Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: LXXIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 17 января 2019 г.)

Наука: Технические науки

Секция: Технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Герасимов В.В., Хисаева Г.Ф., Гарипов И.М. СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ КАК ВАЖНЕЙШИЙ ЭЛЕМЕНТ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ ПРЕДПРИЯТИЯ // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. LXXIII междунар. студ. науч.-практ. конф. № 1(72). URL: https://sibac.info/archive/technic/1(72).pdf (дата обращения: 23.12.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ КАК ВАЖНЕЙШИЙ ЭЛЕМЕНТ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ ПРЕДПРИЯТИЯ

Герасимов Владислав Владимирович

студент факультета информатики и робототехники, УГАТУ

Россия, г. Уфа

Хисаева Гульдар Фаниловна

студент факультета информатики и робототехники, УГАТУ

Россия, г. Уфа

Гарипов Ильнур Мидхатович

студент факультета информатики и робототехники, УГАТУ

Россия, г. Уфа

Существует множество систем для того, чтобы обеспечить безопасность корпоративной сети предприятия. Выделяют активные системы, проверяющие информационную систему на наличие уязвимостей, и пассивные, которые ведут мониторинг состояния информационной системы. Системы обнаружения вторжений относят к пассивным системам.

Система обнаружения вторжений (Intrusion Detection System, СОВ) – система, которая способна отслеживать сетевой трафик на предмет подозрительной активности, а также выдавать предупреждения при обнаружении такой активности. [2] Из наиболее широкого круга возможностей СОВ можно выделить наиболее важные:

  • запись в журнал событий операционной системы;
  • отправка оповещения администратору информационной безопасности;
  • нейтрализация угроз;
  • блокирование трафика с подозрительных IP адресов и многое другое.

Классические системы обнаружения вторжений делятся на сетевые и хостовые.

Сетевые IDS – производят поиск сигнатур (специфических шаблонов), указывающих на враждебное и подозрительное действие. При этом они используют сетевые адаптеры, работающие в режиме прослушивания (promiscuous mode – неразборчивый режим), которые способны анализировать трафик в локальной сети даже если он не адресован данному компьютеру. Сетевые датчики могут быть развернуты в определённых точках периметра сети, где они могут контролировать входящий и исходящий трафик ко всем устройствам в сети. [4]

При реализации сетевых IDS могут использоваться следующие методы:

  • Проверка соответствия трафика определённому шаблону и сигнатуре атак;
  • Обнаружение статистических аномалий (происходит анализ того как работают сотрудники на предприятии, собирается статистика и на выходе администратор ИБ получает полную картину нормальной работы сотрудников). Если входные данные сильно отличаются от собранных, то на 90 % можно быть уверенным в том, что происходит атака на систему.
  • Контроль частоты определённых событий или превышение определённого порога значений;
  • Осуществление корреляции других событий с более низким приоритетом;

В продвинутых IDS системы могут подавать команду межсетевому экрану и блокировать нежелательный трафик.

Достоинства сетевых IDS:

  • Низкая стоимость эксплуатации. Сетевые IDS нужно устанавливать в наиболее важные сегменты сети коих немного, чтобы избежать больших затрат;
  • Обнаруживаются атаки, которые пропускаются на системном уровне хостовой IDS. В данном случае анализируются заголовки сетевых пакетов на предмет подозрительной или враждебной деятельности, что не делают хостовые IDS, поэтому они способны выявить DoS-атаки;
  • Обнаружение реагирования в реальном масштабе времени (в том числе ещё до того, как злоумышленник достиг атакуемого компьютера);
  • Злоумышленник практически не может скрыть следы атаки (например, подчистив журнал событий), так как анализ осуществляется в реальном времени;
  • Практически не снижается производительность сети, так как сетевые IDS представляют собой обильные сетевые датчики в виде отдельных аппаратных устройств, не влияющих на скорость работы других компьютеров. Обычно их располагают после межсетевого экрана (МЭ) внутри корпоративной сети. Тем не менее есть смысл расположить сетевой датчик и до МЭ. Дело в том, что при традиционном размещении невозможно определить неудачные атаки на МЭ, которые пока не блокируются.
  • Отсутствие зависимости от операционной системы, используемой в корпоративной сети.

Недостатки сетевых IDS:

  • Сложность создания сигнатуры атак: необходимо использовать языки их написания и стараться зафиксировать всевозможные модификации; (например, Эстония создала в своих спецслужбах отделение против кибератак. Эстонцы не торопливые, поэтому если США попытается их взломать, то атака крайне растянется по времени и обнаружить её станет гораздо сложнее);
  • Сложность использования в коммутируемых сетях.
  • Проблема при работе в высокоскоростных сетях (гигабитных), так как нужно анализировать информацию и успевать как-то среагировать.
  • Отсутствие эффективности в сетях, где используется шифрование.

Хостовые IDS (HIDS) - работают на конечных компьютерах под управлением конкретной ОС. Они способных подтверждать успех/неудачу атаки, так как анализируют журнал событий, где отображаются реальные события. [3]

Достоинства хостовых IDS:

  • Контроль деятельности конкретного узла: в частности, деятельность пользователя конкретного ПК, его изменение прав доступа и т.д.;
  • Способность выявлять атаки, которые не выявляются сетевыми IDS;
  • Нет необходимости в дополнительных аппаратных средствах, так как используются компьютеры, установленные на объекте;
  • Хорошо подходят для сетей с коммутацией шифрования, так как на конечном компьютере шифрованный трафик уже расшифровывается и его можно увидеть;
  • Более низкая стоимость в случае, если используется небольшое количество рабочих станций, так как хостовые IDS нужно устанавливать на каждый компьютер.

Недостатки хостовых IDS:

  • Постоянная регистрация событий снижает производительность защищаемых объектов, так как она требует заметного объёма дискового пространства;
  • Они ориентированы на конкретные операционные системы (ОС) и в случае, если в сети используются разнородные ОС, то нужно использовать множество разнообразных агентов.

Каждая из разновидностей СОВ имеет свои достоинства и недостатки и сейчас зачастую используют гибридные системы, которые объединяют возможности обоих классов систем. В гибридных системах данные от хостов складываются с информацией, полученной от сетевых датчиков для создания более полной картины безопасности сети. [1]

На данный момент многие производители увлеклись созданием систем предотвращения вторжений (IPS – Intrusion Prevention system).  В этом случае СОВ ведёт ответные действия на нарушение, например, разрывает соединение или автоматически добавляет в конфигурацию МЭ правило, блокирующее трафик. Увлечение созданием таких систем может быть чревато, так как возможно некорректное противодействие атакам (например, ложное срабатывание). Самое главное в таких системах - низкий процент ложных срабатываний.

Поставщики систем IDS и администраторы безопасности используют следующие характеристики при выборе IDS:

  • Тип IDS - сетевая или хостовая;
  • Модель обнаружения (технология обнаружения) - сигнатурная или обнаружение аномалий;
  • Наличие механизма предотвращения атак;
  • Точность обнаружения (уменьшение ошибок 1го и 2го рода);
  • Производительность (для сетевых IDS);
  • Интерфейс конечного пользователя;
  • Ведение журнала событий;
  • Стоимость (окупаемость) - приобретение, обслуживание, обучение персонала.
  • Объем потребляемого процессорного времени и объем потребляемой памяти (для хостовой IDS);
  • Объем базы данных сигнатур;

 

Список литературы:

  1. Бирюков А.А. Информационная безопасность: защита и нападение – Москва, ДМК, 2017 – 434 с.
  2. Intrusion detection system – [Электронный ресурс.] – Режим доступа. — URL: https://searchsecurity.techtarget.com/definition/intrusion-detection-system (Дата обращения: 12.01.2019).
  3. 11 Top Intrusion Detection Tools for 2018 – [Электронный ресурс]. Режим доступа. — URL: https://www.comparitech.com/net-admin/network-intrusion-detection-tools/ (Дата обращения: 12.01.2019).
  4. Intrusion detection system – [Электронный ресурс]. Режим доступа. — URL: https://en.wikipedia.org/wiki/Intrusion_detection_system (Дата обращения: 12.01.2019).
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.