1 / 26

Измерение и анализ безопасности информационных систем лаб. ИВС к.т.н., с.н.с. Фаткиева Р. Р.

Измерение и анализ безопасности информационных систем лаб. ИВС к.т.н., с.н.с. Фаткиева Р. Р. Происхождение аномального поведения. Безопасность ИС определяется: качеством ПО нелинейностью информационных процессов наличием системы прерываний открытостью расширяемостью

inga-strickland
Download Presentation

Измерение и анализ безопасности информационных систем лаб. ИВС к.т.н., с.н.с. Фаткиева Р. Р.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Измерение и анализ безопасности информационных систем лаб. ИВС к.т.н., с.н.с. Фаткиева Р. Р.

  2. Происхождение аномального поведения Безопасность ИС определяется: • качеством ПО • нелинейностью информационных процессов • наличием системы прерываний • открытостью • расширяемостью • большим число степеней свободы

  3. Дефекты программного кода • сложность программного обеспечения • ошибки проектирования • переполнение буфера • неправильные данные • расширяемость

  4. Свойства атак Пример атаки Рост мощности атак со временем • Свойства атак данного класса: • простота организации • высокая эффективность • Возникает необходимость в разработке систем защиты от DoS-атак и в • исследовании методов их обнаружения.

  5. Постановка задачи • Цель: Измерение информационных потоков в системе с целью обнаружения и предсказания аномальных событий • Задачи: • Исследование методов измерений • Разработка детектора аномальных событий на основе информационных потоков • Идентификация аномальных событий • Прогноз поведения системы

  6. Практическое применение: Администрирование кластера СПИИРАН

  7. Архитектура системы мониторинга

  8. Классификация методов обнаружения аномалий (IDS) • Методы обнаружения злоупотреблений: •  Графы атак •  Нейронные сети •  Иммунные сети •  Экспертные системы •  Методы, основанные на спецификациях •  Сигнатурные методы • Методы обнаружения аномалий: •  Статистический анализ •  Кластерный анализ •  Нейронные сети •  Иммунные сети •  Экспертные системы •  Поведенческая биометрия •  Анализ систем состояний Методы измерений безопасности • процедуры сглаживания • построение тренда • оценка автокорреляции • спектральный анализ • модели авторегрессии

  9. Стенд моделирования атак Стенд представляет собой два компьютера, взаимодействующие по клиент-серверной модели. запросы ответы Клиент Сервер • генерация регулярного • HTTP-трафика • генерация атак: • HTTP-flood, SYN-flood, • UDP-flood и др. • хостинг сайта средствами • Apache, PHP, MySQL • программное обеспечение • для измерения трафика

  10. Генерация HTTP-трафика HTTP – протокол прикладного уровня, разработанный для передачи данных (прежде всего веб-страниц) по сети. Запрос: GET<URI>HTTP/1.1 Host: <адрес хоста-адресата> User-Agent: Mozilla/5.0 Accept: text/html Connection: close <пустая строка> Ответ: HTTP/1.1 200 OK ... Content-Length: 1234 Connection: close <пустаястрока> <запрошенный ресурс> Окно программы CLIENT

  11. Измерение трафика Для регистрации системного и сетевого трафика на стороне сервера работает программа MONITOR. Программа сохраняет данные на диск и строит M-файл, позволяющий загрузить формируемые временные ряды для проведения их обработки Окно программы MONITOR

  12. Распределение информационных потоков Процессор Память Входящий трафик Исходящий трафик Норма HTTP-флуд

  13. Параметры распределений Штатный режим HTTP-flood

  14. Расчет автокорреляционной функции с атакой SYN flood Интенсивность, бит Время, сек.

  15. Показатель Херста сетевого трафика Значения параметра Херста. N=60(2 часа)H=0.19N=660(22 часа) H=0.503 (трафик стал обладать свойством самоподобности)

  16. Применение метода сингулярного спектрального анализа

  17. Применение метода сингулярного спектрального анализа

  18. Применение метода сингулярного спектрального анализа

  19. Модель обнаружения аномалий

  20. Алгоритм обнаружения атак Начало Начало Начальный этап Этап анализа Сбор данных Сбор данных (построение шаблона штатного функционирования системы) (сопоставление текущих параметров с ШШФС) Вычисление параметров Вычисление параметров Отклонение зафиксировано? нет Сохранение параметров да База данных Выдача информации Конец нет Завершение работы? да Конец

  21. 1. «Разработка интероперабельной системы защищенного документооборота для мобильных устройств». Академия «Инфотекс», 2011 г. 2. Составная часть ОКР « Разработка испытательного стенда средств защиты информации», Научный центр прикладной электродинамики, 2012 г. 3.Разработка интерактивной информационной системы Комплексной Научно-Технической Программы СЗФО РФ ( ИС КНТП СЗФО)», 2012 г. 4. Проект № 4.3 по программе № 14 Фундаментальных исследований Президиума РАН, 2012 г. 5. «Детектирование атак на прикладные системы с использованием многомасштабного анализа сетевого трафика. «Академия Инфотекс», 2013 г. ГРанты и проекты

  22. 1. МОДЕЛИРОВАНИЕ СЕТЕВОГО ТРАФИКА МЕТОДОМ МОНТЕ-КАРЛО Воробьев В.И., Евневич Е.Л., Фаткиева Р.Р. Вестник Бурятского государственного университета. 2010. № 09. С. 258-262. 22 2. ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМВоробьев В.И., Фаткиева Р.Р.Информационно-измерительные и управляющие системы. 2010. Т. 8. № 11. С. 55- 3. ДИНАМИЧЕСКИЙ МЕТОД ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙВоробьев В.И., ФаткиеваР.Р.Информационно-измерительные и управляющие системы. 2009. Т. 7. № 11. С. 28-31. 0 9 4. ПРИРОДА УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДАВоробьев В.И., ФаткиеваР.Р.Информационно-измерительные и управляющие системы. 2009. Т. 7. № 4. С. 53-55. 0 10 5. АНАЛИЗ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДАФаткиева Р.Р., ПомецкоВ.В.Информационно-измерительные и управляющие системы. 2009. Т. 7. № 4. С. 56-58. 0 11 6. МЕТОД ИДЕНТИФИКАЦИИ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДАФаткиева Р.Р., ПомецкоВ.В.Информационно-измерительные и управляющие системы. 2010. Т. 8. № 7. С. 55-59. 0 12 7. СЕРВИС-ОРИЕНТИРОВАННАЯ АРХИТЕКТУРА ДЛЯ УПРАВЛЕНИЯ ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ ОРГАНИЗАЦИЕЙ НА БАЗЕ ЗАЩИЩЕННЫХ ВЕБ-СЕРВИСОВФаткиеваР.Р.Информационно-измерительные и управляющие системы. 2011. Т. 9. № 11. С. 23-26. 0 13 8. ПРИМЕНЕНИЕ ОНТОЛОГИЧЕСКОГО МОДЕЛИРОВАНИЯ ДЛЯ ПОИСКА ИНФОРМАЦИОННЫХ АНОМАЛИЙВоробьев В.И., Фаткиева Р.Р., Перминов С.В. Информационное противодействие угрозам терроризма. 2009. № 13. С. 116-119. 0 14 Публикации

  23. 1. Детализация метода сингулярного спектрального анализа для различных условий проведения атак 2. Вейвлет-анализ 3. Построение модели динамической системы на основе эмпирических функций распределения для прогноза поведения 4. Построение автоматизированной системы администрирования, включающей все перечисленные методы Планы на будущее

  24. Облака: новые возможности и новые проблемы Облака: новые возможности и новые проблемы • Информация под контролем провайдера • Нет ограничений пространства и географии • Изменения в ИТ процессах • Провайдер может иметь лучше налаженные процессы обеспечения ИБ • Физическая безопасность будет обеспечиваться провайдером • Юридическая независимость провайдера • Централизованное хранение данных • Гибридные облачные технологии • Экономия за счет масштаба • Привлекательность для киберпреступников • Проблемы хранения персональных данных • Проблемы проведения расследования киберпреступлений

  25. Факторы, препятствующие развитию облачных технологий

  26. Спасибо за внимание!

More Related