Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the.

Презентация:



Advertisements
Похожие презентации
Гудков О. В., МГТУ им. Н. Э. Баумана IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Гудков О. В., МГТУ им.
Advertisements

Цветков Максим, Костанайский государственный университет, Казахстан, Костанай IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана.
Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.
Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий.
Статистический анализ аномального сетевого трафика Хан Цзин 5 курс 7 група.
Докладчик: Нелюб Сергей Александрович, аспирант кафедры «Информационная Безопасность» МГТУ им. Н.Э. Баумана. IT Security for the Next Generation Тур Россия.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Якунчиков Д.С, Лицей 19, Тольятти IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Якунчиков Д.С, Лицей 19,
Динамический анализ защищенности критически важных информационных систем. Модели, подходы, средства. Климовский А. А.
Исследование статистических свойств сетевого трафика в условиях вредоносных воздействий Владимирский государственный университет Кафедра информатики и.
Максим Приходько, МГГУ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Максим Приходько, МГГУ IT Security for.
Адаптивные и адаптируемые средства информационной безопасности УЦ «Bigone» 2007 год.
Нагрузочное тестирование информационных систем с использованием облачных вычислений Исполнитель: Макрушин Д.Н. Руководитель: д.т.н., проф. Запечников С.В.
Прогнозирование сетевых перегрузок на основе анализа временных рядов Соколов А. С., гр Руководитель – Гирик А.В., аспирант кафедры МиПЧС.
Б.Шоу Приложение 1 Соколова Н.А., Разделитесь на группы по общему признаку, назовите основание классификации.
NMAP nmap свободная утилита c открытым исходным кодом, предназначенная для : свободная утилита разнообразного настраиваемого сканирования IP- сетей с любым.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Типы компьютерных угроз. Общее понятие о Объектом защиты информационной безопасности от технических компьютерных угроз (ТКУ) являются компьютерные системы.
Обнаружение сетевых атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Проблемы статистического оценивания данных мониторинга в задачах безопасности компьютерных сетей. А.А.Макаров, Г.И.Симонова, Н.Л.Ковба, А.Полищук НИИ механики.
Транксрипт:

Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Прогнозирование трассы сетевой атаки методами продукционных моделей Сетевые угрозы в условиях современной компьютеризации

§1 Постановка задачи исследования Цель работы - разработка и исследование немногоагентной системы обнаружения аномального поведения в сети с последующим выявлением наиболее вероятной трассы сетевой атаки. | 5-7 марта, 2012 PAGE 2 |"IT Security for the Next Generation", Тур Россия и СНГ

§1 Постановка задачи исследования PAGE 3 |"IT Security for the Next Generation", Тур Россия и СНГ | 5-7 марта, 2012 Решение следующих задач 1.Разработка набора правил продукционной модели обнаружения атак 2.Разработка набора продукционных правил для определения трассы атаки 3.Разработка модуля распознавания угроз на основе продукционных правил 4.Исследование эффективности предложенных правил

§2 Метод обнаружения вторжений Классификации систем обнаружения вторжений | 5-7 марта, 2012 PAGE 4 |"IT Security for the Next Generation", Тур Россия и СНГ Системы обнаружения вторжений По методу обнаружения Поведенческий Интеллектуальный По поведению после обнаружения Активное Пассивное По источнику аудита Регистрационн ые файлы хоста Результаты аудита Сетевые пакеты По частоте использования Непрерывный мониторинг Периодический анализ

§2 Метод обнаружения вторжений Типовая структура системы обнаружения вторжений | 5-7 марта, 2012 PAGE 5 |"IT Security for the Next Generation", Тур Россия и СНГ Модуль управления Модуль управления данных Модули датчики Модуль Выявления атак Модуль реагирования Информационная система

§2 Метод обнаружения вторжений Этапы работы разрабатываемой системы | 5-7 марта, 2012 PAGE 6 |"IT Security for the Next Generation", Тур Россия и СНГ Захват пакетов Фильтрация и сборка пакетов Определение атаки Определение возможной трассы атаки

§2 Метод обнаружения вторжений Структура разрабатываемой системы | 5-7 марта, 2012 PAGE 7 |"IT Security for the Next Generation", Тур Россия и СНГ Модуль управления Модуль хранения данных Модуль сборки пакетов Модуль подсчёта статистики Модуль продукционной экспертной оценки Модуль выявления атак Информационная система

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 8 |"IT Security for the Next Generation", Тур Россия и СНГ Продукционная модель будет использовать следующие наборы правил для обнаружения вторжений: Правила распознавания параметров, соответствующих параметрам сетевой атаки Правила определения целевого узла в соответствии с выбранной атакой Правила определения трассы атаки с учётом полученных данных ранее задействованных правил

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 9 |"IT Security for the Next Generation", Тур Россия и СНГ Правила первого типаПравила второго типаПравила третьего типа IP адреса Номера портов Необычный состав пакета Параметры атаки Маркеры важности результатов первого блока Заданная топология сети Маркеры важности результатов правил первого блока Маркеры важности результатов правил второго блока Заданная топология сети

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 10 |"IT Security for the Next Generation", Тур Россия и СНГ Перехват пакета IP адреса Размер пакета Протокол Флаги Syn flood Прослушив ание Маркер важности Трасса атаки

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 11 |"IT Security for the Next Generation", Тур Россия и СНГ Перехват пакета count=recv(sock,buffer,sizeof(buffer),0); If(count!=0) { } IP адреса Размер пакета Протокол Флаги

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 12 |"IT Security for the Next Generation", Тур Россия и СНГ { statistic.addres=ip.receiver; statistic.size=strlen(buffer); statistic.prot=ip. iph_protocol; if(tcp.syn==1) statistic.syn++; if(tcp.fin==1) statistic.fin++; } IP адреса Размер пакета Протокол Флаги

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 13 |"IT Security for the Next Generation", Тур Россия и СНГ { if(statistic.syn>1 && statistic.fin==1) } Syn flood Прослушивание Маркер важности if(statistic.prot==IPPROTO_ICMP && statistic.size== 0x10000) Маркер важности statistic.marker=10; statistic.marker=9;

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 14 |"IT Security for the Next Generation", Тур Россия и СНГ If(statistic.marker==10 || statistic.marker==9) { out_trace(statistic.addres,statistic.marker); } Трасса атаки

§4 Процесс выявления трассы атаки | 5-7 марта, 2012 PAGE 15 |"IT Security for the Next Generation", Тур Россия и СНГ host1 host2 host5 host12 host1- host2-host5-host12: marker 9:P=0,9 host1- host2-host5-host9-host12: marker 9:P=0,8 host1- host2-host5-host10-host12: marker 9:P=0,7 host1- host2-host5-host9-host10-host12: marker 9:P=0,6 host1- host2-host5-host10-host9-host12: marker 9:P=0,5 HOSTS={h1,h2,h3,h4,h5,…,hn} h={Protocols,Ports,FA} h1 h2={Protocols,Ports,FA} if(h1 h2 > h3 h4 ) h1 h2 host9 host10

Результаты | 5-7 марта, 2012 PAGE 16 |"IT Security for the Next Generation", Тур Россия и СНГ virtualhost1 virtualhost3 virtualhost7 attacker Тип атаки: Syn FLOOD Трасса: attacker-virtualhost3-virtualhost7:10:0,9

Thank You Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012