Введение
Глава 1. Обзор существующих методов и систем обнаружения сетевых атак 17
1.1 Классификация существующих подходов к обнаружению атак 20
1.2 Известные методы и технологии обнаружения атак
1.2.1 Методы сигнатурного анализа 21
1.2.2 Методы статистического анализа 22
1.2.3 Нейросетевые методы 23
1.2.4 Искусственные иммунные системы 24
1.2.5 Графовые модели атак 25
1.2.6 Биометрические методы 25
1.2.7 Методы кластерного анализа 26
1.2.8 Экспертные системы 26
1.2.9 Сводная характеристика рассмотренных методов обнаружения атак 27
1.3 Обзор и анализ существующих систем обнаружения сетевых атак 28
1.3.1 Система обнаружения атак Snort 29
1.3.2 Система обнаружения атак Вго 30
1.3.3 Система обнаружения атак STAT 31
1.3.4 Система обнаружения атака Prelude 32
1.3.5 Система обнаружения атак OSSEC 33
1.3.6 Аппаратно-программные средства Cisco Secure IPS 34
1.3.7 Система обнаружения атак RealSecure (IBM ISS) 34
1.3.8 Средства обнаружения атак Symantec Network Security 36
1.3.9 Система обнаружения атак eTrust Intrusion Detection 36
1.3.10 Сводная характеристика рассмотренных СОА 37
1.4 Обзор и анализ существующих алгоритмов поиска сигнатур в сетевом трафике 40
1.5 Постановка задач исследования 46
1.6 Выводы 48
Глава 2. Разработка модели сетевой атаки и метода обнаружения угроз на базе событий безопасности 49
2.1 Модель атаки 56
2.2 Вспомогательные понятия 58
2.3 Алгоритм анализа событий безопасности для обнаружения атак 61
2.4 Архитектура сенсора 67
2.5 Способ размещения сенсоров 70
2.6 Выводы 73
Глава 3. Разработка способа обработки сетевого трафика и локальных событий уровня хоста и алгоритма быстрого поиска для обнаружения сигнатур с неточным соответствием 74
3.1 Способ обработки сетевого трафика и локальных событий 74
3.2 Модификация алгоритма Ахо-Корасик для поиска неточного соответствия 78
3.3 Выводы 90
Глава 4. Разработка программной системы выявления угроз информационной безопасности и проведение экспериментальных исследований 91
4.1 Программная системы обнаружения угроз 91
4.2 Архитектура программной системы 92
4.2.1 Архитектура и алгоритмы работы сетевого сенсора 94
4.2.2 Разработка программных модулей сетевого сенсора 96
4.2.3 Обработчики сообщений ядра сетевого сенсора 99
4.2.4 Встроенные и подключаемые модули сенсора 102
4.2.5 Структура сообщения ядра сенсора 105
4.2.6 Формат правил настройки сенсоров
4.3 Проведение экспериментальных исследований 109
4.4 Выводы 117
Заключение 118
Список литературы
