автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование системы оценки качества СОА

кандидата технических наук
Половко, Иван Юрьевич
город
Таганрог
год
2012
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Разработка и исследование системы оценки качества СОА»

Автореферат диссертации по теме "Разработка и исследование системы оценки качества СОА"

005012015

Половко Иван Юрьевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ СИСТЕМЫ ОЦЕНКИ КАЧЕСТВА СОА

Специальность 05.13.19 -«Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 2;/:;.? 2612

Таганрог-2012

005012015

Работа выполнена в Технологическом институте Южного федерального университета в г. Таганроге (ТТИ ЮФУ) на кафедре Безопасности информационных технологий (БИТ) факультета Информационной безопасности (ФИБ).

Научный руководитель:

Доктор технических наук, профессор Макаревич Олег Борисович, ТТИ ЮФУ.

Официальные оппопенты:

1. Доктор технических наук, профессор Макаров Анатолий Михайлович, г. Пятигорск

2. Кандидат технических наук, доцент Котенко Владимир Владимирович, г. Таганрог Ведущая организация:

Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России), г. Воронеж.

Защита диссертации состоится «23» марта 2012г. в 14.20 на заседании диссертационного совета Д 212.208.25 Южного федерального университета по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, ауд. И-409.

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, Технологический институт Южного федерального университета, ученому секретарю диссертационного совета Д 212.208.25 Брюхомицкому Юрию Анатольевичу.

С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адресу: 344007, г. Ростов-на-Дону, ул. Пушкинская, 148.

Автореферат разослан « Л ъфвАбаЫ 2012 г.

Ученый секретарь

диссертационного совета С Брюхомицкий Ю.А.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании Ethernet, «значимость» сети пропорциональна квадрату числа узлов в ней, т.о. зависимость от нормальной работы сетей растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение ее работы.

Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и зарубежных исследователей в этой области, таких как ІА.Аграновский), В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.

Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.

Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (COA) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на сегодняшний день не существует стандартизированной методики тестирования систем обнаружения атак, позволяющей выявить все достоинства и недостатки тестируемых систем. Тесты, рекомендуемые производителями, как правило, служат рекламным целям и не могут помочь оценить функциональные возможности системы.

Исходя из определения качества, как совокупности характеристик, обуславливающих способность удовлетворять определенные потребности в соответствии с назначением, под процессом оценки качества COA понимается выделение основных измеряемых характеристик, отвечающих за реализацию процесса обнаружения атак, и последующая оценка (на основе выделенных характеристик) соответствия реализуемых функций обнаружения атак требуемому уровню.

В научной периодике представлен ряд результатов по разработке моделей анализа эффективности COA. Однако до сих пор не представлены системы и общие критерии для такого анализа.

Таким образом, задача разработки и исследования методов и систем оценки эффективности систем обнаружения атак, требует проведения интенсивных исследований и является актуальной.

Целью работы является разработка системы оценки качества COA для проведения независимого тестирования COA и получения оценки степени гарантированное™ соответствия, реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

а) Проанализировать существующие подходы к оценке качества СОЛ.

б) Сформулировать и обосновать требования к составу характеристик COA.

в) Разработать подход к оценке качества COA на основе предложенных характеристик.

г) Разработать методику оценки качества COA.

д) Разработать программный инструментарий для проведения тестирования.

е) Разработать систему оценки качества COA.

В рамках исследования используются методы квалиметрии, теории вычислительных систем и сетей, статистического анализа данных и экспертного оценивания.

Основные положения, выносимые на защиту:

1. Требования к составу характеристик COA, необходимых для формального сравнения и оценки COA, позволяют на их основе выработать заключения о соответствии или несоответствии системы функциональным требованиям.

2. Набор тестовых проверок и методика оценки качества COA позволяют сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, и получить взвешенную оценку качества исследуемых систем.

3. Система оценки качества COA позволяет, в отличие от известных систем, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Научная новизна работы заключается в следующем:

1. Впервые предложен атомарный подход для проведения оценки качества COA, основанный на сравнении функций, требуемых для обнаружения атак, при помощи анализа примитивных операций, необходимых для реализации таких функций, что позволяет при сравнении COA использовать функциональную структуру, позволяющую получить более точную оценку качества, по сравнению с использованием модульной структуры.

2. Сформулированы и обоснованы требования к составу характеристик COA, в т.ч. впервые сформулированы и обоснованы требования к реализации COA методов уклонения от обнаружения атак (злонамеренной фрагментации/сегментации и ресинхронизации) и устойчивости к применению атак непосредственно на COA.

3. Разработана система оценки качества COA, позволяющая, в отличие от существующих систем, получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку COA по всем показателям.

Практическая значимость результатов диссертации заключается в следующем:

а) Создана система оценки качества систем обнаружения сетевых атак, которая может использоваться как пользователями COA для оценки существующих средств защиты информационных систем при выборе продукта, так и разработчиками систем обнаружения атак на этапе проектирования для выявления уязвимостей.

б) Разработанные требования к составу характеристик, необходимых для формального сравнения и оценки, могут служить основой для формирования требований к классам COA при сертификации таких программных и программно-аппаратных продуктов.

Внедрение результатов диссертационной работы. Основные результаты исследований были использованы: на кафедре Безопасности информационных технологий ТГИ ЮФУ при.проведении

научно-исследовательской работы «Разработка инструментальных средств и методического обеспечения мероприятий по экспериментальной оценке реальной защищенности информации в ключевых системах информационной инфраструктуры от угроз безопасности информации», в интересах ГНИИИ ПТЗИ ФСТЭК РФ г. Воронеж; при проведении научных исследований, поддержанных грантом РФФФ №10-07-00464-а; в учебном процессе на кафедре БИТ при проведении курса «Защита информации в компьютерных сетях» для студентов специальностей 090103', 090104.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Публикации по теме исследования. Основные результаты, полученные в ходе работы над диссертацией, были представлены на следующих конференциях:

1. Научно-практическая интернет конференция «Современные направления теоретических и прикладных исследований '2011», Одесса, 2011 г.

2. Международная научно-практическая конференция «Информационная безопасность», Таганрог, 2010 г.

3. VII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых с международным участием «Молодежь и современные информационные технологии», Томск, 2009 г.

4. Всероссийская конференция студентов и аспирантов «Перспектива», Таганрог, 2009 г.

5. IV ежегодная научная конференция студентов и аспирантов базовых кафедр ЮНЦ РАН. Ростов-на-Дону, 2008 г.

По теме диссертации опубликовано 12 научных статей и тезисов докладов, из них 3 статьи в изданиях, рекомендованных ВАК, 1 раздел в монографии и 4 свидетельства о государственной регистрации программ для ЭВМ.

Струю-ура и состав диссертационной работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы и четырех приложений. Текст работы изложен на 157 страницах, включая 15 рисунков и 12 таблиц. Список использованной литературы состоит из 70 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность исследований в области разработки методов оценки качества COA, сформулированы цель работы, решаемые в ней задачи, определена практическая ценность и научная новизна выносимых на защиту результатов.

В первой главе определяются основные понятия, относящиеся к функционированию COA. Рассматриваются существующие подходы к исследованию эффективности COA. Анализируются методы обнаружения атак и ряд современных систем обнаружения атак. Формулируются цель и основные задачи диссертационной работы.

Для своевременного или даже опережающего реагирования на угрозы безопасности необходимо получать ответы на следующие вопросы до того, как это сделает злоумышленник:

правильно ли определено множество значимых событий для данной конфигурации;

- способна ли COA гарантированно выявлять значимые события;

как должны быть настроены COA (как должны быть расположены сенсоры COA и фильтры), чтобы свести к минимуму ложные срабатывания, максимизировать количество обнаруженных «плохих» событий и минимизировать стоимость развертывания системы обнаружения.

Обозначим:

M -множество входных данных, регистрируемых системой обнаружения атак; А - значимые события, которые должны контролироваться для обнаружения атак; D - все данные, наблюдаемые и ненаблюдаемые. Тогда справедливо:

Аа D,M <zD,Af)M*0 . (1)

В этом случае для «идеальной» COA будет справедливо равенство:

АГ\М = А (2)

Графически это представлено на рисунке 1 (нижние множества).

Невозможно отслеживать абсолютно все события. Выявление значимых событий является основной целью всей работы по установке и настройке систем обнаружения вторжений. Из всех регистрируемых пакетов какая-то часть будет соответствовать заданным правилам (область пересечения M и А). Некоторые из общего числа подозрительных пакетов будут действительно важными, представляя собой значимые события. Разрабатываемые в данном исследовании система и методика направлены на выявление COA, функциональные возможности которых, позволяют им регистрировать максимальное число значимых событий, т.е. эффективно выполнять свою основную функцию.

На первом этапе работы был проведен анализ методов и систем обнаружения сетевых атак. В данной главе приведен обзор основных методов обнаружения сетевых атак, используемых в современных COA, а также нескольких некоммерческих COA. Целью исследования является сравнительный анализ рассмотренных COA. Сложность такого анализа в том, что на рынке представлены, в основном, коммерческие решения (такие как Cisco ASA, ISS RealSecure, NFR, Juniper и т.д.), для которых отсутствует открытая информация о программной архитектуре и используемых формальных методах обнаружения атак. Информация о подобных системах, доступная в широкой печати, носит, как правило, рекламный характер, что делает проведение сравнительного анализа по публикациям в литературе затруднительным. Поэтому множество анализируемых систем будет ограничено публично доступными open-source решениями.

Были проанализированы пять наиболее популярных open-source сисгем обнаружения атак: Вго, OSSEC, STAT, Prelude, Snort.

Все перечисленные COA реализуют сигнатурный метод обнаружения атак на основе сравнения строк или шаблонов.

На основе анализа открытых публикаций и пресс-релизов были выделены два типа критериев: к первому типу относятся непосредственно методы обнаружения атак и связанные с ними

Рис. 1 - Соотношение собираемых данных и значимых событий

качественные и количественные показатели эффективности, второй тип критериев описывает реализации этих методов в конкретных системах обнаружения атак.

В результате анализа показано, что:

1. Формальное сравнение различных инструментов обеспечения безопасности сильно затруднено по причине отсутствия общепринятых критериев.

2. Не существует стандартизированной методики тестирования COA, позволяющей выявить все достоинства и недостатки тестируемых систем.

3. Используемые для сравнения характеристики COA отличаются от производителя к производителю и не дают повторяемости результатов, являющейся важным фактором при выборе критериев сравнения.

4. Отсутствует общая основа для анализа взаимодействия компонентов COA, рассматривающая зависимость между разными компонентами и их взаимное влияние.

В свете вышеизложенного представляется перспективной задача разработки методики оценки качества COA и создание на ее основе системы оценки качества, что необходимо для проведения независимого тестирования COA и получения оценки степени соответствия, реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Вторая глава посвящена исследованию качественных характеристик и характеристик производительности COA, и обоснованию их выбора для дальнейшего использования при оценке качества. Проведено исследование влияния базовых характеристик COA на различные показатели качества системы, а так же исследование взаимного влияния характеристик качества и производительности.

В работе используется модель COA, предложенная CIDF (Common Intrusion Detection Framework), включающая четыре основных элемента:

- генератор событий (e-box, event);

- анализатор (a-box, analyzer);

- хранилище данных (d-box, database);

- модуль реакции системы на обнаруженную атаку (г-box, reaction).

Схема взаимодействия основных компонентов модели COA приведена на рис. 2.

Оценка качества COA включает в себя рассмотрение количественных и качественных характеристик COA.

Функциональные (качественные) характеристики - набор критериев для оценки деятельности COA в типовой окружающей среде, когда атакующий находится вне сети, в которой расположена COA, например, в Internet.

Цель проверки характеристик качества - определить функциональные возможности COA (например, способности обнаруживать атаки, сообщать об инцидентах, сохранять информацию). Также эти критерии позволяют установить характеристики COA при её работе с протоколами TCP/IP и при обнаружении атак. Такие критерии позволяют наиболее полно выявить недостатки тестируемой системы обнаружения атак.

e-box

генератор событий

a-box d-box

анализатор хранили ще данных

r-box модуль реакции

Рис. 2 Схема взаимодействия основных компонентов СОА в модели СЮР

В отличие от критериев, исследованных в 1 главе, при разработке требований к набору функциональных характеристик для оценки качества COA исследовались функции, которые могут повлиять на эффективность обнаружения атак:

• функции, наиболее критичные для собственно обнаружения атак и попыток уклонения,

• функции, критичные для устойчивости перед теми атаками, приоритетной целью которых являются непосредственно COA.

Для получения ответа на вопрос о наиболее критичных аспектах работы COA при обнаружении атак, в т.ч. по обнаружению уклонения (злонамеренной фрагментации/сегментации и ресинхронизации), использовался подход, обращающий внимание на слабые стороны протоколов, использование которых позволяет легально обойти механизмы COA. При разработке COA в неё закладываются знания о функционировании протоколов стека TCP/IP. Таким образом, COA, основанная на следовании RFC, оказывается уязвимой вне зависимости от точности следования, поскольку она имеет свои слабые стороны и уязвимости, что может быть использовано нарушителем для обхода COA или нарушения ее основных функций.

Можно выделить следующие основные методы обхода COA:

- сбивание с толку;

- фрагментация; шифрование; перегрузка.

Как показано в модели CDIF, каждый из компонентов COA, имеет свое уникальное назначение и может быть атакован по разным причинам.

Атаки против e-box, работающих с входными «сырыми» (raw) данными, позволяют блокировать реальные события, происходящие в контролируемой системе. Атака против e-box сетевой COA может сделать недоступным получение пакетов из сети или сделать недоступным соответствующее декодирование этих пакетов. Некоторые COA используют сложный анализ. В таких системах надежность используемого a-box очень важна, поскольку атакующий может обойти систему обнаружения. Кроме того, сложная техника обнаружения может предоставить различные пути для проведения атаки. С другой стороны, простейшие системы могут пропустить атаки, в которых атакующий маскирует свою деятельность сложным скоординированным взаимодействием или взаимосвязями. Атакующий может разрушить компоненты d-box, чтобы защититься от записи деталей атаки. Неправильно используемая БД может позволить атакующему осуществить замену или удаление зарегистрированных данных об атаке.

Для определения уязвимых мест разработан набор тестов, определяющих, как ведут себя вышеуказанные критические механизмы COA.

Таблица I - Группы тестов для оценки реализации критических функций СОА

Функция Ожидаемый результат

Определяется, поддерживает ли тестируемая СОА сборку пакетов при наличии злонамеренной фрагментации (out-of-order, дублирующие фрагменты, и т.д.)? СОА либо производит сборку пакетов, либо в некоторых случаях нет (указывается конкретно).

Определяется способность СОА обрабатывать сложный ТСР-трафик в следующих ситуациях: отсутствие ответа от целевого хоста перед тем, как начать обработку данных перехваченных пакетов, нулевое значение номера последовательности или резкое изменение его значения, перекрывающиеся или дублированные сегменты, сегменты в беспорядочном TCP трафике, сборка ТСР-сегментов, пришедших не по порядку (out-of-order)? СОА должна руководствоваться знаниями об известных аномалиях и синхронизироваться с механизмами обработки трафика защищаемой системы, а не следовать RFC.

Определяется, как СОА контролирует TCP-соединение: проверяет ли наличие установленного соединения, перед тем, как начать обрабатывать данные из конкретного соединения, ресинхронизируется при получении SYN-пакета после завершения установки соединения? COA не должна проверять наличие соединений и всегда должна ресинхронизироваться.

Определяется, как в СОА осуществляется обработка ТСР-данных после формального разрыва соединения: корректно ли ресинхронизируется СОА после легитимного завершения соединения, останавливает ли СОА обработку данных соединения после прихода RST? СОА не должна прекращать обработку данных, иначе она уязвима для обхода.

Определяется, как в СОА осуществляется обработка аномальных значений полей пакетов: проверяет ли контрольную сумму у принятых IP и TCP пакетов, обрабатывает ли СОА TCP-данные в сегментах без флага АСК? СОА не должна игнорировать такие пакеты, иначе она уязвима для обхода.

Определяется, поддерживает ли СОА основные функции обнаружения попыток уклонения, такие как, например, контроль передачи данных в SYN-пакетах? СОА должна обрабатывать такие пакеты.

Функциональные характеристики дают представление об эффективности основной функции COA - обнаружении атак. Обнаружение атак - способность детектировать различные типы атак при помощи анализа заголовков и полезной нагрузки пакетов. Для ответа на вопрос об эффективности обнаружения атак должны оцениваться следующие характеристики COA:

1. Способность анализировать заголовки - позволяет обнаруживать атаки, связанные со значениями заголовков IP пакетов.

2. Способность собирать фрагментированный трафик - показывает, как в COA реализованы функции реассемблирования фрагментированного трафика и обнаружения атак, заключенных в нескольких пакетах.

3. Способность обнаруживать атаки, связанные с данными пакетов - позволяет обнаруживать атаки, связанные с данными пакетов.

4. Способность обнаруживать атаки с использованием ресинхронизации - характеризует, как COA контролирует попытки уклонения с использованием злонамеренных модификаций состояния ТСР-соединения,

5. Способность обнаруживать атаки, связанные со злонамеренной фрагментацией/сегментацией - характеризует способность COA анализировать пакеты, посылаемые

в произвольном порядке и с различными временными интервалами между ними, с целью обойти механизм обнаружения.

6. Способность оповещать об инцидентах - характеризует возможности программы оповещать об инцидентах, как локально, так и через электронную почту и SMS.

7. Способность сохранять информацию для анализа ■ характеризует возможности программы по сохранению информации об инцидентах для дальнейшего анализа.

8. Покрытие базой COA зарегистрированных уязвимостей (наличие CVE-идентификаторов) -позволяет по формальным признакам оценивать покрытие COA зарегистрированных уязвимостей; позволяет сравнить различные COA, использующие разные подходы к обнаружению атак.

9. Архитектура системы принятия решения - показывает, где принимается окончательное решение об обнаружении атаки - на сенсорах или на консоли управления.

10. Цена.

Цель характеристик производительности (количественных характеристик) - определить характеристики работы COA с пакетами. Тесты проводятся в условиях, когда атакующий, жертва и COA располагаются в одной сети. В этом случае тестированию не мешают сетевые устройства, ограничивающие пропускную способность.

Характеристики оценки производительности следующие:

1. Скорость обработки пакетов - позволяет оценить способность COA перехватывать пакеты не вызывая тревоги.

2. Эффективность фильтрации при решении задачи перехвата и разбора пакета и реагирования на атаку (генерации тревоги) - оценивает общую эффективность системы при решении задачи перехвата, разбора пакета и реагирования на атаку.

3. Производительность сенсора при сборке пакетов - определяет производительность сенсора при сборке пакетов.

4. Влияние работы COA на производительность системы - позволяет оценить влияния работы COA на загруженность центрального процессора и памяти, и общую производительность хоста.

В результате проведённых исследований была установлена зависимость большей части качественных характеристик от количественных.

Количественные характеристики

Скорость обработки

Эффективность фильтрации

Производительность сенсора

Влияние работы COA на производительность системы

Способность анализировать заголовки

Способность обнаруживать атаки, связанные с данными пакетов

Способность анализировать заголовки

Способность обнаруживать атаки, связанные с данными .пакетов

Способность обнаруживать атаки с использованием ресинхронизации

Способность собирать фрагментированный трафик

Способность обнаруживать

*«, связанные с пакетов

Способность Обп4руЖИ»ЭП>

4. связанные с злонамеренной фрагментацией/ сегментацией

Способность оповещать об

инцидентах

Способность сохранять ¡информацию для анализа

Архитектура системы принятия решения

Качественныенные характеристики

Рис.З - Зависимость качественные характеристик от количественных

В третьей главе представлены результаты разработки системы оценки качества COA. Разработаны последовательности тестов и приводятся возможные варианты толкования результатов. Сформулированы требования к составу программно-аппаратного комплекса тестирования. Разработана структура системы оценки качества COA.

Как показано в главе 1, сравнение различных COA с использованием только их функциональных характеристик и компонентов невозможно, в силу того, что одинаковые задачи, зачастую, решаются при помощи различных компонентов. Установлено, что существует независимый набор примитивных (или «атомарных») операций, таких, как отправка сетевых пакетов с заданными параметрами в значимых полях, запись сообщений в журналы аудита, копирование пакета из буфера сетевой карты в память процесса и т.д. Базовые функции реализуют определённый перечень таких операций, выполняя, например, действия по фильтрации или генерации пакетов. То, как разработчики конкретных COA реапизовывают базовые функции в своих продуктах, влияет на значение тех или иных характеристик. Соответственно, можно установить значения характеристик COA путём проверки базовых функций, которые выполняют примитивные операции путём имитации этих примитивных операция. Такой подход (назовём его «атомарным») позволяет повысить точность оценки качества реализации функций, определить принципы функционирования тестируемой системы, и, в конечном итоге, более точно установить значения её характеристик.

Исходя из этого, необходимо решить задачу установления взаимосвязи базовых функциональных показателей и возможных методов осуществления проверок с характеристиками. Графически этот процесс представлен на рисунке 4. Обобщенная таблица базовых функций COA, объединяет сходные функции в группы, и рассматривает, какое ПО и методы конкретных средств тестирования необходимы для проверки данных функций.

Функциональная эффс.'к'иннчаь

хнрактериг.шки

Колмчог;

Базовые функции СОА

Возможные методы проверок ня основе последовательностей примитивных операций

Рис. 4 - Иерархия взаимосвязи примитивных операций, базовых функций и характеристик

Взаимосвязь базовых функций и характеристик СОА представлена в таблице 2. Полностью взаимосвязь примитивных операций, базовых функций и характеристик представлена в Приложении Б.

Таблица 2 - Взаимосвязь характеристик и базовых функций СОА.

Характеристики Базовые функции

Способность анализировать заголовки Проверка механизма СОА по анализу заголовка протокола IP Проверка механизма СОА по анализу заголовка протокола UDP Проверка механизма СОА по анализу заголовка протокола TCP Проверка механизма СОА по анализу заголовка протокола ICMP Фильтрация на сетевом уровне. Фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов Фильтрация с учетом любых значимых полей сетевых пакетов

Способность собирать фрагментированный трафик Проверка механизма СОА по анализу заголовка протокола IP Проверка возможности анализа поля, управляющих фрагментацией пакетов (поля «Идентификатор», «Флаги» и «Смещение») Проверка возможности анализа поля «Время жизни (TTL)»

Проверка возможности анализа поля «Протокол» Фильтрация на сетевом уровне. Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств Фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов

Способность обнаруживать атаки, связанные с данными пакетов Проверка возможности анализа поля «Время жизни (ТТЬ)» Проверка возможности анализа поля «Протокол» Проверка возможности анализа поля «Тип сообщения» Проверка возможности анализа поля «Код сообщения» Проверка возможности анализа длины поля данных Проверка возможности поиска подстроки в поле данных

В результате можно увидеть, какие компоненты и функции средств тестирования требуются для проверки данных характеристик.

Необходимо заметить, что не рассмотрен критерий «Наличие CVE-идентификаторов в базе данных COA». Он не относится напрямую к функциональным характеристикам COA, но позволяет производить формальное сравнение степени покрытия актуальных для защищаемой сети угроз, текущей версией базы данных событий безопасности (e-box).

Значения характеристик устанавливаются в ходе экспериментов при помощи тестирования связанных с характеристиками базовых функций. На рис. 5 приводится блок-схема проверки того, как реализована функция COA. Основные шаги методики оценки качества COA представлены далее.

1. Проводится серия базовых тестов с целью определения правильности настройки и функционирования COA.

2. Проводятся узконаправленные тесты, которые представляют собой внедрение специальных пакетов в сеть, в которой функционирует тестируемое средство. Тесты воспринимают тестируемую COA как «чёрный ящик». Тесты используют протоколы UDP, ICMP и TCP. В большинстве тестов используется TCP-взаимодействие между внедрёнными пакетами и «целевым» хостом, подвергающимся «атаке», и играющим роль проверки эффективности эксперимента.

3. Имитируется «реальное» TCP соединение с точки зрения тестируемой COA. Для этих целей служит эмулятор сетевых сервисов.

4. Поведение эмулятора анализируется и сравнивается с информацией на консоли управления тестируемой COA.

5. На атакуемом хосте используется перехватчик пакетов, который показывает, доходят ли пакеты до атакуемого сервиса, то есть, должна ли тестируемая COA вообще обнаруживать сымитированную атаку.

Рис. 5 - Блок-схема отдельного теста

6. Оценивается реакция COA на внедрённые пакеты, анализируется поведение эмулятора (п. 4). Определяется значение характеристики, на основе чего делается вывод об эффективности реализации той или иной функции COA.

Разработанная структура системы оценки качества COA представлена на рис. 6

Рис. 6 - Структура системы оценки качества COA

Для проведения экспериментов в соответствии с методикой разработаны следующие программные средства:

- генератор сетевых пакетов - позволяет создавать произвольным образом сформированные пакеты различных уровней, исключая физический, согласно модели 081;

- имитатор атак - модуль, позволяющий на основе генератора пакетов формировать последовательности пакетов, соответствующие сценариям различных атак;

- перехватчик сетевых пакетов - монитор сетевого трафика, который позволяет перехватывать любые сетевые пакеты из физически дошедших до сетевого адаптера (а не только предназначенные конкретному хосту), осуществлять перехват пакетов в зависимости от установленных фильтров, и осуществлять разбор заголовков пакетов всех уровней;

- эмулятор сервисов - модуль, осуществляющий сетевое взаимодействие (включая эмуляцию установки соединения) с атакующим хостом по различным протоколам/портам в зависимости от настроек и содержимого словаря ответов.

Разработана архитектура стенда для проведения тестирования. Анализ соответствия базовых функций и компонентов COA (см. таблицу 2) позволяет выделить несколько отдельных программных компонентов, необходимых для всестороннего тестирования COA, и сформулировать требования к составу программно-аппаратного комплекса тестирования (рис. 7). Полностью методические рекомендации по проведению тестирования основных функций, выполняемых COA, представлены в Приложении А и Приложении В диссертационной работы

Выполнение разработанных

функциональных тестов и тестов производительности позволяет определить, как реализованы конкретные функции COA. На основании результатов тестов можно оценить значение характеристик COA в интервале от 1 до 10.

Для того, чтобы учесть способность COA удовлетворять определенным потребностям в соответствии с назначением, введём веса важности оцениваемой характеристики в интервале от 1 до 5 (5 - самый важный).

Тогда оценка подсчитывается по формуле:

эффективности ¡

Взвешенная оценка COA = «ч I

ZWi w

где x¡ - значение характеристики, w, - важность характеристики.

В итоге можно получить:

- функциональную оценку;

- оценку производительности;

- общую оценку (без учёта цены);

- взвешенную оценку COA.

В четвёртой главе рассматривается программная реализация разработанных модулей, представлены результаты экспериментов и сравнение с аналогами.

Разработанная система была использована для оценки как коммерческих систем обнаружения атак (RealSecure for Windows), так и бесплатных (Snort и Вго) в соответствии с разработанной методикой (см. таблицу 3).

Nunc Comp! IP Al В1.С1 D3

кт«рф**с А0(ЕЛ«пм I)

IP A] D1.CI.D:

Внутренняя сеть (согмепт «А»)

Nam: Cut«: IPA'B'C,'D4

El

IP A2.B2.C:.D6

Внешняя сеть (СїГМГВТ«Б«)

Рис. 7- Стенд тестирования функциональной

Таблица 3 - Результаты анализа функциональной эффективности.

Характеристика Вес Snort RealSecure Вго

Функциональное тестирование

Способность анализировать заголовки. S 10 10 10

Способность COA собирать фрагментированный трафик. 5 8 9

Способность COA обнаруживать атаки, связанные с 5 9 9 6

данными пакетов.

Способность COA обнаруживать атаки с использованием ресинхронизации. 4 7 4 0

Способность COA обнаруживать атаки, связанные со злонамеренной фрагментацией/сегментацией. 4 7 7 3

Способность COA оповещать об инцидентах. 3 7 8 8

Способность COA сохранять информацию для анализа. 4 10 10 8

Покрытие базой COA зарегистрированных уязвимостей (наличие CVE-идентификаторов). 3 7 6 7

Архитектура системы принятия решения. 3 10 8 8

Взвешенная функциональная оценка 5,4 5,2 4

Тестирование производительности

Скорость обработки пакетов 3 8 8 10

Эффективность фильтрации (80 Мбит/с), пакетов 5 8 10 10

потеряно

Производительность сенсора при сборке пакетов 5 6 9 5

Влияние на производительность системы 3 8 6 8

Взвешенная оценка производительности 2,1 2,44 2,3

Общая оценка (без учёта цены) 7,51 7,64 6,39

Цена 5 10 3 10

Взвешенная оценка COA ! 8,411 7,893 7,286

Необходимо отметить, что все исследованные системы оказались, в различной степени, уязвимы при обработке ресинхронизации, что можно отнести к строгому следованию RFC. Это снижает эффективность обнаружения аномалий. Также установлено, что покрытие БД сигнатур CVE-идентификаторами является, в общем, недостаточным, поскольку разработчики COA относительно недавно стали использовать этот классификатор.

В заключении изложены основные результаты, полученные в процессе проводимых исследований:

1. Сформулированы требования к составу характеристик COA, необходимые для формального сравнения и оценки COA, и выработки заключения о соответствии или несоответствии системы функциональным требованиям.

2. Разработаны набор тестовых проверок и методика оценки качества систем обнаружения сетевых атак, позволяющие получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку COA по всем показателям.

3. Разработана система оценки качества COA, позволяющая сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню (в соответствии с назначением конкретной COA) и получить взвешенную оценку качества исследуемых систем.

\

В приложениях представлены методические рекомендации по оценке качества COA.

По теме диссертационной работы опубликованы следующие работы:

Публикации в ведущих рецензируемых изданиях, рекомендованных ВАК РФ:

1. Половко И.Ю. Методы тестирования эффективности сетевых COA // «Известия ЮФУ. Технические науки». Тематический выпуск «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2009. - №11 (100). - С. 110-116.

2. Половко И.Ю. Абрамов Е.С. Математическая модель архитектуры системы защиты информации, устойчивой к атакам // Известия ЮФУ. Технические науки. Тематический выпуск «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2010. - №11 (112). - С. 67-75.

3. Половко И.Ю. Абрамов Е.С. Выбор характеристик систем обнаружения атак для выработки заключения о функциональных возможностях COA // Известия ЮФУ. Технические науки. Тематический выпуск «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2011. - №12. (125). - С. 88-96.

Публикации в других изданиях:

4. Половко И.Ю. Оценка эффективности систем обнаружения атак // IV Ежегодная научная конференция студентов и аспирантов базовых кафедр Южного научного центра РАН, Ростов-на-Дону: Изд-во ЮНЦ РАН, 2008. - С. 107-108.

5. Половко И.Ю. Разработка математической модели для анализа совместного поведения систем обнаружения сетевых атак и межсетевых экранов // Сборник материалов научно-практической интернет конференции «Современные направления теоретических и прикладных исследований '2011», Том 8, Одесса 2011. - С. 22-32.

6. Половко И.Ю. Критерии эффективности систем обнаружения вторжений // Сборник трудов VII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии». - Томск: Изд-во СПБ Графике, 2009. - С. 53-54.

7. Половко И.Ю. Методы тестирования производительности сетевых COA // Материалы первой Всероссийской молодёжной конференции по проблемам информационной безопасности «Перспектива 2009» - Таганрог: Изд-во ТТИ ЮФУ, 2009. - С. 192-195.

8. Половко И.Ю. Абрамов Е.С., Монография «Актуальные аспекты защиты информации в Южном федеральном университете», раздел «Тестирование характеристик систем обнаружения атак» - Таганрог: Изд-во ТТИ ЮФУ, 2011. - С. 41-51.

Получены 4 свидетельства о государственной регистрации программ для ЭВМ.

Подписано в печать 03.02.12. формат 60x84 1/16 Бумага офсетная. Печать офсетная. Усл. п.л. - 1 Тираж 100 экз. Заказ №

Типография ТТИ ЮФУ

Текст работы Половко, Иван Юрьевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

61 12-5/2142

Технологический институт федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный

университет» в г. Таганроге

На правах рукописи

Половко Иван Юрьевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ СИСТЕМЫ ОЦЕНКИ

КАЧЕСТВА СОА

Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель: д.т.н., профессор Макаревич О.Б.

Таганрог - 2012

Оглавление

ВВЕДЕНИЕ..................................................................................................................3

1 Исследование и анализ методов и систем обнаружения сетевых атак...............9

1.1 Основные проблемы при использовании COA................................................10

1.2 Используемые критерии сравнения...................................................................12

1.2.1 Критерии, применяемые для сравнения методов обнаружения атак.........12

1.2.2 Критерии, применяемые для сравнения COA...............................................13

1.3 Методы и подходы к обнаружению атак..........................................................18

1.3.1 Методы обнаружения злоупотреблений........................................................18

1.3.2 Методы обнаружения аномалий.....................................................................22

1.3.3 Результаты сравнительного анализа методов обнаружения атак...............24

1.4 Современные COA с открытым исходным кодом..........................................25

1.4.1. Перечень исследованных COA......................................................................25

1.4.2. Результаты сравнительного анализа COA....................................................25

1.5 Описание проанализированных систем обнаружения атак............................31

1.5.1 COA Вго.............................................................................................................31

1.5.2 Open Source Host-based Intrusion Detection System.......................................32

1.5.3 State Transition Analysis Technique..................................................................33

1.5.4 COA Prelude......................................................................................................37

1.5.5 СОА/СПА Snort................................................................................................39

1.6 Заключение и выводы.........................................................................................42

2 Разработка требований к составу характеристик для сравнения COA.............45

2.1 Основные значимые компоненты COA............................................................45

2.2 Разработка требований для оценки качественных характеристик COA.......46

2.2.1 Область действия качественных характеристик...........................................47

2.2.2 Перечень функциональных характеристик...................................................59

2.3 Разработка требований для оценки производительности COA......................61

2.4 Зависимость качественных характеристик от количественных.....................62

2.5 Заключение...........................................................................................................63

3. Разработка системы оценки качества COA........................................................64

3.1 Общие положения...............................................................................................64

3.2 Анализ взаимосвязи характеристик COA и примитивных операций............65

3.3 Обоснование требований к составу программно-аппаратного комплекса и структуре системы оценки качества........................................................................70

3.3.1 Обоснование требований к составу программно-аппаратного комплекса для проведения тестовых проверок.........................................................................70

3.3.2 Структура системы оценки качества COA....................................................71

3.4 Разработка методики оценки качества COA....................................................73

3.5 Заключение...........................................................................................................76

4. Экспериментальные исследования и сравнение с аналогами..........................77

4.1 Описание разработанного ПО............................................................................77

4.1.1 Язык описания сценариев атак.......................................................................77

4.1.2 Основные функции по работе с сетью...........................................................80

4.1.3 Руководство по использованию средств имитации атак..............................86

4.1.4 Разработка средств тестирования производительности...............................87

4.1.5 Руководство по использованию средств тестирования производительности..................................................................................................88

4.2 Экспериментальные исследования и сравнение с аналогами........................89

4.2.1 Экспериментальное исследование применения методики оценки качества COA.............................................................................................................................89

4.2.2 Сравнение с аналогами....................................................................................97

4.3 Заключение...........................................................................................................99

ЗАКЛЮЧЕНИЕ.......................................................................................................100

Список литературы..................................................................................................104

Приложение А..........................................................................................................111

Приложение Б..........................................................................................................118

Приложение В..........................................................................................................131

Приложение Г..........................................................................................................143

ВВЕДЕНИЕ

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании Ethernet, «значимость» сети пропорциональна квадрату числа узлов в ней, то есть, зависимость от нормальной работы сетей, растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем, зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение её работы.

Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и

зарубежных исследователей в этой области, таких как [А.Аграновский

В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.

Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак, изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.

Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (COA) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на

сегодняшний день не существует стандартизированной методики тестирования систем обнаружения атак, позволяющей выявить все достоинства и недостатки тестируемых систем. Тесты, рекомендуемые производителями, как правило, служат рекламным целям, и не могут помочь оценить функциональные возможности системы.

Исходя из определения качества, как совокупности характеристик, обуславливающих способность удовлетворять определенным потребностям в соответствии с назначением, под процессом оценки качества COA понимается выделение основных измеряемых характеристик, отвечающих за реализацию процесса обнаружения атак, и последующую оценку (на основе выделенных характеристик) соответствия реализуемых функций обнаружения атак требуемому уровню.

В научной периодике представлен ряд результатов по разработке моделей анализа эффективности COA. Однако до сих пор не представлены системы и общие критерии для такого анализа. Результаты анализа научных публикаций показывают, что в открытом доступе аналогичные методики для оценки качества COA отсутствуют.

Таким образом, задача разработки и исследования методов и систем оценки эффективности систем обнаружения атак, является актуальной и требует проведения интенсивных исследований.

Целью работы является разработка системы оценки качества COA для проведения независимого тестирования COA и получения оценки степени гарантированности соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

а) Проанализировать существующие подходы к оценке качества COA.

б) Сформулировать и обосновать требования к составу характеристик COA.

в) Разработать подход к оценке качества COA на основе предложенных характеристик.

г) Разработать методику оценки качества COA.

д) Разработать программный инструментарий для проведения тестирования.

е) Разработать систему оценки качества COA.

В рамках исследования используются методы квалиметрии, теории вычислительных систем и сетей, статистического анализа данных и экспертного оценивания.

Основные положения, выносимые на защиту:

1. Требования к составу характеристик COA, необходимых для формального сравнения и оценки COA, позволяют на их основе выработать заключения о соответствии или несоответствии системы функциональным требованиям.

2. Набор тестовых проверок и методика оценки качества COA, позволяют сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, и получить взвешенную оценку качества исследуемых систем.

3. Система оценки качества COA позволяет, в отличие от известных систем, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Научная новизна работы заключается в следующем:

1. Впервые предложен атомарный подход для проведения оценки качества COA, основанный на сравнении функций, требуемых для обнаружения атак, при помощи анализа примитивных операций, необходимых для реализации таких функций. Это позволяет при сравнении COA использовать функциональную структуру, позволяющую получить более точную оценку качества, по сравнению с использованием модульной структуры.

2. Сформулированы и обоснованы требования к составу характеристик COA, в т.ч. впервые сформулированы и обоснованы требования к реализации

COA методов уклонения от обнаружения атак (злонамеренной фрагментации / сегментации и ресинхронизации) и устойчивости к применению атак непосредственно на COA.

3. Разработана система оценки качества COA, позволяющая, в отличие от существующих систем, получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку COA по всем показателям.

Практическая значимость результатов диссертации заключается в следующем:

а) Создана система оценки качества систем обнаружения сетевых атак, которая может использоваться как пользователями COA для оценки существующих средств защиты информационных систем при выборе продукта, так и разработчиками систем обнаружения атак на этапе проектирования, для выявления уязвимостей.

б) Разработанные требования к составу характеристик, необходимых для формального сравнения и оценки, могут служить основой для формирования требований к классам COA, при сертификации таких программных и программно-аппаратных продуктов.

Внедрение результатов диссертационной работы. Основные результаты исследований были использованы при проведении научно-исследовательской работы: «Разработка инструментальных средств и методического обеспечения мероприятий по экспериментальной оценке реальной защищенности информации в ключевых системах информационной инфраструктуры от угроз безопасности информации», в интересах ГНИИИ ПТЗИ ФСТЭК России г. Воронеж, при проведении научных исследований, поддержанных грантом РФФИ №10-07-00464-а; в учебном процессе на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении курса: «Защита информации в компьютерных сетях» для студентов специальностей 090103, 090104.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Публикации по теме исследования. Основные результаты, полученные в ходе работы над диссертацией, были представлены на следующих конференциях:

1. Научно-практическая интернет конференция «Современные направления теоретических и прикладных исследований '2011», Одесса, 2011г.

2. Международная научно-практическая конференция «Информационная безопасность», Таганрог, 2010 г.

3. VII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых с международным участием «Молодежь и современные информационные технологии», Томск, 2009 г.

4. Всероссийская конференция студентов и аспирантов «Перспектива», Таганрог, 2009 г.

5. IV ежегодная научная конференция студентов и аспирантов базовых кафедр ЮНЦ РАН. Ростов-на-Дону, 2008 г.

По теме диссертации опубликовано 12 научных статей и тезисов докладов, из них: 3 статьи в изданиях, рекомендованных ВАК, 1 раздел в монографии в соавторстве и 4 авторских свидетельства о государственной регистрации программ для ЭВМ.

Структура и состав диссертационной работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы и четырех приложений. Текст работы изложен на 157 страницах, включая 15 рисунков и 12 таблиц. Список использованной литературы состоит из 70 наименований.

Во введении обосновывается актуальность исследований по разработке методов оценки качества COA, формулируется цель работы, решаемые задачи, определяется практическая значимость и научная новизна полученных результатов.

В первой главе определяются основные понятия, относящиеся к функционированию COA. Рассматриваются существующие подходы к исследованию эффективности COA. Анализируются методы обнаружения атак и ряд современных систем обнаружения атак. Формулируются цель и основные задачи диссертационной работы.

Вторая глава посвящена исследованию качественных характеристик и характеристик производительности COA, и обоснованию их выбора для дальнейшего использования при оценке качества COA. Проведено исследование влияния базовых характеристик COA на различные показатели качества, а так же исследование взаимного влияния характеристик качества и производительности.

В третьей главе представлены результаты разработки системы оценки качества COA. Разработаны последовательности тестов, приводятся возможные варианты толкования результатов. Сформулированы требования к составу программно-аппаратного комплекса тестирования. Разработана структура системы оценки качества COA.

В четвёртной главе рассматривается программная реализация разработанных модулей, приводятся результаты экспериментального исследования и сравнение с аналогами.

В заключении приводятся основные результаты, полученные в процессе проведённых исследований, делаются общие выводы по завершенной работе.

В приложениях представлены методические рекомендации по проверке эффективности COA.

1 Исследование и анализ методов и систем обнаружения сетевых атак

В данной главе приведен обзор основных методов обнаружения сетевых атак, используемых в современных COA, а также нескольких некоммерческих COA.

Целью исследования является сравнительный анализ рассмотренных COA, доступных на сегодняшний день. Сложность такого анализа в том, что на рынке представлены, в основном, коммерческие решения (такие как Cisco ASA, ISS RealSecure, NFR, Juniper и т.д.), открытая информация о программной архитектуре и об используемых формальных методах обнаружения атак которых, отсутствует[1]. Информация о подобных системах, доступная в широкой печати, носит, как правило, рекламный характер, что делает проведение сравнительного анализа затруднительным. Поэтому множество анализируемых систем будет ограничено публично доступными open-source решениями.

В результате анализа будет показано, что:

а) Большинство современных COA используют на базовом уровне ту или иную реализацию метода обнаружения злоупотреблений, на основе сопоставления с образцом (pattern matching). Рассмотренные решения отличаются друг от друга источниками данных, алфавитом сигнатур и используемым анализатором - от простого поиска подстрок в потоке данных, до использования регулярных выражений над заданным алфавитом.

б) Рассмотренные COA неустойчивы к модификациям сигнатур атак и не могут автоматически адаптироваться к появлению новых атак.

в) Формальное сравнение различных инструментов обеспечения безопасности сильно затруднено по причине отсутствия общепринятых критериев.

г) Не существует стандартизированной методики тестирования COA, позволяющей выявить все достоинства и недостатки тестируемых систем.

1.1 Основные проблемы при использовании COA

Для своевременного или даже опережающего реагирования на угрозы безопасности, необходимо получать ответы на следующие вопросы до того как