Введение
ГЛАВА 1. Анализ современного состояния в области построения систем обнаружения атак на ИС 10
1.1 Информационная система как объект защиты. Проблемы
информационной безопасности 10
1.1.1 Определение базовых понятий в области информационной безопасности 10
1.1.2 Оценка уровня безопасности информационных ресурсов 13
1.1.3 Виды угроз, подходы к их классификации 14
1.1.4 Классификация атак на ИС 16
1.2 Анализ возможных подходов к моделированию ИС 19
1.2.1 Методология SADT 20
1.2.2 Методы теории систем 21
1.2.3 Марковские модели 23
1.2.4 Нечеткая логика 25
1.2.5 Сети Петри 27
1.2.6 Нечеткие когнитивные карты 29
1.2.7 Сопоставление подходов к моделированию ИС 31
1.3 Методы противодействия атакам на информационные системы 33
1.4 Системы обнаружения атак . 34
1.4.1 Общие сведения 34
1.4.2 Оценка функциональных возможностей 35
1.4.3 Оценка интеллектуальности системы 37
1.4.4 Существующие системы обнаружения атак 38
1.4.5 Анализ существующих систем обнаружения атак 45
1.4.6 Перспективные разработки в области СОА 47
1.5 Выводы по первой главе. Цели и задачи исследования 48
ГЛАВА 2. Модели функционирования ИС 50
2.1 Разработка онтологической модели ИС 50
2.2. Разработка функциональной модели ИС 52
2.3 Разработка динамической модели ИС 57
2.4 Разработка модели атак на ИС 62
2.4 Вычисление риска функционирования ИС 66
2.5. Выводы по второй главе 78
ГЛАВА 3. Имитационное моделирование ИС 79
3.1 Описание процедуры моделирования 79
3.2 Оценка рисков функционирования ИС 84
3.2.1 Внедрение rootkit ядра SSDT 85
3.2.2 Использование утилиты regmon 87
3.2.3 Внедрение rootkit ядра КОМ 88
3.2.4 Использование dll injection 89
3.2.5 Модификация IAT 91
3.2.6 Использование keylogger ядра 92
3.3 Оценка величин ошибок 93
3.4 Обучение модели ИС 94
3.5 Выводы по третьей главе 96
ГЛАВА 4. Реализация исследовательского прототипа интеллектуальной системы обнаружения атак и оценка его практической эффективности 97
4.1 Описание архитектуры системы 97
4.1.1 Описание архитектуры сенсора 100
4.1.2 Описание реализации интеллектуального сенсора 101
4.2 Описание компонентов СОА 103
4.2.1 Реализация драйвера защиты 103
4.2.2 Технология защиты от отладки 105
4.2.3 Сбор статистики вызовов системных сервисов 106
4.2.4 Сигнатура атак 108
4.2.5 Сигнатура ответных действий 110
4.2.6 Структура центральной базы данных 110
4.2.7 Таблицы конфигурации локального сенсора СОА 114
4.2.8 Консоль администратора 119
4.2.9 Редактор моделей 120
4.3 Выводы по четвертой главе 122
Заключение 124
Литература 126
