Кривошей О.В.

Науковий керівник –І.І. Пархоменко, д.т.н.

Національний авіаційний університет, Київ

ВИЯВЛЕННЯ МЕРЕЖНИХ АТАК ЗА ДОПОМОГОЮ СПЕЦІАЛІЗОВАНОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Актуальність. За статистикою паралельно з розвитком ІТ-технологій зростає і цифра комп'ютерних злочинів, здійснених у сфері високих технологій. На жаль, виключно засобами брандмауера неможливе повноцінне виявлення і попередження мережевих атак. Але деякі компанії пропонують на ринку досить ефективні інструменти для вирішення цих завдань.

Мета – розгляд спеціалізованих програмних засобів виявлення мережних атак та оцінка їх можливостей.

Різні компанії, такі як Symantec, Cisco Systems, Computer Associates займаються розробкою програмних засобів, що пропонують вирішення проблем мережевої безпеки на рівні підприємств.

Завдання, що переслідуються в боротьбі зі зловмисниками, які здійснюють мережні атаки, досить очевидні:

·     сповіщення: про розпочату спробу несанкціонованого доступу має бути відомо негайно;

·     відбиття атаки і мінімізація втрат: щоб протистояти зловмисникові, слід негайно розірвати сеанс зв'язку з ним;

·     перехід в контрнаступ: зловмисник повинен бути ідентифікований і покараний.   

Таким чином, міжмережеві екрани і засоби перевірки достовірності (аутентифікації) користувачів системи допомагають убезпечити систему від несанкціонованого проникнення, але залишається ще потреба від ретельно спланованих і професійних спроб вторгнення в комп'ютерні системи компаній. Тобто постає питання моніторингу системи, виявлення зловмисних дій і своєчасного попередження про потенційну і реальну небезпеку. Системи класу Intrusion Detection System (IDS) - засоби виявлення атак покликані надавати додаткові можливості оперативного моніторингу мережевої активності, завдяки чому вдається вберегти системи, додатки і дані від крадіжки, умисного знищення або підміни. Так склалося, що технології, за якими будуються системи виявлення атак, умовно поділяють на дві категорії: виявлення аномальної поведінки (anomaly detection) і виявлення зловживань (misuse detection). Однак на практиці застосовується інша класифікація, що враховує принципи практичної реалізації таких систем: виявлення атак на рівні мережі (network-based) і на рівні хоста (host-based). Перші системи аналізують мережевий трафік, у той час як другі - реєстраційні журнали операційної системи або програми. Варто зауважити, що лише деякі системи виявлення атак можуть бути однозначно віднесені до одного з названих класів. Зазвичай, вони включають в себе можливості декількох категорій.

На даний момент технологія виявлення аномалій не отримала широкого розповсюдження, і ні в одній комерційно поширюваної системі вона не використовується. Пов'язано це з тим, що дана технологія гарно виглядає в теорії, але її дуже важко реалізується на практиці. Зараз, однак, намітилося поступове повернення до неї, і можна сподіватися, що незабаром користувачі зможуть побачити перші комерційні системи виявлення атак, що працюють за цією технологією.

Інший підхід до виявлення атак - виявлення зловживань, яке полягає в описі атаки у вигляді шаблону (pattern) або сигнатури (signature) і пошуку даного шаблону в контрольованому просторі (мережевому трафіку або журналі реєстрації).

Як вже було зазначено вище, існує два класи систем, що виявляють атаки на мережевому і операційному рівні . Принципова перевага мережевих ( network - based ) систем виявлення атак полягає в тому, що вони ідентифікують атаку перш, ніж та досягне вразливого вузла. Ці системи більш прості для розгортання у великих мережах, тому що не вимагають установки на різні платформи, що використовуються в організації.

Системи виявлення атак на рівні хоста створюються для роботи під управлінням конкретної операційної системи, що накладає на них певні обмеження. Використовуючи знання того, як повинна «вести» себе операційна система, засоби, побудовані з урахуванням цього підходу, іноді можуть виявити вторгнення, що пропускалися мережевими засобами виявлення атак. Однак найчастіше це досягається дорогою ціною, тому що постійна реєстрація, необхідна для виконання подібного роду виявлення, суттєво знижує продуктивність хоста, який захищають. Такі системи сильно завантажують процесор і вимагають великих обсягів дискового простору для зберігання журналів реєстрації і, в принципі, не можуть бути застосовані у висококрітічних системах, що працюють у режимі реального часу.

Тому для забезпечення максимальної захищенності мережі від атак варто використовувати  IDS, які задовольняють наступним вимогам:

1. Можливості виявлення атак на системному та мережному рівні, інтегровані в єдину систему.

2. Спільно використовувана консоль управління з несуперечливим інтерфейсом для конфігурації продукту , політики управління і відображення окремих подій, як з системних, так і з мережевих компонентів системи виявлення атак.

3. Інтегрована база даних подій.

4. Інтегрована система генерації звітів.

5. Можливості здійснення кореляції подій.

6. Інтегрована он-лайнова допомога для реагування на інциденти.

7. Уніфіковані і несуперечливі процедури інсталяції.

8. Додавання можливості контролю за власними подіями.

Висновки. В основі інформаційної безпеки підприємства знаходиться захищеність його від мережних атак, і спеціалізоване програмне забезпечення є найкращим помічником для досягнення цієї мети.