Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак | Статья в сборнике международной научной конференции

Отправьте статью сегодня! Журнал выйдет 5 декабря, печатный экземпляр отправим 9 декабря.

Опубликовать статью в журнале

Библиографическое описание:

Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак / С. А. Коноваленко, С. А. Беседин, А. А. Соновский [и др.]. — Текст : непосредственный // Исследования молодых ученых : материалы VIII Междунар. науч. конф. (г. Казань, март 2020 г.). — Казань : Молодой ученый, 2020. — С. 1-4. — URL: https://moluch.ru/conf/stud/archive/363/15679/ (дата обращения: 24.11.2020).



В работе представлен сравнительный анализ основных функциональных возможностей систем обнаружения компьютерных атак (СОА), которые в настоящее время активно используются в рамках реализации процесса оценки состояния защищенности объектов критической информационной инфраструктуры Российской Федерации (ОКИИ РФ) [1]. Определен перечень преимуществ и недостатков анализируемых СОА, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области, а также обеспечивает повышение эффективности деятельности специалиста по обеспечению безопасности информации (ОБИ), связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак (СОПКА) на ОКИИ РФ.

Ключевые слова: компьютерные атаки, системы обнаружения компьютерных атак, информационная безопасность.

Своевременная реализация процесса обнаружения компьютерных атак на ОКИИ РФ является одной из основных функций в деятельности специалиста по ОБИ. Ввиду важности этой функции ее часто отделяют от других функций СОПКА и реализуют специальными системами, такими как СОА.

СОА — это программная или программно-аппаратная система, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими в основном через Интернет [2]. Требования к данному средству защиты информации (СЗИ) утверждены Федеральной службой по техническому и экспортному контролю (ФСТЭК) России № 638 от 6 декабря 2011 г. и вступили в действие с 15 марта 2012 года. В настоящее время существует 2 типа СОА (по месту установки):

– СОА уровня сети: датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОА уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);

– СОА уровня узла (хоста): датчики СОА уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы ИС и предназначенные для сбора информации о событиях, возникающих на этих узлах.

Для представленных типов СОА определены 6 классов защиты: чем выше класс (1 — самый высокий), тем больше к ним предъявляется требований и тем выше класс систем, в которых они могут применяться (например, государственные информационные системы (ГИС), автоматизированные системы управления (АСУ), информационные системы персональных данных (ИСПДн), системы значимых объектов КИИ) [3, 4].

В таблицах 1, 2 представлены современные сертифицированные по текущим требованиям ФСТЭК СОА, которые сгруппированны по классам защищенности и месту установки в сети.

Таблица 1

Номер сертификата ФСТЭК

Наименование СОА

Поддержка

Класс защиты

2574

Межсетевой экран и система обнаружения вторжений Рубикон

+

2

3530

программно-аппаратный комплекс Dionis-NX с установленным программным обеспечением версий 1.2–6 Hand, 1.2–7 Hand и 1.2–8 Hand UTM

+

2845

система обнаружения компьютерных атак Форпост, версия 2.0

+

3

3008

Континент 4.0

+

3634

шлюз безопасности Check Point Security Gateway версии R77.10

-

3720

FortiGate

-

3804

программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4)

+

3905

изделие Универсальный шлюз безопасности UserGate UTM

+

4

3481

программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3

+

5

3904

система обнаружения вторжений Cisco ASA FirePOWER версии 6.2, реализованная адаптивным устройством безопасности серии Cisco ASA 5500-X

+

2726

Аппаратный межсетевой экран ALTELL NEO 1.5

+

2–4

СОА уровня сети

Таблица 2

СОА уровня узла (хоста)

Номер сертификата ФСТЭК

Наименование СОА

Поддержка

Класс защиты

3856

программный комплекс обнаружения вторжений Ребус-СОА

+

2

2720

Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K

+

3

2945

Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С

+

3232

HP TrippingPoint

+

4

3745

cредство защиты информации Secret Net Studio

+

3802

система обнаружения вторжений ViPNet IDS HS

+

Однако, наличие сертификата и класса защищенности у СОА не является необходимой и достаточной информацией для окончательного ее выбора, реализуемого при построении наиболее рациональной структуры СОПКА на ОКИИ РФ. Другой не менее важной характеристикой СОА является способ анализа сетевого трафика, к которому относятся сигнатурный, поведенческий (эвристический), ретроспективный (статистический) анализ.

Сигнатурный анализ трафика — это способ обнаружения вредоносной активности в сети, основанный на реализации процесса сравнения значения хеш-функции проверяемого объекта с базой известных вредоносных сигнатур. После идентификации угрозы отправитель блокируется, а администратору передается тревожное сообщение.

Поведенческий (эвристический) анализ трафика — это способ, основанный на анализе поведения трафика запущенного приложения. До тех пор, пока приложение запущено, оно генерирует динамичный трафик, который также может быть идентифицирован и подвергнут маркировке. Например, BitTorrent генерирует трафик с определенной последовательностью пакетов, обладающих одинаковыми признаками (входящий и исходящий порт, размер пакета, число открываемых сессий в единицу времени), по поведенческой (эвристической) модели его можно классифицировать [5].

Ретроспективный анализ трафика — это способ детального исследования образов систем, журналов событий, дампов памяти и сетевого трафика за определенный промежуток времени в прошлом с целью выявления следов компрометации. Он дает специалистам по ОБИ возможность смотреть на активы организации так, как будто у них есть «машина времени».

Таким образом, основной проблемой в выборе оптимальной СОА, является большое разнообразие предложений на рынке информационной безопасности, а также отсутствие формализованных подходов к реализации процесса принятия решения по построению наиболее рациональной структуры СОПКА на ОКИИ РФ, что свидетельствует о необходимости проведения теоретических исследований в соответствующей предметной области.

В рамках решения выявленных проблем, осуществим сравнительный анализ существующих СОА без учета установки на них дополнительных утилит и по наиболее приоритетным базовым функциональным возможностям, которые обеспечивают реализацию процесса обнаружения КА на ОКИИ.

Выбор СОА, подлежащих сравнительному анализу их функциональных возможностей, был обусловлен следующим:

– популярностью и доступностью решений;

– наличием лицензий и сертификатов ФСТЭК и (или) Федеральной службой безопасности РФ;

– авторитетностью вендоров;

– наличием расширенного перечня базовых функциональных возможностей СОА.

Таким образом, сравнительный анализ функциональных возможностей СОА сведем в таблицу 3.

Таблица 3

Сравнительный анализ функциональных возможностей СОА

СОА Функц.

возможности

Аргус

1.6

Континет

4.0

ViPNet IDS

ATELL NEO 1.5

DioNIS-NX

Язык интерфейса

русский

русский

русский

русский

русский

Централизованное управление и мониторинг

-

+

-

+

(опция)

+

Межсетевое экранирование

+

-

-

+

+

Выполнение глобальной политики безопасности

-

+

+

+

-

Пропускная способность

1 Гб/с

10 Гб/с

1–10 Гб/с

10–18 Гб/с

1–40 Гб/с

Анализ траффика

Сигнатурный/

Статистический

Сингнатурный/

Эвристический

Сигнатурный/

Эвристический

Сигнатурный/

Статистический

Эвристический

Кластеризация

-

+

-

+

+

(опция)

Предотвращение вторжений

-

+

-

+

-

Маскирование

-

-

+

-

-

Общий результат

1

4

2

5

3

Исходя из таблицы 3, можно сделать вывод, что по количеству реализуемых функциональных возможностей, СОА ATELL NEO 1.5 является наиболее эффективной. Однако, стоит заметить, что окончательный выбор СОА может также зависеть от специальных требований организаций, в которых планируется эксплуатация данной системы.

В завершении отметим, что несмотря на все преимущества, представленные в таблице 3, всем СОА присущ общий ряд недостатков:

  1. Отсутствует централизованное автоматизированное управление и мониторинг состояния СОА.
  2. Не все СОА поддерживают интеграцию с глобальной политикой безопасности организации [6].
  3. Маскирование деятельности СОА практически не поддерживается.
  4. Наличие зависимости эффективности процесса функционирования СОА от полноты и точности базы решающих правил, содержащих сигнатуры известных сетевых КА, которые требуют постоянного обновления.
  5. Системы, функционирующие по принципам эвристического обнаружения компьютерных атак требуют постоянного обучения анализатора на основе нормального и аномального сетевого траффика.
  6. СОА отрицательно влияют на общую производительность ИТКС.
  7. С течением времени системы, основанные на ретроспективных анализаторах, могут быть «переобучены» нарушителями так, чтобы атакующие действия рассматривались как легитимные.

Вывод. На основе проведенного сравнительного анализа функциональных возможностей СОА, определён перечень преимуществ и недостатков данного класса СЗИ, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области. В частности, указанный перечень свидетельствует о необходимости разработки гибридной модели (способа) обнаружения компьютерных атак, лишенной отдельных функциональных недостатков и обеспечивающей повышение эффективности деятельности специалиста по ОБИ, связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак на ОКИИ РФ.

Литература:

  1. Коноваленко С. А., Королев И. Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей // Альманах современной науки и образования. — Тамбов: Грамота, 2016. — С. 60–66.
  2. Коноваленко С. А., Королев И. Д. Анализ систем мониторинга вычислительных сетей // Молодой ученый. —: Молодой ученый, 2016. — С. 66–72.
  3. Беседин С. А. [и другие]. Современные требования к построению перспективных систем управления информационной безопасностью // Сборник научных трудов международной научно-технической конференции 28.06.2019. — Белгород: АПНИ, 2019. — С. 66–72.
  4. Алексей Комаров — Системы обнаружения вторжений, сертифицированные по новым требованиям // URL: https://www.securitylab.ru/blog/personal/zlonov/344641.php (дата обращения: 21.02.2020).
  5. Как ретроспективный анализ помогает выявлять атаки // Блог компании Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/knowledge-base/kak-retrospektivnyy-analiz-pomogaet-vyyavlyat-ataki/ (дата обращения: 21.02.2020).
  6. Документация Microsoft — Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей // Microsoft. URL: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/network-access-sharing-and-security-model-for-local-accounts (дата обращения: 21.02.2020).
Основные термины (генерируются автоматически): IDS, NEO, РФ, сравнительный анализ, ASA, ATELL, UTM, программно-аппаратный комплекс, система обнаружения вторжений, соответствующая предметная область.

Ключевые слова

Информационная безопасность, компьютерные атаки, системы обнаружения компьютерных атак

Похожие статьи

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Классификация IDS | Статья в журнале «Молодой ученый»

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных и/или аппаратных средств, служащих для выявления фактов несанкционированного доступа в компьютер или компьютерную сеть...

Применение машинного обучения для обнаружения сетевых...

Системы обнаружения вторжений обычно используются совместно с другими системами защиты, такими как

Системы обнаружения вторжений можно разделить на два класса: системы

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или...

Анализ методов обнаружения аномалий для обнаружения...

Сетевая система обнаружения вторжений получает доступ к сетевому трафику ... Модели диагностики сетевыханомалий. Рассматривая сетевые аномалии , вызванные программно -аппаратными отклонениями, можно выделить методы диагностики сетевых аномалий.

Применение искусственных нейронных сетей для прогнозирования...

Применение искусственных нейронных сетей в системах обнаружения вторжений является весьма перспективным и заслуживающим внимание, так как работа таких сетей отличается большей гибкостью в сравнении с заранее запрограммированными алгоритмами.

Формализованная модель обнаружения сканирования портов

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и

Использование систем обнаружения вторжений (IDS).

Ключевые слова: система обнаружения вторжений, интеллектуальные технологии...

Аналитический обзор методов обнаружения вредоносных...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет- атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Системы сбора информации в аспекте кибербезопасности

Системы обнаружения вторжений в основном представлены Surricata, из-за богатого функционала, затмевающего, а кое-где даже заимствующего исполнение аналогов IDS систем. Системы обнаружения и реагирования на конечных узлах сети представлены огромным...

Похожие статьи

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Классификация IDS | Статья в журнале «Молодой ученый»

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных и/или аппаратных средств, служащих для выявления фактов несанкционированного доступа в компьютер или компьютерную сеть...

Применение машинного обучения для обнаружения сетевых...

Системы обнаружения вторжений обычно используются совместно с другими системами защиты, такими как

Системы обнаружения вторжений можно разделить на два класса: системы

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или...

Анализ методов обнаружения аномалий для обнаружения...

Сетевая система обнаружения вторжений получает доступ к сетевому трафику ... Модели диагностики сетевыханомалий. Рассматривая сетевые аномалии , вызванные программно -аппаратными отклонениями, можно выделить методы диагностики сетевых аномалий.

Применение искусственных нейронных сетей для прогнозирования...

Применение искусственных нейронных сетей в системах обнаружения вторжений является весьма перспективным и заслуживающим внимание, так как работа таких сетей отличается большей гибкостью в сравнении с заранее запрограммированными алгоритмами.

Формализованная модель обнаружения сканирования портов

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и

Использование систем обнаружения вторжений (IDS).

Ключевые слова: система обнаружения вторжений, интеллектуальные технологии...

Аналитический обзор методов обнаружения вредоносных...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет- атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Системы сбора информации в аспекте кибербезопасности

Системы обнаружения вторжений в основном представлены Surricata, из-за богатого функционала, затмевающего, а кое-где даже заимствующего исполнение аналогов IDS систем. Системы обнаружения и реагирования на конечных узлах сети представлены огромным...