20 марта, печатный экземпляр отправим 24 марта.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №12 (302) март 2020 г.

Дата публикации: 21.03.2020

Статья просмотрена: 12 раз

Библиографическое описание:

Шуленина, А. В. Особенности формирования требований к системе учета и анализа аномалий сетевого трафика / А. В. Шуленина. — Текст : непосредственный // Молодой ученый. — 2020. — № 12 (302). — С. 14-16. — URL: https://moluch.ru/archive/302/68247/ (дата обращения: 07.03.2021).



Формирование требований к программному продукту происходит в соответствии с ГОСТ Р ИСО/МЭК 25010–2015.

Разрабатываемая система относится к виду гибридных систем обнаружения вторжений, поскольку производит мониторинг безопасности на двух уровнях: уровне узла и уровне сети. Системы данного класса попадают под действие двух методических документов «ИТ.СОВ.У6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты» и «ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты».

В соответствии c документами ФСТЭК России система обнаружения вторжений должна соответствовать требованиям, изложенным ниже.

Объект оценки должен обеспечивать обнаружение и (или) блокирование основных угроз безопасности, относящихся к вторжениям (атакам):

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей;

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе [1].

В системе обнаружения вторжений должны быть реализованы следующие функции безопасности:

− разграничение доступа к управлению системой обнаружения вторжений;

− управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений;

− управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;

− анализ данных системы обнаружения вторжений;

− аудит безопасности системы обнаружения вторжений;

− сбор данных о событиях и активности в контролируемой информационной системе;

− реагирование системы обнаружения вторжений [2].

Далее необходимо рассмотреть системные требования, среди которых стоит выделить требования к целевому программному обеспечению, к нецелевым данным и базам данных.

Рассмотрим требования к нецелевому программному обеспечению.

1. На сервере приложений должна быть установлена одна из следующих операционных систем: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Ubuntu версии не ниже 10.04 LTS.

2. На сервере сбора, обработки и загрузки данных должен быть установлен . NET Framework 4.5.

3. На сервере приложений должен быть настроен Apache HTTP-сервер версии 2.4.41.

4. На сервере приложений должен быть установлен язык разработки PHP 7.0.

5. В качестве среды разработки на PHP 7.0 использовать текстовый редактор Sublime Text.

6. Для создания и управления базой данных использовать СУБД (систему управления базами данных) HeidiSQL 10.2.

Разработка требований к нецелевым данным или базам данных включает в себя определение требований к внутренним базам данных и определение необходимых внешних баз данных.

1. Для обучения нейронной сети необходимо использовать стороннюю базу данных NSL KDD, в которой представлены записи, содержащие нормальные запросы, DoS-атаки, Probe, U2R, R2L.

2. В базе NSL KDD представлен обширный список параметров. Из этого списка для формирования базы обучения нейронной сети были выбраны следующие:

− duration — длительность соединения (секунды);

− protocol_type — тип протокола (tcp, udp, и др.);

− service — сетевая служба получателя (http, telnet и др.);

− flag — состояние соединения;

− src_bytes — число байтов, переданных от источника получателю;

− dst_bytes — число байтов, переданных от получателя источнику;

− land — 1, если соединение по идентичным портам, 0 — в других случаях;

− wrong_fragment — количество «неверных» пакетов;

− urgent — количество пакетов с флагом URG [3].

Требования к целевому программному обеспечению включают в себя следующие положения:

  1. Система должна в режиме реального времени выводить оповещения для ответственного лица.
  2. Система должна поддерживать выгрузку данных на MySQL Server для последующего анализа.
  3. Система не должна создавать конфликтов при работе с основным набором офисных программ.
  4. Система должна иметь простой и удобный пользовательский интерфейс для ее администрирования и управления в любом IT-отделе.
  5. Интерфейс системы должен иметь набор простых и понятных команд.
  6. В интерфейсе программы должна быть заложена проверка всех вводимых пользователем данных. Система должна запрашивать подтверждение перед внесением каких-либо изменений.
  7. Система должна полностью выполнять свои функции в режиме 24/7.
  8. В случае технических сбоев, отключения электроэнергии или других чрезвычайных происшествий система должна быть полностью восстановлена в течение часа начиная с момента ее отключения.
  9. Доступ к управлению системой должен быть строго разграничен.
  10. Для обработки больших данных использовать только ночное время.

При проектировании подобной системы должны быть обязательно учтены требования непосредственных заказчиков.

Требования потенциальных заказчиков представлены ниже.

  1. Система должна обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе (функциональная пригодность и функциональная полнота).

  1. Система должна иметь не более 5 % ложных срабатываний (функциональная корректность).
  2. Система должна в режиме реального времени выводить оповещения для ответственного лица и предпринимать действия по защите информационной безопасности (временные характеристики).
  3. Система должна поддерживать выгрузку данных на MySQL Server для последующего анализа (совместимость).
  4. Система не должна создавать конфликтов при работе с основным набором офисных программ (сосуществование).
  5. Система должна иметь простой и удобный пользовательский интерфейс для ее администрирования и управления в любом IT-отделе (удобство использования, эстетика пользовательского интерфейса или удовольствие).
  6. Интерфейс системы должен иметь набор простых и понятных команд (обучаемость и управляемость или комфорт).
  7. В интерфейсе программы должна быть заложена проверка всех вводимых пользователем данных, а также система должна запрашивать подтверждение перед внесением каких-либо изменений (защищенность от пользовательской ошибки).
  8. Система должна полностью выполнять свои функции в режиме 24/7 (надежность, завершенность).
  9. В случае технических сбоев, отключения электроэнергии или других чрезвычайных происшествий система должна быть полностью восстановлена в течении часа начиная с момента ее отключения (восстанавливаемость).
  10. Доступ к управлению системой обнаружения вторжений должен быть строго разграничен (защита защищенность, конфиденциальность и целостность).
  11. Система должна поддерживать несколько видов платформ, Windows Server и некоторые дистрибутивы Linux (переносимость, мобильность).
  12. Должно быть реализовано управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений.
  13. Управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений (эффективность, результативность, свобода от риска)
  14. Система должна проводить анализ полученных данных.
  15. Система должна периодически проводить аудит безопасности информационный среды передачи информации.
  16. Система постоянно собирает информацию о происходящих событиях и активности в информационной системе.
  17. В случае обнаружения вторжения предусмотреть реагирование системы двух видов:

− уведомление ответственного лица о произошедшем вторжении;

− действия по предотвращению дальнейшего проникновения (смена IP-адреса, отказ в доступе устройству и т. д.) (полноценность, доверие).

  1. Среда, в которой функционирует система, должна обеспечивать следующие функции безопасности среды:

− обеспечение доверенного маршрута;

− обеспечение доверенного канала;

− обеспечение условий безопасного функционирования;

− управление атрибутами безопасности.

  1. Система должна выполнить анализ собранных данных, чтобы обнаружить возможные вторжения, используя эвристические методы, в основе которых лежат методы обнаружения аномалий трафика на текущем уровне эвристического анализа.

Литература:

  1. ИТ.СОВ.У6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты (утв. ФСТЭК России 06.03.2012)
  2. ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты (утв. ФСТЭК России 06.03.2012).
  3. Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных // Othermedia.info. URL: http://othermedia.info/?p=6551 (дата обращения: 10.02.2020).
  4. Сосенушкин С. Е., Харин А. А., Ермилов С. В., Родюков А. В. Внедрение автоматизированной информационной системы управления как основы создания электронной информационно-образовательной среды в современном университете // Информатика и образование. — 2016. — № 3 (272). — С. 4–8.
  5. Сосенушкин С. Е. Повышение эффективности маршрутизации сетевых пакетов на основе балансировки нагрузки // Известия Тульского Государственного университета. Технические науки. Тула: Издательство ТулГУ. — 2009. — № 3. — С. 276–283.
Основные термины (генерируются автоматически): система, SERVER, WINDOWS, система обнаружения вторжений, Россия, NSL, PHP, носитель информации, информационная система, ответственное лицо.


Похожие статьи

системы обнаружения вторжений, информационная...

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных и/или аппаратных средств, служащих для

Система обнаружения вторжений позволит не только выявить компьютерную атаку и блокировать ее, но и выполнить это в...

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Системы сбора информации в аспекте кибербезопасности

Данная статья заключает в себе обзор агентов и инструментов сбора данных, для наблюдения за поведением пользователей на рабочих станциях, поиска вирусов, угроз сети и ботнетов. Ключевые слова: системы обработки журналов, системы обнаружения атак...

Современные технологии защиты информации в распределённых...

Применение и возможности средств защиты информации, таких как системы обнаружения и предотвращения вторжений, антивирусные системы

Ключевые слова: защита информации, информационная безопасность, распределённые системы, компьютерная сеть, интернет...

Контроль использования учтённых машинных носителей...

В любой информационной системе, для снижения вероятности утечки информации, используются сертифицированные средства защиты информации (далее — СЗИ), предотвращающие бесконтрольную передачу информации в системе, а также доступ к...

Аналитический обзор методов обнаружения вредоносных...

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС. В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов...

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источников...

Методика контроля защищенности конфиденциальной...

Данная статья посвящена методике контроля защищенности конфиденциальной информации в автоматизированной системе от несанкционированного доступа. Методика была разработана автором на основе требований нормативно-методических документов ФСТЭК России в...

Разработка методики выявления сетевых атак с помощью Data...

Системы обнаружения атак (СОА), как и большинство современных программных продуктов, должны удовлетворять ряду требований. Это и современные технологии разработки, и ориентировка на особенности современных информационных сетей, и совместимость с...

Похожие статьи

системы обнаружения вторжений, информационная...

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных и/или аппаратных средств, служащих для

Система обнаружения вторжений позволит не только выявить компьютерную атаку и блокировать ее, но и выполнить это в...

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Системы сбора информации в аспекте кибербезопасности

Данная статья заключает в себе обзор агентов и инструментов сбора данных, для наблюдения за поведением пользователей на рабочих станциях, поиска вирусов, угроз сети и ботнетов. Ключевые слова: системы обработки журналов, системы обнаружения атак...

Современные технологии защиты информации в распределённых...

Применение и возможности средств защиты информации, таких как системы обнаружения и предотвращения вторжений, антивирусные системы

Ключевые слова: защита информации, информационная безопасность, распределённые системы, компьютерная сеть, интернет...

Контроль использования учтённых машинных носителей...

В любой информационной системе, для снижения вероятности утечки информации, используются сертифицированные средства защиты информации (далее — СЗИ), предотвращающие бесконтрольную передачу информации в системе, а также доступ к...

Аналитический обзор методов обнаружения вредоносных...

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС. В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов...

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источников...

Методика контроля защищенности конфиденциальной...

Данная статья посвящена методике контроля защищенности конфиденциальной информации в автоматизированной системе от несанкционированного доступа. Методика была разработана автором на основе требований нормативно-методических документов ФСТЭК России в...

Разработка методики выявления сетевых атак с помощью Data...

Системы обнаружения атак (СОА), как и большинство современных программных продуктов, должны удовлетворять ряду требований. Это и современные технологии разработки, и ориентировка на особенности современных информационных сетей, и совместимость с...

Задать вопрос