Система анализа и выявления корреляций в потоке событий безопасности Пятигорский И.С. Руководитель: к.ф.м.н. Петровский М.И.

Презентация:



Advertisements
Похожие презентации
Экспериментальное исследование современных средств защиты периметра корпоративной сети. Владимирский государственный университет кафедра Информатики и.
Advertisements

Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
К построению и контролю соблюдения политик безопасности распределенных компьютерных систем на основе механизмов доверия А. А. Иткес В. Б. Савкин Институт.
Deductor 5 – эволюция платформы. BaseGroup Labs Причины изменений Deductor изменялся под влиянием требований, возникающих при его применения в реальных.
Нагрузочное тестирование информационных систем с использованием облачных вычислений Исполнитель: Макрушин Д.Н. Руководитель: д.т.н., проф. Запечников С.В.
Kaspersky Anti-Hacker 1.8 Обзор продукта Глумов Юрий, Менеджер по развитию продуктов.
Автоматизированная система контроля исполнения документов и поручений Подготовила Ларешина К.В. Группа ПИ-51.
Средства обнаружения атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Разработка подсистемы тестирования специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации.
Интегрированная информационная система «КВАРТА». Компания КВАРТА Компания КВАРТА имеет 14-летний опыт работы в следующих областях: Реализация «под ключ»
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Сложностные характеристики статистических скрытых каналов Автор: Свинцицкий Антон Игоревич Факультет вычислительной математики и кибернетики Московского.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Автоматизированная система контроля исполнения документов и поручений.
Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.
Сетевые черви и защита от них. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных.
OpenTEST © Компьютерная система тестирования знаний Система компьютерного тестирования знаний OpenTEST предназначена для.
Особенности Data Mining проектов. BaseGroup Labs Отличие от стандартного проекта В большинстве случаев Data Mining проекты не оправдывают ожидания клиентов.
Системный аудит и оценка рисков информационной безопасности.
Обнаружение атак. Система RealSecure. Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Транксрипт:

Система анализа и выявления корреляций в потоке событий безопасности Пятигорский И.С. Руководитель: к.ф.м.н. Петровский М.И.

Введение IDS = Intrusion Detection System Любую систему, которая может посылать сигналы о возможном нарушение безопасности будем считать IDS Такие сигналы будем называть событиями безопасности

Поток событий безопасности IDS фокусируются на событиях низкого уровня События в потоке имеют разное качество и достоверность Необходимо выявлять полезную информацию из всего множества событий

Актуальность Сейчас IDS из экзотики становятся стандартом защиты компьютерных сетей Во многих случаях для улучшения защищенности устанавливаются несколько IDS Каждая из IDS генерирует множество событий, не все из которых бывают важными

Актуальность Проблемы с большим объемом генерируемого потока событий признаны мировым сообществом В последние годы ведутся активные исследования способов использования корреляции событий безопасности для получения более точной, высокоуровневой информации

Состояние исследований Существующие исследования концентрируются на организации процесса корреляции, а не на алгоритмах В качестве алгоритмов предлагаются простейшие эвристики (совпадение ip адресов) или примитивные статистические алгоритмы

Стандартная организация процесса События Нормализация Предобработка Верификация Установка приоритетов Воссоздание атаки Шаблон атаки Область применения алгоритмов data mining

Постановка задачи Создать инструмент, с использованием алгоритмов data-mining, для интеграции нескольких IDS и последующего анализа консолидированного потока событий с целью выявления шаблонов атак.

Существующие решения Продукты netForensics –Реализованные способы корреляции: Статистический подход Подход основанный на правилах Корреляция данных сканера и IDS

Существующие решения MIRADOR, Hyper-Alerts, Meta- Alerts/Events –Используют статистические алгоритмы для обнаружения корреляций OSSIM, GNG, LAMBDA, STATL –Сбор данных со многих IDS и корреляция по заданным правилам –Каждая из систем предлагает свою нотацию для задания правил

Общие проблемы Большинство подходов используют предопределенные правила для анализа корреляций Практически все результаты были получены на общеизвестных данных (DARPA, DEFCON)

Построение решения задачи Предложена система сбора событий OSSIM Собраны тестовые данные со стенда Выбран алгоритм для анализа корреляций Реализовано ПО на основе этого алгоритма для анализа потока событий и создания шаблонов атак

Система сбора событий Нормализует и обрабатывает события от разных сенсоров (IDS): Snort, Real Secure, Spade, NTOP, Firewall-1, Iptables, Apache, IIS, Cisco Routers Осуществляет верификацию событий в реальном времени Устанавливает приоритеты, используя знания о составе сети

Тестовые данные Были собраны в локальной сети общежитий МГУ Эмулировалась работа файл-сервера Использовалась версия MS Windows с большим количеством уязвимостей Данные собирались на отдельной машине

Эмуляция атак Использовалась система Metasploit Framework 2.0 Была атакована уязвимость сервиса RPC: Microsoft RPC DCOM MSO3-026 С помощью атак был получен доступ к машине с системными правами Выполнялось удаление всех файлов с атакованной машины

Результаты работы стенда Собрано 850 тысяч событий Из них 450 тысяч относятся к Prey Около 400 тысяч события связанные с проникновением случайных вирусов Около 50 тысяч нормальная активность

Выбор алгоритма для анализа корреляций Microsoft Sequence Clustering –Реализован в составе MS 2005 SSAS –Предназначен для анализа «вложенных» (nested) данных –Использует фиксированное окно для исторических данных Potential function feature space with Decision Tree (Pf-DT) –Требует самостоятельной реализации –Превосходит аналоги по точности

Программная реализация Работает с SQL Server 2005 Позволяет выбирать атрибуты таблицы для анализа Позволяет настраивать Pf-DT Экспортирует выбранные шаблоны в формате OSSIM

Заключение Построена программная реализация алгоритма Pf-DT для анализа корреляций в потоке событий безопасности и последующего экспорта найденных шаблонов атак в формате OSSIM