Электронная библиотека Веда
Цели библиотеки
Скачать бесплатно
Доставка литературы
Доставка диссертаций
Размещение литературы
Контактные данные
Я ищу:
Библиотечный каталог российских и украинских диссертаций

Вы находитесь:
Диссертационные работы России
Технические науки
Системы защиты информации

Диссертационная работа:

Ковалев, Дмитрий Олегович. Выявление нарушений информационной безопасности по данным мониторинга информационно-телекоммуникационных сетей : диссертация ... кандидата технических наук : 05.13.19 / Ковалев Дмитрий Олегович; [Место защиты: Нац. исслед. ядерный ун-т].- Москва, 2011.- 170 с.: ил. РГБ ОД, 61 11-5/3560

смотреть введение
Введение к работе:

Актуальность темы. Информационно-телекоммуникационная сеть (ИТС) крупной корпоративной организации часто насчитывает десятки средств защиты информации (СЗИ), входящие в состав системы обеспечения информационной безопасности (СОИБ). Каждое из СЗИ может регистрировать сотни тысяч событий информационной безопасности (ИБ) в день. Большинство из этих сообщений ИБ являются результатом нормальной сетевой активности, и лишь немногие свидетельствуют о наличии реальных атак в ИТС. Поэтому в настоящее время мониторинг ИБ ИТС в динамически меняющейся сетевой среде является очень важной и сложной задачей. Для решения этой задачи используются системы мониторинга ИБ, которые осуществляют сбор сообщений ИБ, приведение их к единому виду, агрегацию и корреляцию для выявления аномальной сетевой активности. Примерами таких систем являются: Netforencics, Cisco MARS, IBM Tivoli, HP Arcsight и т.п.

Помимо сообщений ИБ современные системы мониторинга ИБ хранят в своем банке данных большое количество данных, имеющих отношения к ИБ: сведения об уязвимости конечных систем, сведения о выполнении политик ИБ и т.п. Совокупность информации, хранящейся в подобном банке данных, может быть использована для поддержки принятия решений по обеспечению ИБ. Однако объемы этих данных их разнородный характер делают сложным учет всех возможных параметров. Таким образом, возникает противоречие между наличием параметров, влияющих на обеспечение ИБ организации, и отсутствием методики, позволяющей одновременно учесть все эти параметры и дать на их основе некоторую консолидированную оценку результатов мониторинга ИБ. Положительный эффект от методики получения консолидированной оценки результатов мониторинга ИБ заключается в том, что она может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.

Данное противоречие может быть разрешено посредством оперативной обработки разнородных данных хранящихся в БД системы мониторинга ИБ и рас-

чета на их основе некоторой консолидированной оценки результатов мониторинга ИБ. Консолидированная оценка позволит учесть все множество данных, хранящихся в системе мониторинга ИБ, при этом сведя их к значимому, релевантному и понятному единому индикатору. Полученный индикатор может быть далее использован для принятия быстрых корректных ответных действий обслуживающим персоналом системы мониторинга ИБ.

В направлении исследования систем мониторинга ИБ работали многие отечественные и зарубежные ученые: П.Д. Зегжда, А.В Лукацкий, О.Б. Макаревич, В.В Романов, Д.В. Ушаков, ИА. Шелудько, R. Bidou, Н. R. Debar, L. A. Johnson, R. Marchan, J. Myers, V. Paxson, J.S. Thomas, H. Zhang и другие.

В тоже время дальнейшего развития требуют методы обобщения результатов мониторинга ИБ, получения консолидированной оценки результатов мониторинга ИБ и способы построения централизованной упреждающей защиты.

Научно-технические проблемы защиты информационных ресурсов, информационных и телекоммуникационных систем определены в качестве основных направлений научных исследований в области обеспечения ИБ РФ, утвержденных Советом безопасности в 2008 г., что подчеркивает актуальность настоящей работы.

Тема работы соответствует пунктам 2, 14, 15 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Объект исследования. Объектом исследования являются системы мониторинга ИБ ИТС.

Предмет исследования. Предметом исследования являются методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС. В работе рассматриваются корпоративные ИТС, представляющие собой открытые среды с возможностью выхода в Интернет, а также сетевые атаки, которые могут быть идентифицированы посредством анализа данных, содержащихся в системах мониторинга ИБ. Рассматриваются системы мониторинга ИБ, построенные на базе реляционных СУБД.

Цель исследования. Целью работы является повышение защищенности ИТС посредством своевременного результативного выявления нарушений ИБ.

Задачи, решаемые для достижения поставленной цели. В рамках работы решаются следующие задачи:

  1. исследовать методы и алгоритмы, используемые в работе систем мониторинга ИБ;

  2. исследовать закон распределения количества сообщений ИБ;

  3. разработать метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ;

  4. разработать методику получения консолидированной оценки результатов мониторинга ИБ ИТС;

  5. разработать практические рекомендации по улучшению систем мониторинга ИБ;

  6. разработать программную реализацию, позволяющую получить консолидированную оценку результатов мониторинга ИБ и провести экспериментальную проверку ее работы.

Методы исследования. В качестве основных методов исследования применялись методы системного анализа, теории вероятности и математической статистики, теории нечетких множеств и нечеткой логики.

Основные научные результаты, полученные автором. На защиту выносятся следующие основные результаты работы:

  1. метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ;

  2. методика получения консолидированной оценки результатов мониторинга ИБ, основанная на методах нечеткой логики и включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки.

Научная новизна. Научная новизна работы заключается в следующем:

  1. исследован закон распределения количества сообщений ИБ для различных временных интервалов при отсутствии атак в ИТС, который в дальнейшем используется в методе выявления нарушений ИБ в потоке сообщений ИБ;

  2. разработан метод выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ. Данный метод позволяет определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, что может являться сигналом аномальной сетевой активности;

  3. создана методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки, используемые в процессе обеспечения ИБ ИТС.

Практическая значимость работы. Практическая значимость работы заключается в следующем:

  1. результаты исследования могут использоваться организациями при проектировании и разработке собственных систем мониторинга ИБ и наметить дальнейшие перспективы развития систем мониторинга ИБ и комплексных систем защиты информации в целом;

  2. программная реализация, позволяющая получить консолидированную оценку результатов мониторинга ИБ, может быть применена организациях в процессе обеспечения ИБ ИТС;

  3. материалы диссертации также могут быть использованы при чтении курсов лекций по теории и практике защиты информации.

Достоверность результатов. Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, соответствием предложенных улучшений общим архитектурным принципам построения СЗИ и результатами лабораторного эксперимента.

Реализация результатов исследования. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Кибернетика и информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Апробация результатов и сведения о публикациях. Основные положения диссертационной работы нашли отражение в 13 публикациях по теме проведенного исследования, 4 из которых опубликованы в журналах Перечня ВАК и 9 тезисов научных докладов. Результаты диссертационной работы докладывались на Всероссийской научно-технической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2008-2010 гг.), конференции «Технологии Microsoft в теории и практике программирования» (Москва, 2008 г.), конференции «Информационная безопасность» (Красноярск, 2008 г.), международная конференция «Информационная безопасность» (Таганрог, 2008 г.), общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008 г.), а также на семинарах кафедры «Информационной безопасности банковских систем» НИЯУ МИФИ (Москва, 2009-2010 гг.).


© Научная электронная библиотека «Веда», 2003-2013.
info@lib.ua-ru.net