Цели и задачи предприятия

 

Основные задачи деятельности Оренбургского государственного университета.

1. Обеспечение государственного стандарта общего образования.

2. Формирование социокультурной образованной личности, готовой к творческому, умственному труду, создание условий для её самореализации и самоопределения.

Цели и задачи образовательного процесса.

1. Удовлетворение потребности личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования.

2. Удовлетворение потребности общества и государства в квалифицированных специалистах с высшим образованием и научно-педагогических кадрах высшей квалификации.

3. Организация и проведение фундаментальных и прикладных научных исследований и иных научно-технических, опытно-конструкторских работ, в том числе по проблемам образования.

4. Подготовка, переподготовка и повышение квалификации специалистов и руководящих работников.

5. Накопление, сохранение и приумножение нравственных, культурных и научных ценностей общества.

6.Распространение знаний среди населения, повышение его образовательного и культурного уровня.

 

 

4 Актуальность разрабатываемой методики

 

Сетевой мониторинг (мониторинг сети) — это сложная задача, требующая больших затрат сил, которая является жизненно важной частью работы сетевых администраторов. Администраторы постоянно стремятся поддержать бесперебойную работу своей сети. Если сеть «упадёт» хотя бы на небольшой период времени, производительность в компании сократится и (в случае организаций предоставляющих государственные услуги) сама возможность предоставления основных услуг будет поставлена под угрозу. В связи с этим администраторам необходимо следить за движением сетевого трафика и производительностью на всей сети и проверять, появились ли в ней бреши в безопасности.

 

5 Характеристика аномалий в автоматизированной системе и сетевом трафике

 

Для того чтобы дать понятие аномального состояния, в начале дадим определение состояния и нормального состояния. Под состоянием будем понимать набор параметров которые характеризуют любую систему (например компьютерную). Под нормальным состоянием будем понимать такое состояние системы при котором она корректно выполняет все возложенные на неё функции.

В следствие вышесказанного, под аномальным состоянием будем понимать состояние при котором поведение системы отличается от нормального.

Аномальное состояния для автоматизированной системы (АС). Согласно ГОСТ, под АС понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.[1] Нас интересуют средства автоматизации деятельности, поскольку действия персонала в АС относятся к вопросам организационного обеспечения ИБ и, в рамках данной работы, рассматриваться не будут.

К средствам автоматизации можно отнести всевозможные аппаратно-программные средства, осуществляющие автоматический сбор, хранение и обработку информации.

Таким образом аномальное состояние АС - это такое состояние АС, при котором она перестает обрабатывать информацию должным образом. К примеру система перестает корректно осуществлять ввод/вывод информации, или в системе наблюдается резкое падение/повышение производительности.

Аномальное состояние в сетевом трафике. Под сетевым трафиком понимается поток (или объем) информации, проходящей через канал связи или приходящийся на сайт/сервер. Трафик измеряется в битах и зависит от времени.

Следовательно аномальное состояние в сетевом трафике - состояние, при котором значение функции f(t) в любой момент времени t отличается от нормального (выше/ниже нормального значения). К примеру работая в сети мы наблюдаем увеличение/уменьшение потока информации, никак не связанное с нашей работой в сети. Это может говорить о том, что осуществляется несанкционированная передача данных, то есть вторжение.

Известные сетевые аномалии настолько разнообразны, что единой классификации они не поддаются. Поэтому предлагается классификация СА с точки зрения объекта воздействия – информационной системы, включающей программно-аппаратный комплекс и сетевую инфраструктуру. Классификация представлена на рисунке 1.

 

 

 

Рисунок 1 - Классификация аномалий

 

Программно-аппаратные аномалии. Ошибки программного обеспечения компонентов ИС могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.

Ошибки конфигурирования переводят функциональные возможности компонентов ИС в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.

Нарушения производительности влекут за собой выход параметров ИС за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов ИС, так и деградирующее влияние отдельной подсистемы на весь комплекс.

Сетевые аномалии. Данные аномалии зависят от конкретного типа вторжения в сеть, следовательно они достаточно разнообразны и сложны в описании, к тому же они не имеют четко выраженного проявления, что еще больше затрудняет задачу их выявления.

В качестве примера приведу сетевую вирусную активность, поскольку аномалии вызванные этими вторжениями относительно легко обнаруживают себя.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.

Датчики-сенсоры аномалий идентифицируют необычное поведение, аномалии в функционировании отдельного объекта — трудности их применения на практике связаны с нестабильностью самих защищаемых объектов и взаимодействующих с ними внешних объектов. В качестве объекта наблюдения может выступать сеть в целом, отдельный компьютер, сетевая служба (например, файловый сервер FTP), пользователь и т.д. Датчики срабатывают при условии, что нападения отличаются от "обычной" (законной) деятельности. Здесь появляется еще одно слабое место, характерное в большей степени для конкретных реализаций, заключающееся в некорректности определения "дистанции" отклонения наблюдаемого поведения от штатного, принятого в системе, и определении "порога срабатывания" сенсора наблюдения.

Меры и методы, обычно используемые в обнаружении аномалии, включают в себя следующие:

- пороговые значения: наблюдения за объектом выражаются в виде числовых интервалов. Выход за пределы этих интервалов считается аномальным поведением. В качестве наблюдаемых параметров могут быть, например, такие: количество файлов, к которым обращается пользователь в данный период времени, число неудачных попыток входа в систему, загрузка центрального процессора и т.п. Пороги могут быть статическими и динамическими (т.е. изменяться, подстраиваясь под конкретную систему);

- статистические меры: решение о наличии вторжения делается по большому количеству собранных данных путем их статистической предобработки;

- параметрические: для выявления вторжения строится специальный "профиль нормальной системы" на основе шаблонов (т.е. некоторой политики, которой обычно должен придерживаться данный объект);

- непараметрические: здесь уже профиль строится на основе наблюдения за объектом в период обучения;

- меры на основе правил (сигнатур): они очень похожи на непараметрические статистические меры. В период обучения составляется представление о нормальном поведении объекта, которое записывается в виде специальных "правил". Получаются сигнатуры "хорошего" поведения объекта;

- другие меры: нейронные сети, генетические алгоритмы, позволяющие классифицировать некоторый набор видимых сенсору-датчику признаков.

В современных СОВ в основном используют первые два метода. Следует заметить, что существуют две крайности при использовании данной технологии:

- обнаружение аномального поведения, которое не является вторжением, и отнесение его к классу атак (ошибка второго рода);

- пропуск вторжения, которая не подпадает под определение аномального поведения (ошибка первого рода). Этот случай гораздо более опасен, чем ложное причисление аномального поведения к классу вторжений.

Поэтому при инсталляции и эксплуатации систем такой категории обычные пользователи и специалисты сталкиваются с двумя довольно нетривиальными задачами:

- построение профиля объекта — это трудно формализуемая и затратная по времени задача, требующая от специалиста безопасности большой предварительной работы, высокой квалификации и опыта;

- определение граничных значений характеристик поведения субъекта для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Обычно системы обнаружения аномальной активности используют журналы регистрации и текущую деятельность пользователя в качестве источника данных для анализа. Достоинства систем обнаружения атак на основе технологии выявления аномального поведения можно оценить следующим образом:

- системы обнаружения аномалий способны обнаруживать новые типы вторжений, сигнатуры для которых еще не разработаны;

- они не нуждаются в обновлении сигнатур и правил обнаружения атак;

- обнаружения аномалий генерируют информацию, которая может быть использована в системах обнаружения злоумышленного поведения.

Недостатками систем на основе технологии обнаружения аномального поведения являются следующие:

- системы требуют длительного и качественного обучения;

- системы генерируют много ошибок второго рода;

- системы обычно слишком медленны в работе и требуют большого количества вычислительных ресурсов.