Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак | Статья в сборнике международной научной конференции

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Библиографическое описание:

Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак / С. А. Коноваленко, С. А. Беседин, А. А. Соновский [и др.]. — Текст : непосредственный // Исследования молодых ученых : материалы VIII Междунар. науч. конф. (г. Казань, март 2020 г.). — Казань : Молодой ученый, 2020. — С. 1-4. — URL: https://moluch.ru/conf/stud/archive/363/15679/ (дата обращения: 18.12.2024).



В работе представлен сравнительный анализ основных функциональных возможностей систем обнаружения компьютерных атак (СОА), которые в настоящее время активно используются в рамках реализации процесса оценки состояния защищенности объектов критической информационной инфраструктуры Российской Федерации (ОКИИ РФ) [1]. Определен перечень преимуществ и недостатков анализируемых СОА, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области, а также обеспечивает повышение эффективности деятельности специалиста по обеспечению безопасности информации (ОБИ), связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак (СОПКА) на ОКИИ РФ.

Ключевые слова: компьютерные атаки, системы обнаружения компьютерных атак, информационная безопасность.

Своевременная реализация процесса обнаружения компьютерных атак на ОКИИ РФ является одной из основных функций в деятельности специалиста по ОБИ. Ввиду важности этой функции ее часто отделяют от других функций СОПКА и реализуют специальными системами, такими как СОА.

СОА — это программная или программно-аппаратная система, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими в основном через Интернет [2]. Требования к данному средству защиты информации (СЗИ) утверждены Федеральной службой по техническому и экспортному контролю (ФСТЭК) России № 638 от 6 декабря 2011 г. и вступили в действие с 15 марта 2012 года. В настоящее время существует 2 типа СОА (по месту установки):

– СОА уровня сети: датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОА уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);

– СОА уровня узла (хоста): датчики СОА уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы ИС и предназначенные для сбора информации о событиях, возникающих на этих узлах.

Для представленных типов СОА определены 6 классов защиты: чем выше класс (1 — самый высокий), тем больше к ним предъявляется требований и тем выше класс систем, в которых они могут применяться (например, государственные информационные системы (ГИС), автоматизированные системы управления (АСУ), информационные системы персональных данных (ИСПДн), системы значимых объектов КИИ) [3, 4].

В таблицах 1, 2 представлены современные сертифицированные по текущим требованиям ФСТЭК СОА, которые сгруппированны по классам защищенности и месту установки в сети.

Таблица 1

Номер сертификата ФСТЭК

Наименование СОА

Поддержка

Класс защиты

2574

Межсетевой экран и система обнаружения вторжений Рубикон

+

2

3530

программно-аппаратный комплекс Dionis-NX с установленным программным обеспечением версий 1.2–6 Hand, 1.2–7 Hand и 1.2–8 Hand UTM

+

2845

система обнаружения компьютерных атак Форпост, версия 2.0

+

3

3008

Континент 4.0

+

3634

шлюз безопасности Check Point Security Gateway версии R77.10

-

3720

FortiGate

-

3804

программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4)

+

3905

изделие Универсальный шлюз безопасности UserGate UTM

+

4

3481

программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3

+

5

3904

система обнаружения вторжений Cisco ASA FirePOWER версии 6.2, реализованная адаптивным устройством безопасности серии Cisco ASA 5500-X

+

2726

Аппаратный межсетевой экран ALTELL NEO 1.5

+

2–4

СОА уровня сети

Таблица 2

СОА уровня узла (хоста)

Номер сертификата ФСТЭК

Наименование СОА

Поддержка

Класс защиты

3856

программный комплекс обнаружения вторжений Ребус-СОА

+

2

2720

Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K

+

3

2945

Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С

+

3232

HP TrippingPoint

+

4

3745

cредство защиты информации Secret Net Studio

+

3802

система обнаружения вторжений ViPNet IDS HS

+

Однако, наличие сертификата и класса защищенности у СОА не является необходимой и достаточной информацией для окончательного ее выбора, реализуемого при построении наиболее рациональной структуры СОПКА на ОКИИ РФ. Другой не менее важной характеристикой СОА является способ анализа сетевого трафика, к которому относятся сигнатурный, поведенческий (эвристический), ретроспективный (статистический) анализ.

Сигнатурный анализ трафика — это способ обнаружения вредоносной активности в сети, основанный на реализации процесса сравнения значения хеш-функции проверяемого объекта с базой известных вредоносных сигнатур. После идентификации угрозы отправитель блокируется, а администратору передается тревожное сообщение.

Поведенческий (эвристический) анализ трафика — это способ, основанный на анализе поведения трафика запущенного приложения. До тех пор, пока приложение запущено, оно генерирует динамичный трафик, который также может быть идентифицирован и подвергнут маркировке. Например, BitTorrent генерирует трафик с определенной последовательностью пакетов, обладающих одинаковыми признаками (входящий и исходящий порт, размер пакета, число открываемых сессий в единицу времени), по поведенческой (эвристической) модели его можно классифицировать [5].

Ретроспективный анализ трафика — это способ детального исследования образов систем, журналов событий, дампов памяти и сетевого трафика за определенный промежуток времени в прошлом с целью выявления следов компрометации. Он дает специалистам по ОБИ возможность смотреть на активы организации так, как будто у них есть «машина времени».

Таким образом, основной проблемой в выборе оптимальной СОА, является большое разнообразие предложений на рынке информационной безопасности, а также отсутствие формализованных подходов к реализации процесса принятия решения по построению наиболее рациональной структуры СОПКА на ОКИИ РФ, что свидетельствует о необходимости проведения теоретических исследований в соответствующей предметной области.

В рамках решения выявленных проблем, осуществим сравнительный анализ существующих СОА без учета установки на них дополнительных утилит и по наиболее приоритетным базовым функциональным возможностям, которые обеспечивают реализацию процесса обнаружения КА на ОКИИ.

Выбор СОА, подлежащих сравнительному анализу их функциональных возможностей, был обусловлен следующим:

– популярностью и доступностью решений;

– наличием лицензий и сертификатов ФСТЭК и (или) Федеральной службой безопасности РФ;

– авторитетностью вендоров;

– наличием расширенного перечня базовых функциональных возможностей СОА.

Таким образом, сравнительный анализ функциональных возможностей СОА сведем в таблицу 3.

Таблица 3

Сравнительный анализ функциональных возможностей СОА

СОА Функц.

возможности

Аргус

1.6

Континет

4.0

ViPNet IDS

ATELL NEO 1.5

DioNIS-NX

Язык интерфейса

русский

русский

русский

русский

русский

Централизованное управление и мониторинг

-

+

-

+

(опция)

+

Межсетевое экранирование

+

-

-

+

+

Выполнение глобальной политики безопасности

-

+

+

+

-

Пропускная способность

1 Гб/с

10 Гб/с

1–10 Гб/с

10–18 Гб/с

1–40 Гб/с

Анализ траффика

Сигнатурный/

Статистический

Сингнатурный/

Эвристический

Сигнатурный/

Эвристический

Сигнатурный/

Статистический

Эвристический

Кластеризация

-

+

-

+

+

(опция)

Предотвращение вторжений

-

+

-

+

-

Маскирование

-

-

+

-

-

Общий результат

1

4

2

5

3

Исходя из таблицы 3, можно сделать вывод, что по количеству реализуемых функциональных возможностей, СОА ATELL NEO 1.5 является наиболее эффективной. Однако, стоит заметить, что окончательный выбор СОА может также зависеть от специальных требований организаций, в которых планируется эксплуатация данной системы.

В завершении отметим, что несмотря на все преимущества, представленные в таблице 3, всем СОА присущ общий ряд недостатков:

  1. Отсутствует централизованное автоматизированное управление и мониторинг состояния СОА.
  2. Не все СОА поддерживают интеграцию с глобальной политикой безопасности организации [6].
  3. Маскирование деятельности СОА практически не поддерживается.
  4. Наличие зависимости эффективности процесса функционирования СОА от полноты и точности базы решающих правил, содержащих сигнатуры известных сетевых КА, которые требуют постоянного обновления.
  5. Системы, функционирующие по принципам эвристического обнаружения компьютерных атак требуют постоянного обучения анализатора на основе нормального и аномального сетевого траффика.
  6. СОА отрицательно влияют на общую производительность ИТКС.
  7. С течением времени системы, основанные на ретроспективных анализаторах, могут быть «переобучены» нарушителями так, чтобы атакующие действия рассматривались как легитимные.

Вывод. На основе проведенного сравнительного анализа функциональных возможностей СОА, определён перечень преимуществ и недостатков данного класса СЗИ, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области. В частности, указанный перечень свидетельствует о необходимости разработки гибридной модели (способа) обнаружения компьютерных атак, лишенной отдельных функциональных недостатков и обеспечивающей повышение эффективности деятельности специалиста по ОБИ, связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак на ОКИИ РФ.

Литература:

  1. Коноваленко С. А., Королев И. Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей // Альманах современной науки и образования. — Тамбов: Грамота, 2016. — С. 60–66.
  2. Коноваленко С. А., Королев И. Д. Анализ систем мониторинга вычислительных сетей // Молодой ученый. —: Молодой ученый, 2016. — С. 66–72.
  3. Беседин С. А. [и другие]. Современные требования к построению перспективных систем управления информационной безопасностью // Сборник научных трудов международной научно-технической конференции 28.06.2019. — Белгород: АПНИ, 2019. — С. 66–72.
  4. Алексей Комаров — Системы обнаружения вторжений, сертифицированные по новым требованиям // URL: https://www.securitylab.ru/blog/personal/zlonov/344641.php (дата обращения: 21.02.2020).
  5. Как ретроспективный анализ помогает выявлять атаки // Блог компании Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/knowledge-base/kak-retrospektivnyy-analiz-pomogaet-vyyavlyat-ataki/ (дата обращения: 21.02.2020).
  6. Документация Microsoft — Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей // Microsoft. URL: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/network-access-sharing-and-security-model-for-local-accounts (дата обращения: 21.02.2020).
Основные термины (генерируются автоматически): IDS, NEO, РФ, сравнительный анализ, ASA, ATELL, UTM, программно-аппаратный комплекс, система обнаружения вторжений, соответствующая предметная область.

Ключевые слова

Информационная безопасность, компьютерные атаки, системы обнаружения компьютерных атак

Похожие статьи

Анализ систем мониторинга вычислительных сетей

В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...

Сравнительный анализ программных комплексов для расчета пожарных рисков как метода обоснования мероприятий по обеспечению пожарной безопасности

Статья посвящена сравнительному анализу программных комплексов, применяемых для расчета пожарных рисков. Пожарный риск является важным показателем, используемым для обоснования мероприятий по обеспечению пожарной безопасности на объектах различного н...

Криминалистические приемы и средства преодоления противодействия расследованию со стороны различных участников

Цель данной работы заключается в изучении криминалистических приемов и средств преодоления противодействия расследованию со стороны различных участников. Для достижения поставленной цели были решены следующие задачи: проведен анализ имеющихся литерат...

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Современная информационная система поликлиники

В работе проведен аналитический обзор современных информационных систем, используемых в управленческих структурах медицинских учреждений. Это позволило провести сравнительный анализ для возможности обоснованного выбора оптимальной и адаптированной к ...

Методика оценки эффективности применения средств и способов защиты от несанкционированного доступа к средствам вычислительной техники в процессе служебной деятельности в организации

В данной статье представлен обзор существующих и широко распространенных на территории Российской Федерации средств защиты от несанкционированного доступа к средствам вычислительной техники, в том числе применяемым в служебной деятельности. Выделены ...

Перспективы применения комплексного подхода к процедуре проектирования систем освещения с учетом смежных стадий жизненного цикла

В статье рассмотрены вопросы, связанные с совершенствованием процедуры проектирования систем освещения с управляемыми параметрами излучения (СОУПИ), как с точи зрения оптимизации их размещения, так и с точки зрения оптимизации режимов работы. В качес...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Проблемы использования научно-технических средств при расследовании преступлений в сфере экономики в Российской Федерации

В данной статье рассмотрены проблемы и перспективы использования научно-технических средств при расследовании преступлений в сфере экономики. Проанализированы вопросы актуальности обеспечения применения научно-технических средств в борьбе с экономич...

Алгоритм разработки и внедрения комплексной системы защиты информации на предприятии энергетического комплекса

В данной статье разработан алгоритм проектирования комплексной системы защиты информации на предприятии энергетического комплекса. Данный алгоритм разработан с учетом особенностей предприятия и удовлетворяет принципам системности, комплексности и зак...

Похожие статьи

Анализ систем мониторинга вычислительных сетей

В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...

Сравнительный анализ программных комплексов для расчета пожарных рисков как метода обоснования мероприятий по обеспечению пожарной безопасности

Статья посвящена сравнительному анализу программных комплексов, применяемых для расчета пожарных рисков. Пожарный риск является важным показателем, используемым для обоснования мероприятий по обеспечению пожарной безопасности на объектах различного н...

Криминалистические приемы и средства преодоления противодействия расследованию со стороны различных участников

Цель данной работы заключается в изучении криминалистических приемов и средств преодоления противодействия расследованию со стороны различных участников. Для достижения поставленной цели были решены следующие задачи: проведен анализ имеющихся литерат...

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Современная информационная система поликлиники

В работе проведен аналитический обзор современных информационных систем, используемых в управленческих структурах медицинских учреждений. Это позволило провести сравнительный анализ для возможности обоснованного выбора оптимальной и адаптированной к ...

Методика оценки эффективности применения средств и способов защиты от несанкционированного доступа к средствам вычислительной техники в процессе служебной деятельности в организации

В данной статье представлен обзор существующих и широко распространенных на территории Российской Федерации средств защиты от несанкционированного доступа к средствам вычислительной техники, в том числе применяемым в служебной деятельности. Выделены ...

Перспективы применения комплексного подхода к процедуре проектирования систем освещения с учетом смежных стадий жизненного цикла

В статье рассмотрены вопросы, связанные с совершенствованием процедуры проектирования систем освещения с управляемыми параметрами излучения (СОУПИ), как с точи зрения оптимизации их размещения, так и с точки зрения оптимизации режимов работы. В качес...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Проблемы использования научно-технических средств при расследовании преступлений в сфере экономики в Российской Федерации

В данной статье рассмотрены проблемы и перспективы использования научно-технических средств при расследовании преступлений в сфере экономики. Проанализированы вопросы актуальности обеспечения применения научно-технических средств в борьбе с экономич...

Алгоритм разработки и внедрения комплексной системы защиты информации на предприятии энергетического комплекса

В данной статье разработан алгоритм проектирования комплексной системы защиты информации на предприятии энергетического комплекса. Данный алгоритм разработан с учетом особенностей предприятия и удовлетворяет принципам системности, комплексности и зак...