Ім'я файлу: курсова.docx
Розширення: docx
Розмір: 658кб.
Дата: 19.12.2020
скачати
Пов'язані файли:
харченко диплом.docx

MIHICTEPCTBO ОСВІТИ i НАУКИ УКРАЇНИ ,

НАВЧАЛЬНО-НАУКОВИЙ ІНСТИТУТ ЕЛЕКТРОННИХ ТА ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Кафедра кібербезпеки та математичного моделювання

Богдановський Ігор Петрович
КУPCOBA РОБОТА

з дисципліни: “Прогнозування та моделювання ”

на тему : «Система запобігання та вивлення вторгнень»

Kypc 3 Група Кб 181

Науковий керівник:

Ткач.Ю.Н






Робота подана на кафедру Робота допущена до захисту Робота захищена з

____Науковий керівник оцінкою_________

«__»_______20__р «__»_______20__р «__»_______20__р
______Голова комісії

_____Член комісії

Чернігів 2020 р.

Зміст


Вступ 2

1. Системи виявлення та запобігання вторгеннь 5

1.1 Введення 5

1.2 Різниця між СВВ та СЗВ 6

1.3 Класифікація СЗВ 7

1.4 Обмеження СВВ та СЗВ 8

Висновок до розділу 1 9

2.Аналіз системи 10

2.1 Модель типу «чорний ящик» 10

2.2 Модель типу «білий ящик 11

2.3 Можливі методи обходу IPS-IDS 12

Висновок до розділу 2 14

3. Вибір найкращої моделі 15

3.1 Формулювання критеріїв вибору рішення 15

3.2 Експертна оцінка переваг та побудова матриць переваг 16

ВИСНОВКИ 20

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 22


Вступ


У сучасному світі інформація є найціннішим глобальним ресурсом. Економічний потенціал суспільства переважно визначається обсягом інформаційних ресурсів та рівнем розвитку інформаційної інфраструктури. Інформація постійно ускладнюється, змінюється якісно, зростає кількість її джерел і споживачів. Водночас зростає уразливість сучасного інформаційного суспільства від недостовірної (а іноді і шкідливої) інформації, її несвоєчасне надходження, промислового шпигунства, комп’ютерної злочинності тощо.

Інформаці́йна безпе́ка — це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, використання й розвиток в інтересах громадян або комплекс заходів, спрямованих на забезпечення захищеності інформації особи, суспільства і держави від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»)[1]

Інформаційна безпека держави характеризується ступенем захищеності і, отже, стійкістю основних сфер життєдіяльності (економіки, науки, техносфери, сфери управління, військової справи, суспільної свідомості і т. д.) стосовно небезпечних (дестабілізаційних, деструктивних, суперечних інтересам країни тощо), інформаційним впливам, причому як до впровадження, так і до вилучення інформації.

Поняття інформаційної безпеки не обмежується безпекою технічних інформаційних систем чи безпекою інформації у чисельному чи електронному вигляді, а стосується усіх аспектів захисту даних чи інформації незалежно від форми, у якій вони перебувають.

Для своєї курсової роботи я обрав тему «Система запобігання вторгнень»,

яка в наш час інформаційних технологій є максимально актуальною.

Система запобігання вторгнень(IPS) - це одна з форм захисту мережі, яка працює для виявлення та запобігання виявленим загрозам. Системи запобігання проникненню постійно контролюють вашу мережу, шукаючи можливі шкідливі випадки та збираючи інформацію про них. IPS повідомляє про ці події системним адміністраторам і вживає профілактичних заходів, таких як закриття точок доступу та налаштування брандмауерів для запобігання майбутнім атакам. Рішення IPS також можуть бути використані для виявлення проблем із політикою корпоративної безпеки, стримуючи співробітників та гостей мережі від порушення правил, що містяться в цих політиках.[1]

Оскільки в типовій діловій мережі присутня так багато точок доступу, важливо мати можливість контролювати наявність ознак потенційних порушень, інцидентів та безпосередніх загроз. Сучасні мережеві загрози стають все більш досконалими і здатними проникати навіть у найнадійніші рішення безпеки


1. Системи виявлення та запобігання вторгеннь

1.1 Введення


Система виявлення вторгнень (СВВ) - програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу до комп'ютерної системи чи мережі або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін – Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий рівень захисту комп'ютерних систем.[2]

Система запобігання вторгнень (англ. Intrusion Prevention System, IPS)

- програмна або апаратна система мережевої та комп'ютерної безпеки, що виявляє вторгнення або порушення безпеки і автоматично захищає від них. Системи IPS можна розглядати як розширення Систем виявлення вторгнень (IDS), так як завдання відстеження атак залишається однаковою. Однак, вони відрізняються в тому, що IPS повинна відстежувати активність в реальному часі і швидко реалізовувати дії щодо запобігання атак.[2]

Різниця в поведінці СВВ/СЗВ систем та фаєрвола

Хоча і СВВ/СЗВ, і фаєрвол відносяться до засобів забезпечення інформаційної безпеки, фаєрвол відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відстежує вторгнення, що відбуваються всередині мережі. СВВ/СЗВ, навпаки, пропускають трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності (Рисунок 1.2). Зазвичай поєднують ці дві системи в наступному порядку зовнішня

(незахищена) мережа, фаєрвол, СВВ/СЗВ, внутрішня мережа.




Рис 1.2 – Поєднання СВВ/СЗВ систем та фаєрвола

1.2 Різниця між СВВ та СЗВ


СЗВ (Intrusion prevention systems (IPS) (англ.)) - можна розглядати як розширення Систем виявлення вторгнень (IDS), які відстежують потенційні атаки в реальному часі і швидко виконують дії щодо запобігання атак. Тобто, Система виявлення вторгнень (IDS - Intrusion Detection System (англ.)), її ще називають пасивною системою, при виявленні порушення безпеки, інформація про це порушення записується в лог додатку, а також сигнали небезпеки відправляються на консоль і / або адміністратору системи по певному каналу зв'язку. В активній системі, також відомої як Система Запобігання Вторгнень (Рисунок 1.3)

(IPS - Intrusion Prevention System (англ.)), будуть виконані відповідні дії на порушення, спрямовані для його припинення, наприклад:

- відключення з'єднання;

- налаштування міжмережевого екрану для блокування трафіку від

зловмисника;

- блокування IP адрес;

- блокування акаунтів користувачів від яких надходить потенційно

небезпечна активність;

- відновлення лог файлів у випадку їх видалення;

- знищення процесів;

- запуск процесів;

- відключення систем;

- запис інформації про потенційну атаку і виконані дії для її

припинення.

Як видно з цього списку, СЗВ мають широкий ‘арсенал’ дій та гарантують певний рівень захисту. Проте вони є лише одним зі складових елементів захисту мережі, та мають ряд дій які вони не можуть виконувати:

- запобігти копіювання документів на зовнішні носії;

- змінювати права доступу користувачів;

- контролювати оновленням програмного забезпечення.



Рис 1.3 – Різниця в поведінці IDS та IPS систем

1.3 Класифікація СЗВ



- Мережевого рівня – аналогічно для СВВ, переглядає весь трафік що проходить через мережу та веде пошук потенційних атак, також перевіряє пакети на виконання умов протоколів;

- Рівень бездротової мережі – схоже на попередній пункт, але в цей раз нагляд відбувається за безпровідною мережею;

- Аналіз поведінки мережі – перевіряє мережу на наявність трафіку який не є звичним для даної мережі, наприклад надто сильний трафік може вказувати на DDos (distributed denial of service) атаку;

- Рівень хоста – слідкує за трафіком що проходить через окремий хост, може працювати в купі з мережевою СЗВ для додаткової надійності.

Способи виявлення загроз співпадають зі способами використаними в

СВВ, оскільки СЗВ є ‘розширенням’ СВВ

1.4 Обмеження СВВ та СЗВ


З плином часу можуть придумати нові атаки для певного виду програмного забезпечення. СВВ можуть дізнатись про ці атаки і почати їх виявляти лише отримавши нову базу даних відомих атак. Ефективність СВВ напряму залежить від своєчасного оновлення бази даних.

Також необхідно вчасно оновлювати програмне забезпечення, оновлення можуть містити виправлення які забезпечують захист від певного виду атак. У випадку СВВ на основі виявлення сигнатур існує певний проміжок часу між виявленням певної атаки та оновленням бази даних сигнатур, що дозволить виявити дану атаку. В цей проміжок часу СВВ не здатна виявити цю атаку. 'Шумна' мережа може сильно зменшити ефективність СВВ системи, через велику кількість хибних спрацювань. Під шумною мережею мається на увазі мережа в якій циркулюють пакети що не відповідають вимогам протоколів (такі пакети можуть з'явитись через помилки в програмному забезпеченні). Зашифровані пакети не обробляються більшістю СВВ. Тобто зашифровані пакети можуть бути використані для атаки, і вона не буде виявлена.

Незважаючи на те що ВСС можуть виявити підозрілу активність, це не значить що вони захистять від слабких вимог до системи аутентифікації або від використання слабких та застарілих протоколів. У випадку отримання доступу через слабку систему аутентифікації, зловмисник може виконати багато шкідливих дій які не будуть розпізнані СВВ, наприклад він може скопіювати конфіденційну документацію до якої має доступ акаунт яким він скористався

Висновок до розділу 1


В даному розділі наведені основні визначення що стосуються Систем виявлення вторгнень та Систем запобігання вторгненням; перераховані складові елементи з яких побудовано Систему виявлення вторгнень. Також наведено класифікації СВВ та СЗВ, як за видами інтернет трафіку який буде проаналізований, так і за способами виявлення потенційних атак в цьому трафіку. Через значний розвиток атак, Системи виявлення та запобігання вторгненням є важливим елементом захисту для автоматизованих систем. Вони дозволяють максимально швидко виявити атаку, фактично ще до того як вона починає виконуватися. Для побудови методу оцінки СВВ необхідно розуміти які існують способи обходу СВВ і як СВВ можуть від них захиститися. Саме цій темі і присвячений наступний розділ




2.Аналіз системи

2.1 Модель типу «чорний ящик»


Модель типу “Чорний ящик” являє собою простий прямокутник(див. рисунок 2.1). Він з усіх боків обмежений границями і лініями, має один вхід і один вихід. Входом ж моделі є те ,що система використовує для своєї діяльності, з чим вона працює, що вона обробляє. Виходами ж є результат діяльності певної системи, це по суті вхідні данні перетворені діяльністю системи(Рисунок 2.1)



Рис 2.1 Чорний ящик

На рисунку можна побачити, що входами моделі типу «чорний ящик» є 5 основних типів кіберзагроз:

  1. Denial of Service (DOS) – кібератаки відмови систем від обслуговування, яка характеризується генеруванням великого об’єму трафіку, що призводить до перевантаження і блокування серверу;

  2. Remote to User (R2L) – кібератаки, що характеризуються одержання доступу нелегітимним (незареєстрованим) користувачем несанкціонованого віддаленого доступу до інформації управління;

  3. User to Root (U2R) – кібератаки, що передбачають несанкціоноване розширення повноважень нелегітимних (незареєстрованих) користувачів до рівня локального супер користувача (адміністратора);

  4. Probing (PROBE) – кібератаки сканування портів з метою одержання конфіденційної інформації.

  5. Вірус – шкідливе програмне забезпечення яке передаються через електронну мережу.

2.2 Модель типу «білий ящик



Білий ящик по суті є оберненим до моделі типу чорний ящик тому, що модель типу чорний ящик показує нам тільки те, що є на вході і, що з цього вийде на виході. В свою чергу ж модель типу «білий ящик» показує як що відбуваться всередині коли до системи потрапляє трафік.(Рисунок 2.2)



Рис 2.2 Білий ящик

На рисунку 2.2 ми можемо побачити що спочатку трафік поступає на модуль сканування пакетів, який передає данні на модуль політики безпеки яка ним керує. Проходить перевірка і після цього ми отримуємо відфільтрований трафік, або відповідні дії до нього в разі шкідливого трафіка.

2.3 Можливі методи обходу IPS-IDS



- Insertion – вставка

- Evasion – ухилення

- Denial of service (Dos) – відмова в обслуговуванні
1)Вставка (Insertion)

Атака при якій СВВ обробляє пакети і пропускає їх далі, в той час як отримувач їх не обробляє. Це може бути спричинено тим що пакет не дійде до одержувача оскільки буде вичерпано час життя пакету, або пакет буде отримано та відкинуто.На картинці нижче наведено приклад такої атаки. Перший рядок це початкове повідомлення в необробленому вигляді. Другий – СВВ розташувала пакети в порядку нумерації і не виявила потенційно небезпечного змісту, який може містити цей набір пакетів. Третій – система-отримувач відкинула 4 пакет (з певної причини) і результуючий набір пакетів склав слово attack (атака).(Рисунок 2.3)



Рис 2.3 – Приклад insertion атак
2)Evasion (ухилення)

Атака ухилення полягає в побудова такого ланцюжка пактів який не буде оброблений СВВ але буде оброблений кінцевою системою-отримувачем. Цього можна досягти використовуючи фрагментацію пакетів, і СВВ може бути нездатна обробити таку велику кількість пакетів як одну команду і пропустить їх, і адреса отримає їх.

3)Відмова в обслуговуванні - Denial of service (Dos)

Запуск атаки спрямованої на відмову в обслуговуванні системи IDS є можливим методом обходу одного з механізмів захисту даної мережі. Атакуючий може досягти цього, використовуючи помилки в IDS, споживаючи всі обчислювальні ресурси в IDS, або навмисно запускаючи велику кількість повідомлень, щоб замаскувати фактичну атаку.














Висновок до розділу 2


Система виявлення вторгнень є одним з перших бар'єрів, що захищає систему від атак, тобто на СВВ накладаються значні вимоги, такі як: виявлення значної кількості атак, ефективність роботи, зручність використання. Завдяки тому, що були розглянуті основні способи обходу СВВ, з’явилася можливість побудувати метод, який дозволяє оцінювати Системи виявлення вторгнень.


3. Вибір найкращої моделі



3.1 Формулювання критеріїв вибору рішення

Після ознайомлення з повним функціоналом IPS – IDS можна виділити такі критерії вибору:

  1. Підтримка роботи в багато поточному режимі(Задіяння всіх можливостей сучасного комп’ютера)

  2. Стійкість до збоїв (Стабільність роботи на максимальних показниках)

  3. Ефективність роботи(Ефективність захисту при різних видах атак)

  4. Інтерфейс (Зручність і зрозумілість інтерфейсу)

  5. Оновлення (Оновлення, модернізація пристроїв)

  6. Доступність(Цінова політика)

  7. Виявлення потенційних атак

  8. Методи захисту

На мою думку ці критерії є одними з найважливіших при виборі системи IPS-IDS. (Рисунок 3.1)



Рис 3.1 Ієрархічна модель проблеми вибору

Як можна зрозуміти, деякі критерії є не значущими, тому необхідно декілька з них вилучити для цього використаємо метод рядкових сум. Складемо матрицю попарних порівнянь за результатами опитування експертів. Також, необхідно визначити загальну суму критеріїв та їх ранги. (Таблиця 3.2)

 

Виявлення атак

Підтримка роботи в багатопоточному режимі

Стійкість до збоїв

Ефективність роботи

Інтерфейс

Методи захисту

Доступність

Оновлення

Сумма рядкі

Ранг

Виявлення атак

 

0,5

1

1

0

1

1

1

5,5

1 ранг

Підтримка роботи в багатопоточному режимі

1

 

1

1

1

0

0

1

5

2 ранг

Стійкість до збоїв

1

1

 

1

0

0

1

1

5

2 ранг

Ефективність роботи

1

1

1

 

0,5

1

0,5

0

5

2 ранг

Інтерфейс

0

1

0

0,5

 

0

0

0,5

2

5 ранг

Методи захисту

1

0,5

0,5

1

0

 

1

1

5

2 ранг

Доступність

1

0,5

0,5

0,5

0

1

 

0

3,5

3 ранг

Оновлення

0,5

0

1

0,5

0,5

0,5

0

 

3

4 ранг

Таблиця 3.2 – Матриця парних порівнянь

Як ми можемо бачити за таблицею критерії Оновлення, Доступність та Інтерфейс не мають значущості, тому ними можна знехтувати.


    1. Експертна оцінка переваг та побудова матриць переваг


За вибраними експертами критеріями які наведені на ієрархічній моделі потрібно побудувати матриці переваг.

На першому рівні необхідно побудувати одну матрицю переваг розмірами 5*5 та 5 матриці розмірами 2*2 на другому рівні.

Побудуємо матрицю переваг на першому рівні – це матриця важливості критеріїв вибору системи IPS-IDS, а саме якому показнику потрібно приділяти більше уваги, вважати більш важливим під час вибору варіанту. Для заповнення матриці експерти попарно порівнюють показники і за шкалою Сааті визначають перевагу для кожної пари( див.табл. 3.3).

Таблиця 3.3 – Матриця попарних порівнянь першого рівня

 

Підтримка роботи в багатопоточному режимі

Методи захисту

Виявлення атак

Ефективність роботи

Стійкість до збоїв

Середні геометричні

Відносні цінності групп показників

Підтримка роботи в багатопоточному режимі

1,00

1,00

2,00

2,00

3,00

1,64

30%

Методи захисту

1,00

1,00

3,00

2,00

1,00

1,43

27%

Виявлення атак

0,50

0,33

1,00

2,00

2,00

0,92

17%

Ефективність роботи

0,50

0,50

0,50

1,00

0,33

0,53

10%

Стійкість до збоїв

0,33

1,00

0,50

3,00

1,00

0,87

16%

З розрахунків, що наведені в таблиці 3.3 ми можемо зробити висновок що більш значущим критерієм буде Підтримка роботи в багатопоточному режимі, потім методи захисту, виявлення атак, стійкість до збоїв.

На другому рівні нам потрібно побудувати 5 матриць, попарних порівнянь розмірність 2х2 для кожного з критеріїв. Результати побудови матриць попарних порівнянь можна переглянути на таблицях 3.4-3.8.

Таблиця 3.4 – Матриця попарних порівнянь для критерія «Підтримка роботи в багатопоточному режимі»

Підтримка роботи в багатопоточному режимі

Snort

Suricata

Snort

1,00

0,50

Suricata

2,00

1,00

Сума

3,00

1,50

За результатами які наведені в таблиці 3.4 можна сказати, що по критерію «Підтримка роботи в багатопоточному режимі» перевага надається Системі Suricata

Таблиця 3.5 – Матриця попарних порівнянь для критерія «Методи захисту»

Методи захисту

Snort

Suricata

Snort

1,00

0,33

Suricata

4,00

4,00

Сума

5,00

4,33

За результатами які наведені в таблиці 2.4 можна сказати, що за критерієм «Методи захисту» краща система Snort.

Таблиця 3.6 – Матриця попарних порівнянь для критерія «Стійкість до збоїв»

Стійкість до збоїв

Snort

Suricata

Snort

1,00

1,00

Suricata

2,00

3,00

Сума

4,00

5,00

За результатами які наведені в таблиці 3.6 можна сказати, що за критерієм «стійкість до збоїв» найкращим є Suricata.


Таблиця 3.7 – Матриця попарних порівнянь для критерія «Виявлення атак»

Виявлення атак

Snort

Suricata

Snort

1,00

1,00

Suricata

2,00

3,00

Сума

3,00

4,00

За результатами які наведені в таблиці 2.6 можна сказати, що за критерієм «Виявлення атак», кращим є Suricata.

Таблиця 3.8 – Матриця порівнянь для критерія «Ефективність роботи»

Ефективність роботи

Snort

Suricata

Snort

1,00

4,00

Suricata

0,25

1,00

Сума

1,25

5,50

За результатами які наведені в таблиці 3.8 можна сказати, що за критерієм «Технічні характеристики» кращим стала Suricata.

У таблицях 3.4-3.8 були розраховані матриці попарних порівнянь за допомогою методу Сааті. Підсумок в таблиці (Рисунок 3.9)

Snort і Suricata




Snort

Suricata

Підтримка роботи в багато поточному режимі

-+

+

Стійкість до збоїв

-+

+

Ефективність роботи

+

-

Методи захисту


-+

+

Рис 3.9 Порівнання систем
У багатьох компаніях віддають перевагу безкоштовним IDS / IPS з відкритим вихідним кодом. Довгий час стандартним рішенням вважалася вже згадана нами Snort, але зараз її потіснила система Suricata. Розглянемо їх переваги та недоліки трохи докладніше. Snort комбінує переваги сигнатурного методу з можливістю виявлення аномалій в реальному часі. Suricata також дозволяє використовувати інші методи крім розпізнавання атак по сигнатурам. Система була створена відокремилася від проекту Snort групою розробників і підтримує функції IPS, починаючи з версії 1.4, а в Snort можливість запобігання вторгнень з'явилася пізніше.

Основна відмінність між двома популярними продуктами полягає в наявності у Suricata можливості використання GPU для обчислень в режимі IDS, а також в більш просунутою IPS. Система спочатку розрахована на многопоточность, в той час як Snort - продукт однопотоковий. Через свою давню історію і успадкованого коду він не оптимально використовує багатопроцесорні / багатоядерні апаратні платформи, тоді як Suricata на звичайних комп'ютерах загального призначення дозволяє обробляти трафік до 10 Гбіт / сек.
ВИСНОВКИ

Під час виконання курсової роботи для дослідження було обрано системи IDS-IPS. Побудуванні моделі типу «чорний» і «білий» ящик, дали змогу краще зрозуміти повний функціонал та принцип роботи. Також стало зрозуміло як пов’язані різні модулі між собою, що створює сприятливі умови для коректної роботи і захисту системи в цілому.

Для оцінки системи IPS-IDS було відібрано вісім критеріїв. З яких вибрано 5 основних, які ми визначили за допомогою методу рядкових сум і методів експертів. Для альтернативу вибору було вибрано 2 популярних системи захисту SNORT and SURICATA

Виділені критерії дозволили комплексно оцінити СВВ. За результатами оцінювання обраних СВВ згідно розробленого методу, можна зробити висновок, що з точки зору безпеки Suricata виявився більш захищеним. На це слід звертати увагу адміністраторам, що знають про можливі обмеження проектних рішень та обирають СВВ для побудови захищеної автоматизованої системи.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ





  1. Захист та контроль інофрмації. [Електронний ресурс] URL:http://referat-ok.com.ua/pravo/zahist-informaciji-ta-informaciina-bezpeka

  2. Using IPS tools to protect the data. [Електронний ресурс] URL:

https://xakep.ru/2012/10/29/ids-ips/

  1. Система запобігання вторгнень – Wikipedia. [Електронний ресурс] URL: https://ru.wikipedia.org/wiki/Information_Protection_and_Control

  2. IPS in Microsoft [Електронний ресурс] URL: https://www.techylib.com/en/view/vermontdroning/information_protection_and_control_ipc_in_microsoft_exchange_onli

  3. Discovery IPS [Електронний ресурс] URL: https://xserver.a-real.ru/functions/security/sistema-obnarujeniya-vtorjeniy-ids-

  4. StaffCop Enterprise [Електронний ресурс] URL: https://www.scienc-edirect.com/science/article/pii/S1742287617301986

  5. Block diagram of a fully functional test bench [Електронний ресурс] URL: https://xserver.a-real.ru/functions/security/sistema-obnarujeniya-vtorjeniy-ids-ips.php

  6. Огляд систем IPS. В чому різниця? [Електронний ресурс] URL: https://lib.itsec.ru/articles2/techobzor/obzor-sistem-ips-v-chem-raznica




скачати

© Усі права захищені
написати до нас