Целью данной работы является рассмотрение проблемы разработки формата сигнатур, который позволял бы корректно реагировать на событие системы обнаружения вторжения в реальном времени




Скачать 30.33 Kb.
Дата11.08.2016
Размер30.33 Kb.
А.А. Матросов

Научный руководитель - А.Ю. ТИХОНОВ



Московский инженерно-физический институт (государственный университет)
Формат сигнатуры для выявления сетевых вторжений и корректной реакции на них
Целью данной работы является рассмотрение проблемы разработки формата сигнатур, который позволял бы корректно реагировать на событие системы обнаружения вторжения в реальном времени. Такой подход, повышает скорость обработки событий в системе обнаружения вторжений, и предоставляет возможность реагирования в реальном времени.
На данный момент существует большое количество различных систем для выявления сетевых вторжений, но многие из них могут только эффективно обнаружить и регистрировать несанкционированные действия злоумышленника в сетевом трафике, а связать обнаруженное сетевое вторжение с предотвращающем атаку действием в могут единицы.

При создании Интернет и стека протоколов связи для него никто не задумывался о возможных атаках основанных на уязвимостях самих протоколов связи и о возможности реализации гибридных атак. После обнаружения этой проблемы стали разрабатываться программно-аппаратные комплексы для выявления сетевых атак, такие комплексы получили название систем обнаружения вторжений. В данной работе стояла задача разработки формата сигнатуры, как для эффективного обнаружения атаки, так и для корректной реакции на действия злоумышленника. Для решения поставленной задачи необходимо было удовлетворить следующие требования:

•Быстрая сериализация сетевого трафика и данных из сигнатуры;

•Ассоциирование каждой атаки с конкретной реакцией;

•Оптимизация реакций по классам сетевых атак;

Для удовлетворения первого требования использовался унифицированный формат описания данных XML(Extensible Markup Language), так как для него существует развитый механизмы сериализации, он стандартизирован, и реализован инструментарий сериализации для различных языков программирования.

Для удовлетворения второму требованию был разработан механизм описания в сигнатуре не только самой атаки, но и действий совершаемых системой в момент обнаружения сетевого вторжения. Это дало возможность при выявлении совпадения содержимого сетевого трафика и данных из сигнатуры, ассоциировать действия злоумышленника с конкретной реакцией на них. Такой подход к ассоциированию атаки и реакции на нее, дал возможность без промедления реагировать на вторжение.

Для удовлетворения третьему требованию был разработан механизм ранжирования различных сетевых атак по классам, путем отбора похожих атак, как по способу их реализации, так и по осуществляемому ими деструктивному воздействию на систему. Данный подход позволяет реализовать “слоистую” архитектуру системы обнаружения вторжений, что позволяет различные классы атак обнаруживать на разных уровнях разбора сетевого трафика. Это влечет за собой оптимизацию обнаружения и реакции на атаку по принадлежности к конкретному классу. Такой метод классификации позволяет нам, к примеру, обнаруживать те атаки, которые не требуют полной сборки сеанса связи для обнаружения вторжения на стадии получения сетевых пакетов из канала связи.



Разработанный формат сигнатуры позволяет оптимизировать поиск данных в сетевом пакете, путем жесткого указания в сигнатуре смещения для поиска данных от начала сетевого пакета. Данный метод ускоряет процесс обнаружения, так как поиск данных из сигнатуры осуществляется не по всему разделу с данными сетевого пакета, а лишь в том блоке, к которому указывает заданное смещение.

Список литературы





  1. Матросов А.А. Проектирование системы обнаружения вторжений на основе структурного анализа типовых нарушений безопасности в сети. // 2005 «Технологии Microsoft в теории и практике программирования», МГТУ им. Н. Э. Баумана

  2. Лукацкий А. Обнаружение вторжений. 2-е изд. СПб.: BHV, 2003

  3. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита.

  4. М.: Юнити, 1999

  5. Гилл А. Введение в теорию конечных автоматов. М., “Мир”, l965.

  6. Глушков В.М. Синтез цифровых автоматов. Физматгиз, 1962

  7. Frоhwеrk R.A. Signature Analysis: A New Digital Fild Service Method. Hewlett–Packard. May. 1977.

  8. Nadig H.J. Signature Analysis – Concepts, Examples, and Guidelines. Hewlett-Packard. May. 1977.

  9. Chan A.V. Еаsу-to-ase Signature Analyzer Accurctely Trouble-shoots Complex Logic Circuits. Hewlett-Packard, May 1977


База данных защищена авторским правом ©uverenniy.ru 2016
обратиться к администрации

    Главная страница