Скачать 264.25 Kb.
|
2.2. Сетевые мониторы безопасностиСетевой монитор безопасности осуществляет анализ сетевого трафика на предмет выявления известных сетевых атак. Такие средства получили распространение сравнительно недавно, и законодателем мод в этом направлении по праву считается компания ISS (Internet Security Systems). В частности один из ее продуктов, RealSecure, как раз и является таким монитором безопасности. Этот продукт служит для контроля некоторого IP сегмента сети и оповещает администратора, если имеет место нарушение сетевой безопасности. Эта система обнаруживает многие известные атаки, например, такие, которые связаны с фрагментацией IP пакетов и др. Обнаружение атак строится на выявлении сигнатур атак. Для этого продукта существует база данных, содержащая сигнатуры уже известных атак. Именно эти удаленные воздействия и способен обнаружить RealSecure. 3. СИСТЕМАТИЗАЦИЯ УДАЛЕННЫХ АТАКДля того чтобы разработать общий подход к обнаружению удаленных воздействий, необходимо систематизировать причины успеха удаленных атак. Как уже отмечалось, использующийся в настоящее время подход заключается в определении сигнатур атак после того, как они были осуществлены. Предлагаемый подход заключается в анализе причин успеха удаленных атак, систематизации этих причин на основе этой информации и обнаружение удаленных воздействий на основании приведенной систематизации. 3.1. Обзор существующих классификацийОсновная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. Поскольку между локальными и удаленными воздействиями на ВС существует большая разница, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет достаточно точно описать именно удаленные воздействия. Это связано с тем, что такие воздействия характеризуются сугубо специфичными признаками для распределенных вычислительных систем. Основной особенностью распределенной системы является то, что ее компоненты рассредоточены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, а программно – при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена. Исходя из этого удаленные атаки можно классифицировать по следующим признакам [3]:
Кроме того, существуют такие классификации как [3]:
Все эти классификации направлены на то, чтобы классифицировать воздействия, присущие РВС, и систематизировать знания об удаленных атаках, которые осуществлены на данный момент времени. Но они не могут быть использованы для разработки метода обнаружения удаленных воздействий, поскольку не затрагивают механизмов их осуществления. Все эти классификации основаны на анализе последствий удаленных атак и условий их возникновения. Основным достоинством этих классификаций является простота. Их основным недостатком является то, что все они разрабатывались с точки зрения последствий, к которым приводят данные атаки. 3.2. Построение классификации удаленных атакНа основе проведенного анализа предлагается систематизировать атаки с точки зрения причин, благодаря которым атака была успешно осуществлена. Систематизация по причинам успеха удаленных атак включает в себя следующие основные признаки: неправильное использование протокола, нарушение ресурсных ограничений, ошибки в реализации политики безопасности. Тогда расширенная классификация атак будет включать в себя:
Многие атаки осуществляются из-за того, что не хватает ресурсов системы для того, чтобы, обработать все входящие пакеты, отправить ответ, или существует неявное ограничение на количество соединений на одном порте и т.д. Например, в сетевых ОС существуют ограничение на количество соединений на определенных портах (например, FTP порте). Тогда для того чтобы этот порт стал недоступен для подключения злоумышленнику достаточно открыть на этом порте максимально возможное количество соединений.
Наиболее трудно выявляемый класс атак, связан, по большей части, с ошибками администрирования. Для того чтобы предотвратить атаки, использующие «дыры» в политике безопасности, необходимо проанализировать эту политику. Здесь также возникает ряд проблем, связанных, прежде всего, с критериями, в соответствие с которыми необходимо анализировать политику, с системой, к которой применяется политика безопасности и т.д. Примером ошибки администрирования может служит включение пользователя Guest в группу Domain Admins (в Windows NT). Построенная классификация является средством, на основании которого можно разработать общий метод обнаружения удаленных воздействий. Поскольку классификация учитывает все возможные пути осуществления удаленных атак, представляется возможным перекрыть эти пути. Построенный таким образом механизм позволит обнаруживать удаленные атаки (даже те, которые еще не были осуществлены). 3.3. Разработка метода обнаружения удаленных атакНа основе приведенной систематизации можно построить метод обнаружения удаленных атак. Метод будет построен только для протоколов сетевого и транспортного уровня. Для того чтобы предотвратить отдельные атаки, необходимо определить список тех Internet пакетов, которые не могут быть пропущены в систему, условно назовем его списком запрещенных пакетов. Это необходимо для предотвращения тех атак, которые используют определенного типа пакеты. Например, можно сделать так, чтобы инициатором соединения мог выступать только защищаемый хост, а извне к нему доступ запретить, не пропуская пакеты TCP SYN – запросы на установку TCP соединения. Для того чтобы обнаружить удаленную атаку, необходимо:
Блок-схема описанного алгоритма представлена в приложении 1. Необходимо отметить тот факт, что настоящий метод предлагается для обнаружения атак для протоколов по уровню не выше транспортного, поэтому в рассмотрение не попадают такие протоколы как DNS, FTP, Telnet и другие протоколы прикладного уровня. ЗАКЛЮЧЕНИЕБурный количественный рост пользователей Internet и увеличение предоставляемых пользователям возможностей сдерживается опасностью удаленных атак. Атаки осуществляются как на отдельных пользователей, так и на организации, нанося при этом громадный моральный и материальный ущерб. Это обуславливает необходимость разработки средств защиты, которые обнаруживали бы атаки и препятствовали бы их осуществлению. В настоящее время механизмы обнаружения удаленных атак разрабатываются только после анализа осуществленных атак. Основное достоинство этого подхода – выявление всех тонкостей атаки, а недостаток – атака, хотя бы раз, будет реализована. В настоящей работе предложен иной подход решения проблемы обнаружения удаленных атак, в основе которого лежит систематизация причин успеха удаленных атак. Предложенная систематизация показывает, что причины успеха удаленных атак сводятся к трем основным причинам. Необходимо отметить, что предложенная систематизация не является полной, поскольку не рассматривает, например, атаки, направленные на соединения между хостами. Несмотря на этот недостаток, данная систематизация позволяет разработать метод обнаружения удаленных воздействий, который применим к атакам, осуществляемым на сетевом и транспортном уровнях модели протоколов. В качестве примера практического использования метода реализован алгоритм обнаружения удаленной атаки TCP flooding. В соответствии с предложенным методом были выявлены причины успеха этой атаки, набор параметров, которые необходимо контролировать, и разработан алгоритм обнаружения атаки TCP flooding. Таким образом в настоящей работе построена систематизация удаленных атак, на основании которой был разработан метод обнаружения удаленных атак и практически реализован алгоритм обнаружения одной из удаленных атак. В дальнейшем необходимо дополнить систематизацию успеха удаленных атак и распространить разработанный метод на атаки, которые осуществляются на прикладном уровне модели протоколов сети Internet. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЕСХЕМА АЛГОРИТМА ОБНАРУЖЕНИЯ АТАКИСхема разработанного алгоритма для обнаружения удаленных атак типа TCP flooding представлена на рисунках 1 и 2. Рисунок 2. Схема алгоритма |
Памятка юному исследователю Учимся писать реферат реферат Реферат – краткое изложение сути исследуемой проблемы, где автор приводит различные точки зрения, а также собственные взгляды на... | Положение о реферате обучающегося Реферат краткое изложение в письменном виде содержания и результатов индивидуальной или групповой исследовательской работы учащегося... | ||
Отзыв руководителя на реферат «Собака – помощник человека» ... | Положение о реферате обучающегося моу сош №9 им. В. Т степанченко Реферат краткое изложение в письменном виде содержания и результатов индивидуальной или групповой исследовательской работы учащегося... | ||
Контрольная работа (реферат) Контрольная работа (реферат) оформляется в виде рукописи, излагающей постановку проблемы, содержание исследования и его основные... | Программа собеседования по направлению 46. 04. 01 История Содержание От экзаменующихся требуется: знание материала, предусмотренного данной программой; умение кратко изложить содержание работы, представленной... | ||
Реферат Требование к структуре реферату Реферат должен быть выполнен самостоятельно каждым студентом на 5 или более листах формата А4 (не включая титульный лист, содержание,... | Реферат как форма устной итоговой аттестации учащихся 9 классов Реферат не копирует дословно содержание первоисточника, а представляет собой новый вторичный текст, создаваемый в результате систематизации... | ||
Реферат Отчет представлен на 21 страницах, включает в себя 1 таблицу... Содержание деятельности и результаты реализации Мероприятия 1 «Предоставление услуг населению по формированию ик компетенций с помощью... | Реферат по зарубежному опыту (семестр 2) Данный реферат (5-7 источников) включает Содержание реферата должно отражать зарубежный опыт государственного или муниципального управления, государственной политики по теме... | ||
Рекомендации «Как написать реферат» Общая информация Реферат – это самостоятельная исследовательская работа, в которой автор раскрывает суть исследуемой проблемы; приводит различные... | Реферат по социологии на тему : “ Теория конфликта” Содержание | ||
Реферат по курсу кандидатского минимума реферат, завизированный научным... Реферат представляет собой обзор зарубежной литературы по исследуемой тематике или полный письменный перевод с иностранного языка... | Реферат печатается с использованием компьютера и принтера на одной... Реферат – это краткое изложение в письменном виде содержания и результатов индивидуальной учебно-исследовательской деятельности,... | ||
Реферат Содержание Курсовые проекты и работы, рефераты на заданную (выбранную) тему, отчеты о нир и практике | Реферат по теме «Свойства и типы полупроводниковых материалов» Содержание учебного материала, лабораторные работы, самостоятельная работа обучающихся |