RU186198U1 - Средство обнаружения вторжений уровня узла сети - Google Patents
Средство обнаружения вторжений уровня узла сети Download PDFInfo
- Publication number
- RU186198U1 RU186198U1 RU2018108185U RU2018108185U RU186198U1 RU 186198 U1 RU186198 U1 RU 186198U1 RU 2018108185 U RU2018108185 U RU 2018108185U RU 2018108185 U RU2018108185 U RU 2018108185U RU 186198 U1 RU186198 U1 RU 186198U1
- Authority
- RU
- Russia
- Prior art keywords
- information
- host
- sensor
- sensors
- group
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 230000000694 effects Effects 0.000 claims abstract description 7
- 230000009471 action Effects 0.000 claims description 9
- 238000012482 interaction analysis Methods 0.000 claims description 5
- 230000007474 system interaction Effects 0.000 claims description 2
- 230000003993 interaction Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 abstract description 2
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Полезная модель к области информационных технологий, в частности к информационной безопасности, а именно к средствам обнаружения вторжений уровня узла сети. Средство обнаружения вторжений уровня узла сети, выполненное в виде сервера администрирования, на котором установлена группа датчиков, таких как: датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, контролер целостности файлов. Средство обнаружения вторжения уровня узла сети также содержит блок сбора информации и принятия решений, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти. Технический результат заключается в снижении рисков отказов узла сети за счет анализа информации на различных каналах связи. 1 ил.
Description
Полезная модель к области информационных технологий, в частности к информационной безопасности, а именно к средствам обнаружения вторжений уровня узла сети.
Персональные компьютеры, хосты и маршрутизаторы, которые являются узлами, подключенными сетям связи, например, Интернет, часто являются объектами сетевых атак, направленных на причинение вреда компьютерам путем их заражения или на получение конфиденциальной информации. Средства обнаружения вторжения являются одним из рубежей для обеспечения защиты информационных систем. Наиболее распространены средства обнаружений вторжений на сетевом уровне, которые находятся на пути передаваемого сетевого трафика и осуществляют его мониторинг путем анализа передаваемого трафика и блокирования трафика, связанного с проведением атак. Существующие подходы к обнаружению вторжений на сетевом уровне обычно делятся на две категории: обнаружение известного вредоносного кода (сигнатур) и обнаружение аномалий. Однако для эффективной защиты применение только средств обнаружений вторжений сетевого уровня недостаточно, поэтому необходимо также наличие средств, которые работали бы непосредственно на узлах сети (информационных узлах). Таким образом существует необходимость в разработке средства обнаружений вторжений уровня узла сети.
Из уровня техники известная система автоматического расследования инцидентов безопасности (RU 2481633 С2, опубл. 10.05.2013), которая позволяют обнаруживать подозрительные события в компьютерной сети, анализировать их, восстанавливать историю событий, предшествующих инциденту безопасности, находить решения по исправлению последствий событий и настраивать систему для предотвращения повторения события. Данная система содержит средство сбора данных, средство регистрации инцидентов, анализатор инцидентов и средство поиска решений, при этом в качестве инцидента может быть обнаружено: вредоносное программное обеспечение, сетевая атака, критическое нарушение в работе антивируса.
К недостаткам указанного аналога относится невозможность снятия событий безопасности непосредственно с узла сети.
В качестве прототипа выбран патент СА 2607649 С, опубл. 02.06.2015 система регулирования настроек хостовой защиты, содержащая сервер-компьютер, который взаимодействует с множеством хостов, запоминающее устройство с машиночитаемыми инструкциями и процессор для их выполнения. Машиночитаемые инструкции включают в себя: определение типа хоста из числа предопределенного набора типов хостов; определение наборов дескрипторов специфичных для хоста; отправление запросов целевому хосту в соответствии с указанным набором дескрипторов; определение текущей конфигурации защиты хоста для указанного целевого хоста в соответствии с ответами на упомянутые запросы; обнаружение несоответствий между указанной текущей конфигурации хоста и предыдущей конфигурации хоста; установку текущей конфигурации защиты хоста в указанном целевом хосте при обнаружении несоответствия; записывание последовательных периодов изменений конфигураций хоста; и определение периода мониторинга для указанного целевого хоста в соответствии с последовательным периодом изменения конфигураций хоста.
К недостаткам данной системы относится сложность работы с ней, низкий уровень создаваемых событий, что усложняет задачу определения инцидента информационной безопасности.
Задача полезной модели заключается в выявлении подозрительных событий, совершаемых на узле сети.
Технический результат заключается в обеспечении обнаружения вторжений уровня узла сети.
Технический результат достигается за счет того, что средство обнаружения вторжений уровня узла сети выполнено в виде сервера администрирования на котором установлена группа датчиков, таких как: датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, контролер целостности файлов и содержит блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети.
Полезная модель поясняется чертежом, на котором представлена структура средства обнаружения вторжений уровня узла сети.
Средство обнаружение вторжений уровня узла сети выполнено в виде сервера 1 администрирования на котором установлена группа датчиков, таких как: датчик 2 анализа событий, датчик 3 анализа трафика, датчик 4 анализа взаимодействия с операционной системой, датчик 5 активности соединений, контролер 6 целостности файлов. Средство обнаружения вторжений также содержит блок 7 сбора информации и принятие решение и блок 8 памяти. Блок сбора информации и принятий решений соединен с группой датчиков и блоком памяти. Блок памяти предназначен для хранения различной собранной информации собранной с узлов сети, а также набора правил соответствующих информационной политики безопасности.
Сервер 1 представляет из себя компьютер или специализированное оборудование и служит для выполнение различных задач, например, подключение пользователя, хранение информации, а также данных о системных событиях, фиксируемых на узлах сети (персональные компьютеры, хосты, маршрутизаторы и др.), которые подключены к серверу.
Датчик 2 анализа событий собирает информацию о происходящих событиях на различных узлах сети, которые хранятся в виде журнала событий. Журналы событий могут включать в себя: id события, тип события, источник события, время генерирования события, код регистрируемого события, используемый протокол сетевого уровня, номер порта протокола сетевого уровня и др. Как видно датчик 2 анализа событий хранит информацию о событиях, которые уже произошли и в большинстве случаев они не способны предотвратить атаку и служат для их обнаружений. На основании записей в журнале событий можно отследить активность авторизованных пользователей или же проследить перемещение какой-либо записи о событие. Например, подозрительным может являться, что успешный вход в систему или на какой-либо другой ресурс был осуществлен с 5 раза, или же был осуществлен некорректный запрос на узел сети, который привел к его прекращению работы, после чего появилась новая запись в журнале событий о новом пользователе. Датчик 2 анализа событий соединен с блоком 7 сбора информации и принятия решений и передает всю накопившуюся информацию о событиях информационной безопасности в блок 7. После чего может осуществляться сброс данных на датчике 2 анализа событий для предотвращения переполнения данных на нем.
Датчик 3 анализа трафика собирает информацию с узлов сети на основе которой может быть определено нарушение признаков событий безопасности. Примерами такой информации может быть номер автономной системы источника и приемника, номер порта источника и приемника, адрес источника и получателя, количество пакетов в потоке, количество байтов в потоке, данные из протоколов и приложений и др. На основе данной информации могут быть обнаружены проблемы в работе сети (задержки в передаче информации), несанкционированный доступ злоумышленника, атаки на корпоративные ресурсы, увеличенная нагрузка на канал, неправильная настройка протокола, а также позволяет вести контроль приложений. В некоторых случаях эта информация может определить атаку нулевого дня (увеличенная нагрузка на канал), и поможет предотвратить вторжение. Вся собранная информация датчиком 3 анализа трафика передается в блок 7 сбора информации и принятия решений.
Датчик 4 анализа взаимодействия с операционной системой собирает информацию между приложениями и операционной системой для идентификации событий, связанных с безопасностью. Когда приложению требуется выполнить какое-либо действие, его вызов операционной системой анализируется блоком 7 сбора информации и принятия решений, соединенный с датчиком 4 анализа взаимодействия. Каждый вызов характеризуется набором признаков, которые и анализируется блоком 7. Если приложение генерирует вызов, соответствующий, например, признаку атаки на переполнение буфера, то на основе работы датчика 4 анализа взаимодействия и блока 7 сбора информации и принятия решения может быть предотвращен этот вызов и сохранена система в безопасности. Также примером таких признаков может служить определенная последовательность действий: загрузка из интернета информации, создание множества файлов с загруженной информацией, загрузка этих файлов в информационную систему. Главное отличие этих датчиков в том, что они позволяют предотвратить атаку. При этом работа датчиков для некоторых приложений может быть настроена в тестовом режиме, что означает сбор информации и отслеживание событий информации без блокировки. Этот режим может быть использован для тестирования работы новых приложений.
Датчик 5 активности соединений осуществляет мониторинг узлов сети и собирает информацию о количестве активных соединений и частоте обращений к ним. Собранная информация передается в блок 7 сбора информации и принятия решений, который непосредственно анализирует полученные сведения о соединениях. Например, веб-серверу обычно разрешается принимать сетевые соединения через порт 80, считывать файлы в веб-каталоге и передавать эти файлы по соединения через порт 80. Если веб-сервер попытается записать или считать файлы из другого места или открыть новое соединение, то данное действие может сигнализировать об атаке, и оно будет заблокировано. Другим примером об атаке может служить резкое увеличение количества обращений к какому-либо порту. Кроме того, некоторые сетевые атаки требуют обращений к определенным портам, что также может быть обнаружено.
Контроллер 6 целостности файлов отслеживает изменения в файлах. Это осуществляется посредством использования криптографической контрольной суммы или цифровой подписи файла. Конечная цифровая подпись файла будет изменена, если произойдет изменения хотя бы небольшой части исходного файла, например, изменения атрибутов файлов: время и дата создания. Контроллер 6 целостности файлов осуществляет мониторинг каждого файла и передает данные о них в блок 7 сбора информации и принятия решений, где он подвергается алгоритму для создания начальной подписи. Полученное число сохраняется в блоке 8 памяти, который соединен с блоком 7 сбора информации и принятия решений. Периодически для каждого файла осуществляется проверка подписи и сопоставляется с оригиналом (начальная подпись). Если подписи идентичны, то означает, что файл не изменен, в ином случае, обнаружении несоответствий свидетельствует о том, что в файл были внесены изменения.
Блок 7 сбора информации и принятия решений соединен с группой датчиков и блоком 8 памяти и осуществляет выполнение или блокировку действий на основании сведений об узле сети, хранящихся в блоке 8 памяти. Блок 7 сбора информации и принятия решения осуществляет сбор информации и сведений об узле сети с группы датчиков и на основе данных блока 8 памяти по результатам сравнения разрешает или запрещает какие-либо действия. В предпочтительном варианте исполнения блок 7 сбора информации и принятия решений может быть соединен с устройством вывода информации (на чертеже не показан) для отображения всех совершаемых действия и для облегчения их обработке. На основе обработке могут быть изменения правила информационной безопасности, в этом случае эти уточнения сразу вносятся в блок 8 памяти. Блок 8 памяти может быть выполнен в виде машиночитаемого носителя.
Далее приведен пример осуществления полезной модели.
Группа датчиков, таких как: датчик 2 анализа событий, датчик 3 анализа трафика, датчик 4 анализа взаимодействия с операционной системой, датчик 5 активности соединений, контролер 6 целостности файлов установлены на сервере 1 и служат для сбора информации об узле сети. Вся собранная информации датчиками поступает на обработку в блок 7 сбора информации и принятия решений. После чего может осуществляться сброс информации с датчиков для предотвращения переполнение данных на них. Блок 7 сбора информации и принятия решения анализирует поступившую информацию с группы датчиков и принимает решение о блокировке или разрешения действий на основе сравнения с данными, хранящимися в блоке 8 памяти. Блок 8 памяти хранит сведения об инцидентах безопасности, а также установленные правила политики информационной безопасности. Для каждого узла сети могут быть установлены свои правила информационной безопасности. В случае если средство обнаружения вторжений уровня узла сети содержит устройство вывода информации, то блок 7 сбора информации и принятия решений способен уведомлять об инцидентах безопасности.
Преимуществом заявляемого устройства такого типа является то что, будучи установленном на узле сети, оно видит всю ее внутреннюю структуру и может контролировать не только внешний трафик, но и внутренний.
Claims (1)
- Средство обнаружения вторжений уровня узла сети, выполненное в виде сервера администрирования, на котором установлена группа датчиков, таких как: датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, контролер целостности файлов, и содержащее блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018108185U RU186198U1 (ru) | 2018-03-07 | 2018-03-07 | Средство обнаружения вторжений уровня узла сети |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018108185U RU186198U1 (ru) | 2018-03-07 | 2018-03-07 | Средство обнаружения вторжений уровня узла сети |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU186198U1 true RU186198U1 (ru) | 2019-01-11 |
Family
ID=65020621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2018108185U RU186198U1 (ru) | 2018-03-07 | 2018-03-07 | Средство обнаружения вторжений уровня узла сети |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU186198U1 (ru) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU193101U1 (ru) * | 2019-05-13 | 2019-10-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система аналитической обработки событий информационной безопасности |
| RU216567U1 (ru) * | 2022-06-29 | 2023-02-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система обнаружения вторжений уровня узла сети |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| US20030172292A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for message threat management |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
| CA2607649C (en) * | 2007-10-24 | 2015-06-02 | Third Brigade Inc. | System for regulating host security configuration |
-
2018
- 2018-03-07 RU RU2018108185U patent/RU186198U1/ru not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US20030172292A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for message threat management |
| CA2607649C (en) * | 2007-10-24 | 2015-06-02 | Third Brigade Inc. | System for regulating host security configuration |
| RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU193101U1 (ru) * | 2019-05-13 | 2019-10-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система аналитической обработки событий информационной безопасности |
| RU216567U1 (ru) * | 2022-06-29 | 2023-02-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система обнаружения вторжений уровня узла сети |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| WO2018177210A1 (zh) | 防御apt攻击 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| Gu et al. | Bothunter: Detecting malware infection through ids-driven dialog correlation. | |
| KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| JP2001217834A (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| Lagrasse et al. | Digital forensic readiness framework for software-defined networks using a trigger-based collection mechanism | |
| Wang et al. | Using honeypots to model botnet attacks on the internet of medical things | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| Sayyed et al. | Intrusion Detection System | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| Jakić | The overview of intrusion detection system methods and techniques | |
| CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
| Hariawan et al. | Design an Intrusion Detection System, Multiple Honeypot and Packet Analyzer Using Raspberry Pi 4 for Home Network | |
| Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
| Chen et al. | Active event correlation in Bro IDS to detect multi-stage attacks | |
| Stetsenko et al. | Signature-based intrusion detection hardware-software complex | |
| EP3484122A1 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| KR101224994B1 (ko) | 봇넷 탐지 정보의 분석 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM9K | Utility model has become invalid (non-payment of fees) |
Effective date: 20210308 |