Безопасность информационных технологий

Большинство сетевых инфраструктур государственных учреждений и частных предприятий функционируют на базе стека протоколов TCP/IP, обладающего существенными уязвимостями. В качестве примера стоит привести отсутствие проверки подлинности субъекта взаимодействия в базовых протоколах и технологиях данного стека. Часть уязвимостей можно устранить интеллектуальными функциями управляемого сетевого оборудования: от профилирования доступа до сегментации трафика. Немаловажным звеном защиты выступают комплексные межсетевые экраны, включающие системы обнаружения и предотвращения вторжений. Российскими и зарубежными учеными развиваются методы сигнатурного, эвристического, поведенческого, автомодельного, прогнозируемого и других способов анализа сетевого трафика и идентификации сетевых угроз. Однако предлагаемые решения не дают однозначного результата при использовании оверлейных технологий и криптографических протоколов. Также не уделяется надлежащее внимание обработке, анализу сетевого трафика и логов операционных систем Windows/Linux и приложений. Целью данной работы являлось исследование, разработка и программная реализация распределенной системы сбора, обработки и анализа событий информационной безопасности сетевой инфраструктуры предприятия. Ключевой задачей ставилось обеспечение объективного мониторинга сетевой информационной безопасности. Дополнительной задачей являлось обеспечение мониторинга работы пользователей персональных компьютеров под управлением операционных систем Windows и Linux. Для решения поставленной задачи была разработана концепция комплексной обработки трафика вычислительной сети и событий информационной безопасности как на стороне сервера, так и на стороне клиента. На обзор вынесен оригинальный сигнатурный и статистический метод составления базы знаний системы посредством тестирования и имитации известных сетевых и локальных атак с отслеживанием реакции операционных систем и приложений в среде виртуализации. Изложен подход к выполнению автоматизированного анализа коррелирующих событий с применением глубокого анализа содержимого пакетов и мониторинга локальной работы пользователей. Предложенное решение успешно апробировано и использовано в качестве одного из модулей обеспечения сетевой информационной безопасности системы интеллектуально-адаптивного управления сетевой инфраструктурой предприятия, разрабатываемой автором.

IDS, IPS, SIEM, анализ событий информационной безопасности, мониторинг работы сети и пользователей.

1. Ходашинский И.А., Мещеряков Р.В., Рубанов С. А. Гибридная система обнаружения вторжений на базе нечеткого классификатора с использованием жадного и генетического алгоритмов // Вопросы защиты информации. 2013. № 4(102). С. 67 - 72.

2. Тимонина А.А., Тимонина Е.Е. Атаки на централизованные системы обнаружения вторжений // Системы и средства информатики. 2013. Т. 23. № 1. С. 33 - 42.

3. Половко И.Ю., Пескова О.Ю. Анализ функциональных требований к системам обнаружения вторжений // Известия ЮФУ. Технические науки. 2014. № 2(151). С. 86 - 92.

4. Обоснование архитектуры перспективной системы обнаружения и предотвращения вторжений / М.П. Сычев [и др.] // Инженерный журнал: Наука и инновации. 2013. № 2(14). С. 23.

5. Ефимов А.Ю. Проблемы обработки статистики сетевого трафика для обнаружения вторжений в существующих информационных системах // Программные продукты и системы. 2016. № 1. С. 17 - 21.

6. Бурлаков М. Е. Модель многослойной универсальной системы обнаружения вторжений // Доклады Томского государственного университета систем управления и радиоэлектроники. 2014. № 2(32). С. 214 -218.

7. Бондяков А. С. Основные режимы работы системы предотвращения вторжений (IDS/IPS SURICATA) для вычислительного кластера // Современные информационные технологии и ИТ-образование. 2017. Т. 13. № 3. С. 31 - 37.

8. Булдакова Т. И., Джалолов А. Ш. Выбор технологий DATA MINING для систем обнаружения вторжений в корпоративную сеть // Инженерный журнал: Наука и инновации. 2013. № 11(23). С. 36.

9. Доценко С.М., Владыко А.Г., Летенко И.Д. Системы обнаружения вторжений на основе встраиваемых микропроцессорных систем // Телекоммуникации. 2013. № S7. С. 15 - 18.

10. Котенко И.В., Саенко И.Б., Полубелова О.В. Перспективные системы хранения данных для мониторинга и управления безопасностью информации // Труды СПИИРАН. 2013. № 2(25). С. 113 - 134.

11. Lavrova D.S. An approach to developing the SIEM system for the internet of things // Automatic control and computer sciences. 2016. Vol.50. №8. P. 673-681.

12. Анализ методов корреляции событий безопасности в SIEM-системах часть 1 / А.В. Федорченко, Д.С. Левшун, А.А. Чечулин, И.В. Котенко // Труды СПИИРАН. 2016. № 4(47). С. 5 - 27.

13. Грани SIEM / С. А. Графов, А. Ю. Белявцев, Д. А. Воронов, А. А. Трофимов // Защита информации. Инсайд. 2017. № 1(73). С. 56 - 62.

14. Графов А.Ф. Развитие российских SIEM-систем: Security Capsule // Защита информации. Инсайд. 2013. № 5(53). С. 84 - 86.

15. Шабуров А.С., Борисов В.И. Разработка модели защиты информации корпоративной сети на основе внедрения SIEM-Системы // Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. 2016. № 19. С. 111 - 124.

16. Петренко С.А., Цирлов В. Л. Импортозамещение решений IDS и SIEM // Защита информации. Инсайд. 2017. № 5(77). С. 46 -51.