автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы

На правах рукописи

Ушаков Дмитрий Вячеславович

РАЗВИТИЕ ПРИНЦИПОВ ФУНКЦИОНИРОВАНИЯ СИСТЕМ ОБНАРУЖЕНИЯ СЕТЕВЫХ ВТОРЖЕНИЙ НА ОСНОВЕ МОДЕЛИ ЗАЩИЩЕННОЙ РАСПРЕДЕЛЕННОЙ

СИСТЕМЫ

Специальность: 05.13.19 - методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва - 2005

Работа выполнена в Московском инженерно-физическом институте (государственном университете)

Научный руководитель:

кандидат технических наук, доцент Милославская Наталья Георгиевна

Официальные оппоненты:

доктор технических наук, профессор Конявский Валерий Аркадьевич

кандидат технических наук, доцент Шеин Анатолий Васильевич

Ведущая организация:

Воронежский государственный технический университет

Защита состоится « 30 » ноября 2005 г. в 15 часов на заседании диссертационного совета ДМ 212.130.08 в МИФИ по адресу: 115409, Москва, Каширское шоссе, д. 31, тел. 324-84-98, 323-91-67.

С диссертацией можно ознакомиться в библиотеке МИФИ. Автореферат разослан « 2% » _ 2005 г.

Просим принять участие в работе совета или прислать отзыв в одном экземпляре, заверенный печатью организации.

Ученый секретарь диссертационного совета:

^ ^к.т.н., доцент Горбатов В.С

тът

-3-

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Интенсивное развитие Интернет, повсеместный переход на электронные формы хранения и передачи информации, активное внедрение в повседневную жизнь электронных форм платежей и многие другие факторы сегодняшней реальности повлияли на то, что безопасность сетей и сетевых сервисов стала действительно насущной проблемой практически всех организаций. При этом от большинства злоумышленных действий, большую часть из которых составляют удаленные вторжения, можно защититься путем правильного использования совокупности организационных и технических мер.

На сегодняшний день системы обнаружения вторжений (СОВ) являются важным элементом комплексной системы защиты сетей как небольших, так и крупных организаций. СОВ позволяют увеличить безопасность сети, контролируя все входящие и исходящие потоки трафика, как внутри периметра защищаемой организации, так и снаружи (выявляя попытки удаленных вторжений и собирая статистику неудачных проникновений).

Однако анализ статистики нарушений приводит к выводу, что и этого недостаточно. Вне зависимости от того, какой класс СОВ используется для защиты и какие принципы работы СОВ соответствующего класса применяются для обнаружения подозрительных действий в сети или на узле, особенности вторжений злоумышленников не позволяют их своевременно обнаруживать и блокировать. Причина в том, что разработчики не успевают выпускать дополнения и изменения к своим средствам защиты. В отношении СОВ это выражается в несвоевременном выпуске пополнений БД признаков вторжений. Можно возразить, что зачастую виновником оказывается даже не слишком медлительный разработчик, а сами администраторы, которые не успевают поддерживать системы в актуальном состоянии и своевременно устанавливать выпускаемые обновления. Недавнее появление ряда угроз под названием «атаки с нулевым временем предупреждения» («zero-day attacks») снова ставит на первое место вопрос наискорейшего выпуска дополнений к БД признаков вторжений с описаниями последних обнаруженных уязвимостей, которые злоумышленники и используют при проведении своих атак.

При этом на сегодняшний день разработки, связанные с обеспечением работоспособности СОВ, ведутся в и создания сис-

тем централизованного управления и сбора событий. Многие крупные западные исследовательские институты и коммерческие организации также безуспешно пытаются найти подходы к оценке эффективности СОВ, причем работы по данной тематике можно найти и в России. Публикаций, посвященных развитию принципов функционирования, как в России, так и на Западе фактически нет. Изредка только можно встретить пресс-релиз о выходе продукта, поддерживающего тот или иной способ обнаружения вторжений.

Таким образом, можно сделать вывод о недостаточной эффективности используемых в настоящее время СОВ, сложности и актуальности темы, обозначенной в заглавии работы. С большинством современных сетевых угроз можно было бы легко справиться, если бы существовала автоматизированная система обнаружения вторжений, динамически подстраивающая правила обнаружения вторжений под вновь обнаруживаемые уязвимости.

Целью диссертационной работы является разработка методов и алгоритмов функционирования систем обнаружения вторжений на основе централизованного управления правилами защиты.

Объектом исследования являются системы обнаружения вторжений. Предметом исследования являются механизмы защиты информации, используемые в системах обнаружения вторжений.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

• анализ и систематизация существующих классификаций систем обнаружения вторжений, выявление недостатков традиционных СОВ;

• сравнительный анализ ряда существующих распределенных систем и механизмов обеспечения безопасности, которые в них применяются;

• построение модели защищенной распределенной системы;

• разработка алгоритмов надежной двусторонней аутентификации участников информационного обмена в распределенной системе;

• синтез распределенной СОВ;

• разработка структуры, алгоритмического обеспечения, а также протоколов распределенной СОВ;

• систематизация знаний в области оценки функциональных возможностей СОВ и предложение методики оценки распределенной СОВ.

Основными методами исследований, используемыми в работе, являются методы теории множеств, математической логики, криптографии, тео-

рии алгоритмов и исследования операций.

Научная новизна работы заключается в следующем:

• с учетом принципов переносимости и способности к взаимодействию, характерных для открытых систем, разработана универсальная модель, позволяющая создавать защищенные распределенные системы, способные противостоять типичным угрозам удаленных вторжений;

• введена расширенная классификация компонентов распределенной системы, явно разделяющая функциональные возможности серверов по их способности аутентифицировать и обрабатывать запросы пользователей;

• разработан протокол двусторонней аутентификации участников информационного обмена с применением сертификатов посредников, обладающий масштабируемостью и гибкостью, сформулирована и доказана теорема о его свойствах с использованием аппарата математической логики;

• на основе модели защищенной распределенной системы разработана концепция распределенной СОВ с агентом автоматического обновления, позволяющим получать актуальную информацию о последних уязвимостях ПО и АО;

• с использованием существующих стандартов и рекомендаций разработаны алгоритмы и протоколы работы и формат файла обновлений распределенной СОВ, обеспечивающие оперативное реагирование на новые уязвимости ПО и АО.

Практическую ценность представляют протокол двусторонней аутентификации участников информационного взаимодействия на основе сертификатов посредников, учитывающий особенности работы в распределенной системе, алгоритмическое и протокольное обеспечение ее модели, предложенный подход к построению СОВ на базе модели распределенной системы, а также разработанные рекомендации по наиболее рациональному использованию СОВ.

На защиту выносятся следующие основные результаты работы:

• набор классификационных признаков, позволяющий производить расширенную классификацию компонент распределенной системы;

• модель защищенной распределенной системы в предположении о возможности активного вмешательства нарушителя в процесс ее функционирования;

• протокол двусторонней аутентификации абонентов на основе серш-

фикатов посредников, обеспечивающий гибкость и масштабируемость распределенной системы;

• концепция, структура и содержание алгоритмического обеспечения модели и определение возможностей ее применения к построению распределенной СОВ;

• подход к оценке возможностей систем обнаружения вторжений на основе их архитектурных особенностей и логики работы.

Достоверность результатов подтверждается использованием в алгоритмическом обеспечении в качестве составных частей стандартных алгоритмов и протоколов, широко проверенных на практике, результатами опытных испытаний, а также математическими и логическими доказательствами основных утверждений, сформулированных в работе.

Использование результатов исследования. Основные результаты диссертационного исследования используются в работе сектора информационной безопасности отдела сетевых проектов и технологий ЗАО «Техно-сервъ А/С». Результаты диссертационной работы также внедрены в учебный процесс на факультете "Информационная безопасность" Московского инженерно-физического института (государственного университета) и в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности информации в вычислительных системах средних и крупных корпоративных структур.

Публикации и апробация работы. По теме диссертации опубликовано 21 печатная работа, в том числе 1 учебное пособие, 8 научных статей, 4 конспекта лекций, 7 тезисов доклада и 1 книга (в соавторстве). Результаты работы докладывались на общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2003, 2004 и 2005 гг.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2005 г.), научно-практической конференции «Информационная безопасность - Юг России» (Таганрог, 2004 г.), а также на международных конференциях ШС'04 (Великобритания, 2004 г.), 1НР 18 (Франция, 2004 г.) и 1ТА05 (Великобритания, 2005г.).

Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных сокращений, списка использованных

источников, включающего 179 наименований, а также двух приложений. Текст диссертации изложен на 175 страницах, включая 32 рисунка и 7 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертации, выделяются и формулируются цели и задачи исследования, описывается структурно-логическая схема диссертационного исследования.

В первой главе - "Анализ применимости распределенных систем для обнаружения вторжений при комплексном подходе к обеспечению информационной безопасности" - исследуются и уточняются методы и пути решения поставленной научной задачи.

Ввиду появления огромного количества новых угроз, использование стандартных средств защиты, таких как межсетевые экраны, виртуальные частные сети, средства защиты от НСД, на современном этапе является необходимым, но не достаточным условием построения надежной комплексной системы защиты информации. Решением этой проблемы является подход, получивший название методики адаптивного управления безопасностью. СОВ являются важной составной частью систем, использующих эту методику.

Функциональность СОВ и способность противостоять тем или иным вторжениям злоумышленников определяются ее классом. В зависимости от класса системы сенсоры, являющиеся основными компонентами и регистрирующие несанкционированные действия, могут размещаться на устройствах, рабочих станциях, серверах, защищать какой-либо сегмент сети или всю сеть целиком. Принцип их действия заключается в анализе различных событий в сети, таких как запуск прикладных программ, попытки доступа к данным, сетевых соединений и т.п. В случае выявления подозрительной активности какого-либо из подконтрольных объектов СОВ может, например, выслать предупреждение администратору безопасности или даже блокировать несанкционированную деятельность.

Множество СОВ обычно разделяют на две большие группы: системы контроля за отдельными устройствами (узловые системы обнаружения вторжений - УСОВ - Host-based IDS), а также системы контроля за сетью (сетевые системы обнаружения вторжений - ССОВ - Network-based IDS). Классификационным признаком в данном случае служит не место установки СОВ, а объект, который система контролирует в процессе своей работы.

УСОВ осуществляют мониторинг операционной и файловой систем, прикладных программ, тогда как ССОВ проводят мониторинг сетевого трафика в реальном времени. Хотя названные классы систем позволяют полностью покрыть множество классификационных признаков, они не являются полностью непересекающимися, что наглядно демонстрируется в тексте главы. Поэтому, несмотря на то, что по совокупности ряда критериев в диссертации внимание уделяется главным образом ССОВ, все положения могут быть обобщены и на случай УСОВ.

Внутри своего класса ССОВ различаются по функциональности и способности обнаруживать несанкционированные действия злоумышленников. ССОВ принято делить на системы выявления злоупотреблений (СВЗ - Misuse Detection Intrusion Detection Systems, MD-IDS) и системы выявления аномалий (СВА - Anomaly Detection Intrusion Detection System, AD-IDS).

Считается, что преимуществами СВЗ являются скорость, простота, практически полное отсутствие ложных срабатываний. Тогда как СВА характеризуются способностью противостоять еще неизвестным вторжениям, путем подстройки сенсоров под происходящие в сети изменения. При этом основным недостатком систем первого типа является необходимость постоянного поддержания БД сигнатур злоупотреблений в актуальном состоянии, а вторых - сложность интерпретации генерируемых предупреждений, настройки и высокая частота ложных срабатываний.

При условии грамотного проектирования ядра СОВ, его настройки и использования сложных алгоритмов анализа несанкционированных действий основное влияние на эффективность работы системы будет оказывать качественное наполнение БД сигнатур. А для гибкого управления БД сигнатур с помощью агента автоматического обновления можно использовать ряд достижений в области построения распределенных систем.

Распределенная система - это набор независимых компьютеров, представляющийся их пользователям единой объединенной системой Важными свойствами распределенных систем являются масштабируемость, непосредственно связанная с производительностью, прозрачность и открытость. В понятие открытости при этом вкладывается переносимость, способность к взаимодействию и гибкость. Эти качества достигаются за счет особой структуры системы, путем введения промежуточного уровня программных служб (сервисов), позволяющих пользователю абстрагироваться от вопросов физического размещения ресурсов.

В главе рассматриваются существующие типы распределенных систем с целью выявления подходов, которые могли бы повысить эффективность обнаружения вторжений путем обеспечения независимости процедуры анализа подозрительных действий от административных задач по поддержанию ее на должном уровне. Для этого рассматриваются базовые механизмы, которыми должна обладать распределенная система, чтобы обладать всеми необходимыми свойствами, выполнять свои функции и быть защищенной от атак потенциальных злоумышленников. При этом в главе отмечается особая важность сервисов масштабируемости и защищенности, которые на настоящий момент недостаточно проработаны.

Подход на основе совокупности стандартных методик координированного разделения ресурсов между группой взаимосвязанных серверов или рабочих станций (Grid-технологии или Web-сервисы) признается наиболее подходящим по совокупности таких параметров, как производительность, надежность, стоимость, обслуживаемость (поддержка) и безопасность. За счет применения существующих стандартов и рекомендаций (HTTP, XML, SOAP, UDDI, WSDL, GSI, SSO, X.509, SSL и т.п.) обеспечиваются такие свойства открытых систем, как способность к взаимодействию (интеропера-бельность) и переносимость.

Таким образом, в результате рассмотрения существующих подходов к построению защищенных информационных систем и анализа различных классов СОВ был выявлен ряд недостатков, которые могут быть исправлены с помощью разновидности распределенных систем, основанных на сервисах.

Вторая глава - "Разработка модели защищенной распределенной системы" - посвящена синтезу модели защищенной распределенной системы, ее алгоритмов и протоколов.

В работе вводится расширенная классификация компонентов типичной распределенной системы (субъекты и объекты) по набору выполняемых функций: клиенты, информационные серверы и серверы аутентификации.

Поскольку построить абсолютно защищенную систему невозможно, накладываются ограничения по условиям ее функционирования (окружающей среде) и возможностям потенциальных злоумышленников - строится модель нарушителя. Алгоритмы и протоколы работы компонент распределенной системы разрабатываются таким образом, чтобы они были защищены от нарушителя 2-го уровня в соответствии с классификацией из РД Гостехкомиссии «Концепция защиты СВТ и АС от НСД к информации».

Для защиты от угроз, создаваемых подобными нарушителями, в соответствии с выбранным в первой главе сервис-ориентированным подходом предлагаются сервисы защиты информационного взаимодействия между компонентами. В качестве основы для введения и описания сервисов используются положения стандартов и рекомендаций международной организации по телекоммуникациям (International Telecommunication Union, ITU). При этом для борьбы с несанкционированными воздействиями предполагаемых злоумышленников и улучшения масштабируемости системы базовый набор сервисов защиты этой организации расширяется. В итоге предлагается следующая их совокупность:

• аутентификация компонент системы;

• контроль доступа (авторизация) клиентов системы при обращении к серверам;

• защита каналов связи между клиентами и серверами (обеспечение конфиденциальности и целостности).

• учет действий пользователей системы (т.е. клиентов) на серверах;

• обеспечение доступности ресурсов распределенной системы.

Опираясь на модель POSIX, введенную международным институтом

стандартов (NIST), ее расширенный вариант под названием TOGAF, предложенный организацией The Open Group, а также общую структуру распределенных систем, предлагается модель защищенной распределенной системы (рис. 1).

Отличие предлагаемой модели от существующих заключается в применении комбинации методов построения распределенных систем на основе технологии метакомпьютерных вычислений и масштабируемых и гибких методик аутентификации на основе цифровых сертификатов особого вида (называемых сертификатами посредников или ргоху-сертификатами). Все это позволяет реализовать совокупность механизмов защиты, минимизирующих угрозы и блокирующих несанкционированный доступ нарушителей к системе в соответствии с описанной моделью нарушителя.

С целью определения места каждого из сервисов защиты при организации взаимодействия между компонентами распределенной системы разрабатываются и описываются алгоритмы:

• взаимодействия клиента с серверами;

• работы сервера аутентификации;

• работы информационного сервера.

Подробное их описание приводится в работе, где также обосновывается необходимость применения производных от базовых сертификатов формата Х.509 - сертификатов посредников Это позволит улучшить масштабируемость и управляемость системы, что также позволяет увеличить безопасность и соответствует современным принципам защиты распределенных систем.

инфор- Сервер Клиент

^ На основе разработанных алгоритмов вводятся протоколы работы сис-

темы. Базовым является протокол двусторонней аутентификации субъектов информационного взаимодействия.

С использование формального метода верификации протоколов защиты - расширенной ВАК-логики - проводится анализ корректности разработанного протокола. В частности, формулируется и доказывается теорема.

Теорема. Пусть выполняются следующие изначальные предположения. • каждый из участников протокола обладает своими открытыми и закрытыми ключами, а также открытыми ключами зарегистрированных абонентов (ключом клиента для сервера аутентификации и наоборот, а также ключом сервера аутентификации для информационного сервера);

• каждый из участников уверен в «новизне» генерируемых им случайных чисел и способен их распознать в структуре передаваемых сообщений;

• клиент А уверен, что сервер А8 корректно генерирует сертификаты;

• 1Б, делегируя АБ полномочия по аутентификации пользователей, убежден, что тот действует в рамках правил и не выдает сертификаты не-аутентифицированным клиентам;

• знает формат выдаваемых сертификатов.

Тогда протокол аутентификации (рис. 2) устанавливает инъективное соответствие между участником протокола и его секретным ключом, соответствующим открытому ключу из сертификата посредника.

клиент сервер аутентификации информационный сервер

1 А

2 {М„)к„

4-

3. {N,}.K,, {F, (Na)).K, t

4. {F; (Na)j CerU_

5.CertA, (A,N^).k,____^

6 (F3 (Na)> {N„U„_

7 {F4 (N„)KK,___

далее идет стандартный протокол согласования общего секретного ключа сессии, например, Диффи-Хелмана или RSA)

Рис 2. Обобщенный протокол взаимодействия компонент распределенной системы

В процессе доказательства показаны достоинства и недостатки предлагаемого протокола в сравнении с другими протоколами аутентификации и способы устранения обозначенных недостатков. К достоинствам протокола можно отнести: удобство и гибкость использования, лучшую масштабируемость (по сравнению с традиционными симметричными и асимметричными криптографическими протоколами), двустороннюю аутентификацию общающихся абонентов с помощью сертификатов посредников. В ходе формальной верификации протокола был выявлен единственный недостаток: необходимость временной синхронизации на серверах. Хотя, в отличие от

традиционных асимметричных криптоалгоритмов, не требуется синхронизация часов на клиентах.

В конце главы для наглядной иллюстрации применения алгоритмов и протоколов модели приводится абстрактный сценарий ее использования. Описывается последовательность взаимодействия учасгников, проблемы обеспечения доступности сервисов и пути их решения. Поскольку состав распределенной системы может быть динамическим, необходима публикация сервисов в некотором глобальном каталоге. В качестве основы обеспечения доступности сервисов предлагается использовать подход, аналогичный протоколу ЮМР, который применяется для управления многоадресными рассылками в Интернет. Был предложен и описан обобщенный алгоритм обеспечения доступности сервисов распределенной системы.

Третья глава - "Синтез распределенной системы обнаружения вторжений". В данной главе на основе выводов, сделанных в результате анализа:

• существующих принципов построения СОВ;

• методик, лежащих в основе выявления подозрительных действий, их достоинствах и недостатках;

• особенностей функционирования распределенных систем (из главы 1), а также модели защищенной распределенной системы, разработанной в главе 2, описывается распределенная СОВ, включающая в себя агента обновления, ответственного за автоматическое реагирование на вновь обнаруживаемые уязвимости и поддержание БД сигнатур вторжений в актуальном состоянии. Это позволяет повысить эффективность обнаружения вторжений путем динамической реконфигурации правил работы применительно к охраняемому сетевому сегменту. Для этого конкретизируется список компонент системы, а также на основе алгоритмов и общего описания протоколов из главы 2 предлагаются конкретные схемы взаимодействия компонент и спецификации протоколов.

В работе определяется объект, которым оперирует распределенная СОВ - файл обновлений - и его отличие от БД сигнатур. При традиционном подходе к обновлению задержка выхода сигнатур составляет: Эе1ау1 =/+С+ Т + Э + Э + М где / - время ознакомления с информацией о новой уязвимости с момента ее первого обнаружения в системах;

С - время разработки механизма проверки производителем с момента

ознакомления с информацией о новой уязвимости;

Т- время тестирования механизма проверки;

S - время выпуска обновления производителем;

D - время загрузки обновления пользователем;

М- время установки обновления пользователем, подключение его к СОВ.

Разрабатываемый метод быстрой реакции на появление новой уязвимости подразумевает выпуск небольшого файла обновления, содержащего описание уязвимости, способ обнаружения, а также механизмы реагирования на вторжения, использующие ее. В этом случае при наличии встроенного в СОВ компонента обновления, автоматизирующего процесс проверки и загрузки файлов обновлений, задержка существенно уменьшается:

Delay2 = I + D + M.

Здесь акцентируется внимание на автоматизацию процесса загрузки и подключения новых проверок путем обращения к центральному ресурсу, содержащему обновления, компонентом управления самой СОВ. Таким образом, в зависимости от применяемого метода инициирования обновлений (PUSH- или PULL-методик) время реакции сокращается до нескольких минут или секунд.

В состав распределенной СОВ должны входить следующие компоненты: группы экспертов, корпоративные системы обнаружения вторжений и сервер(ы) публикации, содержащий набор сигнатур.

Специфика работы каждого из компонентов подробно рассматривается, при этом делается вывод о том, что агент обновления способен минимизировать временные затраты на загрузку и подключение новых сигнатур (эти этапы будут проходить в автоматическом режиме) - величины D и Мв приведенной выше формуле. Более того, путем создания сервера публикации и централизованного хранения на нем информации о новых уязвимостях, сокращается и время получения новой информации о недоработках ПО или АО - / там же. В результате СОВ быстрее реагирует на изменения и способна обнаруживать атаки злоумышленников лучше существующих аналогов

Чтобы избежать компрометации хранимой информации и предоставлять защиту для своих клиентов, сервер публикации должен поддерживать ряд сервисов защиты.

При аутентификации для обеспечения повышенной безопасности, улучшения масштабирования и повышения эффективности взаимодействия компонент (уменьшения накладных расходов на пересогласования и хране-

ние) обосновывается необходимость использования протокола двусторонней аутентификации на основе сертификатов посредников, который был описан в главе 2. Приводятся необходимые поля этих сертификатов посредников, базирующихся на стандарте Х.509, а также алгоритм их использования сервером публикаций.

Контроль доступа в распределенной СОВ в той ее части, которая касается доступа к серверу с БД файлов обновлений, строится по принципу ролевой модели - Role-Based Access Control (RBAC).

В предлагаемой распределенной СОВ при выполнении авторизации на сервере публикаций выделяется три простых роли без зависимостей: системы обнаружения вторжений (IDS), эксперты (Expert), выполняющие только добавление новых уязвимостей в БД, а также привилегированные эксперты, администраторы (Admin). При этом набор полномочий включает в себя право добавления записей в БД (Add), право чтения содержимого базы данных (Read), право модификации (Modify) и удаления устаревшей информации (Delete). Пользователи также делятся на две группы: корпоративные СОВ, точнее их агенты обновления, поддерживающие политику обнаружения в актуальном состоянии (Agent), и специалисты в области информационной безопасности, выявляющие новые уязвимости (Specialist), которые могут обладать либо базовым, либо расширенным набором полномочий. Тогда:

Expert £ {Add} , ,

,„ 1 Specialist <->£ \Experl, Admin

Admin q u\Read, Modify, Delete , , .

IDS ç {Read} Agent^{,DS}

Для контроля соответствия реально исполняемых участниками информационного обмена операций списку разрешенных действий, приписанных им выбранной моделью авторизации, могут использоваться статические учетные записи пользователей, динамические учетные записи пользователей или виртуальная машина («песочница»). В работе обосновывается необходимость использования статических учетных записей пользователей (то есть запись создается не для каждого пользователя в отдельности, а для роли целиком), что позволит наиболее эффективно использовать ресурсы системы.

Чтобы иметь возможность отслеживать действия пользователей и контролировать насколько корректно исполняется политика безопасности на сервере публикаций, а также с целью выставления счетов при принятии решения о запуске системы в коммерческую эксплуатацию, необходимо реализовать функции аудита.

Для защиты каналов связи от потенциального воздействия злоумышленников, проводится анализ рисков на основе модели нарушителя, составленной в главе 2. Для борьбы с соответствующими угрозами возможно использование двух широко используемых и стандартизованных спецификаций построения VPN: IPSec и SSL/TLS. Обе спецификации обеспечивают выполнение схожих функций, однако применительно к решаемым задачам SSL/TLS подходит больше. В результате именно она была выбрана в качестве базовой.

Помимо обеспечения целостности и конфиденциальности передаваемой и обрабатываемой в системе информации необходимо также обеспечить доступность ее сервисов. В распределенных системах это достигается с использованием соответствующих методик именования. На основе общих рекомендаций из главы 2 был сделан выбор в пользу стандартных методов именования в среде WWW (DNS) и отказ от специализированных и, как следствие, создающих большие накладные расходы решений (LDAP, UDDI). Предлагается и обосновывается использование новых типов ресурсных записей для публикации сервисов в глобальном каталоге.

В заключение на основании общих спецификаций алгоритмов взаимодействия компонент распределенной системы из главы 2 разрабатываются алгоритмы для трех основных процессов взаимодействия:

• обращение эксперта к серверу обновлений для публикации нового сообщения об уязвимости;

• подключение агента корпоративной СОВ к серверу публикаций для приведения базы данных сигнатур в актуальное состояние;

• обработка запросов сервером публикации.

Описываются протоколы работы системы, а также разрабатывается формат файла обновлений на основе спецификации XML.

В четвертой главе - "Практическая реализации распределенной системы обнаружения вторжений" - рассматриваются аспекты практической реализации распределенной СОВ, которые включают в себя анализ и предложения по оценке возможностей системы, ее архитектурные и структурные особенности, а также определяется область применения.

Для того чтобы спроектированная распределенная СОВ могла успешно реализовывать свои функции, необходимо учитывать ряд параметров. Одним из них является создаваемая на систему нагрузка (в виде сетевого тра-

фика). Были предложены следующие решения:

• для уменьшения нагрузки на СОВ рекомендуется использование специализированных программно-аппаратных комплексов на основе «программируемых логических устройств»;

• введена формула оценки необходимой базовой производительности устройства (Р) для обработки заданного потока трафика (L): Р ¿L = К * S * О, где V - средняя скорость передачи трафика (пакетов/сек.), S -среднее количество сигнатур БД на пакет (с учетом возможностей декодирования отдельных протоколов), О - среднее количество элементарных операций (сравнения) на одну сигнатуру;

• на основе введенной формулы для повышения эксплуатационных характеристик СОВ при большом количестве сигнатур и значительных объемах трафика предлагается модернизированная структура ядра СОВ. Для оценки возможностей использования предлагаемой распределенной СОВ реализован экспериментальный стенд, включающий:

• сетевые сигнатурные СОВ;

• агента автоматического обновления (скрипт PHP);

• сервера публикаций (сервер MySQL);

• рабочей станции злоумышленника.

В результате опытной эксплуатации распределенной СОВ оказалось, что время модификации БД сигнатур под потребности защищаемого сегмента или для проведения сравнительного тестирования группы СОВ минимально и определяется только временем разработки файла обновления и помещения его в БД сервера публикаций. Соответственно при задании малого периода опроса сервера публикаций (в пределах нескольких минут) и учитывая, что в среднем на формирование файла обновления уходит до 30 минут, получаем, что период распространения информации по всем СОВ, есть 0(время формирования файла обновлений). При этом указанные СОВ должны входить в состав распределенной СОВ, т.е. иметь агента обновления.

^изменений = 0(t),

где t - время создания одного файла изменений. В противном случае при ручном внесении изменений в БД сигнатур каждой из СОВ, во-первых, время распространения изменений прямо пропорционально количеству СОВ, во-вторых, требует в лучшем случае порядка 15 минут на внесение одной сигнатуры (при наличии графического ин-

терфейса пользователя, а при его отсутствии, как, например, у СОВ Snort -до получаса):

1'изменении = 0(N) * O(t),

где N- кол-во СОВ в сети,

t— время внесения одного изменения.

Таковы результаты испытаний в тестовой среде. При наличии внешних экспертов и внешнего сервера публикаций, который бы пополнялся этими экспертами в регулярные промежутки времени, Тише„ений было бы порядка периода обновлений (Тшменений = О(то6но&ккия)), т.е. порядка нескольких минут в данном случае, вместо 30 мин.* N (=3) = 1.5 часа. Очевидно, что чем больше сеть и чем более она гетерогенна, тем больше будет выигрыш от использования распределенной СОВ с агентом автоматического обновления.

Данные испытаний сведены в представленную ниже таблицу. В ячейках указан средний процент уменьшения времени внесения изменений.

Таблица - Результаты испытаний макета распределенной СОВ

Х< п/п Snort Intrusion SecureNet Radware Defense-Pro

Агент обновления отключен (ручное обновление - мин.) 0 (Xi * N * M) 0 (X, * M + N * t (при использовании системы Nexus), Xi * N * М (без использования системы Nexus)) 0 (X, * N * M)

Агент обновления включен (автоматическое обновление -мин.) 25 (X2*M + t) 40 (X2*M + t) 35 (X2*M + t)

где

X1 - среднее время ручного написания сигнатуры для произвольной СОВ (порядка 30 мин.);

Х2 - время ручного составления файла обновлений (порядка 30 мин., примерно в 2 раза меньше при использовании графического интерфейса пользователя),

количество сенсоров СОВ одного типа (в данном случае 1),

М - количество вносимых изменений (в тестах использовалось до 10 изменений),

I - накладные расходы на выполнение автоматического обновления

(порядка 1 мин.).

Итак, можно сделать вывод, что скорость обновления распределенной СОВ увеличилась, как и количество обнаруживаемых атак, то есть повысились эксплуатационные характеристики СОВ. В лучшем случае, когда БД сервера обновлений пополняется сообществом сторонних экспертов, время распространения изменений на всю сеть будет измеряться исключительно периодом обновлений.

Исходя из особенностей структуры СОВ, предложены и описаны специфические способы ее использования, а именно:

• контроль входящих и исходящих потоков трафика;

• отслеживание явных или скрытых нарушений политики безопасности (при локальной установке сервера обновления);

• быстрая и прозрачная миграция с СОВ одного производителя на другую;

• сравнительное тестирование группы ССОВ.

В главе также обобщены и систематизированы существующие методики оценки функциональных возможностей СОВ. Описаны количественный и качественный подходы к оценке. Для качественной оценки введены базовые свойства, влияющие на эксплуатационные характеристики (развертывание, обновление, поиск и устранение неисправностей). Основное внимание в работе уделяется количественной оценке. Предлагается три показателя эффективности (соответствующая задача оптимизации является не только многокритериальной, но также и задачей поиска решения в условиях неопределенности):

W,=Po6mp => шах;

W2=P,tcpai => min;

№з=Ссжт => min.

где Роб1шр - доля обнаруживаемых вторжений от общего числа проведенных злоумышленниками (вероятность обнаружения вторжения), Р.ЬСраб -частота ложных положительных срабатываний (или вероятность ложного срабатывания), Ссжт - стоимость затрат на использование системы в единицу времени.

В результате исследования зависимости критериев от совокупности параметров, был сделан ВЫВОД, ЧТО Р06иар-РоЬтр^жтт^, МеТОДобнаружения, На-стройкаСов, Объему,,.«,, Отказоустойчивостьсистемы). Причем величина отка-

зоустойчивости (а именно составляющие ее в теории надежности классические понятия доступности и безотказности) непосредственно не влияет на вероятность обнаружения, поскольку имеет вид 5-функции: если СОВ работает, ТО Р0б«ар=/>обиар(НСИгнатЯ>, МеТОДобмружапи, НаСТрОЙКЭсов, ОбъеМтрафии), если случилась неполадка, то Робтр- 0.

Аналогично Ря/сраб= Pvcpai(Nc„rHaTyp, Методобнадмяи« НастройкасОВ, Объ-ем^афии, Отказоустойчивостьсисгемы)-

Эксплуатационные характеристики СОВ часто связывают не с парой значений показателей Р0бнар и Рл/Сраб, а их взаимной зависимостью, то есть видом функции Р„бшр(.Рл/сраб), которая называется «рабочей характеристикой анализатора» (receiver operating characteristic, ROC). К сожалению, на настоящий момент эту величину можно определить только эмпирически и только в конкретных условиях эксплуатации системы. При известной ROC «оптимальная точка функционирования СОВ» (тип и набор активированных сигнатур) определяется по экстремуму величины W^pg от 1И1Ш>рь1=

Wiyniepenpc^yoa тки, УЩерблажного срабатывания, ЧиСТОТй^лр^^;^. ЧаСТОТапожныхсрабапываний)-

Что же касается третьего показателя эффективности W3=Ccucm, то

—Ссист ~~ Vмети ^ Уwymp ^'злоупотр Удожн сраб Урегя работы-

ГДе Уреглработы- Уразвертывание^Уобноедения^Унеиспр- Показатели ЭффеКТИВНОсти W,, W2 и W3 не являются полностью независимыми, что не упрощает решение задачи оптимизации в общем виде. Однако при поиске частного решения с учетом известной величины ROC часть критерия оказывается фиксированной и формула упрощается:

Ссист~ POCmin У развертывание ^обновления Унеиспр•

На основании сравнения всех этих величин для традиционных и предлагаемой распределенной СОВ был сделан вывод о ее большее высоких эксплуатационных характеристиках при обнаружении вторжений.

В заключении приведены основные результаты диссертационной работы, рассмотрены пути дальнейшего развития темы исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В диссертации обобщены результаты теоретических и прикладных исследований, направленных на развитие принципов функционирования систем обнаружения сетевых вторжений на основе разработки методов и алгоритмов защищенного автоматического обновления БД конфигурационных

параметров с использованием подходов, применяемых в распределенных системах. Основным научным результатом исследования является разработка модели защищенной распределенной системы и ее адаптация под нужды обнаружения вторжений.

В процессе выполнения работы получены следующие основные результаты:

1. Проанализированы современные подходы к обеспечению безопасности информационных систем, а также виды современных распределенных систем и методы обнаружения вторжений, выявлены их достоинства и недостатки.

2. Предложена модель защищенной распределенной системы, в рамках которой вводится расширенная классификация компонентов, составляется модель нарушителя, разрабатываются и описываются алгоритмы и протоколы безопасного взаимодействия. Приводится сценарий использования модели, на котором демонстрируется применение изложенных алгоритмов и протоколов, а также решаются вопросы обеспечения доступности сервисов в распределенной сети.

3. Для модели защищенной распределенной системы доказана теорема о свойствах разработанного протокола двусторонней аутентификации с применением сертификатов посредников для клиентов, для чего используется аппарат ВАК-логики.

4. На основе модели защищенной распределенной системы предложена распределенная СОВ, которая позволяет избавиться от недостатков традиционных систем и противостоять современным угрозам. Описаны компоненты СОВ, разработаны алгоритмы и протоколы работы системы. Даны рекомендации по реализации сервисов защиты.

5. С использованием существующих стандартов и рекомендаций разработан формат файла обновлений, который применим для модификации процесса обнаружения вторжений в распределенной СОВ и оперативного реагирования на новые уязвимости. Приведен пример использования файла обновлений.

6. Предложены качественный и количественный подходы к оценке функциональных возможностей СОВ. На основе результатов их применения сделан вывод о более высоких эксплуатационных характеристиках предлагаемой распределенной СОВ по сравнению с существующими аналогами.

7. Спроектирован и реализован экспериментальный стенд, который подтвердил более высокие эксплуатационные характеристики предложен-

ной распределенной СОВ по сравнению с традиционными сигнатурными сетевыми СОВ.

8. Приведены рекомендации по реализации ядра СОВ, позволяющие уменьшить зависимость производительности СОВ от полноты БД признаков вторжений, а также указаны возможные варианты практического применения распределенной СОВ.

Разработанная модель защищенной распределенной системы является обобщенной и может использоваться в любых областях, где требуется обеспечить взаимодействие физически или логически распределенных субъектов. Она применима для открытых и закрытых систем и сетей связи, обрабатывающих конфиденциальную информацию негосударственного сектора. Разработанная на базе общей модели распределенная СОВ применима в любых локальный и глобальных сетях, использующих в качестве основы для передачи информации стек протоколов ТСРЯР.

В качестве дальнейшего развития работы можно назвать более глубокое изучение методов оценки эффективности СОВ и разработку на их базе обобщенной методики, позволяющей аналитически, а не экспериментально, определять ключевые характеристики оцениваемых систем, а также применение разработанной модели защищенной распределенной системы к другим областям знания

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ:

1. Борискин Д.А., Кульгачева М.И., Кутехов С.С., Милославская Н.Г., Перминов А.Н., Толстой А.И., Ушаков Д.В., Юров Н.В. Учебно-научный комплекс "Технологии безопасности". // Безопасность информационных технологий. - 2003. - № 4 - 12 с.

2. Борискин Д.А., Милославская Н.Г., Толстой А И., Ушаков Д.В. Концепция создания учебно-исследовательской лаборатории «Безопасность вычислительных сетей». / В сб. трудов научно-практической конференции «Информационная безопасность», Таганрог, 28-31 мая, 2002. Тезисы доклада. — 3 с

3. Курило А.П., Антимонов С.Г., Ушаков Д.В. и др. Обеспечение информационной безопасности бизнеса. М.: БДЦ-пресс, 2005. - 512с.

4. Милославская Н.Г., Толстой А.И., Ушаков Д.В, Мониторинг безопасности сетей. Учебное пособие. М.: МИФИ, 2004. - 115 с.

5. Милославская Н.Г., Ушаков Д.В. Мониторинг безопасности в сетях. Серия "Учебная книга факультета "Информационная безопасность" МИ-

ФИ". Выпуск 6 / Под ред. доц., к.т.н Малюка A.A. Конспект лекций. - М.: МИФИ, 2004. - 142 с.

6. Милославская Н.Г., Ушаков Д.В. Новый подход к построению систем обнаружения вторжений. / В сб. трудов XII общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации». Санкт-Петербург, 04-05 октября 2004. Тезисы доклада. -1 с.

7. Милославская Н.Г., Ушаков Д.В. Подходы к оценке эффективности систем обнаружения вторжений. Материалы научной сессии МИФИ-2005. / В сб. трудов XII Всероссийской научной конференции "Проблемы информационной безопасности в системе высшей школы". Сборник научных трудов. М., МИФИ, 2005. Тезисы доклада. - 2 с.

8. Ушаков Д.В. Вопросы организации распределенной обработки данных. / В сб. трудов XI Российской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» Санкт-Петербург, 18-20 ноября 2003. Тезисы доклада. - 2 с.

9. Ушаков Д.В. Лекция 8. Безопасность вычислительных сетей. / В книге «Комплексные системы обеспечения информационной безопасности. Часть 1». Серия "Учебная книга факультета "Информационная безопасность" МИФИ". Выпуск 12 / Под ред. доц., к т.н. Малюка A.A. Конспект лекций. - М.: МИФИ, 2004. - 547 с.

10. Ушаков Д.В. Лекция 8. Безопасность вычислительных сетей. / В книге «Методы, средства и системы защиты информации». Серия "Учебная книга факультета "Информационная безопасность" МИФИ" Выпуск 13 / Под ред. доц., к.т.н. Малюка A.A. Конспект лекций. -М.: МИФИ, 2004.-465 с.

11. Ушаков Д.В. Основы сетевых технологий. Общие сведения о стеке протоколов TCP/IP. Серия "Учебная книга факультета "Информационная безопасность" МИФИ". Выпуск 2 / Под ред. доц., к.т.н. Малюка A.A. Конспект лекций. - М.: МИФИ, 2004. - 39 с.

12. Ушаков Д.В. Особенности аутентификации в информационных системах. // Безопасность информационных технологий. - 2005. - № 2 - 8 с.

13. Ушаков Д.В. Оценка эффективности систем обнаружения вторжений. // Безопасность информационных технологий. - 2005 - № 3 - 6 с.

14. Ушаков Д.В. Перспективные технологии для выполнения сложных вычислений. // Безопасность Информационных Технологий. - 2004. - №2 - 4 с

15. Ушаков Д.В. Построение защищенных информационных систем. / В сб. трудов XIII общероссийской научно-технической конференции «Методы

л

2о?за„ 200^4

, '"l . -18788

и технические средства обеспечения безопасности информации яг ьанкт-Петербург, 04-06 октября 2005. Тезисы доклада. - 1 с.

16. Ушаков Д.В. Сервисы безопасности при работе в распределенной среде. / В сб. трудов XI Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы», Москва, 2003. Тезисы доклада. - 2 с.

17. Ушаков Д.В. Сравнение способов решения вычислительно сложных задач. / В сб. трудов шестой международной научно-практической конференции «Информационная безопасность», Россия, Таганрог, 1-7 июля 2004. Тезисы доклада. - 2 с.

18. Ушаков Д.В. Функциональные возможности современных систем обнаружения вторжений. // Безопасность информационных технологий. -2005.-№ 1 - 9 с.

19. Miloslavskaya N G., Tolstoi A. I., Ushakov D. V. Laboratory Support for Information Security Education. "Information Security Management, Education and Privacy", IFIP 18th World Computer Congress, TCI 1 19th International Information Security Workshops, 22-27 August 2004, Toulouse, France Edited by Yves Deswarte, Frederic Cuppens, Sushil Jajodia, Lingyu Wang.Kluwer Academic Publishers, 2004. -15 c.

20 Miloslavskaya N G, Ushakov D.V. Authentication protocols in information systems. ITA05. Proceedings of the First International Conference on Internet Technologies and Applications. NEWI, Wrexham, North Wales, UK. 7-8 September, 2005. -11 c.

21. Miloslavskaya N. G., Ushakov D.V Introducing distributed computing into everyday life Proceedings of the 4th International Network Conference (INC 2004), Editors Dr Steven M Furnell, Dr Paul S Dowland, Network Research Group, University of Plymouth, 2004. -7 c.

Подписано в печать 20.10.2005 г. Формат 60 х 90/16. Объем 1.1 пл. Тираж 80 экз. Заказ № 2010051

Оттиражировано на ризографе в «ИП Гурбанов Сергей Талыбович» Св. о регистрации № 304770000207759 от 09 июня 2004 года ИНН 770170462581

Введение.

1. Анализ применимости распределенных систем для обнаружения вторжений при комплексном подходе к обеспечению информационной безопасности.

1.1. Методика адаптивного управления безопасностью.

1.2. Классификация систем обнаружения вторжений.

1.2.1. Узловые системы обнаружения вторжений.

1.2.2. Сетевые системы обнаружения вторжений.

1.2.3. Выбор класса системы обнаружения вторжений.

1.3. Типы сетевых систем обнаружения вторжений.

1.3.1. Сетевые системы выявления злоупотреблений.

1.3.2. Сетевые системы выявления аномалий.

1.3.3. Выбор типа системы обнаружения вторжений.

1.4. Современные распределенные системы.

1.4.1. Сравнительный анализ.

Ш 1.4.2. Особенности метакомпьютерных распределенных систем.

1.4.3. Механизмы обеспечения безопасности.

1.5. Выводы.

2. Разработка модели защищенной распределенной системы.

2.1. Компоненты распределенной системы.

2.2. Модель нарушителя.

2.3. Сервисы защиты распределенной системы.

2.4. Формальное представление модели.

2.5. Алгоритмы работы защищенной распределенной системы.

2.5.1. Алгоритм взаимодействия клиента с сервером.

2.5.2. Алгоритм работы сервера аутентификации.

2.5.3. Алгоритм работы информационного сервера.

2.6. Протоколы защищенной работы в распределенной среде.

2.7. Сценарий использования модели. ф. 2.8. Выводы.

Глава 3. Синтез распределенной системы обнаружения вторжений.

3.1. База данных сигнатур и файл обновлений.

3.2. Компоненты распределенной системы обнаружения вторжений.

3.2.1. Группы экспертов.

3.2.2. Корпоративные системы обнаружения вторжений.

3.2.3. Сервер публикации.

3.3. Защита распределенной системы обнаружения вторжений.

3.3.1. Аутентификация.

3.3.2. Авторизация.

3.3.3. Аудит.

3.3.4. Защита каналов связи.

3.3.5. Обеспечение доступности серверов системы.

3.4. Алгоритмическое обеспечение распределенной системы обнаружения вторжений

3.4.1. Взаимодействие эксперта с сервером публикаций.

3.4.2. Взаимодействие корпоративной системы обнаружения вторжений с сервером публикаций.

3.4.3. Обработка запросов сервером публикаций.

3.5. Протоколы распределенной системы обнаружения вторжений.

3.6. Формат файла обновлений.

3.7. Выводы.

Глава 4. Практическая реализация распределенной системы обнаружения вторжений

4.1. Структура системы обнаружения вторжений.

4.2. Тестирование распределенной системы обнаружения вторжений.

4.3. Рекомендации по практическому применению распределенной системы обнаружения вторжений.

4.4. Оценка возможностей системы обнаружения вторжений.

4.5. Выводы.

Интенсивное развитие Интернет, повсеместный переход на электронные формы хранения и передачи информации, активное внедрение в повседневную жизнь электронных форм платежей и многие другие факторы сегодняшней реальности повлияли на то, что безопасность сетей и сетевых сервисов стала действительно насущной проблемой практически всех организаций. В небольших организациях со слабо развитой информационной структурой эта проблема пока что малозаметна, и решается она установкой антивирусного пакета, который, как правило, редко обновляется, и/или попытками ограничения доступа к ресурсам. Но, как показывает практика, этого явно недостаточно. Часто высококлассные и практически не подверженные никакому «взлому» системы защиты информации рушатся или бездействуют из-за беспечности технического персонала. Так, например, как показывает статистика, большинство «взломов» серверов электронной коммерции происходит по причине недосмотра персоналом незначительных на первый взгляд ошибок, в результате которых конфиденциальные данные из баз данных сайтов становятся доступными каждому желающему без каких-либо особых усилий [1].

Согласно отчету ФБР [2, 3] наибольшие потери за 2003 и 2004 года были вызваны атаками типа «отказ в обслуживании» (DoS), кражей конфиденциальной информации, распространением вредоносного программного обеспечения (ПО) и несанкционированным использованием сетевых ресурсов. Если с DoS-атаками бороться практически невозможно, так как не существует достаточно эффективных методик, не сказывающихся на доступности самого ресурса для законных пользователей, от всех остальных злоумьппленных действий можно защититься путем применения совокупности организационных и технических мер.

Говорят, что имеет место атака, когда злоумышленник осуществляет в отношении какой-либо системы несанкционированные действия, используя ту или иную ее уязвимость [4]. Наличие уязвимости создает угрозу нарушения установленных правил работы с системой. Таким образом, угроза является потенциальной возможностью проведения атаки посредством реализации уязвимости. При этом сам процесс воздействия злоумышленника на систему называется вторжением [4].

Различают несколько видов вторжений в информационные системы [5]:

• Физическое вторжение. Злоумышленник имеет физический доступ к компьютеру (используется часть системы в непосредственном физическом контакте). Методы вторжения могут быть различными: от специальных привилегий при работе с консолью, до возможности использования части системы, к примеру, снятие винчестера для чтения/записи его на другой машине.

• Системное вторжение. Этот вид вторжения предполагает, что злоумышленник уже имеет учетную запись в информационной системе или части ее. Если в системе не установлены самые последние пакеты обновлений защиты, то велика вероятность получения административных или иных несанкционированных дополнительных привилегий.

• Удаленное вторжение. Злоумышленник пытается проникнуть в систему через сеть с удаленного узла или группы узлов, изначально действуя без каких-либо специальных привилегий. Существует множество типов подобной деятельности, которая заключается в особом воздействии на атакуемую систему программным образом по каналам связи, например, перехват или подмена сетевого трафика, использование уязвимостей ПО, подбор паролей, атака специальным образом сформированными пакетами и т.п. Особенность заключается в том, что при этом злоумышленник может находиться где угодно, и вычислить его в целях наказания без использования специальных средств просто невозможно.

Наиболее интересен как раз третий тип вторжений - удаленные, поскольку только они не накладывают принципиальных ограничений на изначальные знания или действия злоумышленников и являются типичными для большинства систем.

Один из основополагающих факторов хорошего уровня безопасности - обнаружение и пресечение попыток несанкционированного доступа (НСД) в реальном масштабе времени. Как правило, в полном объеме это необходимо только очень крупным сетям, но создать хорошо защищенную сеть без средств, позволяющих обнаруживать и пресекать НСД, просто невозможно. Примером средства пресечения является межсетевой экран. Существуют различные его реализации, но цель их применения одна - снижение риска проникновения в отдельный персональный компьютер или сеть. Однако если в сети установлен межсетевой экран, то это еще не означает, что безопасность гарантирована. Например, он не способен защитить от пользователей, прошедших аутентификацию. Кроме того, межсетевой экран, контролируя границы сети, не только не предотвращает вторжения в нее через модемные пулы или другие точки удаленного доступа, но и принципиально не может обнаружить такого злоумышленника [6-9].

В отличие от классических методов построения обороны, когда средства защиты действуют по принципу обособленных барьеров, устанавливаемых на границе сети (например, фильтрующий маршрутизатор или межсетевой экран), комплексная защита, включающая, помимо межсетевых экранов, целый набор компонентов (сканеры защищенности, системы аутентификации и авторизации, средства построения виртуальных частных сетей и т.п.) оказывается более эффективной. Один из необходимых элементов такой системы защиты информации - средства обнаружения вторжений. Обнаружение вторжений является процессом оценки подозрительных действий, которые происходят в контролируемой информационной системе.

Актуальность использования систем обнаружения вторжений подтверждается растущим интересом крупных и мелких организаций к данному сегменту рынка. Во многих отношениях он находится сейчас на той же стадии, что и рынок межсетевых экранов несколько лет назад. Тогда далеко не всякая компания понимала важность наличия пограничного устройства фильтрации, и еще меньшее число позаботилось об их установке. По всей видимости, обнаружение вторжений следует тем же путем. Сегодня практически каждая организация имеет, по крайней мере, один межсетевой экран для защиты своей сети. Однако при этом руководство и сотрудники этой организации могут практически ничего не знать о методах и средствах обнаружения вторжений. Тем не менее, это обстоятельство не помешало зарождению рынка [10].

Таким образом, обнаружение вторжений - один из ключевых компонентов комплексной системы защиты. Они позволяют увеличить безопасность сети, контролируя все входящие и исходящие потоки трафика, как внутри периметра защищаемой организации (отслеживая по разным оценкам от 70 до 80% нарушений, связанных с внутренними злоумышленниками [11, 12]), так и снаружи (выявляя попытки удаленных вторжений и собирая статистику неудачных проникновений). Кроме того, пожалуй, это один из немногих элементов системы защиты, в основе которого лежит динамический принцип работы, то есть возможность автоматического изменения логики своего функционирования по некоторому внешнему событию - изменению политики обнаружения вторжений (тогда как другие средства, например, межсетевые экраны, системы аутентификации, более консервативны и требуют явного вмешательства администратора).

Однако анализ статистики нарушений приводит к выводу, что и этого недостаточно [3]. Вне зависимости от того, какой класс СОВ используется для защиты (традиционно они делятся на два класса: сетевые и узловые) и какие принципы работы СОВ соответствующего класса применяются для обнаружения подозрительных действий в сети (выявление аномалий или злоупотреблений) или на узле (анализ журналов прикладных программ, изменений в файловой системе или контроль системных вызовов), особенности вторжений злоумышленников не позволяют их своевременно обнаруживать и блокировать. Причина в том, что разработчики не успевают выпускать дополнения и изменения к своим средствам защиты. В отношении СОВ это выражается в несвоевременном выпуске пополнений БД признаков вторжений. Можно возразить, что зачастую виновником оказывается даже не слишком медлительный разработчик, а сами администраторы, которые не успевают поддерживать системы в актуальном состоянии и своевременно устанавливать выпускаемые обновления. Но недавнее появление ряда угроз под названием «атаки с нулевым временем предупреждения» («zero-day attacks» [13]) снова ставит на первое место вопрос наискорейшего выпуска дополнений к БД признаков вторжений с описаниями последних обнаруженных уязвимостей, которые злоумышленники и используют при проведении своих атак [14].

При этом в большинстве случаев негативных последствий можно было бы и избежать, если; бы администраторы своевременно среагировали и выполнили рекомендации по защите от вновь обнаруженных уязвимостей. В этом деле накоплена огромная мировая статистика, которая позволяет сделать вывод, что зачастую информация о новой уязвимости известна задолго (за месяцы) до того, как произойдет реальное вторжение с ее использованием. Так, например, существует негласное правило, согласно которому, хакерская группа, обнаруживая новое некорректное поведение ПО, первым делом уведомляет об этом производителя продукта, давая ему возможность выпустить исправление («заплатку») и только спустя какое-то время распространяет полную информацию по уязвимости [15]. Хотя предоставление полной информации провоцирует атаки злоумышленников, осуждать подобные действия также трудно. Ведь, с одной стороны, разработчики объективно заинтересованы исключительно в повышении прибыли и снижении издержек, в частности связанных с задержкой выхода новых версий создаваемого ими ПО, их тщательным тестированием и т.п. С другой стороны, если бы у разработчиков не было мотивации в повышении качества своих продуктов и скором их исправлении (например, из-за подобных публикаций о вновь обнаруженных уязвимостях), то вряд ли бы их пользователи были бы еще больше защищены.

Например, эпидемию червя W32.Blaster (или W32.Lovsan.worm), заразившего миллионы компьютеров по всему миру в августе 2003 года, можно было бы избежать еще в середине июля, когда в список рассылки о вновь обнаруженных уязвимостях пришло сообщение от польской хакерской группы Last Stage of Delirium [16], а впоследствии и от группы китайских хакеров Xfocus [17], где говорилось о новой критической уязвимости во всех последних версиях ОС Microsoft. Действия злоумышленников привели как к непосредственным, так и опосредованным многомиллионным убыткам, на многие часы вывели из строя многие компьютерные системы. Но от атаки можно было защититься еще 12 июля. Например, описанных последствий можно было бы избежать, если бы системы обнаружения вторжений, установленные в большинстве крупных компаний, своевременно получили информацию о необходимости пассивного или активного реагирования при обнаружении подключений извне на порт ТСР/135, используемый сервисом RPC, или инициирования сессий по протоколу TFTP.

Аналогичный случай был и с червем, получившем название SQL Slammer, который заразил сотни тысяч машин в январе 2003 года [18-19]. Информация об уязвимости, связанной с переполнением буфера в сервисе MSSQLSERVER, в результате эксплуатации которой злоумышленник получал возможность запуска произвольных команд на машине-жертве, была известна в координационном центре CERT [20] еще в июле 2002 г. Практически сразу же Microsoft выпустила исправления для своего программного продукта. Однако по разным причинам, несмотря на наличие подробного описания и «заплатки», закрывающей уязвимость, по тем или иным причинам многие машины остались незащищенными. Если бы в сети стояла активная или пассивная система обнаружения вторжений, вовремя отследившая попытки подключения извне на 1434 порт с использованием транспортного протокола UDP и рассылки специфичных сообщений размером 376 байт по произвольным IP-адресам, огромного ущерба можно было бы избежать.

Можно спорить о том, насколько два приведенных примера показательны и позволяют судить об актуальности защиты, используемого ПО и АО от атак* злоумышленников при помощи различных средств защиты в общем и систем обнаружения вторжений в частности. Однако, объективная реальность такова, что человеку свойственно ошибаться, а следовательно, все, что он создает, в том числе прикладное и системное программное обеспечение, будет содержать ошибки, которые можно использовать для совершения несанкционированных действий [21]. Поэтому атаки наподобие описанных W32.Blaster, SQL Slammer, а также известных и несколько устаревших, но использующих тот же принцип, Code Red и Nimda [22], являются типичными и будут появляться в будущем. Поэтому актуальным является разработка общих подходов и систем, позволяющих от них защититься.

При этом на сегодняшний день разработки, связанные с обеспечением работоспособности СОВ, ведутся в основном в направлении создания систем централизованного управления и сбора событий, поскольку группы методов, используемых для выявления несанкционированных действий, считаются достаточно развитыми [23-33]. Многие крупные западные исследовательские институты и коммерческие организации также безуспешно пытаются найти подходы к оценке эффективности СОВ [30, 32, 34-35], причем работы по данной тематике можно найти и в России [36]. Публикаций, посвященных развитию их принципов функционирования, как в России, так и на Западе фактически нет. Изредка только можно встретить пресс-релиз о выходе продукта, поддерживающего тот или иной способ обнаружения вторжений.

Таким образом, можно сделать вывод о недостаточной эффективности используемых в настоящее время СОВ, сложности и актуальности темы, обозначенной в заглавии работы. С большинством современных сетевых угроз можно было бы легко справиться, если бы существовала автоматизированная система обнаружения вторжений, динамически подстраивающая правила обнаружения вторжений под вновь обнаруживаемые уязвимости.

Целью данной работы является разработка методов и алгоритмов функционирования систем обнаружения вторжений на основе централизованного управления правилами защиты.

Объектом исследования являются системы обнаружения вторжений. Предметом исследования являются механизмы защиты информации, используемые в системах обнаружения вторжений.

В соответствии с поставленной целью диссертационной работе решаются следующие задачи:

1) анализ и систематизация существующих классификаций систем обнаружения вторжений, выявление недостатков традиционных СОВ;

2) сравнительный анализ ряда существующих распределенных систем и механизмов обеспечения безопасности, которые в них применяются;

3) построение модели защищенной распределенной системы;

4) разработка алгоритмов надежной двусторонней аутентификации участников информационного обмена в распределенной системе;

5) синтез распределенной СОВ;

6) разработка структуры, алгоритмического обеспечения, а также протоколов распределенной СОВ;

7) систематизация знаний в области оценки функциональных возможностей СОВ и предложение методики оценки распределенной СОВ.

Основными методами исследования, используемыми в работе, являются методы теории множеств, математической логики, криптографии, теории алгоритмов и исследования операций.

Научная новизна работы заключается в следующем:

1) с учетом принципов переносимости и способности к взаимодействию, характерных для открытых систем, разработана универсальная модель, позволяющая создавать защищенные распределенные системы, способные противостоять типичным угрозам удаленных вторжений;

2) введена расширенная классификация компонентов распределенной системы, явно разделяющая функциональные возможности серверов по их способности аутентифицировать и обрабатывать запросы пользователей;

3) разработан протокол двусторонней аутентификации участников информационного обмена с применением сертификатов посредников, обладающий масштабируемостью и гибкостью, сформулирована и доказана теорема о его свойствах с использованием аппарата математической логики;

4) на основе модели защищенной распределенной системы разработана концепция распределенной СОВ с агентом автоматического обновления, позволяющим получать актуальную информацию о последних уязвимостях ПО и АО;

5) с использованием существующих стандартов и рекомендаций разработаны алгоритмы и протоколы работы и формат файла обновлений распределенной СОВ, обеспечивающие оперативное реагирование на новые уязвимости ПО и АО.

Практическую ценность представляют протокол двусторонней аутентификации участников информационного взаимодействия на основе сертификатов посредников, учитывающий особенности работы в распределенной системе, алгоритмическое и протокольное обеспечение ее модели, предложенный подход к построению СОВ на базе модели распределенной системы, а также разработанные рекомендации' по наиболее рациональному использованию СОВ.

На защиту выносятся следующие основные результаты работы:

1) набор классификационных признаков, позволяющих производить расширенную классификацию компонент распределенной системы;

2) модель защищенной распределенной системы в предположении о возможности активного вмешательства нарушителя в процесс ее функционирования;

3) протокол двусторонней аутентификации абонентов на основе сертификатов посредников, обеспечивающий гибкость и масштабируемость распределенной системы;

4) концепция, структура и содержание алгоритмического обеспечения модели и определение возможностей ее применения к построению распределенной СОВ;

5) подход к оценке возможностей систем обнаружения вторжений на основе их архитектурных особенностей и логики работы.

Достоверность результатов подтверждается использованием в алгоритмическом обеспечении в качестве составных частей стандартных алгоритмов и протоколов, широко проверенных на практике, результатами опытных испытаний, а также математическими и логическими доказательствами основных утверждений, сформулированных в работе.

Использование результатов исследования. Основные результаты диссертационного исследования используются в работе сектора информационной безопасности отдела сетевых проектов и технологий ЗАО «Техносервъ А/С». Результаты диссертационной работы также внедрены в учебный процесс на факультете "Информационная безопасность" Московского инженерно-физического института (государственного университета) и в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности информации в вычислительных системах средних и крупных корпоративных структур.

Публикации и апробация работы.

По теме диссертации опубликована 2 Г печатная работа, в том числе 1 учебное пособие, 8 научных статей, 4 конспекта лекций, 7 тезисов доклада и 1 книга (в соавторстве). Результаты работы докладывались на общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2003 , 2004 и 2005 гг.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2005 г.), научно-практической конференции «Информационная безопасность - Юг России» (Таганрог, 2004 г.), а также на международных конференциях INC'04 (Великобритания, 2004 г.), EFIP 18 (Франция, 2004 г.) и ITA05 (Великобритания, 2005г.).

Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных сокращений, списка использованных источников, включающего 179 наименований, а также двух приложений. Текст диссертации изложен на 175 страницах, включая 32 рисунка и 7 таблиц.

4.5. Выводы

-можно реализовать СОВ как на базе традиционных программно-аппаратных компонентов, так и на базе перспективных программируемых логических устройств, которые позволяют уменьшить зависимость системы от объема анализируемого трафика, а следовательно, уменьшить количество ложных отрицательных срабатываний, что благоприятно сказывается на эксплуатационных характеристиках СОВ;

- особая структура ядра СОВ позволяет уменьшить зависимость нагрузки на систему от количества сигнатур в ее БД, что положительно сказывается на минимальных требованиях производительности и соответственно эксплуатационных характеристиках СОВ;

-более высокие эксплуатационные характеристики распределенной СОВ с агентом автоматического обновления по сравнению с традиционными сигнатурными сетевыми СОВ подтвердилось на испытательном стенде;

-особые варианты практического применения распределенной СОВ позволяют администраторам безопасности более полно контролировать соблюдение политики безопасности пользователями при доступе к внутренним и внешним ресурсам организации;

-сравнительный анализ известных подходов к оценке возможностей СОВ, сведенных в обобщенную методику оценки, где указывается зависимость критериев от свойств СОВ, позволил сделать вывод о более высоких эксплуатационных характеристиках предлагаемой распределенной СОВ по сравнению с доступными аналогами;

- классификация вторжений злоумышленников позволяет обосновать возможность выявления большинства существующих нарушений политик безопасности традиционными сигнатурными методами.

Заключение

Основным результатом диссертационной работы является разработка модели, методов и алгоритмов функционирования распределённой СОВ на основе централизованного управления правилами защиты.

В соответствии с поставленной целью в диссертации получены следующие результаты:

1. Проанализированы современные подходы к обеспечению безопасности информационных систем, а также виды современных распределенных систем и методы обнаружения вторжений, выявлены их достоинства и недостатки.

2. Предложена модель защищенной распределенной системы, в рамках которой вводится расширенная классификация компонентов, составляется модель нарушителя, разрабатываются и описываются алгоритмы и протоколы безопасного взаимодействия. Приводится сценарий использования модели, на котором демонстрируется применение изложенных алгоритмов и протоколов, а также решаются вопросы обеспечения доступности сервисов в распределенной сети.

3. Для модели защищенной распределенной системы доказана теорема о свойствах разработанного протокола двусторонней аутентификации с применением сертификатов посредников для клиентов, для чего используется аппарат BAN-логики.

4. На основе модели защищенной распределенной системы предложена распределенная СОВ, которая позволяет избавиться от недостатков традиционных систем и противостоять современным угрозам. Описаны компоненты СОВ, разработаны алгоритмы и протоколы работы системы. Даны рекомендации по реализации сервисов защиты.

5. С использованием существующих стандартов и рекомендаций разработан формат файла обновлений, который применим для модификации процесса обнаружения вторжений в распределенной СОВ и оперативного реагирования на новые уязвимости. Приведен пример использования файла обновлений.

6. Предложены качественный и количественный подходы к оценке функциональных возможностей СОВ. На основе результатов их применения сделан вывод о более высоких эксплуатационных характеристиках предлагаемой распределенной СОВ по сравнению с существующими аналогами.

7. Спроектирован и реализован экспериментальный стенд, который подтвердил более высокие эксплуатационные характеристики предложенной распределенной СОВ по сравнению с традиционными сигнатурными сетевыми СОВ.

8. Приведены рекомендации по реализации ядра СОВ, позволяющие уменьшить зависимость производительности СОВ от полноты БД признаков вторжений, а также указаны возможные варианты практического применения распределенной СОВ.

Разработанная модель защищенной распределенной системы является обобщенной и может использоваться в любых областях, где требуется обеспечить взаимодействие физически или логически распределенных субъектов, гарантированно сохраняя при этом аутентичность, конфиденциальность и целостность сеансов связи. Она применима для открытых и закрытых систем и сетей связи, обрабатывающих конфиденциальную информацию негосударственного сектора. Единственным требованием модели является использование стандартных алгоритмов и протоколов взаимодействия, что согласуется с принципами построения открытых систем.

Разработанная на базе общей модели распределенная СОВ применима в любых локальный и глобальных сетях, использующих в качестве основы для передачи информации стек протоколов TCP/IP. Для нее характерны традиционные ограничения сетевых СОВ, проявляющиеся при анализе подозрительных событий в коммутируемых сетях. Однако, как было отмечено в соответствующей главе, эти ограничения не являются существенными в виду наличия специализированных «разветвителей» (tap). СОВ рекомендуется использовать в составе комплексов сетевой защиты конфиденциальной информации негосударственного сектора.

В качестве дальнейшего развития работы можно назвать полную практическую реализацию модулей подсистемы защиты распределенной СОВ, более глубокое изучение методов оценки эффективности СОВ и разработку на их базе обобщенной методики, позволяющей аналитически, а не экспериментально, определять ключевые характеристики оцениваемых систем, а также применение разработанной модели защищенной распределенной системы к другим областям знания (например, при создании сложных географически распределенных автоматизированных систем, предоставляющих динамический набор сервисов своим пользователям).

Список используемых сокращений

АО аутентификатор

БД

Интранет

ИОК

НСД

ОС

ПО посредник

СВА

СВЗ

СОВ

ССОВ

ССР

СУБД

ЦП

УСОВ

AAA

ACL

AD-IDS

СА

DCOM DNS

DoS-атака

FQDN

Grid

GSI

HA

HIDS

HPC

IDS

MD-IDS

NIDS

PK3

RBAC

RMON

ROC

SLA

SNMP

SOAP аппаратное обеспечение специальным образом сформированный блок данных, подтверждающий полномочия пользователя на работу с информационной системой база данных

Интрасеть (внутренняя сеть) организации инфраструктура открытых ключей несанкционированный доступ операционная система программное обеспечение абстрактная сущность, чаще всего какая-то прикладная программа пользователя, представленная аутентификатором, от имени которой исходят запросы на доступ к ресурсам системы.

Используется в технологии SSO (также называется прокси, рюху) система выявления аномалий система выявления злоупотреблений система обнаружения вторжений сетевая система обнаружения вторжений сервер списка ресурсов система управления базами данных центральный процессор узловая система обнаружения вторжений технология, объединяющая в себе методы аутентификации, авторизации и учета список контроля доступа система выявления аномалий (разновидность NIDS) удостоверяющий центр

Распределенная модель объектных компонентов система доменных имен атака типа «отказ в обслуживании» (Denial of Service) полностью квалифицированное доменное имя технология организации распределенных вычислений инфраструктура безопасности для Grid отказоустойчивый (кластер) система обнаружения вторжений для узлов (узловая IDS) высокопроизводительный кластер система обнаружения вторжений система выявления злоупотреблений (разновидность NIDS) система обнаружения вторжений для сетей (сетевая IDS) инфраструктура открытых ключей (Public Key Infrastructure) контроль доступа на основе ролей протокол удаленного мониторинга рабочая характеристика анализатора, описывающая зависимость вероятности обнаружения от вероятности ложного срабатывания сенсора системы обнаружения вторжений соглашение о качестве обслуживания простой протокол управления сетью простой протокол доступа к объектам sso

UDDI

VPN

Web-сервис

WSDL WWW XML технология однократной регистрации и последующего доступа пользователя к ресурсам заданной вычислительной среды без необходимости повторного прохождения процедуры подтверждения своей личности спецификация протокола описания, поиска и интеграции Web-сервисов с использованием универсальной поисковой базы данных с информацией об объектах виртуальная частная сеть (способ безопасного обмена информацией через открытые сети) некоторый функционал (одна функция или набор функций), как правило, предоставляемый организацией-владельцем посредством Интернет-соединения для обеспечения возможности доступа к нему другим компаниям или обычным пользователям язык описания Web-сервисов всемирная паутина», один из сервисов глобальной сети Интернет расширяемый язык разметки (документов) т

1. Безопасность и контроль. / В сб. материалов компании «Евроменеджмент». http://www.emd.ru/iit/defencecontr/

2. Computer Security Institute. CSI/FBI2003 Computer Crime and Security Survey. 2003.

3. Сайтарлы Т. Компьютерная преступность статистика ФБР за 2004 год. Computer Crime Research Center. 2004.

4. Гостехкомиссия России. Каталог (глоссарий терминов по безопасности информации). 2002.http ://downlo ad.kompas .kolomna.ru/public/Docum ents/slo var/termins .htm

5. FAQ: Network Intrusion Detection Systems. Windows Security. http://www.secinf.net/intrusion detection/FAQ Network Intrusion Detection Systemshtml

6. Лукацкий А. В. Адаптивная безопасность сети. НИП «Информзащита». 2001.

7. Лукацкий А. В. Адаптивное управление защитой. // Сети. 1999. - №10.

8. Лукацкий А. В. Мир атак разнообразен. // Сетевой. — 2001. — №11.

9. Лукацкий А. В. Новые подходы к обеспечению информационной безопасности сети. 2002.

10. Howell D. Hackers often choose their corporate targets. // Investors Business Daily. — January 30,2002.

11. Зотова Т. Сплоченная команда профессионалов главный гарант ИТ-безопасности. // Сетевой. — 2004. — №5.

12. Карр Д. Чужой среди своих. // Сетевые решения/ LAN. — 2002. — №10.

13. Schwartz М. New Technology Combats Zero-Day Attacks. August 2004.

14. Игнатьев В. Очередная веская причина задуматься о переходе с ОС Windows на альтернативу. // Системный администратор. 2003. - №9(10).

15. Польская исследовательская группа «Last Stage of Delirium», http://www.lsd-pl.net.

16. Китайская исследовательская группа «Xfocus». http://www.xfocus.org.

17. Касперски К. Жизненный цикл червей. // Системный администратор. 2004. -№2(15).

18. Уэллс Б. Сценарии на случай кризиса. // Windows & .NET MAGAZINE/RE. -2003. -№10.

19. CERT Coordination Center, http://www.cert.org/.

20. Исследование обнаружило в Linux мало ошибок. / В сб. материалов InfoSecurity.ru, 14 декабря 2004.

21. Конри-Мюррей Э. Истребляя «паразитов». // Сетевые решения/LAN. 2002. -№1.

22. Intrusion. Network Security Solutions, http://www.intrusion.com. '

23. Radware. Application Security and Application Acceleration, http://www.radware.ru.

24. Crosbie M. Automated Intrusion and Misuse Detection: A Guide to Understanding the Technology and Evaluating Your Needs. May 1999.

25. The Science of Intrusion Detection System Attack Identification. / В сб. материалов компании Cisco Systems (White paper). 2003.

26. Hollander Y., Agostini R. Stop Hacker Attacks at the OS Level. // Internet Security Advisor Magazine. September/October 2000.

27. Network- vs. Host-based Intrusion Detection. A Guide to Intrusion Detection Technology. / В сб. материалов компании Internet Security Systems Inc. 1998.

28. The evolution of intrusion detection technology. / В сб. материалов Internet Security Systems Inc. 2001.

29. Evaluating an Intrusion Detection Solution. A Strategy for a Successful IDS Evaluation. / В сб. материалов компании Internet Security Systems Inc. August, 2000.

30. Behavior-Based IDS: Overview and Deployment Methodology. / В сб. материалов компании Lancope Inc. 2003.

31. Defining Next-Generation Network IDS: Top Ten Technical Requirements. / В сб. материалов компании McAfee Security (White paper). September 2003.

32. Lindstorm P. Understanding Intrusion Prevention. A Spire Research Report. October 2003.

33. Ulvila J., Gaffney J. Evaluation of Intrusion Detection Systems. // Journal of Research of the National Institute of Standards and Technology. — 2003. — № 6.

34. Mell P., Ни V., Lippmann R., Haines J., Zissman M. An Overview of Issues in Testing Intrusion Detection Systems. / В сб. материалов National Institute of Standards and Technology. July 2003.

35. Андриянов B.B., Зефиров C.JI., Трошин A.M. Выбор критериев оценки эффективности обнаружения вторжений в информационно-телекоммуникационых системах. / В сб. трудов НТК «Безопасность информационных технологий». Пенза: ПНИЭИ. 2001.

36. Аудит и мониторинг сети. Адаптивное управление безопасностью. / В сб. материалов компании Ланит, http://www.isecuritv.ru/technologies/audit.php.

37. Шиффман М. Защита от хакеров. Анализ 20 сценариев взлома. М.: Вильяме, 2002. -304 с.

38. Милославская Н. Г. Безопасность в Intranet-сетях. / В сб. материалов курсов переподготовки специалистов ЦБ РФ и СБ РФ. 2001.

39. Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети. НИП «Информзащита», июнь 2000.

40. Советский энциклопедический словарь. Издание второе. Главный редактор А.М.Прохоров. М.: Советская энциклопедия. 1982.

41. Yankee Group, http://www.yankeegroup.com/.

42. Лукацкий А.В. Адаптивная безопасность: дань моде или осознанная необходимость? НИП «Информзащита», 2001.

43. Драница А. Сторожевой пес. / В сб. материалов проекта InfoSecurity.ru.

44. Васе R. Introduction to Intrusion Detection and Assessment. Infidel Inc. 1999.

45. ГОСТ P 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. 1999.

46. Покровский П. Развертывание системы обнаружения вторжений. / В сб. материалов проекта InfoSecvirity.ru.

47. Блэк У. Интернет: протоколы безопасности. Учебный курс. Питер. 2001. 288с.

48. Колесников О., Хетч Б. Linux. Создание виртуальных частных сетей (VPN). КУДИЦ-Образ. 2004. 464 с.

49. Запечников С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей. Горячая Линия Телеком. 2003. - 249 с.

50. Spangler R. Packet Sniffer Detection with AntiSnifF. University of Wisconsin -Whitewater, Department of Computer and Network Administration, May 2003.

51. Милославская Н.Г., Ушаков Д.В. Мониторинг безопасности в сетях. Серия «Учебная книга факультета «Информационная безопасность» МИФИ». Выпуск 6 / Под ред. к.т.н. Малюка А.А., Конспект лекций. — М.: МИФИ, 2004. 142 с.

52. Graham R. Sniffing (network wiretap, sniffer) FAQ. September 14,2000. http://www.robertgraham .com/pubs/sniffing-faq.html.

53. Компания Network Critical, http://www.criticaltap.com/.

54. Secure IDS Taps. / В материалах компании Intrusion Inc. http://www.intrusion.com/products/taps.asp.

55. Олифер Н.А., Олифер В.Г., Храмцов П.Б., Артемьев В.И., Кузнецов С.Д. Стратегическое планирование сетей масштаба предприятия. Центр Информационных Технологий. 1997.

56. Милославская Н. Г., Толстой А. И. Интрасети: доступ в Internet, защита. Учебное пособие для вузов. М.: ЮНИТИ-ДАНА, 2000. - 527 с.

57. Tulloch М. Microsoft Encyclopedia of Security. Microsoft Press, 2003. 416 c.

58. RealSecure Network Gigabit Sensor.http://www.iss.net/products services/enterprise protection/rsnetwork/gigabitsensor.php

59. Enterasys Dragon Network Sensor. http://www.enterasys.com/products/ids/DSNSA-xxxx-xX/.

60. McAfee IntruShield 4000. http://www.mcafeesecurity.com/us/products/mcafee/network ips/4000.htm.

61. Intrusion SecureNet Sensors, http://www.intrusion.com/products/snsensors-specs.asp.

62. Cisco IDS 4200 Series Sensors. http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod models home.html.

63. Cisco IDS host sensors. Product Bulletin 2108. Addendum to End-of-Sale and End-of-Life Announcement for the Cisco IDS Host Sensor and Console Product Line.

64. Карве А. Обнаружение атак как средство контроля за защитой сети. / В сб. материалов проекта HackZone. http://www.hackzone.ru.66. RealSecure Server Sensor.http://www.iss.net/products services/enterprise protection/rsserver/protector server.ph E

65. Chuvakin A. 5 IDS mistakes that companies make. // Computerworld. 26 February, 2003.

66. Жульков E. Поиск уязвимостей в современных системах IDS // Открытые системы. 2003. - №7-8.

67. Ptacek Т., Newsham Т. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Networks Inc. January, 1998.

68. Райен Д., Менг-Янг JI., Ристо М. Обнаружение атак с помощью нейросетей. Перевод Лукацкого А.В. и Цаплева Ю.Ю.

69. Маркус Р. Обнаружение атак: реальность и мифы. / В сб. материалов проекта Bugtraq. http://www.bugtraq.ru.

70. Longman dictionary of contemporary English. Special edition. Longman, 1992.

71. Cisco intrusion detection system solution Efficient Intrusion Protection. http://www.cisco.com/en/US/netsol/ns339/ns395/ns360/ns365/ns370/networking soluti ons sub solutionhome.html.

72. The Open Source Network Intrusion Detection System Snort, http://www.snort.org.

73. Орлов С. Искусство объединения. // Сетевые решения/LAN. — 2003. №9.

74. Орлов С. Кластеры на пробу. // Сетевые решения/LAN. — 2003. №9.

75. Воган-Николс С. Операционные системы для распределенных вычислений. // Открытые системы. 2003. - №1.

76. Черняк Л. Grid как будущее компьютинга. // Открытые системы. — 2003. — №1.

77. Дубова Н. Учет и контроль для «коммунальных вычислений». // Открытые системы. 2003. - №1.

78. Анни П. Этот Grid — неспроста. // Открытые системы. — 2003. №1.

79. Черняк Л. Под знаком Grid. // Computerworld. 2003. - №3 5.

80. Хэмблен М. Grid на горизонте. // Computerworld. 2003. - №35.

81. Мец К. Мощные вычислительные массивы. // PC Magazine/RE. 2003. — №1.

82. Дубова Н, Utility computing сквозь призму управления данными. // Открытые системы. 2004. - №3.

83. Орлов С. Считающие вместе. // Сетевые решения/LAN. — 2004. — №3.

84. Черняк Л. Эти разные тонкие клиенты. // Открытые системы. — 2004. №4.

85. Скэннел Э., Салливан Т. Utility computing в 2004 году. // Computerworld. — 2004. -№7.

86. Ганьжа Д. Ни секунды простоя. // Сетевые решения/LAN. 2004. - №5.

87. Таненбаум Э., Ван Стеен М. Распределенные системы. Принципы и парадигмы. СПб.: Питер, 2003. 877 с.

88. Михайленко К. Параллельный стиль. / В сб. материалов проекта AltLinux. http://www.altlinux.ru/index.php?module=articles&action~show&artid=13.

89. Ушаков Д. Перспективные технологии для выполнения сложных вычислений. // Безопасность информационных технологий. 2004. - №2.

90. Ушаков Д. Сравнение способов решения вычислительно сложных задач. / С сб. трудов шестой международной научно-практической конференции «Информационная безопасность», Россия, Таганрог, 1-7 июля 2004.

91. Jose D., Ni L., Yalmanchili S. Interconnection Networks: an engineering approach. IEEE Press, 1999.-518c.

92. Грин Д. Серверы высокой производительности. // Windows & .NET Magazine/RE. -2003.-№11

93. RFC3577. Introduction to the Remote Monitoring (RMON) Family of MIB Modules. August, 2003.

94. Foster I. What is the Grid? A Three Point Checklist. Argonne National Laboratory & University of Chicago. July 20,2002.

95. The Globus Alliance, www.globus.org.

96. Gnutella community, www.gnute11a.com.

97. United Devices, Grid MP Solutions, www.ud.com/solutions.

98. The Globus Alliance testbeds & production projects. http://www.globus.org/research/testbeds.html.

99. Гаврилова E. Grid-сеть. // Инженер-физик. 2004. -№1-3.

100. Butler R., Welch V., Engert D., Foster I., Tuecke S., Volmer J., Kesselman С. A National Scale Authentication Infrastructure. IEEE Design&Test of computers, December 2000.

101. Черняк JI. Сорок лет спустя, или реинкарнация одной модели компьютерного/ бизнеса. // Открытые системы. — 2004. №2.

102. The Globus Toolkit, http://www-unix.globus.org/toolkit/.

103. Kirtland M. Designing Component-Based Applications. Microsoft Press, 1998.

104. Common Object Request Broker Architecture. Getting Started with OMG specifications and Process, http://www.omg.org/gettingstarted/.107.0pen Grid Services Architecture, http://www.globus.org/ogsa/.

105. Prosise J. Programming Microsoft .NET. Microsoft Press, 2002.

106. RFC 2616. Hypertext Transfer Protocol-HTTP/1.1. June 1999.1.lO.Simple Object Access Protocol. http://www.w3.org/TR/soap/.1. l.Web Services Description Language version 1.1, W3C Note, 15 March 2001.

107. Extensible Markup Language, http://www.w3.org/XML/.

108. Kuhn R. The POSIX Open System Environment. October 1994.

109. UDDI Technical White Paper. September 6, 2000.

110. Галактионов В. Sun ONE и Microsoft .NET в борьбе за Web-службы. // Мир ПК. — 2003.-№10.

111. Grid Security Infrastructure, http:// www-unix. globus .or g/securit у/.

112. Vandenwauver M., Govaerts R., Vanderwalle J. Overview of Authentication Protocols. 1999.

113. Ushakov D. Distributed authentication systems. Essay Presented to The University of the Aegean. IPICS'02. September 2002.

114. Mats P., Ulf L. Kerberos and SESAME. September 6, 1999.

115. Netscape. The SSL Protocol. Version 3. November 1996.

116. Конри-Мюррей Э. Основные компоненты инфраструктуры с открытыми ключами. // Сетевые решения/LAN. — 2002. — №1.

117. Armstrong S. Security. Chapter 8. East Texas Data Service. May 2001.

118. Инфраструктура открытых ключей. / В сб. материалов компании ООО Валидата. Август 2004.

119. Burrows М., Abadi М., Needham R. A Logic of Authentication. // DEC System Research Center Report. —1989. №39.

120. Mills D. Network Time Protocol (Version 3) Specification, Implementation and Analysis. March 1992.

121. NIST CSL Bulletin on RBAC. An Introduction to Role-Based Access Control. December 1995. http://csrc.nist.gov/rbac/.

122. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.

123. ITU-T. Recommendation Х.509. The Directory authentication framework. ITU, 1988.

124. The Open Group Architectural Framework Version 7, PART III: Foundation Architecture. Technical Reference Model-High Level Breakdown. Published in December 2001. http://www.opengroup.org/architecture/togaf7-doc/arch/.

125. Gong L., Needham R., Yahalom R. Reasoning about Belief in Cryptographic Protocols. Proceedings of the IEEE 1990 Symposium on Security and Privacy, Oakland, California. May, 1990.

126. Miloslavskaya N.G., Ushakov D.V. Introducing distributed computing into everyday life. Proceedings of the 4th International Network Conference. Network Research Group, University of Plymouth, 2004.

127. Милославская H. Г., Толстой А. И. Интрасети: обнаружение вторжений. Учебное пособие для вузов. М.: ЮНИТИ-ДАНА, 2001 587 с.

128. RFC 3376. Internet Group Management Protocol, Version 3.

129. Arkills B. LDAP Directories Explained: An Introduction and Analysis. Addison Wesley. February 21, 2003.

130. Лукацкий А. В. Как работает сканер безопасности?. / В сб. материалов проекта BugTraq.ru, 2002.

131. Информация об уязвимостях. http://www.securitvfocus.org, http://www.bugtraq.ru.

132. Learn the Planet: Glossary. Push technology (Pull technology). http://www.learnthenet.com/english/gIossary/.

133. Ушаков Д.В. Основы сетевых технологий. Общие сведения о стеке протоколов TCP/IP. Серия «Учебная книга факультета "Информационная безопасность" МИФИ». Выпуск 2 / Под ред. доц., к.т.н. Малюка А.А. Конспект лекций. М.: МИФИ, 2004. - 39 с.

134. Open Source Snort Rules Consortium Charter. April, 2005.

135. Open Source Snort Rules Consortium. Operating Plan. April, 2005.

136. WorldSpy Computer Dictionary white hat hacker. http://www.wordspy.com/words/whitehathacker.asp.

137. SearchSecurity Definitions black hat.http://searchsecurity.techtarget.com/sDefiiiition/Q„sidl4 gci550815.00.html.

138. Gerald R., Patterson I. The Diary Of A Black Hat Hacker. GIAC Certified Incident Handler Candidate. April 2002.

139. Webopedia Computer Dictionary script kiddie. http://www.webopedia.eom/TERM/S/scriptkiddie.html.

140. Parker Т., Pinkas D. SESAME Technology Version 4 Overview. December 1995.

141. Ashley P. Authorization For A Large Heterogeneous Multi-Domain System. Information Security Research Centre, Queensland University of Technology, 1999.

142. ITU-T. Recommendation X.509. The Directory: Public-key and attribute certificate frameworks. Approved March 2000.

143. Pernul G. Database Security: Scope, State-of-the-Art, and Evaluation of Techniques. Proceedings of the IPICS'03 Conference. Department of Information Systems, University of Essen, 2003.

144. Keahey K., Welch V. Fine-Grain Authorization for Resource Management in the Grid Environment. August 2002.

145. Keahey K., Welch V., Lang S., Lui В., Meder S. Fine-Grain Authorization Policies in the GRID: Design and Implementation. April 2003.

146. Humphrey M., Knabe F., Ferrari A., Grimshaw A. Accountability and Control of Process Creation in the Legion Metasystem.

147. Селезнев Д. Role Based Access Control в Solaris 9. // Системный администратор. -2004. -№5(18).

148. Яремчук С. Rule Set Based Access Control для Linux. // Системный администратор. -2004. -№1(14).

149. Cisco IOS Security Configuration Guide: AAA Overview. / В сб. материалов компании Cisco Systems, 2003.

150. MonitorWare. Glossary. Syslog Facility. http://www.monitorware.com/Common/en/glossary/Svslog-Facilitv.php.

151. Дейт К. Введение в системы баз данных. 6-е издание. Киев: Диалектика, 1998. — 784 с.

152. Грязнов Е., Панасенко С. Безопасность локальных сетей. // Мир и безопасность. — 2003.-№2.

153. Cisco IOS Security Configuration Guide: Configuring IPSec Network Security. / В сб. материалов компании Cisco Systems, 2003.

154. RFC 2246. The TLS Protocol Version 1.0. January 1999.

155. Cisco IOS Security Configuration Guide: Configuring Internet Key Exchange Security Protocol. / В сб. материалов компании Cisco Systems, 2003.

156. Doraswamy N., Harkins D. IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks. Prentice Hall PTR, 2003.

157. IETF IP Version 6 Working Group. IP Version 6 (IPv6). http://plavground.sun.com/pub/ipng/html/ipng-rnain.html.1 бб.Байрак А. Зеркалирование информации. // Системный администратор.—2004.—№5(18).

158. Бойс Д. Развертывание приложений с помощью Group Policy. // Windows & .NET Magazine. 2004. — №3.

159. Kaijser P., Parker Т., Pinkas D. SESAME: The Solution To Security for Open Distributed Systems. // Computer Communications. 1994. — №17(7).

160. Dunsmore В., Brown J., Cross M. Mission Critical Internet Security. Syngress Publishing, 2001.-529 c.

161. W3C XML Schema, http://www.w3.org/XML/Schema.

162. The Extensible Stylesheet Language Family (XSL). http://www.w3.org/Stvle/XSL/.

163. Debar H., Curry D., Feinstein B. The Intrusion Detection Message Exchange Format. IETF IDWG Internet-Draft. July 2004.

164. Open Vulnerability Assessment Language. XML Schema. June 2004. http://oval.mitre.org/.

165. Next Generation Intrusion Detection System. // В сб. материалов компании McAfee Security (White paper). November 2003.

166. Хетагуров Я.А. Основы проектирования управляющих вычислительных систем. М.: Радио и связь, 1991. 288с.

167. Чернов В.П., Ивановский В.Б. Теория массового обслуживания. Учебное пособие. М.: Инфра-М. 2000.

168. Вентцель Е.С. Исследование операций. Задачи, принципы, методология. Учебное пособие для студентов ВТУЗов. 2-е издание. М.: Высшая школа, 2001. — 208с.