- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Обнаружения аномалий
Проблема обнаружения аномалий возглавляет многие списки и рейтинги наиболее актуальных тем в различных федеральных и коммерческих целевых программах в области защиты информации. Так, например, в разработанном научно-техническим Советом НАТО ранжированном списке из 11 важнейших технических задач на период 2005–2010 годов три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий в современных и перспективных распределенных вычислительных системах на основе TCP/IP. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО, существующие СОВ ежедневно обнаруживают в среднем 400–600 попыток несанкционированного автоматического вторжения и это составляет не более 14–17 % от общего числа реально осуществляемых атак и воздействий внутренних нарушителей. Эти факты настораживают специалистов в области защиты информации. Более того, до сих пор считалось, что относительно просто решается лишь задача обнаружения вторжений в системы ERP – (Enterprise Resource Planning System — Система планирования ресурсов предприятия) на основе TCP/IP, которая сводится к задачам распознавания:
структурных признаков (сигнатур) известных типов атак;
инвариантных признаков структуры корректных вычислительных процессов;
корреляционных признаков нормального функционирования распределенных вычислительных систем.
Однако в случае задачи распознавания аномалий в СОВ возникает целый ряд затруднений, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:
построение некоторого эталонного множества инвариантов «нормального» (семантически корректного) развития вычислительных процессов в условиях априорной неопределенности воздействий внешней и внутренней среды;
установление шкал измерения признаков эталонов или инвариантов;
выявление необходимых и достаточных информативных признаков инвариантов;
построение правил распознавания аномалий.
Отсутствие, единых критерий, при построение системы обнаружений аномалий, не дает единой системы оценки эффективности работы СОВ. Существуют ряд, рекомендательных документов, международных стандартов ISO/IEC 17799 и ISO/IEC 15408 и русские аналоги ГОСТ Р ИСО/МЭК 17799-2005 и ГОСТ Р ИСО/МЭК 15408-2008. В 17799 предлагается расширенный перечень аспектов информационной безопасности. Он начинается с принципов разработки политики безопасности, включает основы проверки системы на соответствие требованиям информационной безопасности, содержит практические рекомендации. Стандарты 15408 определяет критерии безопасности информационных технологий. В нем не приводится список требований по безопасности, но положения стандарта позволяют сформулировать цели безопасности, направленные на обеспечение противостояния угрозам и выполнение политики безопасности, т.е. те цели, которые должны использоваться как основа для оценки свойств безопасности продуктов, систем и информационных технологий. Стандарт описывает инфраструктуру, в которой пользователи системы могут сформулировать требования, а эксперты по безопасности определить, обладает ли продукт заявленными свойствами, что позволит, дать экспертную оценку, эффективности системы [26,27].