технологія захищених корпоративних мереж зв'язку - Ids - страница 1

Страницы:
1 

256 біт

3.7380е+139

9.3451е+138

3.745

4.6725е+138

7.501

Згідно з законом Амдала в ідеальному випадку прискорення наближається до кілько­сті процесорів, що використовуються при обчисленнях. З таблиць 3.1-3.3 видно, що значен­ня прискорення наближається до кількості процесорів, тому використання технологій пара­лельних обчислень для процесу визначення неприводимості поліномів є високоефективним рішенням. Оскільки прискорення практично не падає зі збільшенням кількості процесорів, то можна сказати, що для розпаралелення даної задачі можна використовувати максимальну кількість процесорів без зниження ефективності роботи алгоритму. Отже, при дослідженні стійкості алгоритмів шифрування з використанням математичного апарату ЕК, доцільно скористатися паралельним алгоритмом Шуфа, що дозволяє суттєво зменшити часовий ре­сурс для пошуку порядку ЕК.

Література

1. Elkies N.D. Elliptic and modular curves over finite fields and related computaional issues // Computational perspectives in number theory: Proc. of a Conf. in Honor of A.O. L.Atkin / J. T. Teitelbaum and D.A.Buell, editors. 1998. (Amer. Math. Soc. Inf. Press; V. 7). P. 21—76.

2. Elliptic Curve Cryptography. Certicom Research, 1999. Working Draft.

3. IEEE P1363 / D8(Draft Version 8). Standard Specifications for Public Key Cryptography.

4. Schoof R. Elliptic curves over finite fields and the computation of square roots mod p // Math. Comp. 1985. V. 44. P. 483—494.

5. Moshe Morgensteren, Eli Shamir - Parallel Algorithms for Arithmetics, Irreducibility and Factoring of GFq-Polynomials. Stanford University - 1983.

УДК 004.7

Гарасим Ю.Р., Дудикевич В.Б.

IDS - ТЕХНОЛОГІЯ ЗАХИЩЕНИХ КОРПОРАТИВНИХ МЕРЕЖ ЗВ'ЯЗКУ

В цій статті розглядається технологія захищених корпоративних мереж зв'язку - IDS, на­водиться загальна архітектура системи виявлення втручань та окремих її елементів, що узагальнює принципи роботи сучасних IDS та дозволяє порівняти їхні функціональні мож­ливості.

Вступ

Одним з найважливіших завдань систем інформаційної безпеки є спостереження за даними, що передаються у мережі зв'язку, щоб знаходити потенційно небезпечні дії щодо певного хоста для унеможливлення доступу зловмисника до неї. Існує безліч різновидів подібних систем, особливо багато їх з'явилося останніми роками.

Метою виявлення втручань є спостереження за мережевими ресурсами, для визна­чення їхньої аномальної поведінки або неправильного використання. Розробки в цій галузі незабаром виведуть технології безпеки на абсолютно нову ланку автоматизованої безпеки.

Система виявлення втручань

Система виявлення втручань (англ. Intrusion Detection System (IDS)) — програмний або апаратний засіб, який призначений для виявлення факту несанкціонованого доступу (втручання або мережевої атаки) в комп'ютерну (телекомунікаційну) систему або мережу зв' язку (рис. 1).

Використання IDS допомагає досягти декількох цілей: виявити втручання або мере­жеву атаку; спрогнозувати можливі атаки в майбутньому та виявити вразливості для запобігання їхньому подальшому розвитку; здійснити документування існуючих загроз; забезпечити контроль якості адміністрування з погляду безпеки, особливо у великих і складних мережах зв' язку; отримати корисну інформацію про втручання, які мали місце,

100      для відновлення і коригування чинників, що спричинили втручання; визначити розташу­вання джерела атаки по відношенню до локальної мережі зв'язку (зовнішні або внутрішні атаки), що є важливим моментом при ухваленні рішень про розташування ресурсів в мережі зв'язку.

Технологія IDS використовує такі методи виявлення атак: сигнатурний метод, метод аномалій, метод, що базується на політиках. [1]

Загальна архітектура систем виявлення втручань

Для вирішення перерахованих цілей IDS може містити компоненти різних типів (рис.2): сенсори - займаються відбором подій, що представляють інтерес з погляду безпе­ки, детектори - відповідають за аналіз зібраної інформації і забезпечують виявлення втру­чань. Менеджер IDS - керує усіма потоками інформації в IDS, режимах збору і аналізу ін­формації, а також реакціями на виявлене втручання. Така архітектура дозволяє розділити функції IDS між різними компонентами системи, що захищається. [2]

Сенсори

Сенсори виконують роль головної сполучної ланки IDS з обчислювальним середо­вищем. Вони збирають необхідну для виявлення втручань інформацію, фільтрують її та надсилають детекторам. Розрізняють два основних типи сенсорів: системні (host-sensors) і мережеві (network-sensors) сенсори. Перші здійснюють моніторинг стану системи, тоді як другі досліджують зовнішні впливи на неї. На рис. 3 наведена типова архітектура обох сен­сорів.

Рис. 1. Місце IDS в структурі захищеної корпоративної мережі

Мережеві сенсори спостерігають за мережевою активністю і збирають інформацію про події безпеки, які відбуваються в мережі. З функціональної точки зору, вони є пакетни­ми аналізаторами («sniffer»), які декодують пакети з мережевого трафіку, опціонально здій­снюють попередню фільтрацію до протоколів і передають отримані пакети детектору для подальшого аналізу.

Втручання здійснюються як внутрішніми зловмисниками (що підключені безпосере­дньо до локальної мережі зв' язку організації), так і зовнішніми (які мають доступ до ресур­сів організації через мережу Internet). При цьому, до зловмисників відносяться й рядові ко­ристувачі, що здійснюють помилки при використанні програмного забезпечення. Внутріш­ніх зловмисників доцільно виявляти за допомогою аналізу локального трафіку, а зовнішніх - аналізуючи зовнішній трафік. У першому випадку, мережеві сенсори розміщують в межах локальної мережі зв'язку організації, а в другому - до і/або після міжмережевого екрану.

ҐІСП1Ш ПО£ІЙ

р^- ■   11 имл і-.нл;л її ні і;і £КТ^ПУ ЦГі .тс*

Рис.2. Архітектура IDS

Міжмережеві екрани та firewall є ідеальними місцями розміщення мережевих сенсо­рів, оскільки вони є критичними точками, які не обійти як зовнішньому, так і, частково, ло­кальному зловмиснику при спробі атаки.

- прн^пткз сесій ч

Менеджер IDS

Детвігтор

Фільтрація

■ уніп-фігуїмція ММЕта

VifihlLlHi* КІІСТІВ.

-Огк>ПгбвннРіЧЕ»іае

---^_

- мнрнття

а'иі-йнь,

- ятг.учдшн

Системний сенсор

Сенсор IDS

Щ    агент ■

юлнгрдгпнт

Мережевий сенсор

- додатки;

- кроїш; -IPC,

- використання CPU, пди'яті,

Простору;

-системні ресурси;

- пропускна здатність мерв*і­

- зштуп дпфанпін;

- /праепіннр

- змйдмнстімтйім.

- сметанні файли;

- СЛуЯГЛВІ

іггрунтури;

- ВІД ПОВІДНІ Г,Т\г

версій.

- Ідвнгнфкація: використовувані (гЛпІнові іміит тя лигіни;

- путвнтнфкацір-політика паропай.

- Моніторинг Індивідуальний і і ■ і і -1 - і і: ї і

- Vomvjlimh- тр-афга. 1 Пргтт+тли ГТСРлР).

- Локальний

трафік

■ Інтарнет трафік. Зовнішні дії.

О

о

Потеки конгрэвжедо

ФуННцІЛНЯЛЬнІ

5л ми

іонтр'іінкрдіа

Функціональні finnkw лГ>ору сшггамного теистргі Функціональні блиі.и абору чврвжввого сенсорн

Потоки дібраної «фармації

Рис.3. Архітектура та функції сенсорів

Системні сенсори розташовуються на робочих станціях і призначаються для збору інформації про користувачів і системні події. До такої інформації відносяться такі події безпеки, як вхід користувачів в систему (облікові записи, що використовуються, політика аутентифікації), доступ до даних (доступ до файлів, контроль доступу і адміністраторські дії), запуск програм тощо.

До додаткових функцій сенсорів відноситься реалізація відповідних дій у випадку виявлення детектором втручання. Сенсори є зв' язківцями між IDS і середовищем (мережею зв' язку, хостами), що перевіряються, тому саме у них повинні знаходитися агенти контрза­ходів, що впливають на систему, яка перевіряється. За сигналом від менеджера IDS даними агентами реалізуються відповідні дії. [3]

Детектор

Детектор займається безпосереднім виявленням втручань на основі критеріїв вияв­лення.

Можна виділити три основні методи аналізу: пошук сигнатур; пошук регулярних ви­разів; розпізнавання образів.

Реалізацію перерахованих вище методів в межах детектора здійснюють машини ви­явлення (машина пошуку сигнатур, машина пошуку регулярних виразів, машина розпізна­вання образів), які в сукупності є ядром детектора. Загальна архітектура детектора наведена на рис. 4.

Пето.*.' 111 I .h--nib--.iV

Г-ж»- првггвзгшн-гі-гй 'йзда-і ьзмзсГа ь-алснчй

Рис.4. Архітектура детектора

Аудит

Д(3 Т актор

ВЦИОМ ми ікінідли пін*.. ■• гоямшнл -ривжтч.

- ГСрГнТ'ПЩГЬі іи rfl ПКЛЦДОМЛИН» 1-І

Сянсорн

]

Консоль

на тргасгу. ■гри т іструти и-и. £№vr?|MTHbWJL ДГЙ

Рис.5. Архітектура менеджера IDS

Менеджер IDS

Менеджер IDS контролює решту компонентів IDS, приймає рішення по підніманню тривоги і реалізації контрзаходів. Крім того, менеджер IDS зберігає конфігураційну інфор­мацію, ініціює сенсори і детектори, забезпечує їх критеріями виявлення і постійно оновлю­ється. Архітектура менеджера IDS наведена на рис.5.

Менеджер IDS реалізує як активні, так і пасивні контрзаходи. Як пасивні він виконує запис подій в системний журнал, повідомлення адміністратора за допомогою E-Mail, пей­джера, телефону, виведення повідомлень на консоль і запуск визначених програм. А активні дії можуть бути такими: обрив TCP-з'єднання, блокування системи, налаштування міжме-режевого екрану. [3, 4]

Висновки

Підсумовуючи особливості підходів виробників систем безпеки до виявлення атак, зазначимо, що усі виробники IDS застосовують схожі підходи - розподілені мережеві архі­тектури IDS. При цьому основну увагу виробники приділяють сенсорам системи виявлення атак і системам їх керування. Найбільша продуктивність досягається за рахунок викорис­тання спеціалізованих процесорів та спеціалізованого програмного забезпечення, яке вра­ховує особливості середовища, в якому воно функціонує (TippingPoint, 5000E, SourceFire IS 5800) або використання системи виявлення атак в запропонованій виробником архітектурі (Cisco Systems IDS 4200 Sensor Series, Cisco Systems IDSM-2, ISS Poventia M30 and M50 Se­ries, ISS Proventia A Series). [5]

Проектні аналітики, адміністратори безпеки, менеджери стикаються з проблемою ви­бору системи виявлення втручань, що задовольнятиме їхнім вимогам. За допомогою запро­понованого підходу, який дозволяє проаналізувати властивості IDS на основі розглянутої архітектури, можна зіставити наявні продукти і вибрати найбільш відповідний варіант.

Таким чином, запропонована архітектура узагальнює принципи роботи сучасних IDS і дозволяє порівняти їх функціональні можливості.

Список літератури

1. Paul Inella. The Evolution of Intrusion Detection Systems // SecurityFocus - 2001.

2. James Anderson. Computer Security Threat Monitoring and Surveillance // Fort Washington, Ра.

- 1980.

3. D. E. Denning. An intrusion-detection model // IEEE Transactions on Software Engineering. -1987. - Vol. SE-13(No. 2): 222-232.

4. G. A. Fink, B. L. Chappell, T. G. Turner, and K. F. O'Donoghue. A Metrics-Based Approach to Intrusion Detection System Evaluation for Distributed Real-Time Systems // Information Transfer Tech­nology Group, Code B35, Naval Surface Warfare Center, Dahlgren Division. WPDRTS. - Ft. Lauderdale, Florida. - 2002.

4. Дуткевич Т.В., Піскозуб А. З. Особливості застосування систем виявлення та запобігання атак у високошвидкісних корпоративних мережах // Науково-технічний журнал «Захист інформації».

- № 4. - 2006. - с. 28-37.

УДК 004.56.021.2: 510.22 (045) Турти М.В.

ВИКОРИСТАННЯ ОДНОЗНАЧНОЇ НЕЧІТКОЇ ЛОГІКИ В СИСТЕМАХ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Робота присвячена порівняльному аналізу ефективності використання класичних методів нечіткої логіки в задачах технічного захисту інформації і однозначної нечіткої логіки. Ви­значені області доцільного використання розроблених засобів.

Вступ

Системи технічного захисту інформації є ієрархічними системами, що складаються із блоків, які різняться як за функціональним призначенням так і за технічною реалізацією.

Вісник Східноукраїнського національного університету ім. В. Даля, №6 (136), 2009, Ч. 1.

Страницы:
1 


Похожие статьи

технологія захищених корпоративних мереж зв'язку - Ids