ВВЕДЕНИЕ В СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК. Атака на информационную систему - событие или совокупность событий, которые применительно к каждому отдельно взятому.

Презентация:



Advertisements
Похожие презентации
Адаптивные и адаптируемые средства информационной безопасности УЦ «Bigone» 2007 год.
Advertisements

Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Обнаружение сетевых атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Применение иерархического метода для построения защищенной операционной системы. Выполнила Шилова О. И-411.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Обнаружение атак. Система RealSecure. Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Интегрированная система безопасности:
Лекция 15 - Методы разграничение доступа. Регистрация и аудит.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Эвристический анализ. Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается.
Системный аудит и оценка рисков информационной безопасности.
Средства обнаружения атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
1. Планируемость Выбор маршрута съемки Выбор времени съемки Исключение присутствия облачности на снимках Выбор времени суток с максимальным проявлением.
Заголовок доклада Докладчик Инфофорум, Москва, 5 – 6 февраля 2013 г. Грушо А.А. Распространение вредоносного кода через Интернет.
Лекция 6 Безопасность сети. Средства обеспечения безопасности сети.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
Сложностные характеристики статистических скрытых каналов Автор: Свинцицкий Антон Игоревич Факультет вычислительной математики и кибернетики Московского.
Безопасность и защита информации. Защита информации от несанкционированного доступа.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Необходимо помнить о личной информационной безопасности при работе в сети Интернет Волгарята Волгарята МОУ прогимназия 141 «Дельта» МОУ прогимназия 141.
Транксрипт:

ВВЕДЕНИЕ В СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Атака на информационную систему - событие или совокупность событий, которые применительно к каждому отдельно взятому объекту должны рассматриваться в качестве попыток совершения информационного воздействия противоправного или деструктивного характера. Обнаружение атак - это процесс оценки подозрительных действий в защищаемой сети, который реализуется либо посредством анализа журналов регистрации операционной системы и приложений либо сетевого трафика. Цель обнаружения атак - выявить признаки атак либо во время их, либо постфактум. В качестве таких признаков могут выступать: ­ повтор определенных событий; ­ неправильные или несоответствующие текущей ситуации команды; ­ использование уязвимостей; ­ несоответствующие параметры сетевого трафика; ­ непредвиденные атрибуты; ­ необъяснимые проблемы; ­ дополнительные знания о нарушениях.

Классификация систем обнаружения атак по принципу реализации

Классическая архитектура системы обнаружения атак

б) обобщенная архитектура системы обнаружения аномалий а) обобщенная архитектура системы обнаружения злоупотреблений Обзор существующих подходов к обнаружению атак 1. Обнаружение злоупотреблений 2. Обнаружение аномалий

Применимость подходов анализа для выявления различных классов атак

Сравнение подходов к обнаружению атак ХарактеристикаПоиск злоупотреблений (сигнатур) Поиск аномалийКомбинированный метод Множество обнаруживаемых атак априорно задано, ограничивается известными моделями атак вариативно, достаточно широко Вероятность ложного срабатывания 0,01 - 0,050,2 - 0,30,05 – 0,1 Вероятность пропуска атаки0,1 - 0,120,01 - 0,020,03

Сравнение существующих методов обнаружения сетевых атак

Проблемы классических методов: 1.Теоретически существует бесконечное число методов и вариантов атак, и для их обнаружения понадобится БД бесконечного размера. Таким образом, имеется потенциальная возможность, что некая атака, не включённая в базу данных, может быть успешно осуществлена. 2.Современные методы обнаружения аномалий вызывают большое число ложных тревог. Таким образом, могут быть скомпрометированы легальные сетевые события. 3.Современные методы обнаружения злоупотреблений имеют достаточно высокую вероятность пропуска атаки.

Перечень признаков для описания сетевых событий

б) обобщенная архитектура системы обнаружения аномалий а) обобщенная архитектура системы обнаружения злоупотреблений 1. Обнаружение злоупотреблений 2. Обнаружение аномалий Обзор существующих подходов к обнаружению атак

Размещение сетевого сенсора между маршрутизатором и межсетевым экраном

Размещение сетевого сенсора в демилитаризованной зоне

Размещение сетевого сенсора у сервера удалённого доступа