о і культурного рівня.
4. Актуальність розроблюваної методики
Мережевий моніторинг (моніторинг мережі) - це складне завдання, потребує великих витрат сил, яка є життєво важливою частиною роботи мережевих адміністраторів. Адміністратори постійно прагнуть підтримати безперебійну роботу своєї мережі. Якщо мережа «впаде» хоча б на невеликий період часу, продуктивність в компанії скоротиться і (у разі організацій надають державні послуги) сама можливість надання основних послуг буде поставлена ??під загрозу. У зв'язку з цим адміністраторам необхідно стежити за рухом мережевого трафіку і продуктивністю на всій мережі і перевіряти, чи з'явилися в ній проломи в безпеці.
5. Характеристика аномалій в автоматизованій системі та мережевому трафіку
Для того щоб дати поняття аномального стану, на початку дамо визначення стану і нормального стану. Під станом будемо розуміти набір параметрів які характеризують будь-яку систему (наприклад, комп'ютерну). Під нормальним станом будемо розуміти такий стан системи, при якому вона коректно виконує всі покладені на неї функції.
Внаслідок вищесказаного, під аномальним станом будемо розуміти стан, при якому поведінка системи відрізняється від нормального.
Аномальне стан для автоматизованої системи (АС). Згідно ГОСТ, під АС розуміється система, що складається з персоналу та комплексу засобів автоматизації його діяльності, що реалізує інформаційну технологію виконання встановлених функцій. [1] Нас цікавлять засоби автоматизації діяльності, оскільки дії персоналу в АС ставляться до питань організаційного забезпечення ІБ і, в рамках даної роботи, розглядатися не будуть.
До засобів автоматизації можна віднести всілякі апаратно-програмні засоби, що здійснюють автоматичний збір, зберігання і обробку інформації.
Таким чином, аномальне стан АС - це такий стан АС, у якому вона перестає обробляти інформацію належним чином. Приміром, система перестає коректно здійснювати введення/виведення інформації, або в системі спостерігається різке падіння/підвищення продуктивності.
Аномальне стан в мережевому трафіку. Під мережевим трафіком розуміється потік (або обсяг) інформації, що проходить через канал зв'язку або припадає на сайт/сервер. Трафік вимірюється в бітах і залежить від часу.
Отже, аномальне стан в мережевому трафіку - стан, при якому значення функції f (t) в будь-який момент часу t відрізняється від нормального (вище/нижче нормального значення). Приміром, працюючи в мережі, ми спостерігаємо збільшення/зменшення потоку інформації, ніяк не пов'язане з нашою роботою в мережі. Це може говорити про те, що здійснюється несанкціонована передача даних, тобто вторгнення.
Видатні мережеві аномалії настільки різноманітні, що єдиної класифікації вони не піддаються. Тому пропонується класифікація СА з погляду об'єкта впливу - інформаційної системи, що включає програмно-апаратний комплекс і мережеву інфраструктуру. Класифікація представлена ??на малюнку 1.
Малюнок 1 - Класифікація аномалій
Програмно-апаратні аномалії. Помилки програмного забезпечення компонентів ІС можуть спричинити за собою переклад в нештатний режим з подальшим припиненням надання сервісів.
Помилки конфігурування переводять функціональні можливості компонентів ІС в невідповідність штатним проектним параметрам, що порушує загальну працездатність.
Порушення продуктивності тягнуть за собою вихід параметрів ІС за межі розрахункових значень, що супроводжується порушенням забезпечення надання сервісів.
Апаратні несправності можуть спричинити за собою як повний вихід з ладу окремих компонентів ІС, так і деградуюче вплив окремої підсистеми на весь комплекс.
Мережеві аномалії. Дані аномалії залежать від конкретного типу вторгнення в мережу, отже, вони досить різноманітні і складні в описі, до того ж вони не мають чітко вираженого прояви, що ще більше ускладнює завдання їх виявлення.
Як приклад наведу мережеву вірусну активність, оскільки аномалії, викликані цими вторгненнями відносно легко виявляють себе.
Вірусна мережева активність є результатом спроб розповсюдження комп'ютерних вірусів і черв'яків, використовуючи мережеві ресурси. Найчастіше комп'ютерний вірус експлуатує якусь єдину уразливість в мережевий прикладної службі, тому вірусний трафік характеризується наявністю безлічі звернень з одного зараженого IP адреси до багатьох IP адресам за певним порту, відповідному потенційно уразливому сервісу.
Датчики-сенсори аномалій ідентифікують незвичайна поведінка, ано...