ВВЕДЕНИЕ В СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК. Атака на информационную систему - событие или совокупность событий, которые применительно к каждому отдельно взятому. - презентация

1 ВВЕДЕНИЕ В СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

2 Атака на информационную систему - событие или совокупность событий, которые применительно к каждому отдельно взятому объекту должны рассматриваться в качестве попыток совершения информационного воздействия противоправного или деструктивного характера. Обнаружение атак - это процесс оценки подозрительных действий в защищаемой сети, который реализуется либо посредством анализа журналов регистрации операционной системы и приложений либо сетевого трафика. Цель обнаружения атак - выявить признаки атак либо во время их, либо постфактум. В качестве таких признаков могут выступать: ­ повтор определенных событий; ­ неправильные или несоответствующие текущей ситуации команды; ­ использование уязвимостей; ­ несоответствующие параметры сетевого трафика; ­ непредвиденные атрибуты; ­ необъяснимые проблемы; ­ дополнительные знания о нарушениях.

3 Классификация систем обнаружения атак по принципу реализации

4 Классическая архитектура системы обнаружения атак

5 б) обобщенная архитектура системы обнаружения аномалий а) обобщенная архитектура системы обнаружения злоупотреблений Обзор существующих подходов к обнаружению атак 1. Обнаружение злоупотреблений 2. Обнаружение аномалий

6 Применимость подходов анализа для выявления различных классов атак

7 Сравнение подходов к обнаружению атак ХарактеристикаПоиск злоупотреблений (сигнатур) Поиск аномалийКомбинированный метод Множество обнаруживаемых атак априорно задано, ограничивается известными моделями атак вариативно, достаточно широко Вероятность ложного срабатывания 0,01 - 0,050,2 - 0,30,05 – 0,1 Вероятность пропуска атаки0,1 - 0,120,01 - 0,020,03

8 Сравнение существующих методов обнаружения сетевых атак

9 Проблемы классических методов: 1.Теоретически существует бесконечное число методов и вариантов атак, и для их обнаружения понадобится БД бесконечного размера. Таким образом, имеется потенциальная возможность, что некая атака, не включённая в базу данных, может быть успешно осуществлена. 2.Современные методы обнаружения аномалий вызывают большое число ложных тревог. Таким образом, могут быть скомпрометированы легальные сетевые события. 3.Современные методы обнаружения злоупотреблений имеют достаточно высокую вероятность пропуска атаки.

10 Перечень признаков для описания сетевых событий

11 б) обобщенная архитектура системы обнаружения аномалий а) обобщенная архитектура системы обнаружения злоупотреблений 1. Обнаружение злоупотреблений 2. Обнаружение аномалий Обзор существующих подходов к обнаружению атак

12 Размещение сетевого сенсора между маршрутизатором и межсетевым экраном

13 Размещение сетевого сенсора в демилитаризованной зоне

14 Размещение сетевого сенсора у сервера удалённого доступа