Аналіз відкритих систем виявлення вторгнень

Ігор Анатолійович Терейковський, Анна Олександрівна Корченко, Тарас Іванович Паращук, Євгеній Максимович Педченко

Анотація


Постійний розвиток інформаційних систем впливає на всі сфери діяльності суспільства. Одним із актуальних напрямів, який активно розвивається у сфері інформаційної безпеки, є виявлення кібератак і запобігання вторгнень. Масовані кібератаки ініціюють створення спеціальних технічних рішень, засобів та систем протидії. Для виявлення мережевих вторгнень використовуються сучасні методи, моделі, засоби, програмне забезпечення і комплексні технічні рішення для систем виявлення та запобігання вторгнень, які можуть залишатись ефективними при появі нових або модифікованих видів кіберзагроз. На практиці при появі нових загроз та аномалій, зазначені засоби не завжди залишаються ефективними. Тому системи виявлення вторгнень повинні постійно досліджуватись і удосконалюватись. Серед таких систем є спеціалізовані програмні засоби, які направлені на виявлення підозрілої активності або втручання в інформаційну систему і прийняття адекватних заходів щодо запобігання кібератакам. Ці системи та засоби, як правило, достатньо дорогі, мають закритий код та вимагають періодичної підтримки розробників щодо їх удосконалення і відповідного налаштування до умов конкретних організацій. Враховуючи результати відомих досліджень в роботі проведений узагальнений аналіз програмних засобів систем виявлення вторгнень за визначеною базовою множиною характеристик («Клас кібератак», «Адаптивність», «Методи виявлення», «Управління системою», «Масштабованість», «Рівень спостереження», «Реакція на кібератаку», «Захищеність» та «Підтримка операційної системи»). Це надасть певні можливості для розробників і користувачів обрати відповідне сучасне програмне забезпечення для захисту інформаційних систем.


Ключові слова


атаки; кібератаки; аномалії; зловживання; системи виявлення вторгнень; системи виявлення кібератак; системи виявлення аномалій; виявлення аномалій в інформаційних системах

Посилання


Хакерські атаки на Україну, 2017. [Електронний ресурс]. Режим доступу: https://is.gd/ 6lkWHY (дата звернення: 17.04.2018).

Пострадавшие от кибератаки банки и компании: перечень, 2017. [Електронний ресурс]. Режим доступу: https://zn.ua/UKRAINE/postradavshiy-ot-kiberataki-banki-i-kompanii-perechen-252717_ .html (дата звернення: 17.04.2018).

Хакерська атака на Україну: подробиці, 2017. [Електронний ресурс]. Режим доступу: https://www.rbc.ua/ukr/news/hakerskaya-ataka-ukrainu-podrob-nosti-1498566985.html (дата звернення: 17.04.2018).

А. Мустафаев, "Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика", Вопросы безопасности, № 2. С. 1-7, 2016. [Электронный ресурс]. Режим доступа: http://e-notabene.ru/nb/article_18834.html (дата обращения: 18.04.2018).

А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", [Электронный ресурс]. Режим доступа: http:// citforum. ru/security/internet/ids_overview/ (дата обращения: 18.04.2018).

В. Литвинов, "Аналіз систем та методів виявлення несанкціонованих вторгнень у комп’ютерні мережі", Математичні машини і системи, № 1, С. 31-40, 2018. [Електронний ресурс]. Режим доступу: URL: https:// cyberleninka.ru/ article/ v/ analiz-sistem-tametodiv-vi-yavlennya-nesanktsionovanih-vtorgnen-ukompyuterni-merezhi (дата звернення: 03.07.2018).

А. Браницкий, А. Котенко, "Анализ и классификация методов обнаружения сетевых атак", Тр. СПИИРАН, № 2 (45), С. 207-244, 2016.

Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных, 2018. [Электронный ресурс] Режим доступа: https://habr.com/post/358200/ (дата обращения: 03.07.2018).

О. Колодчак, "Сучасні методи виявлення аномалій в системах виявлення вторгнень", Вісник Національного ун-т «Львівська політехніка». Комп’ютерні системи та мережі, № 745, С. 98-104, 2012.

Д. Даниленко, О. Смірнов, Є. Мелешко, "Дослідження методів виявлення вторгнень в телекомунікаційні системи та мережі", Системи озброєння і військова техніка, Х.: Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, № 1, С. 92-100, 2012.

R. Patel, A. Thakkar, A. Ganatra, "A Survey and Comparative Analysis of Data Mining Techniques for Network Intrusion Detection Systems", International Journal of Soft Computing and Engineering (IJSCE), vol. 2, no. 1, pp. 265-260, 2012.

Al-Sakib Khan Pathan, The State of the Art in Intrusion Prevention and Detection, 2014, 516 p. [Electronic reso-urse]. Online: http://docshare03. docshare.tips/files/ 20579/205795770.pdf (viewed on August 4, 2018).

Г. Бекетова, Б. Ахметов, О. Корченко, В. Лахно, "Розробка моделі інтелектуального розпізнавання аномалій і кібератак з використанням логічних процедур, які базуються на покриттях матриць ознак", Безпека інформації, Т. 22, № 3, С. 242-254, 2016.

К. Носенко, О. Півторак, Т. Ліхоузова, "Огляд систем виявлення атак в мережевому трафiку", Адаптивні системи автоматичного управління, К : НТУУ КПІ, № 1 (24), С. 67-75, 2014.

М. Радченко, "Аналiз системи виявлення вторгнень та комп’ютерних атак", Междисциплинарные исследования в науке и образовании, № 2, 2013.

Amrit Pal Singh, Manik Deep Singh, "Analysis of Host-Based and Network-Based Intrusion Detection System", I. J. Computer Network and Information Security, vol. 8, pp. 41-47, 2014.

В. Мєшков, В. Віролайнен, "Аналiз сучасних систем виявлення та запобiгання вторгнень в інформацiйно-телекомунiкацiйних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах, Д.: НТУУ КПІ РТФ, 2015. C. 4. [Електронний ресурс]. Режим доступу: http:// ela. kpi. ua/ bitstream/ 123456789/ 17609/1/meshkov.pdf (дата звернення: 06.07.2018).

А. Лось, Ю. Даниелян, "Сравнительный анализ систем обнаружения вторжений, представленных на отечественном рынке", Вестник Московского финасово-юридического универсистета, № 3. С. 181-187, 2014.

А. Белова, Д. Бородавкин, "Сравнительный анализ систем обнаружения вторжений", Актуальные проблемы авиации и космонавтики, Сибирь: СФУ, Т. 1, № 12, С. 742-744, 2016.

А. Завада, О. Самчишин, В. Охрімчук, "Аналіз сучасних систем виявлення атак і запобігання вторгненням", Інформаційні системи, Житомир: Збірник наукових праць ЖВІ НАУ, Т. 6, № 12, С. 97106, 2012.

Обзор систем обнаружения вторжений. Металургический журнал. Отрасли народного хозяйства. Исследования рынка, 2003. [Электронный ресурс] Режим доступа: http://www.metclad.ru/pata-587-list/ (дата обращения: 10.07.2018).

В. Бабошин, В. Васильев, "Обзор зарубежных и отечественных систем обнаружения компьютерных атак", Информация и космос. СПб : СанктПетербургская научно-техническая общественная организация «Институт телекоммуникаций», № 2, С. 36-41, 2015.

С. Гриняев, Системы обнаружения вторжений, № 10, 2001. [Электронный ресурс]. Режим доступа: https://www.bytemag.ru/articles/detail.php? ID=6563 (дата обращения: 10.07.2018).

Е. Абрамов, И. Половко, "Выбор характеристик систем обнаружения атак для выработки заключения о функциональных возможностях", Известия Южного федерального университета. Технические науки. Таганрог : ЮФУ, № 12 (125), С. 88-96, 2011.

Mohammad Sazzadul Hoque, Md. Abdul Mukit, Md., Abu Naser Bikas, "An implementation of intrusion detection system using genetic algorithm", International Journal of Network Security & Its Applications (IJNSA), Sylhet, Vol. 4, no. 2, pp. 109-120, 2012.

O. Lawal, "Analysis and Evaluation of Network-Based Intrusion Detectionand Prevention System in an Enterprise Network Using Snort Freeware", African Journal of Computing & ICT, Ibadan, Vol. 6, no. 2, pp. 169-184, 2013.

S. Cooper, 11 Top Intrusion Detection Tools for 2018. [Electronic resource]. Online: https://www.comparitech.com/net-admin/networkintrusion-de-tection-tools/ (viewed on August 12, 2018).

Т. Зоріна, "Системи виявлення і запобігання атак в комп’ютерних мережах", Вісник східноукраїнського національного університету імені Володимира Даля, № 5 (204), С. 48-52, 2013.

Liu Hua Yeo, Understanding modern intrusion detection systems: a survey, 2017. [Electronic resource]. Online: https:// arxiv. org/ ftp/ arxiv/ papers/ 1708/ 1708.07174.pdf (viewed on August 12, 2018).

Д. Гамаюнов, Р. Смелянский, "Современные некоммерческие средства обнаружения атак", Программные системы и инструменты. Тематический сборник. М. : Ф-т ВМиК МГУ, C. 20, 2002.

А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", 2009. [Электронный ресурс]. Режим доступа: http://citforum. ru/ security/ internet/ ids_overview/ (дата обращения: 15.07.2018).

Е. Явтуховский, "Анализ систем обнаружения вторжений на основе интеллектуальных технологий", Технические науки: теория и практика: материалы ІІІ Междунар. науч. конф., С. 27-30, 2016. [Электронный ресурс]. Режим доступа: https:// moluch. ru/ conf/ tech/archive/165/10049/ (дата обращения: 17.07.2018).

A. Kuznetsov, "The statistical analysis of a network traffic for the intrusion detection and prevention systems", Telecommunications and Radio Engineering, Kharkiv, vol. 74, no. 1, 2015.

Marjan Kuchaki Rafsanjani, Zahra Asghari Varzaneh, "Intrusion Detection By Data Mining Algorithms: A Review", Journal of New Results in Science, Tokat : Gaziosmanpasa University, no. 2. pp. 76-91, 2013.

О. Кузнецов, О. Смірнов, Д. Даниленко, "Дисперсійний аналіз мережевого трафіку для виявлення та запобінання вторгнень в телекомунікаційних системах і мережах", Системи обробки інформації, Х. : Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, Вип. 2, С. 124-133, 2014.

Neyole Misiko Jacob, Muchelule Yusuf Wanjala, "A Review of Intrusion Detection Systems", Global Journal of Computer Science and Information Technology Research. Framingham : Global Journals Inc., Vol. 5, no. 4, pp. 1-5, 2017.

А. Большев, В. Яновский, "Подход к обнаружению аномального трафика в компьтерных сетях с использованием методов кластерного анализа", Известия Государственного Электротехнического Университета, серия Информатика, управления и компьютерные технологии, СПб. : Изд-во СПбЭТУ, Вып. 3. С. 38-45, 2006.

А. Корченко, С. Ахметова, "Классификация систем обнаружения вторжений", Інформаційна безпека. № 1 (13); № 2 (14). С. 168-175, 2014.

В. Мєшков, В. Віролайнен, "Аналіз сучасних систем виявлення та запобігання вторгнень в інформаційно-телекомунікаційних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах. К. : НТУУ КПІ РТФ, №. 1. С. 1-4, 2015.

М. Грайворонський, О. Новіков, Безпека інформацiйно-комунiкацiйних систем : навч. посіб, К. : Видавнича група BHV, 2009, 608 с.

А. Корченко, Построение систем защиты информации на нечетких множествах. Теория и практические решения, К. : МК-Пресс, 2006, 320 с.

О. Матов, В. Василенко, "Модель загроз у розподілених мережах", Реєстрація, зберігання та обробка даних, К. : НАУ, Т. 10, № 1. С. 91-102, 2008.

Security Research Laboratory and Education Center, 1999. [Electronic resource]. Online: https:// www.linuxjournal.com/article/3175 (viewed on August 20, 2018).

E. Spafford, D. Zamboni, CERIAS – Autonomous Agents for Intrusion Detection, 2000. [Electronic resource]. Online: http://www.cerias.purdue. edu/site/about/history/coast/projects/aafid.php (viewed on August 20, 2018).

J. Balasubramaniyan, An architecture for intrusion detection using autonomous agents, 2002. [Electronic resource]. Online: https://ieeexplore.ieee. org/abstract/document/738563 (viewed on August 20, 2018).

J. Balasubramaniyan, An Architecture for Intrusion Detection using Autonomous Agents, 1998. [Electronic resource]. Online: https://pdfs.semanticschoar.org/bb4b/a3a4e8b850011844c00aa0fa964bf4664b 23.pdf (viewed on August 20, 2018).

SNORT. Snort team. San Jose: Cisco Systems Inc, 2018. [Electronic resource]. Online: https:// www.snort.org/ (viewed on August 23, 2018).

IDS / IPS. Netgate Documentation: [website]. Washington : Rubicon Communications LLC, 2017. [Electronic resource]. Online: https://www.netgate. com/docs/pfsense/ids-ips/ (viewed on August 23, 2018).

Джей Бил, Snort 2.1. Обнаружение вторжений : книга, 2006, 656 с.

Snort. Spy-Soft.net: Информационная безопасность на практике, 2016. [Электронный ресурс]. Режим доступа: http://www.spy-soft.net/snort/ (дата обращения: 24.07.2018).

Snort. Snort team. Snort Blog : the Official Blog of the World Leading Open-Source IDS/IPS Snort : [website]. San Jose : Cisco Systems Inc, 2017. [Electronic resource]. Online: https:// blog. snort. org/ 2017/ 10/ snort-29110-has-been-released.html (viewed on August 24, 2018).

Prelude SIEM. Prelude SIEM. CS Communication & Systemes, 2018. [Electronic resource]. Online: https://www.prelude-siem.org/ (viewed on August 26, 2018).

SIEM на практике: дружим Prelude + Cisco IPS и выявляем эксплуатацию HeartBleed через корреляцию, 2014. [Электронный ресурс]. Режим доступа: https://habr.com/post/220449/ (дата обращения: 26.07.2018).

S. Eckmann, G. Vigna, R. Remmerer, "STATL: An Attack Language for State-based Intrusion Detection", Journal of Computer Security, Santa Barbara, pp. 1-29, 2000.

G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach", Proceedings 14th Annual Computer Security Applications Conference. Phoenix : IEEE, pp. 1-10, 1998.

Koral Ilgun, "USTAT: A real-time intrusion detection system for UNIX", Proceedings 1993 IEEE Computer Society Symposium on Research in Security and Privacy. Oakland : IEEE, pp. 16-28, 1993.

Naji Habra, Baudouin Le Charlier, Abdelaziz Mounhji, Isabelle Mathieu, "ASAX: Software architecture and rule-based language for universal audit trail analysis", Proceedings of ESORICS`92 European Symposium on Research in Computer Security. Toulouse, Vol. 648. pp. 435-450, 1992.

A. Mounji, "Preliminary Report on Distributed ASAX", Research Report, Computer Science Institute. Namur : University of Namur, 1994.

N. Habra, B. Le Charlier, A. Mounji, "Advanced Security Audit Trail Analysis on Unix. Implementation Design of the NADF Evaluator", Technical report. Namur : University of Namur, 1993.

N. Habra, B. Le Charlier, A. Mounji, "Advanced Security Audit Trail Analysis on Unix (ASAX also called SAT-X). Implemention design of the NADF Evaluator", 1994. [Electronic resource]. Online: http:// citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51. 7971&rep=rep1&type=pdf (viewed on September 3, 2018).

Р. Ярыженко, "Большой Брат: обзор системы обнаружения вторжений Bro" [Электронный ресурс]. Режим доступа: https://xakep.ru/2015/06/ 28/big-bro-197/ (дата обращения: 05.09.2018).

Vern Paxson, "Bro: A system for detecting network intruders in real-time", Proceedings of the 7th USENIX Security Symposium. San Antonio : USENIX, 1998, 22 p.

Vern Paxson, "Bro: A system for detecting network intruders in real-time", Computer Networks. Amsterdam : Elsevier, no. 31 (23-24), pp. 2435-2463, 1999.

Critique of Article Bro: A system for Detecting Network Intruders in Real-Time [Electronic resourse]. Online: https://www.24houranswers.com/ college-homework-library/Computer-Science/NetworkManagement-and-Data-Communication/25914 (viewed on September 6, 2018).

Vern Paxson, Zeek. [Electronic resource]. Online: https:// www. bro. org/ download/ index.html (viewed on September 6, 2018).

James Nelson, "Installing the Splunk for OSSEC App", 2012. [Electronic resource]. Online: http:// grepthelinuxblog.blogspot.com/2012/03/installingsplunk-for-ossec-app.html (viewed on September 8, 2018).

Home-OSSEC, 2018. [Electronic resource]. Online: https://www.ossec.net/ (viewed on September 8, 2018).

Downloads-OSSEC, 2018. [Electronic resource]. Online: https://www.ossec.net/downloads. html (viewed on September 8, 2018).

OSSEC and attacking through the firewall, 2016. [Electronic resource]. Online: https://www.cs. hioa.no/teaching/materials/MS004A/html/L65.en.pdf (viewed on September 8, 2018).

O. Ahmet, "OSSEC-HIDS. Capabilities, Architecture and plans", Presentation at the 5th Linux and Free Software Festival. Ankara, 2006.

Suricata | Open Source IDS/IPs/NSM engine, 2018. [Electronic resource]. Online: https:// suricata-ids.org/ (viewed on October 10, 2018).

Top 10 Intrusion Detection Tools: Your Best Free Options for 2019, 2018. [Electronic resource]. Online: https://www.addictivetips.com/net-admin/ intrusion-detection-tools/ (viewed on October 11, 2018).

Suricata как IPS. [Электронный ресурс]. Режим доступа: https://habr.com/post/192884/ (дата обращения: 11.10.2018).

Мартин Пранкевич, День сурка. Осваиваем сетевую IDS/IPS Suricata [Электронный ресурс]. Режим доступа: https://xakep.ru/2015/06/28/suricata-ids-ips-197/ (дата обращения: 11.10.2018).

Rainer Wichmann, The SAMHAIN file integrity / host-based intrusion detection system. [Electronic resource]. Online: https://www.la-samhna.de/ samhain/index.html (viewed on October 14, 2018).

Examining Tripwire And Samhain IDS Files Information Technology Essay. [Electronic resource]. Online: https://www.ukessays.com/essays/ information-technology/examining-tripwire-and-samhain-ids-files-information-technology-essay.php (viewed on October 14, 2018).

Rainer Wichmann, The SAMHAIN file integrity / host-based intrusion detection system. [Electronic resource]. Online: https://la-samhna.de/samhain/s_faq.html (viewed on October 14, 2018).

Phil Plantamura, Security Onion [Electronic resourse]. Online: https://securityonion.net/ (viewed on October 16, 2018).

Phil Plantamura, Security Onion Solutions. [Electronic resource]. Online: https://securityonionsolutions.com/ (viewed on October 16, 2018).

Security Onion – Intrusion Detection and Network Security Monitoring. [Electronic resource]. Online: https://honim.typepad.com/biasc/2017/12/ security-onion-.html (viewed on October 16, 2018).

IntroductionToSecurityOnion [Electronic resource]. Online: https://github.com/Security-OnionSolutions/security-onion/wiki/IntroductionToSecurity Onion (viewed on Octiber 16, 2018).

CapMe [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/CapMe (viewed on Octiber 16, 2018).

Squert [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/Squert (viewed on Octiber 16, 2018).

ELSA [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/ELSA (viewed on Octiber 16, 2018).


Повний текст: PDF

Посилання

  • Поки немає зовнішніх посилань.


ISSN  2411-071X (Online), ISSN 2225-5036 (Print)

Ліцензія Creative Commons
Цей твір ліцензовано за ліцензією Creative Commons Із зазначенням авторства - Некомерційна - Без похідних творів 3.0 Неадаптована

РИНЦ SSM WorldCat BASE Національна бібліотека ім. Вернадського Науково-технічна бібліотека НАУ Ulrich's Periodicals Directory