В настоящее время, практически во всех организациях для обработки данных применяют информационные системы, в частности, распределенные информационные системы. Такие системы представляют из себя совокупность узлов, дистанционно удаленных друг от друга и имеющих ряд общих параметров. Функционирование узлов информационной системы, информация, обрабатываемая в них, а так же информация, циркулирующая между узлами, могут быть жизненно важными для существования организации. Таким образом, атаки, нацеленные на причинение вреда организации, зачастую осуществляются именно на информационные системы. В связи с этим, в качестве дополнения к основной статичной системе защиты информации, целесообразно применять средство обнаружение атак.

Таким образом, цель данной работы – повышение уровня защищенности вычислительных сетей средствами системы обнаружения атак.

Для достижения поставленной цели решаются следующие задачи:

1)                                 Анализ существующих атак на информационную систему;

2)                                 Анализ существующих систем обнаружения атак;

3)                                 Анализ методов обнаружения атак;

4)                                 Разработать модель системы обнаружения атак;

5)                                 Разработать архитектуру системы обнаружения атак;

6)                                 Разработать программный комплекс обнаружения атак;

7)                                 Разработать план проведения экспериментальных исследований;

8)                                 Провести экспериментальные исследования обнаружения атак;

9)                                 Определить эргономические требования;

10)           Обосновать экономическую эффективность проекта.

Работа состоит из введения, пяти глав, заключения и приложения.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой главе рассмотрены существующие атаки на информационные системы, проанализированы существующие системы обнаружения атак и выявлены их достоинства и недостатки, проанализированы методы обнаружения атак, выбран кластерный анализ, проанализирована методы кластеризации, выбран метод K-средних и определены характеристики кластеризуемых объектов.

Во второй главе на основе выбранного, в первой главе, метода обнаружения атак была разработана архитектура адаптивной системы обнаружения атак и непосредственно сам программный комплекс для обнаружения атак.

В третье главе с помощью разработанного программного комплекса были произведены испытания и сделан вывод о его работоспособности.

В четвертой главе определены эргономические требования.

В пятой главе, произведена оценка экономической эффективности.

В заключении перечислены решенные задачи и указана достигнутая цель.

В приложении А приведен исходный код разработанного программного комплекса обнаружения атак

Состав и содержание работы:

Введение. 4

1 Анализ методов предметной области. 6

1.1 Анализ атак на информационную систему. 6

1.2 Анализ систем обнаружения атак. 15

1.3 Анализ методов обнаружения атак. 21

1.4 Анализ методов кластеризации. 28

1.5 Определение характеристик объектов. 35

1.6 Выводы по первой главе. 37

2  Разработка адаптивной системы обнаружения атак. 39

2.1 Разработка архитектуры СОА.. 39

2.2 Разработка пользовательского интерфейса. 40

2.3 Разработка модуля получения журнала маршрутизатора. 42

2.4 Разработка модуля получения пакетов. 43

2.5 Разработка модуля получения пороговых значений. 44

2.6 Разработка модуля обнаружения атак. 47

2.7 Разработка методики работы с программным комплексом. 48

2.8 Выводы по второй главе. 49

3 Проведение экспериментальных исследований. 50

3.1 Описание условий проводимого эксперимента. 50

3.2 Экспериментальное исследование. 51

3.3 Выводы по третьей главе. 54

4 Определение эргономических требований. 56

4.1 Требования к ПЭВМ.. 56

4.2 Требования к помещениям для работы с ПЭВМ.. 59

4.3 Требования к микроклимату, содержанию аэроионов и вредных химических веществ в воздухе на рабочих местах. 60

4.4 Требования к уровням шума и вибрации на рабочих местах, оборудованных ПЭВМ.. 61

4.5 Требования к освещению на рабочих местах, оборудованных ПЭВМ.. 61

4.6 Требования к уровням электромагнитных полей на рабочих местах, оборудованных ПЭВМ.. 63

4.7 Требования к визуальным параметрам ВДТ, контролируемым на рабочих местах  64

4.8 Требования к организации и оборудованию рабочих мест с ПЭВМ для пользователей. 65

4.9 Выводы по четвёртой главе. 66

5 Оценка экономической эффективности проекта. 68

5.1 Определение экономического эффекта от внедрения и срока окупаемости программного комплекса. 68

5.2 Выводы по пятой главе. 72

Заключение. 73

Список литературы используемой литературы.. 75

Приложение А   82

В комплект работы входит: непосредственно сам текст дипломного проекта (расчетно-пояснительная записка), разработанное в процессе дипломного проектирования прогораммное обеспечение (среда разработки Visual Studia .Net), текст доклада, мультимедийная презентация, автореферат работы.

В настоящее время системы защиты информации информационной системы создаются практически для каждой организации. Практика показывает: чем масштабнее сеть и чем более ценная информация доверяется подключенным к ней компьютерам, тем больше находится желающих нарушить ее нормальное функционирование ради материальной выгоды или просто из праздного любопытства.

Основным защитным рубежом против злонамеренных атак в компьютерной сети являются системы защиты информации. Злоумышленник, желая взломать систему, пытается обойти такие системы защиты информации создавая новые различные виды атак. В связи этим  необходимо постоянно вносить коррективы в системы защиты информации для отражения новых видов атак.    Поэтому актуальной считается задача создания модели адаптивной СЗИ которая изменяет алгоритмы своего функционирования и (иногда) свою структуру с целью обеспечения состояния защищенности информационной среды. Адаптивность системы защиты информации позволяет обеспечить заданный уровень безопасности ИТ-систем за счет реакции системы защиты на изменение поля угроз.

Целью данной работы является, исследование и разработка модели адаптивной системы информационной безопасности. Таким образом, в рамках этой работы необходимо решить следующие задачи:

1. проанализировать существующие способы  построения модели адаптивной системы информационной безопасности;
2. разработать модель адаптивной системы информационной безопасности;
3. провести экспериментальные исследования с помощью разработанной модели адаптивной системы информационной безопасности.

Объектом исследования в данной работе является система защиты информации.

Предметом исследования являются методы построения моделей адаптивных систем информационной безопасности.

Курсовая работа состоит из следующих частей:

Во введении обоснована актуальность исследования, сформулирована цель работы, определены объект и предмет исследования. Кроме того, перечислены задачи, решаемые в рамках данной курсовой работы.

В первой главе основной части проанализированы существующие способы разработки модели адаптивной системы информационной безопасности.

Во второй главе разработана модель адаптивной системы информационной безопасности с применением искусственных нейронных сетей и разработан программный комплекс  системы обнаружения атак на информационную систему с использованием нейросетевых технологий.

В третьей главе проведено экспериментальное исследование системы обнаружения атак на информационную систему с помощью разработанного программного комплекса.

В заключение курсовой работы сформулированы результаты по проделанной работе. В комплект работы входит: расчетно-пояснительная записка, разработанное программно обеспечение, мультимедийная презентация.

Содержание работы:
Введение
Глава 1. Анализ существующих способов разработки модели адаптивной системы информационной безопасности.
1.1 Основные понятия и определения
1.2 Анализ методики построения адаптивной системы информационной безопасности
1.3 Анализ средств и методов придания системам защиты информации адаптивных свойств.
1.4 Анализ угроз информационным системам
1.5 Анализ существующих способов обнаружения атак на информационную систему
1.5.1 Системы анализирующие сигнатуры
1.5.2 Статистические системы обнаружения атак
1.5.3 Системы обнаружения атак, контролирующие целостность.
1.5.4 Системы обнаружения атак, основанные на искусственных нейронных сетях.
1.5.4.1 Анализ возможностей журнала безопасности Windows
1.5.4.2 Анализ пакетов протокола IP
1.5.4.3 Анализ применимости нейросетевых технологий
1.6 Анализ программных пакетов для построения искусственных нейронных сетей
1.7 Выводы по главе 1.
Глава 2. Разработка модели адаптивной системы информационной безопасности с применением искусственных нейронных сетей.
2.1 Обобщенная структура модели адаптивной системы информационной безопасности
2.2 Разработка архитектуры программного комплекса обнаружения атак
2.3 Разработка пользовательского интерфейса и модуля централизованного мониторинга
2.4 Разработка модуля анализа системных событий
2.5 Разработка модуля статистики системных событий и базы данных системных событий
2.6 Разработка модуля анализа сетевого трафика
2.7 Разработка модуля статистики сетевых пакетов и базы данных сетевых пакетов
2.8 Разработка нейросетевого модуля
Глава 3. Экспериментальное исследование разработанной модели адаптивной системы информационной безопасности основанной на искусственных нейронных сетях.
3.1. Постановка задачи на проведение эксперимента
3.2. Проведение эксперимента
3.3. Анализ полученных результатов
Заключение
Список литературы
Приложение 1
Приложение 2
Приложение 3
Приложение 4
Приложение 5
Приложение 6

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны. Но сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы. Продукты по обнаружению атак часто рассматриваются в качестве логического дополнения к существующей системе защиты информации, расширяя возможности системных администраторов в управлении безопасностью, которые включают аудит защиты, мониторинг и распознавание атак.

А потому немаловажным для подобных систем является свойство адаптивности, т.е. способности обнаруживать новые атаки и новые виды существующих атак. Кроме этого в настоящее время развитие систем обнаружения атак направлено на проведение как можно более полного мониторинга на различных уровнях информационной системы.

А потому данная работа является актуальной.

Целью дипломной работы является: исследование адаптивных возможностей нейронных сетей для задачи обнаружения атак.

Для достижения цели решаются следующие задачи:

1. Анализ угроз информационной системе.
2. Анализ существующих методов обнаружения атак на информационную систему.
3. Анализ существующих систем обнаружения атак.
4. Анализ возможностей журнала безопасности Windows.
5. Анализ пакетов протокола IP.
6. Анализ нейронных сетей.
7. Разработка программной модели адаптивной системы обнаружения атак.
8. Проведение экспериментальных исследований на разработанной модели.

Объектом исследования в дипломной работе является информационная система.

Предметом исследования являются методы и способы диагностики атак на информационную систему.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой главе основной части проанализированы угрозы информационной системе, проведен анализ существующих методов обнаружения атак на информационную систему, проанализированы существующие системы обнаружения атак, проведен анализ возможностей журнала безопасности Windows, проанализированы пакеты протокола IP, проведен анализ нейронных сетей.

Во второй главе разработана программная модель адаптивной системы обнаружения атак на информационную систему

В третьей главе проведено экспериментальные исследования обнаружения атак на информационную систему с помощью разработанной модели.

В заключение дипломной работы сформулированы результаты по проделанной работе.

——————————————————————————————————————————————————

Содержание работы

Введение

1 Анализ существующих способов обнаружения атак на информационную систему                                                                          1.1 Анализ угроз информационной системе

1.2 Анализ существующих методов обнаружения атак на информационную систему

1.3 Анализ существующих СОА

1.4 Анализ возможностей журнала безопасности Windows

1.5 Анализ пакетов протокола IP

1.6 Анализ нейронных сетей

2 Разработка программной модели адаптивной системы обнаружения атак на информационную систему

2.1 Разработка архитектуры программной модели обнаружения атак

2.2 Разработка пользовательского интерфейса и модуля централизованного мониторинга                                                 2.3 Разработка модуля анализа системных событий

2.4 Разработка модуля статистики системных событий и базы данных системных событий

2.5 Разработка модуля анализа сетевого трафика

2.6 Разработка модуля статистики сетевых пакетов и базы данных сетевых пакетов                                                              2.7 Разработка нейросетевого модуля

3 Экспериментальное исследование обнаружения атак на информационную систему с помощью разработанной модели

3.1 Постановка задачи на проведение эксперимента

3.2 Проведение эксперимента

3.3 Анализ полученных результатов

Заключение

Список литературы

Приложения

Общий объем работы составляет 98 листов и включает 6 приложений.      Библиографический список насчитывает 51 источник.

——————————————————————————————————————————————————
 Резюме:

В результате выполнения дипломной работы были решены следующие задачи:

1. Проанализированы угрозы информационной системе. Как наиболее опасные были выявлены программные угрозы и выявлены уровни их воздействия: системный и сетевой.
2. Проанализированы существующие методы обнаружения атак на информационную систему. Были выделены адаптивные методы обнаружения атак. Среди них был выбран метод на основе нейронных сетей, т.к. существует множество программных средств, позволяющих строить и использовать нейронные сети, что делает их простыми в использовании.
3. Проанализированы существующие бесплатные системы обнаружения атак. Анализ показал, что не одна СОА не удовлетворяет предъявленным требованиям гибридности и адаптивности.
4. Проанализированы поля журнала Windows и выбраны поля для анализа: тип события, время возникновения события, событие, пользователь.
5. Проанализирован формата заголовка IP-пакетов и выбраны поля для анализа: адрес источника, адрес получателя, протокол, время приема.
6. Проанализированы различные типы нейронных сетей. Выбраны два типа нейронных сетей. Для первоначальной классификации входных данных были выбраны сети Кохонена. Для последующего анализа – многослойный персептрон.
7. Разработан программный комплекс обнаружения атак на информационную систему с использованием нейросетевых технологий. Разработанный комплекс включает в себя пользовательский интерфейс и модуль централизованного мониторинга, модуль анализа системных событий, базу данных системных событий и модуль статистики системных событий, модуль анализа сетевого трафика, базу данных сетевых пакетов и модуль статистики сетевых пакетов, нейросетевой модуль.
8. Проведены экспериментальные исследования обнаружения атак на информационную систему с помощью разработанного программного комплекса. Было сгенерировано 30 событий, из которых 10 «неправильных» и 20 правильных и 30 пакетов, из которых 10 «неправильных» пакетов и 20 правильных. Все 10 пакетов были определены верно, 7 событий были определены верно, тип 3-х был не определен. Результаты проведенных на экспериментальной сети исследований показали правильность работы программного комплекса диагностики атак и возможность использования нейронных сетей для адаптивного обнаружения атак.

Цель проекта — получить количественную оценку защищённости информационной системы от некоторого множества злоумышленных воздействий путем их детальной имитации.

Объектом исследования является процесс злоумышленного воздействия на информационную систему.

Субъект исследования — полунатурная модель для имитации злоумышленных воздействий на информационную систему с целью качественной, а также количественной оценки её защищённости.

Подцель 1-й части дипломного проекта — построение библиотеки сценариев злоумышленных воздействий на информационную систему. Подцель достигается путём решения следующих задач:

• анализ существующих моделей оценки защищённости информационной системы от злоумышленных воздействий; выбор подходящей модели;
• анализ подходов к построению сценариев злоумышленника в рамках выбранной модели;
• анализ средств построения сценариев злоумышленника;
• разработка методики построения библиотеки сценариев злоумышленника;
• разработка условий и сценариев проведения экспериментальных исследований;
• разработка библиотеки сценариев злоумышленника;
• анализ результатов экспериментальных исследований, разработка рекомендаций по использованию методики построения сценариев злоумышленника.

Подцель 2-й части проекта — реализация программной системы, функционирующей согласно построенному множеству сценариев злоумышленных воздействий. Достижение подцели включает в себя решение следующих задач:

• анализ предметной области исследования, разработка критериев анализа моделей для имитации злоумышленных воздействий на информационную систему;
• анализ видов модели для имитации злоумышленных воздействий, выбранной в результате анализа, проведённого в первой части проекта; выбор подходящего вида модели;
• выбор средств реализации программной системы для имитации злоумышленных воздействий на информационную систему;
• разработка архитектуры указанной программной системы;
• разработка условий и сценариев проведения экспериментальных исследований;
• реализация программной системы в соответствии с библиотекой сценариев злоумышленника, разработанной в первой части проекта;
• имитация злоумышленных воздействий на информационную систему;
• анализ результатов, разработка рекомендаций по использованию программной системы.

——————————————————————————————————————————————————-

Содержание работы

Введение.

1 Исследование многоагентного моделирования злоумышленных воздействий на информационную систему.

1.1 Анализ предметной области исследования.

1.2 Анализ существующих моделей оценки защищённости информационной системы от злоумышленных воздействий.

1.3 Анализ многоагентных моделей для имитации злоумышленных воздействий на информационную систему.

1.4 Анализ многоагентной модели Belief-Desire-Intention.

1.4.1 Анализ программного каркаса Procedural Reasoning System..

1.4.2 Анализ контролирующего механизма Belief-Desire-Intention.

1.4.3 Анализ механизма взаимодействия модели Belief-Desire-Intention с исследуемой информационной системой.

1.5 Анализ сред разработки многоагентных систем.

1.6 Выводы..

2 Разработка многоагентной системы для имитации злоумышленных воздействий на информационную систему.

2.1 Разработка архитектуры многоагентной системы..

2.2 Разработка модуля имитации злоумышленных воздействий.

2.3 Разработка коммутатора.

2.4 Разработка модуля виртуальных компонентов.

2.5 Разработка шлюза связи с информационной системой.

2.6 Выводы..

3 Экспериментальные исследования защищённости информационной системы от злоумышленных воздействий.

3.1 Разработка методики проведения экспериментальных исследований.

3.2 Разработка конфигурации стенда для проведения экспериментальных исследований

3.3 Эксперимент 1.

3.4 Эксперимент 2.

3.5 Разработка рекомендаций по использованию многоагентной системы.

3.6 Выводы..

Заключение.

Список использованных источников.

Приложение А.

Приложение Б.

Приложение В.

Приложение Г.

Приложение Д.

Приложение Е.

Приложение Ж..