III Международная студенческая научная конференция Студенческий научный форум - 2011

Каждая ИС должна иметь механизмы защиты своих объектов от несанкционированного доступа, проникновения.

Обнаружение проникновения является частью процесса мониторинга событий, происходящих в компьютерной системе (или сети), и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. Системы обнаружения проникновений (СОП) являются программными (или аппаратными) средствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в системе, с целью обнаружения проникновений.

Целью данной работы является разработка средства обнаружения проникновения, позволяющего блокировать и предотвращать эти проникновения и работающего в различных условиях. Под различными условиями понимаются

1. Различные операционные системы

2. Различные аппаратные конфигурации

3. Различные требования пользователей (о параметрах функционирования, о степени защиты, о действиях в случае того или иного события)

Для достижения этого необходимо:

1. Описать математическую модель системы.

2. Разработать архитектуру приложения.

3. Разработать методы функционирования данной СОП.

4. Разработать средства адаптации системы

Модель системы

Для начала опишем систему, используя модель системы безопасности с полным перекрытием. Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя на ИС. Определим каждую область, требующую защиты, оценим средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе.

Введем следующие понятия:

- множество угроз безопасности.

- множество объектов (ресурсов) защищенной системы.

С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту. Потенциальные злоумышленные действия по отношению ко всем объектам  формируют набор угроз информационной безопасности .

Множество отношений "объект-угроза" образуют двухдольный граф (рис. 1), в котором ребро существует тогда и только тогда, когда  является средством получения доступа к объекту . Следует отметить, что связь между угрозами и объектами не является связью типа "один к одному" - угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны более чем одной угрозы. Цель защиты состоит в том, чтобы "перекрыть" каждое ребро данного графа и воздвигнуть барьер для доступа по этому пути.

Завершает модель третий набор, описывающий средства обеспечения безопасности - множество механизмов безопасности, которые используются для защиты информации в ИС. В идеальном случае, каждое средство должно устранять некоторое ребро . В действительности,  выполняет функцию "барьера", обеспечивая некоторую степень сопротивления попыткам проникновения. Это сопротивление - основная характеристика, присущая всем элементам набора .

В защищенной системе все ребра представляются в форме и . Любое ребро в форме определяет незащищенный объект. Следует отметить, что одно и то же средство обеспечения безопасности может противостоять реализации более чем одной угрозы и (или) защищать более одного объекта. Отсутствие ребра  не гарантирует полного обеспечения безопасности (хотя наличие такого ребра дает потенциальную возможность несанкционированного доступа за исключением случая, когда вероятность появления  равна нулю).

В данной конкретной системе множество  - это множество компьютеров, на каждый из которых устанавливается система защиты. Конкретные характеристики компьютерной системы (аппаратное и программное обеспечение), в определенной мере, неизвестны и первое из необходимых средств адаптации - это адаптация к ним. СОП, в зависимости от ОС, выбирает способ взаимодействия с ней. При необходимости решение может быть изменено оператором (специальным пользователем, имеющим права настраивать систему защиты).

Множество  - средства противодействия проникновениям (подробнее об это ниже)

1. Средства противодействия конкретным угрозам безопасности.

2. Средства противодействия неизвестным заранее угрозам (адаптивная часть системы защиты).

Множество  - проникновения, описываемые формулой:  

1. множество изменений в ФС.

2. множество изменений в реестре.

3. множество изменений в ОП.

Система анализирует события, происходящие в ОС, классифицирует их и, при обнаружении проникновений, принимает различные действия.

Непосредственно с ОС взаимодействует специальная часть программы - модуль мониторинга. Он отслеживает события, происходящие в ОС, и передает информацию анализатору событий. Какие именно события отслеживает модуль - указывается рядом продукционных правил, которые может настраивать оператор.

Непосредственно с ОС взаимодействует специальная часть программы - модуль мониторинга. Он отслеживает события, происходящие в ОС, и передает информацию анализатору событий. Какие именно события отслеживает модуль - указывается рядом продукционных правил, которые может настраивать оператор.

Код для цитирования: Скопировать