арій? уразливість в атакується системі? ризик виявлення порушника? шкода, заподіяна жертві чи вигода порушника.
З погляду жертви:
що трапилося? кому і в якому розмірі завдано збитків? як було завдано збитків? хто порушник? коли, як і чому відбулося порушення?
По відношенню: порушник - атакується об'єкт атаки:
1) один до одного (1? 1);
2) 1 до багатьох (1? багато);
) ланцюжок (транзитивна зв'язок);
) багато до одного;
) багато до багатьох.
Вторженіе- порушення безпеки, що складається з однієї або декількох атак. Як приклад сценарію вторгнення:
1) порушник складає базу даних IP-адрес, яку він може просканувати;
2) за допомогою програми NMap визначаються операційна система і хост з умовами уразливості; при цьому досить хоча б однієї уразливості, якої зуміє скористатися автоматизована система порушника;
) здійснюватися атака з подальшим нанесенням шкоди.
7.1 Ідентифікація вторгнень
Складність ідентифікації залежить від кваліфікації порушника. Загальним підходом до виявлення є:
1) аналіз активності суб'єкта обчислювальної системи з метою виявлення аномального поведінки;
2) дослідження аномального трафіку в мережі;
) детальний аналіз вторгнення; При цьому необхідно звертати увагу на наступні компоненти:
цілісність програмного забезпечення, використовуваного для виявлення порушника. Цілісність критична для безпеки системи, програм і даних;
операції в системі і мережевий трафік.для виявлення вторгнення проводить наступні перевірки:
1) досліджувати файли даних аудиту на предмет виявлення подій, джерело яких незвичайний або інший незвичайної активності;
2) перевірити наявність дивних облікових записів користувачів або груп;
) перевірити членство в групах;
) переглянути коректність привілеїв користувача. Існує 27 привілеїв, які можуть бути присвоєні користувачу або групі;
) перевірити факт запуску додатків, що не суперечать політиці безпеки. Для цього необхідно:
перевірити каталог StartUp.Каталог перевіряється як для конкретного користувача так і для групи;
перевірити реєстр;
перевірити необхідність запущених серверів, троянські програми іноді реєструються як серверні, які стартують при запуску системи;
перевірити системні файли, порівняти з резервної початковій копією;
рекомендують використовувати перевірку на базі контрольної суми;
) перевірити системну і мережеву конфігурацію на знаходження троянських програм;
) перевірити розділяються об'єкти системи з Net Share;
) перевірити програми запускаються планувальником завдань, чи не є вони програмами порушника;
) перевірити запущені процеси;
) перевірити приховані файли і сторінкові файли, призначення яких не зрозуміло;
) перевірити всі змінені права доступу для файлів і ключів реєстру;
) перевірити зміни в політиці безпеки;
) перевірити чи не був перевизначений домен, тому порушник може спробувати отримати права адміністратора домену.
. 2 Метод аналізу динаміки розвитку атак. Система Авгур
Реалізує наступні сценарії розвитку атаки:
1) збір інформації (порушник збирає інформацію про атакується системі);
2) атака (порушник починає атаку на систему, використовуючи типові вразливості);
) консолідація (з використанням атаки порушник проник в систему і починає на основі скомпрометованого хоста етап консолідації - поширення атаки (вторгнення).
Система Авгур використовує два алгоритми:
алгоритм дослідження динаміки розвитку атаки;
алгоритм пошуку аномалій.
У відповідності з типовими сценаріями вторгнення визначаються уразливості, аналізуються стану хостів.
8. Криптографічні методи
. 1 Елементи теорії чисел
) Цілі числа А і В порівнянні за модулю, якщо виконується умова:
А=В + кn;
А=В (mod n);
