Грамотно построить систему защиты гораздо сложнее, чем успешно провести не менее грамотную атаку. Ведь даже одна маленькая ошибка в ответственной программе или сервисе – способна свести на нет все усилия и затраты на защиту системы. Из этого можно сделать следующий вывод: потенциально страдающая сторона просто обязана работать на опережение для уменьшения возможных рисков. Один из методов, позволяющий осуществить такую идею – это метод использования ложных уязвимостей.

Целью данной работы является разработка методики защиты локальной сети организации на основе обманных систем.

Для достижения поставленной цели решаются следующие задачи:

• анализ литературных источников по предметной области;
• анализ структуры и ресурсов корпоративной ЛВС;
• анализ типовых уязвимостей корпоративной ЛВС;
• анализ традиционных методов защиты ЛВС;
• сравнительный анализ существующих обманных систем;
• разработка методики защиты локальной сети с использованием обманных систем;
• экспериментальные исследования работы методики.

Объект исследования – средства и методы защиты информации в локальных сетях.

Предмет исследования – защита локальной сети обманной системой.

Дипломная работа состоит из следующих частей:

Во введении обоснована актуальность работы, сформулирована цель работы, определены объект и предмет исследования, перечислены задачи, решаемые в рамках данной дипломной работы.

Дипломная работа включает введение, три раздела, заключение, список использованных источников, содержащий 42 наименования и три приложения. Основной текст дипломной работы изложен на 148 страницах, включая 121 рисунок и 8 таблиц.

В первой главе проанализированы типовая структура и ресурсы корпоративной сети, рассмотрены существующие методы защиты локальных сетей. Проведен сравнительный анализ существующих обманных систем на основе выбранных критериев и на базе проведенного анализа выбрана обманная система для разработки методики защиты.

Во второй главе описывается процесс разработки методики защиты . Рассматривается архитектура выбранной обманной системы. Последовательно описываются шаги лежащие в основе данной методики.

В третьей главе представлены результаты экспериментальных исследований работы методики.

В заключении приведены основные результаты, которые были получены при решении поставленных задач.

========================================================================================

 Содержание

 Введение

1  Анализ литературных источников

1.1 Анализ типовой структуры корпоративной информационной системы предприятия

1.2 Анализ ресурсов корпоративной информационной системы

1.3 Анализ уязвимостей и угроз КИС

1.4 Анализ распространенных видов сетевых атак на ЛВС

1.5 Обзор традиционных методов защиты информации в ЛВС от злоумышленников

1.5.1 Анализ VPN

1.5.2 Анализ прокси-сервера

1.5.3 Анализ Межсетевого экрана

1.5.4 Анализ систем обнаружения атак

1.6 Анализ систем ложных уязвимостей

1.7 Анализ разновидностей систем ложных уязвимостей

1.7.1 Анализ СЛУ слабого взаимодействия

1.7.2 Анализ СЛУ среднего взаимодействия

1.7.3  Анализ СЛУ сильного взаимодействия

1.8 Функциональные требования к обманным системам

1.9 Анализ существующих систем ложных уязвимостей

1.9.1 СЛУ Back Officer Friendly

1.9.2 СЛУ Advanced Port Scanner

1.9.3 Коммерческая СЛУ «Specter»

1.9.4 Коммерческая СЛУ «KFSensor»

1.9.5 СЛУ «Honeyd»

1.9.6 Коммерческая СЛУ «ManTrap»

1.9.7 Коммерческая СЛУ «Honeypot Manager»

1.10 Признаки классификации СЛУ

1.11 Сравнительный анализ существующих систем ложных уязвимостей

1.12 Выводы

2  Разработка методики защиты

2.1 Назначение и основные функции СЛУ honeyd

2.2 Принципы функционирования СЛУ honeyd

2.3 Архитектура СЛУ honeyd0

2.4 Разработка методики защиты локальной сети с использованием  системы ложных уязвимостей honeyd

2.4.1 Анализ сети

2.4.2 Анализ уязвимостей и выбор местоположения обманной системы

2.4.3 Создание шаблонов и внедрение сценариев взаимодействия со злоумышленником

2.4.4 Процесс тестирования СЛУ

2.4.5 Процесс эксплуатации и сопровождения СЛУ

3   Экспериментальные исследования работы методики

3.1 Стенд для проведения экспериментальных исследований

3.2 Методика защиты СЛУ офисной сети с отдельным сервером

3.3 Методика защиты СЛУ офисной сети с демилитаризованной зоной

Заключение

Список использованных источников

Приложение А

Приложение Б

Приложение В

 ================================================================

Характеритики работы

Дипломная работы выполнена на 145 листах, объем приложений составляет еще 45 листов. В комплект к работы входит текст расчетно-пояснительной записки, приложения, презентация выполненная в MS Power Point

В настоящее время, практически во всех организациях для обработки данных применяют информационные системы, в частности, распределенные информационные системы. Такие системы представляют из себя совокупность узлов, дистанционно удаленных друг от друга и имеющих ряд общих параметров. Функционирование узлов информационной системы, информация, обрабатываемая в них, а так же информация, циркулирующая между узлами, могут быть жизненно важными для существования организации. Таким образом, атаки, нацеленные на причинение вреда организации, зачастую осуществляются именно на информационные системы. В связи с этим, в качестве дополнения к основной статичной системе защиты информации, целесообразно применять средство обнаружение атак.

Таким образом, цель данной работы – повышение уровня защищенности вычислительных сетей средствами системы обнаружения атак.

Для достижения поставленной цели решаются следующие задачи:

1)                                 Анализ существующих атак на информационную систему;

2)                                 Анализ существующих систем обнаружения атак;

3)                                 Анализ методов обнаружения атак;

4)                                 Разработать модель системы обнаружения атак;

5)                                 Разработать архитектуру системы обнаружения атак;

6)                                 Разработать программный комплекс обнаружения атак;

7)                                 Разработать план проведения экспериментальных исследований;

8)                                 Провести экспериментальные исследования обнаружения атак;

9)                                 Определить эргономические требования;

10)           Обосновать экономическую эффективность проекта.

Работа состоит из введения, пяти глав, заключения и приложения.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой главе рассмотрены существующие атаки на информационные системы, проанализированы существующие системы обнаружения атак и выявлены их достоинства и недостатки, проанализированы методы обнаружения атак, выбран кластерный анализ, проанализирована методы кластеризации, выбран метод K-средних и определены характеристики кластеризуемых объектов.

Во второй главе на основе выбранного, в первой главе, метода обнаружения атак была разработана архитектура адаптивной системы обнаружения атак и непосредственно сам программный комплекс для обнаружения атак.

В третье главе с помощью разработанного программного комплекса были произведены испытания и сделан вывод о его работоспособности.

В четвертой главе определены эргономические требования.

В пятой главе, произведена оценка экономической эффективности.

В заключении перечислены решенные задачи и указана достигнутая цель.

В приложении А приведен исходный код разработанного программного комплекса обнаружения атак

Состав и содержание работы:

Введение. 4

1 Анализ методов предметной области. 6

1.1 Анализ атак на информационную систему. 6

1.2 Анализ систем обнаружения атак. 15

1.3 Анализ методов обнаружения атак. 21

1.4 Анализ методов кластеризации. 28

1.5 Определение характеристик объектов. 35

1.6 Выводы по первой главе. 37

2  Разработка адаптивной системы обнаружения атак. 39

2.1 Разработка архитектуры СОА.. 39

2.2 Разработка пользовательского интерфейса. 40

2.3 Разработка модуля получения журнала маршрутизатора. 42

2.4 Разработка модуля получения пакетов. 43

2.5 Разработка модуля получения пороговых значений. 44

2.6 Разработка модуля обнаружения атак. 47

2.7 Разработка методики работы с программным комплексом. 48

2.8 Выводы по второй главе. 49

3 Проведение экспериментальных исследований. 50

3.1 Описание условий проводимого эксперимента. 50

3.2 Экспериментальное исследование. 51

3.3 Выводы по третьей главе. 54

4 Определение эргономических требований. 56

4.1 Требования к ПЭВМ.. 56

4.2 Требования к помещениям для работы с ПЭВМ.. 59

4.3 Требования к микроклимату, содержанию аэроионов и вредных химических веществ в воздухе на рабочих местах. 60

4.4 Требования к уровням шума и вибрации на рабочих местах, оборудованных ПЭВМ.. 61

4.5 Требования к освещению на рабочих местах, оборудованных ПЭВМ.. 61

4.6 Требования к уровням электромагнитных полей на рабочих местах, оборудованных ПЭВМ.. 63

4.7 Требования к визуальным параметрам ВДТ, контролируемым на рабочих местах  64

4.8 Требования к организации и оборудованию рабочих мест с ПЭВМ для пользователей. 65

4.9 Выводы по четвёртой главе. 66

5 Оценка экономической эффективности проекта. 68

5.1 Определение экономического эффекта от внедрения и срока окупаемости программного комплекса. 68

5.2 Выводы по пятой главе. 72

Заключение. 73

Список литературы используемой литературы.. 75

Приложение А   82

В комплект работы входит: непосредственно сам текст дипломного проекта (расчетно-пояснительная записка), разработанное в процессе дипломного проектирования прогораммное обеспечение (среда разработки Visual Studia .Net), текст доклада, мультимедийная презентация, автореферат работы.

В настоящее время с связи с увеличением количества и способов атак на объекты информационных систем организаций, все более востребованным становится сосздание и реализация различных алгоритмов и методов диагностики атак и выявлений действий инсайдеров. В связи с этим актуальным направлением в области защиты информации и контроля за состоянием безопасности объектов и данных в информационных системах организаций различного уровня является разработка адаптивной системы диагностика атак.

Таким образом, цель данной работы – исследование процесса диагностики атак на основе различных источников данных о состоянии хоста.

Для достижения поставленной цели решаются следующие задачи:
1.    провести анализ существующих атак на информационную систему;
2.    провести анализ различных источников данных о состоянии хоста;
3.    провести анализ существующих систем обнаружения атак с целью вы-явления их достоинств и недостатков;
4.    провести анализ методов обнаружения атак с целью выбора наиболее подходящего метода;
5.    разработать систему обнаружения атак;
6.    провести экспериментальные исследования обнаружения атак на основе различных источников данных о состоянии хоста.

Объект исследования – информационная система.

Предмет исследования – методы диагностики атак.

Работа состоит из введения, трех глав, заключения и приложения.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой главе рассмотрены существующие атаки на информационные системы, проанализированы различные источники данных о состоянии хоста, проанализированы существующие системы обнаружения атак и выявлены их достоинства и недостатки, проанализированы методы обнаружения атак и выбран генетический алгоритм.

Во второй главе на основе выбранного в первой главе метода обнаружения атак были разработаны архитектура и отдельные модули адаптивной узловой системы диагностики атак.

В третьей главе с помощью разработанной системы диагностики атак были произведены экспериментальные испытания и сделан вывод о ее работоспособности.

В заключении перечислены решенные задачи и указана достигнутая цель.

В приложении приведен исходный код разработанной адаптивной узловой системы диагностики атак.

Общий объем работы 101 лист, имеется расчетно-пояснительная записка, приложения, разработанное программное обеспечение, мультимедийная презентация.

Содержание работы

ВВЕДЕНИЕ
1. АНАЛИЗ ЗАДАЧИ ОБНАРУЖЕНИЯ АТАК НА ИНФОРМАЦИОННУЮ СИСТЕМУ
1.1 Анализ существующих атак на информационную систему
1.2 Анализ различных источников данных о состоянии хоста
1.2.1 Анализ журналов событий ОС Windows
1.2.2 Анализ системного реестра Windows
1.3 Анализ существующих систем обнаружения атак
1.4 Анализ существующих методов обнаружения атак
1.5 Выводы
2 РАЗРАБОТКА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
2.1 Разработка архитектуры адаптивной узловой системы диагностики атак
2.3 Разработка баз данных
2.4 Разработка алгоритма работы датчика 1
2.5 Разработка алгоритма работы датчика 2
2.6 Разработка алгоритма работы модуля управления
2.7 Разработка алгоритма работы модуля анализа 1
2.8 Разработка алгоритма работы модуля анализа 2
2.9 Математическая модель модуля генетического алгоритма
2.10 Выводы
3 ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ
3.1 Постановка задачи на экспериментальные исследования
3.2 Проведение экспериментальных исследований
3.2.1 Вирусная атака Trojan-Banker.Win32.Banker.cmb.
3.2.2 Вирусная атака Вирусная атака Trojan.Win32.KillAV.br
3.2.3 Вирусная атака Trojan.VBS.Seeker.g
3.2.4 Атака подбор пароля
3.2.5 Атака несанкционированный доступ к объекту
3.2.6 Получение статистики появления событий реестра
3.2.7 Получение статистики появления событий изменения журнала «Безопасность»
3.3 Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ
Приложение А
Приложение B
Приложение C
Приложение D
Приложение E
Приложение F
Приложение G

Системы обнаружения вторжений  давно используются как один из рубежей защиты информационной системы. На сегодняшний день системы обнаружения вторжений обычно представляют собой программные или программно-аппаратные решения, которые автоматизируют процесс контроля событий, происходящих в компьютерной системе или сети, а также самостоятельно анализируют эти события.

Поскольку количество вторжений в ИС с каждым годом увеличивается, возрастает необходимость использования систем их  обнаружения в инфраструктуре безопасности организаций. Такие системы позволяют быстро и своевременно реагировать на инциденты и принимать решения по устранению пробелов в системе безопасности.

Таким образом, цель данной работы – разработать программный комплекс обнаружения атак.

Для достижения поставленной цели решаются следующие задачи:
1.    Анализ статистики атак на информационную систему
2.    Анализ структуры и содержания данных реестра
3.    Анализ существующих систем обнаружения вторжений
4.    Анализ методов и алгоритмов обнаружения вторжений
5.    Разработка программного комплекса обнаружения вторжений
6.    Экспериментальные исследования обнаружения вторжений

Объект исследования – информационная система. Предмет исследования – системы обнаружения вторжений.

Работа состоит из введения, трех глав, заключения и приложения.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой главе рассмотрены существующие атаки на информационные системы, проанализирована структура и содержание реестра, проанализированы существующие системы обнаружения вторжений и выявлены их достоинства и недостатки, проанализированы методы обнаружения вторжений и выбран нейросетевой метод.

Во второй главе на основе выбранного в первой главе метода обнаружения вторжений были разработаны архитектура и отдельные модули программного комплекса обнаружения вторжений.

В третьей главе с помощью разработанного программного комплекса были произведены экспериментальные испытания и сделан вывод о его работоспособности.

В заключении перечислены решенные задачи и указана достигнутая цель.

В приложении приведен исходный код разработанного программного комплекса обнаружения атак.

Общий объем работы составляет 91 лист. Имеется пояснительная записка, разработанный программный комплекс и мультимедийная презентация

Содержание работы:

ВВЕДЕНИЕ
1 АНАЛИЗ ЗАДАЧИ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ В ИНФОРМАЦИОННУЮ СИСТЕМУ
1.1 Анализ статистики атак на информационную систему
1.2 Анализ структуры и содержания реестра
1.3 Анализ существующих систем обнаружения атак
1.4 Анализ существующих методов обнаружения атак
1.5 Выводы
2 РАЗРАБОТКА ПРОГРАММНОГО КОМПЛЕКСА ОБНАРУЖЕНИЯ АТАК
2.1 Разработка архитектуры программного комплекса обнаружения атак на основе анализа данных реестра
2.2 Разработка интерфейса пользователя
2.3 Разработка базы данных
2.4 Разработка алгоритма работы системного датчика
2.5 Разработка алгоритма работы модуля управления
2.6 Разработка алгоритма работы модуля анализа
2.7 Математическая модель модуля нейронной сети
2.8 Выводы
3 ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ
3.1 Постановка задачи на экспериментальные исследования
3.2 Проведение экспериментальных исследований
3.2.1 Вирусная атака Trojan-Banker.Win32.Banker.cmb.
3.2.2 Вирусная атака Вирусная атака Trojan.Win32.KillAV.br
3.2.3 Вирусная атака Trojan.VBS.Seeker.g
3.2.4 Получение статистики появления событий
3.3 Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ
Приложение А
Приложение B
Приложение С
Приложение D