На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

В НИИ «Центрпрограммсистем» определен характер влияния атак на энтропию таких параметров трафика, как IP-адреса источника и назначения, а также порт назначения при рассмотрении в качестве объектов DoS- и DDoS-атаки нескольких разновидностей.

02.06.2021

Внедрение компьютерных информационных технологий практически во все сферы деятельности человека уже давно является объективной тенденцией. При этом сложность таких технологий постоянно растет, увеличиваются номенклатура и объем обрабатываемых данных. Как следствие, увеличиваются сложность и масштабы локальных и корпоративных сетей, осуществляющих обработку информации, усложняется структура информационных потоков. Применение подобных технологий в задачах, существенных с точки зрения безопасности (обработка сведений различной степени конфиденциальности, управление технологическими процессами и т.п.) в условиях постоянного роста осуществляемых сетевых компьютерных атак, очевидно, должно сопровождаться соответствующими мерами и средствами по обеспечению защиты как обрабатываемой информации, так и систем, осуществляющих эту обработку.

Одним из эффективных подходов к обеспечению защиты от сетевых компьютерных атак (вторжений) различного рода является применение систем обнаружения вторжений (СОВ) уровня сети. Данные системы позволяют выявлять вторжения путем анализа сетевого трафика с помощью различного рода методов и алгоритмов. Одной из систем, обеспечивающих обнаружение вторжений на уровнях узла и сети с использованием как сигнатурных, так и эвристических методов, является программный комплекс обнаружения вторжений «Ребус-СОВ» (ПК «Ребус-СОВ»), разработанный НИИ «Центрпрограммсистем», что подтверждается сертификатом Федеральной службы по техническому и экспортному контролю Российской Федерации на соответствие документам «Методический документ. Профиль защиты систем обнаружения вторжений уровня сети второго класса защиты» ИТ.СОВ.С2.ПЗ и «Методический документ. Профиль защиты систем обнаружения вторжений уровня узла второго класса защиты» ИТ.СОВ.У2.ПЗ.

В СОВ используются два основных подхода к обнаружению вторжений – обнаружение злоупотреблений и обнаружение аномалий.

Обнаружение злоупотреблений основано на определении соответствия контролируемых параметров трафика некоторому заранее сформированному набору шаблонов (сигнатур) известных типов вторжений. Очевидно, что в статике методы обнаружения злоупотреблений неэффективны как для новых видов вторжений, так и для модификаций ранее известных. Адаптация к их появлению осуществляется путем регулярного дополнения баз сигнатур вторжений и их актуализации на месте применения, что заведомо является длительным процессом.

Обнаружение аномалий предусматривает создание некоторых профилей штатной деятельности контролируемого объекта (на уровне сети, ЭВМ, пользователя и т.п.). Выявление вторжений при этом основано на определении степени отклонения текущего поведения объекта от сформированного профиля. Для решения задач формирования профилей и выявления отклонений от них используется целый ряд различных методов, таких как методы машинного обучения, методы вычислительного интеллекта, поведенческие методы.

Подробное описание дается в статье «Использование энтропийных характеристик сетевого трафика для определения его аномальности», автор А.Ю Ефимов (НИИ «Центрпрограммсистем», г. Тверь).