CC BY
88<Тешетневс^ие чтения. 2016
УДК 004.492.3
ОПРЕДЕЛЕНИЕ ОПТИМАЛЬНОЙ КОНФИГУРАЦИИ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА БАЗЕ СВОБОДНО РАСПРОСТРАНЯЕМОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
А. Л. Белова1, Д. А. Бородавкин2
!ООО «Сибинфософт» Российская Федерация, 660111, г. Красноярск, ул. Пограничников, 42/3 2АО «Информационные спутниковые системы» имени академика М. Ф. Решетнёва» Российская Федерация, 662972, г. Железногорск Красноярского края, ул. Ленина, 52
E-mail: alina_belova94@mail.ru
Представлены результаты сравнительного анализа СОВ для определения и развертывания оптимальной конфигурации СОВ для использования в сетях крупных предприятий.
Ключевые слова: система обнаружения вторжений (СОВ), система предотвращения вторжений, сетевая атака.
DETERMINING THE OPTIMAL CONFIGURATION OF OPEN SOURCE INTRUSION DETECTION SYSTEM
A. L. Belova1, D. A. Borodavkin2
1Sibinfosoft LLC
42/3, Pogranichnikov Str., Krasnoyarsk, 660111, Russian Federation 2JSC Academician M. F. Reshetnev Information Satellite Systems 52, Lenin Str., Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation E-mail: alina_belova94@mail.ru
The article presents the results of comparative analysis of open source intrusion detection systems to determine the optimal configuration and deployment of the IDS.
Keywords: intrusion detection system (IDS), intrusion prevention system, network attack.
Введение. Данная работа посвящена сравнительному анализу свободно распространяемых СОВ для применения в сетях крупных предприятий, а также анализу эффективности наборов правил для данных систем.
Цель и актуальность исследования. Целью работы является проведение сравнительного анализа трех свободно распространяемых систем Snort 2, Snort 3 (бета-версия) и Suricata 2, и определение по результатам испытаний наиболее эффективной системы [1-4]. Эффективность определяется с точки зрения количества верных срабатываний сигналов тревоги, функционала данных систем и качества выдаваемых результатов при высокой нагрузке систем. Также научно-исследовательская работа посвящена анализу эффективности различных наборов правил для данных систем: Talos community rules, Talos subscriber rules, Emerging Threats open rules. Работа является актуальной, так как проводится сравнительный анализ актуальных в настоящее время версий систем, в работе также приводится инструкция по установке и настройке систем на русском языке, в то время как Snort 3 не имеет русскоязычной документации по установке. Также актуальность исследования заключается в том, что в открытых источниках информации нет сведений, подтвержденных нагрузочными испытаниями, о том, какая из данных систем обнаружения вторжений превосходит остальные по своим функциональным показателям.
Методика исследования. Необходимо выяснить практически, какая из трех систем является наиболее эффективной. Для оценки эффективности систем обнаружения и предотвращения вторжений необходимо ввести следующие показатели:
1) количество обнаруженных атак;
2) точность системы IDS; для измерения оценки точности IDS необходимо определить количество ложных срабатываний, количество несработанных сигналов тревоги;
3) процентный показатель использования ЦП для единственного ядра, для двух и более ядер.
Испытательный стенд настроен в виртуальном окружении VMWare Workstations. В качестве ОС выбрана Centos 7 minimal. Для оценки приведенных выше показателей необходимо провести следующие испытания:
1. Воспроизведение дампа трафика (*.pcap файл размером 2Гб, *.pcap файл размером 1Гб) на скорости 2/10/100 Мбит/с при различной конфигурации ОС (1 ядро ЦП и 3 Гб оперативной памяти / 2 ядра ЦП и 4 Гб оперативной памяти / 4 ядра ЦП и 6 Гб оперативной памяти). Испытания провести на разных наборах правил (Talos community rules, Talos subscriber rules, Emerging Threats open rules). Определить процентный показатель использования ЦП при данных испытаниях и количество обнаруженных атак.
Методы и средства защиты информации
2. С помощью утилит nmap, sqlmap, wpscan, joomscan, nessus просканировать хосты, находящиеся в сети с СОВ. Зафиксировать количество сработанных/несработанных сигналов тревоги.
3. С помощью фреймворка Metasploit запустить эксплоиты на хосты, находящиеся в сети с СОВ. Зафиксировать количество сработанных/несработанных сигналов тревоги.
4. Оценить функциональные преимущества каждой из СОВ, исходя из документации, прилагаемой к этим системам.
Интерпретация результатов. Изначально было проведено сравнение функциональных возможностей каждой из СОВ, исходя из документации, прилагаемой к этим системам. По результатам сравнения было определено, что СОВ Snort 3 превосходит системы Snort 2 и Suricata 2 по следующим параметрам: автоматическое определение протоколов 7-го уровня модели OSI (в отличие от Snort 2), многопоточность (в отличие от Snort 2), поддержка модуля OpenAppID (в отличие от Suricata), возможность добавления новых правил без перезагрузки IDS (в отличие от Snort 2), поддержка библиотеки HyperScan (в отличие от Snort 2), возможность привязки буферов в правилах.
Результаты практических испытаний при воспроизведении дампа трафика размером 2 Гб утилитой tcpreplay в зависимости от скорости воспроизведения и конфигурации приведены в табл. 1. При данных испытаниях использовался набор правил Talos community rules (3280 правил). Из результатов следует, что Suricata обнаруживает больше атак в отличие от остальных двух СОВ. Также в ходе проведения испытаний было обнаружено, что при конфигурации виртуальной машины 4 ядра и 6 Гб ОП СОВ Snort 2
находит значительно меньше атак, чем при других конфигурациях системы и нагрузка на ЦП в данном случае превосходит 100 %, что является недопустимым, так как данная СОВ работает в однопоточном режиме.
Аналогичные испытания были проведены с наборами правил Talos subscriber (37086 правил) и Emerging Threats open rules (23490 правил). С набором правил ET open rules Suricata определила значительно больше атак по сравнению с остальными СОВ. Из результатов испытаний с набором Talos subscriber, следует, что Suricata 2 и Snort 2 определяют практически равное количество атак, однако Suricata 2 более устойчива к нагрузкам при скорости воспроизведения трафика 100 Мбит/с.
Также были проведены испытания с настроенной конфигурацией СОВ Snort 2 и Suricata 2, которые показали следующие результаты:
1) Snort 2 с набором Talos subscriber rules - обнаружено 8 атак;
2) Suricata 2 с набором ET open rules - обнаружено 174 119 атак.
Из результатов испытаний следует, что на практике оригинальный набор правил ET open rules выдает значительно большее для данного дампа трафика количество сигналов тревоги. Для использования набора необходима длительная настройка данных правил.
В дополнение к нагрузочному тестированию проведено сканирование хоста, находящегося в одной сети с системами Snort 2, Snort 3 и Suricata 2, с помощью следующих утилит: wpscan, joomscan, nmap. Все три СОВ просигнализировали о сканировании.
Также были проведены испытания на смоделированных атаках, результаты которых приведены в табл. 2.
Таблица 1
Результаты испытаний с набором правил Talos community (3280 правил)
Конфигурация Скорость, Snort 2 Snort 3 Suricata 2
ВМ Мбит/с
Количество Нагрузка Количество Нагрузка Количество Нагрузка
1 ядро ЦП и 3 Гб ОП атак ЦП, % атак ЦП, % атак ЦП, %
2 41 853 5 40 176 6 43 344 6
10 42 240 35 39 137 55 43 900 30
100 41 523 40 38 968 50 41 523 35
2 ядра ЦП и 4 Гб ОП 2 41 827 7 36 857 6 43 380 8
10 42 235 29 39 137 18 43 924 25
100 46 246 90 38 212 86 43 788 50
4 ядра ЦП 10 42 239 26 38 864 33 43 911 46
и 6 Гб ОП 100 28 491 100,3 28 231 101,4 43 474 148,2
Таблица 2
Результаты испытаний на смоделированных атаках
Атака Snort 2 (Talos subscriber) Snort 2 (Talos Community) Suricata 2 (ET open rules)
Postfix exploit Не обнаружено Не обнаружено Обнаружено
wordpress long_password dos Не обнаружено Не обнаружено Обнаружено
wordpress xmlrpc dos Обнаружено Не обнаружено Обнаружено
joomla http header rce Не обнаружено Не обнаружено Обнаружено
Решетневс^ие чтения. 2016
Библиографические ссылки
1. Платонов В. Программно-аппаратные средства защиты информации. М. : Академия, 2013. 336 с.
2. Snort 3.0 [Электронный ресурс]. URL: http://www.opennet.ru/opennews/art.shtml?num=41255 (дата обращения: 02.12.2015).
3. Официальный сайт IDS Snort [Электронный ресурс]. URL: http://snort.org (дата обращения: 02.12.2015).
4. Официальный сайт IDS Suricata [Электронный ресурс]. URL: http://suricata-ids.org (дата обращения: 02.12.2015).
References
1. Platonov V. Programmno-apparatnyye sredst-va zashchity informatsii. M. : Akademiya, 2013. 336 s.
2. Snort 3.0 [Elektronnyy resurs]. URL: http://www.opennet.ru/opennews/art.shtml?num=41255 (data obrashcheniya: 02.12.2015).
3. Ofitsial'nyy sayt IDS Snort [Elektronnyy resurs]. URL: http://snort.org (data obrashcheniya: 02.12.2015).
4. Ofitsial'nyy sayt IDS Suricata [Elektron-nyy resurs]. URL: http://suricata-ids.org (data obrashcheniya: 02.12.2015).
© Белова А. Л., Бородавкин Д. A., 2016
УДК 004.056.5
О ПРОТОКОЛАХ СРАВНЕНИЯ В КОНФИДЕНЦИАЛЬНОМ КЛАСТЕРНОМ АНАЛИЗЕ
А. В. Вашкевич
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: alex23-5@yandex.ru
Конфиденциальный кластерный анализ позволяет организациям совместно проводить анализ ноу-хау без раскрытия деталей друг другу. Такие организации не доверяют друг другу, но объединены одной и той же деятельностью (например, проектирование космических аппаратов). Протоколы конфиденциального сравнения являются одним из важных элементов такого анализа.
Ключевые слова: конфиденциальный кластерный анализ, протоколы конфиденциального сравнения, пороговые системы гомоморфного шифрования, разделение секрета.
ON THE COMPARISON OF PROTOCOLS IN PRIVACY-PRESERVING CLUSTERING
A. V. Vashkevich
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: alex23-5@yandex.ru
Secure clustering allows organizations to analyze collaboratively know-how without revealing details to each other. Such organizations do not trust each other but perform the same activities (like designing spacecraft). Secure Comparison Protocols are a necessary part of this analysis.
Keywords: privacy-preserving clustering, secure comparison protocols, threshold homomorphic encryption, secret sharing.
Создание космической техники может проводиться в условиях, когда разработка, изготовление и эксплуатация отдельных модулей проводится различными организациями, при этом зачастую невозможно заранее провести комплексные испытания итоговых образцов. Прогресс в развитии технологий проходит одновременно с ростом требований к безопасности космической аппаратуры. Для обеспечения высокого уровня надёжности космической техники на всех этапах её жизненного цикла требуется проводить сбор информации, её анализ и прогнозирование. Результаты работы интеллектуальных методов анализа данных
способствуют более эффективному проектированию, необходимому для обеспечения отказоустойчивости.
Кластерный анализ - это разбиение заданной выборки многомерных объектов на «сгустки» (кластеры) так, чтобы каждый кластер состоял из как можно более схожих объектов, а объекты разных кластеров существенно отличались [1] (пример такого разбиения приведён на рисунке).
Алгоритмы кластерного анализа могут быть иерархическими (определяющими связность кластеров друг с другом), основанными на нейронных сетях (подстраивающими своё положение в пространстве
