Каталог / ТЕХНИЧЕСКИЕ НАУКИ / Математическое и программное обеспечение вычислительных систем, комплексов и компьютерных сетей
скачать файл: 
- Название:
- Гамаюнов Денис Юрьевич. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов
- Альтернативное название:
- Gamayunov Denis Yuryevich. Detection of computer attacks based on the analysis of the behavior of network objects
- ВУЗ:
- МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ имени М.В. Ломоносова
- Краткое описание:
- Гамаюнов Денис Юрьевич. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов : диссертация ... кандидата физико-математических наук : 05.13.11 / Гамаюнов Денис Юрьевич; [Место защиты: Моск. гос. ун-т им. М.В. Ломоносова]. - Москва, 2007. - 88 с. : ил. РГБ ОД, 61:07-1/1269
МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
имени М.В. Ломоносова
ФАКУЛЬТЕТ ВЫЧИСЛИТЕЛЬНОЙ МАТЕМАТИКИ И КИБЕРНЕТИКИ
ОБНАРУЖЕНИЕ КОМПЬЮТЕРНЫХ АТАК НА ОСНОВЕ
АНАЛИЗА ПОВЕДЕНИЯ СЕТЕВЫХ ОБЪЕКТОВ
Специальность 05.13.11 - математическое и программное обеспечение вычислительных
машин, комплексов и компьютерных сетей
ДИССЕРТАЦИЯ на соискание ученой степени кандидата физико-математических наук
Научный руководитель: д.ф-м.н. Р.Л.Смелянский
МОСКВА
2007
1.1. ЗАДАЧА ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК 4
1.2. АКТУАЛЬНОСТЬ ТЕМЫ 4
IJ. ЦЕЛЬРАБОТЫ 5
1.4. МЕТОДЫ РЕШЕНИЯ „„...5
1.5. СТРУКТУРА РАБОТЫ 6
2. ОБЗОР МЕТОДОВ И СИСТЕМ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК 7
2.1. КРИТЕРИИ СРАВНЕНИЯ 7
2.1.1. КРИТЕРИИ СРАВНЕІІИЯ МЕТОДОВ ОБНАРУЖЕІШЯ АТАК 7
2.1.2. КРИТЕРИИ СРАВНЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК 8
2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АТАК 10
2.2.1. МЕТОДЫ ОБНАРУЖЕНИЯ ЗЛОУПОТРЕБЛЕНИЙ 11
2.2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ 13
2.2.3. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА 14
2.3. СОВРЕМЕННЫЕ ОТКРЫТЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК 14
2.3.1. ИССЛЕДОВАННЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК 14
2.3.2. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА 15
2.4. ОПИСАНИЕ ИССЛЕДОВАННЫХ СИСТЕМ 20
2.4.1. BRO 20
2.4.2. OSSEC 20
2.4.3. STAT 21
2.4.4. PRELUDE 22
2.4.5. SNORT 24
2.5. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ 25
3. МОДЕЛЬ ОБНАРУЖЕНИЯ АТАК 27
3.1. МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ РИС 27
3.1.1. ОСІ ЮВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ 28
3.1.2. МОДЕЛЬ ПОВЕДЕНИЯ ОБЪЕКТА И МОДЕЛЬ АТАКИ 30
3.2. ФОРМАЛЬНАЯ ПОСТАНОВКА ЗАДАЧИ ОБНАРУЖЕНИЯ АТАК 33
3*3. РАСПОЗНАВАНИЕ НОРМАЛЬНЫХ И АНОМАЛЬНЫХ ТРАЕКТОРИЙ 33
3.4. Язык ОПИСАНИЯ АВТОМАТОВ ПЕРВОГО И ВТОРОГО РОДА 35
3.5. АЛГОРИТМЫ ОБНАРУЖЕНИЯ АТАК 38
4. ЭКСПЕРИМЕНТАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК 40
4.1. АРХИТЕКТУРА И АЛГОРИТМЫ РАБОТЫ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК 40
4.1.1. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ СЕТЕВОГО СЕ1 (СОРА 42
4.1.2. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ УЗЛОВОГО СЕНСОРА 49
4.1.3. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ ПОДСИСТЕМЫ РЕАГ ИРОВАНИЯ 50
4.1.4. СТРУКТУРА И АЛГОРИТМЫ РАБОТЫ КОНСОЛИ УПРАВЛЕНИЯ 52
4.1.5. ОРГАНИЗАЦИЯ ИЕРАРХИЧЕСКОГО ХРАНИЛИЩА ДАШ 1ЫХ 56
4.2. ВЫВОДЫ ПО АРХИТЕКТУРЕ 57
5. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ЭКСПЕРИМЕНТАЛЬНОЙ СОА 59
5.1. НАБОР ТЕСТОВЫХ ПРИМЕРОВ 59
5.2. ТЕСТОВЫЕ СЦЕНАРИИ ОБНАРУЖЕНИЯ 59
5.3. СОСТАВ И СТРУКТУРА ИНСТРУМЕНТАЛЬНОГО СТЕНДА 61
5.3.1. СЕТЕВАЯ ИНФРАСТРУКТУРА 63
- Список литературы:
- ЗАКЛЮЧЕНИЕ
Основные результаты работы заключаются в следующем:
♦ Построена модель функционирования РИС в условиях воздействия компьютерных атак, в рамках которой задача обнаружения атак сведена к задаче поиска подцепочек в цепочке символов. Данная модель позволила формально оценить вычислительную сложность предложенного в работе метода и показать его корректность;
♦ Предложен гибридный метод обнаружения атак на основе метода анализа систем переходов, позволяющий обнаруживать неизвестные атаки как отклонения наблюдаемого поведения сетевых объектов от нормального;
♦ На основе предложенных методов реализована система обнаружения атак для ОС Linux и Windows 2000/ХР. Данная экспериментальня система показала высокую эффективность обнаружения на испытательном стенде. Экспериментально показана адаптивность системы к неизвестным атакам. Предложенный метод обнаружения атак может быть использован для
построения систем защиты распределенных вычислительных систем в условиях функционирования в сетях общего доступа, где высока вероятность появления новых реализаций атак. Наибольшая эффективность метода достижима в тех системах, где множество классов объектов (используемых сервисов и программного обеспечения) ограничено и не меняется со временем существенным образом, что позволяет использовать модели нормального поведения для обнаружения атак.
Перспективой развития предложенного метода является исследование всех классов современных атак и оценка возможности построения грамматики для каждого класса в терминах операций доступа класса с ограниченным контекстом фиксированной длины (например, LR(k)-rpaMматику). Что позволит построить автомат, не только обнаруживающий произвольные атаки соответствующего класса, но и предсказывающий принадлежность наблюдаемой траектории классу атак до завершения атаки. Отдельный интерес представляет задача автоматизации построения автоматов первого и второго рода по заданным примерам атак и реальных приложений (включая приложения, доступные лишь в бинарном виде), а так же создание соответствующего инструментального средства.
- Стоимость доставки:
- 200.00 руб