Научная статья на тему 'Особливості створення мережевої системи виявлення вторгнень у комп'ютерні системи'

Особливості створення мережевої системи виявлення вторгнень у комп'ютерні системи Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
910
52
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СЕТЕВАЯ СИСТЕМА / ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ / ПОДПИСИ / КАТЕГОРИИ ВТОРЖЕНИЙ / АНАЛИЗ СЕТЕВОГО ТРАФИКА / NETWORK SYSTEM / INTRUSION DETECTION / SECURITY / SIGNATURES / INTRUSION CATEGORIES

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Риндич Є. В., Коняшин В. В., Зайцев С. В., Усов Я. Ю.

Исследованы существующие сетевые системы обнаружения вторжений (Intrusion Detection System, IDS) на основе хоста (Host-based intrusion detection system, HIDS) и сетевые системы обнаружения (Network intrusion detection system, NIDS). Особое внимание уделено системам с открытым кодом как таким, которые предоставляют возможность провести исследование не только работы, а и архитектуры программного обеспечения и принципов их реализации. Исследованы такие системы, как Snort, Suricata, Bro IDS, Security Onion. Система Snort является лидером среди систем с открытым кодом и получила широкое признание как эффективное решение сетевой системы обнаружения вторжений для широкого круга сценариев и случаев использования в локальных и корпоративных сетях. Определены общие черты сетевых систем обнаружения вторжений и их положительные и негативные особенности. Предложена обобщенная трехуровневая «клиент-серверная» архитектура сетевой системы обнаружения вторжений с использованием веб-приложения. По сравнению с двухуровневой «клиент-серверной» архитектурой или «файл-серверной» архитектурой, трехуровневая архитектура обеспечивает, как правило, большую масштабируемость, лучшую возможность конфигурирования. Базовыми слоями предложенной архитектуры являются слой веб-приложений и кластер веб-приложений, слой сервера приложений, который может масштабироваться, и слой баз данных. Определены особенности построения сетевых систем обнаружения вторжений на стороне сервера. Узким местом всей системы является набор подписей и неудобство взаимодействия с пользователем. Одной из важнейших проблем современных систем является то, что сейчас данный набор не может отслеживать угрозы, которые не имели прецедентов в прошлом. Поэтому основным направлением исследований является внедрение поиска вторжений на основе поиска аномальной активности. Следующая проблема, которая была обнаружена и исследована, заключается в разработке дружественных интерфейсов. Данная проблема решается внедрением веб-приложения, которое может эффективно взаимодействовать с сервером, на котором размещены системы обнаружения вторжений и база данных, хранящая всю необходимую информацию. Перспективными направлениями исследований следует считать разработку методов поиска вторжений на основе поиска аномальной активности и их внедрение в реальные компьютерные сети.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Риндич Є. В., Коняшин В. В., Зайцев С. В., Усов Я. Ю.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The existing network-based Intrusion Detection System (IDS) based host (Host-based intrusion detection system, HIDS) and network detection systems (Network intrusion detection system, NIDS) have been investigated. Special attention is paid to open source systems, as they provide an opportunity to research not only work principles, but the software architecture and the principles of their implementation. Systems such as Snort, Suricata, Bro IDS, Security Onion have been studied. Snort is a leader in open source systems and has been widely recognized as an effective network intrusion detection system solution for a wide range of scenarios and cases of use in local and corporate networks. Determine the general features of network systems to detect invasions and their positive and negative features. A generalized three-level «client-server» architecture of the network intrusion detection system using a web application is proposed. Compared to the two-level «client-server» architecture or «file-server» architecture, the three-tier architecture provides, as a rule, greater scalability, better configuration capability. The underlying layers of the proposed architecture are the web application layer or the web application cluster, the application server layer that can be scaled, and the database layer. Determine the peculiarities of building network systems for detecting server-side intrusions. The bottleneck of the entire system is a set of signatures and inconvenience of interaction with the user. One of the most important problems of modern systems is that this set cannot track threats that have not had precedents in the past. Therefore, the main direction of research is to introduce intrusion searches based on the search for abnormal activity. The next problem that has been discovered and investigated is the development of friendly interfaces. This problem is solved by the introduction of a web application that can efficiently interact with a server hosting intrusion detection systems and a database that stores all the necessary information. Prospective areas of research should be considered the development of methods for searching intruders based on the search for abnormal activity and their implementation into real computer networks.

Текст научной работы на тему «Особливості створення мережевої системи виявлення вторгнень у комп'ютерні системи»

УДК 004.2; 004.7

е.В. РИНДИЧ*, В.В. КОНЯШИН*, С.В. ЗАЙЦЕВ*, я.ю. усов*

ОСОБЛИВОСТ1 СТВОРЕННЯ МЕРЕЖЕВОÏ СИСТЕМИ ВИЯВЛЕННЯ ВТОРГНЕНЬ У КОМП'ЮТЕРН1 СИСТЕМИ

Чершпвський нацiональний технологiчний yHÎBepcHTeT, м. Черншв, Украша

Анотаця. До^джено гснуючг мережевг системи виявлення вторгнень (Intrusion Detection System, IDS) на o^oei хоста (Host-based intrusion detection system, HIDS) та мережевi системи виявлення вторгнення (Network intrusion detection system, NIDS). Особливу увагу придтено системам з вiдк-ритим програмним кодом як таким, що надають можливiсть провести до^дження не лише ро-боти, а й архтектури програмного забезпечення та принцитв гх реалiзацil До^джено таю системи, як Snort, Suricata, Bro IDS, Security Onion. Система Snort е лiдером серед систем i3 вiдкри-тим кодом i отримала широке визнання як ефективне ршення мережевог системи виявлення вторгнень для широкого кола сценарИ'в та випадюв використання в локальних та корпоративних мережах. Визначено загальш риси мережевих систем виявлення вторгнень, гх позитивт та негатив-т особливостi. Запропонована трирiвнева «^ент-серверна» загальна архтектура мережевог системи виявлення вторгнень iз використанням веб-додатку. У порiвняннi з дворiвневою «miент-серверною» архiтектурою або «файл-серверною» архiтектурою трирiвнева архтектура забезпе-чуе, як правило, бiльшу масштабоватсть, кращу можливiсть конфиурування. Базовими шарами запропонованог архтектури е шар веб-додатюв або кластер веб-додатюв, шар сервера додатюв, який може бути масштабовано, та шар баз даних. Визначено особливостi побудови мережевих систем виявлення вторгнень на сторон сервера. Вузьким мтцем уаег системи е набiр тдпиав i незручний споаб взаемодИ з користувачем. Одна з найважливших проблем сучасних систем поля-гае в тому, що даний набiр не може вiдстежувати загрози, як не мали прецедентiв у минулому. Тому основним напрямом до^джень е впровадження пошуку вторгнень на основi пошуку анома-льног активностi. Наступна проблема, що була виявлена та до^джувалась, полягае в розробц дружтх ттерфейав. Дана проблема виршуеться впровадженням веб-додатку, який може ефек-тивно взаeмодiяти з сервером i на якому розмщеш системи виявлення вторгнень та база даних, що зберiгаe всю необхiдну iнформацiю. Перспективними напрямами до^джень ^iд вважати ро-зробку методiв пошуку вторгнень на основi пошуку аномальног активностi та гх впровадження в реальних комп'ютернихмережах.

Ключовi слова: мережева система, виявлення вторгнень, тдписи, категорИ вторгнень, аналiз ме-режевого трафта.

Аннотация. Исследованы существующие сетевые системы обнаружения вторжений (Intrusion Detection System, IDS) на основе хоста (Host-based intrusion detection system, HIDS) и сетевые системы обнаружения (Network intrusion detection system, NIDS). Особое внимание уделено системам с открытым кодом как таким, которые предоставляют возможность провести исследование не только работы, а и архитектуры программного обеспечения и принципов их реализации. Исследованы такие системы, как Snort, Suricata, Bro IDS, Security Onion. Система Snort является лидером среди систем с открытым кодом и получила широкое признание как эффективное решение сетевой системы обнаружения вторжений для широкого круга сценариев и случаев использования в локальных и корпоративных сетях. Определены общие черты сетевых систем обнаружения вторжений и их положительные и негативные особенности. Предложена обобщенная трехуровневая «клиент-серверная» архитектура сетевой системы обнаружения вторжений с использованием веб-приложения. По сравнению с двухуровневой «клиент-серверной» архитектурой или «файл-серверной» архитектурой, трехуровневая архитектура обеспечивает, как правило, большую масштабируемость, лучшую возможность конфигурирования. Базовыми слоями предложенной архитектуры являются слой веб-приложений и кластер веб-приложений, слой сервера приложений, который может масштабироваться, и слой баз данных. Определены особенности построения сетевых систем обнаружения вторжений на стороне сервера. Узким местом всей системы является набор подписей и неудобство взаимодействия с пользователем. Одной из важнейших проблем современных систем является то, что сейчас данный набор не может отслежи-

© Риндич е.В., Коняшин В.В., Зайцев С.В., Усов Я.Ю., 2018 ISSN 1028-9763. Математичш машини i системи, 2018, № 3

вать угрозы, которые не имели прецедентов в прошлом. Поэтому основным направлением исследований является внедрение поиска вторжений на основе поиска аномальной активности. Следующая проблема, которая была обнаружена и исследована, заключается в разработке дружественных интерфейсов. Данная проблема решается внедрением веб-приложения, которое может эффективно взаимодействовать с сервером, на котором размещены системы обнаружения вторжений и база данных, хранящая всю необходимую информацию. Перспективными направлениями исследований следует считать разработку методов поиска вторжений на основе поиска аномальной активности и их внедрение в реальные компьютерные сети.

Ключевые слова: сетевая система, обнаружение вторжений, подписи, категории вторжений, анализ сетевого трафика.

Abstract. The existing network-based Intrusion Detection System (IDS) based host (Host-based intrusion detection system, HIDS) and network detection systems (Network intrusion detection system, NIDS) have been investigated. Special attention is paid to open source systems, as they provide an opportunity to research not only work principles, but the software architecture and the principles of their implementation. Systems such as Snort, Suricata, Bro IDS, Security Onion have been studied. Snort is a leader in open source systems and has been widely recognized as an effective network intrusion detection system solution for a wide range of scenarios and cases of use in local and corporate networks. Determine the general features of network systems to detect invasions and their positive and negative features. A generalized three-level «client-server» architecture of the network intrusion detection system using a web application is proposed. Compared to the two-level «client-server» architecture or «file-server» architecture, the three-tier architecture provides, as a rule, greater scalability, better configuration capability. The underlying layers of the proposed architecture are the web application layer or the web application cluster, the application server layer that can be scaled, and the database layer. Determine the peculiarities of building network systems for detecting server-side intrusions. The bottleneck of the entire system is a set of signatures and inconvenience of interaction with the user. One of the most important problems of modern systems is that this set cannot track threats that have not had precedents in the past. Therefore, the main direction of research is to introduce intrusion searches based on the search for abnormal activity. The next problem that has been discovered and investigated is the development of friendly interfaces. This problem is solved by the introduction of a web application that can efficiently interact with a server hosting intrusion detection systems and a database that stores all the necessary information. Prospective areas of research should be considered the development of methods for searching intruders based on the search for abnormal activity and their implementation into real computer networks. Keywords: network system, intrusion detection, security, signatures, intrusion categories.

1. Вступ. Актуальшсть теми дослщження

На сьогодш безпека е одшею з найбшьших проблем майже для Bcix мереж у будь-якш га-лузь 1снуе незлiченна кшьюсть шкщливих спроб долучитися до приватно! шформацп, мереж та веб-служб компанш, тому рiзнi компанп використовували рiзнi методи для забезпе-чення шструменпв, апаратних та програмних компонент, таких як брандмауери, механь зми шифрування та вiртуальнi приватш мережi для захисту особисто! шформацп. Масове поширення та фактичне створення багатоелементних i багаторiвневих корпоративних мереж призводить до необхщносп забезпечувати безпеку й у середиш мережа

2. Постановка проблеми

Зараз юнуе тенденщя мати систему виявлення вторгнень (Intrusion Detection System, IDS) у будь-якш мереж^ оскшьки атаки та загрози створюють потенцшний ризик для мережево! та комп'ютерно! систем. IDS може з^кнутися з великою проблемою тд час раптово! змши категорш вторгнення, а також при великш обчислювальнш потужносп. Системи виявлення вторгнень - це «системи, яю збирають шформащю з рiзних системних i мережевих джерел, а потсм аналiзують шформащю про ознаки вторгнення та зловживання» (Пауль Проктор, 2001) [1].

Найважлившою перевагою використання IDS е те, що IDS надае iнформацiю, якщо вiдбуваeться атака за певною системою. Через користувачiв IDS вiдомо про те, в якому ри-зику i загрозi вони знаходяться. Багато шструментсв може бути використано для захисту певно'1 системи. Це таю, як брандмауери, IDS SNORT, Suricata i т.д. Дана стаття присвяче-на аналiзу таких систем, виявленню особливостей та побудовi системи, що буде належати до цього класу систем i яку в подальшому можна буде дослщжувати та використовувати на практищ.

3. Анал1з останшх досл1джень та публ1кац1й

IDS, як правило, подшяються на два типи ршень: системи виявлення вторгнення на основi хоста (HIDS) та мережевi системи виявлення вторгнення (NIDS). HIDS встановлюються на кожному комп'ютерi в мереж^ щоб аналiзувати та контролювати трафiк, що надходить до вщповщного вузла. Та з нього HIDS також вiдстежуе та контролюе локальш змiни файлiв i можливi змши через несанкщонований доступ та/або компромю [2].

На вiдмiну вiд цього, NIDS е стратепчно розташованою у рiзних точках мережi, щоб стежити за трафшом, що йде до мережевих пристро'1'в i з них. Ршення NIDS пропону-ють складш можливостi для виявлення вторгнення в реальному чаа, що часто складаеться зi збiрки взаемодiючих частин: автономний пристрш, апаратнi датчики та програмш ком-поненти е типовими складовими, що входять до NIDS. Ц компоненти дозволяють бiльше розширити спектр можливостей виявлення вторгнення в мереж^ шж при використаннi HIDS.

Перш шж перейти до перегляду широко вщомих мережевих систем виявлення вторгнень, слщ розглянути, як рiзнi типи NIDS виявляють вторгнення.

NIDS може включати один iз двох (або обидва) титв виявлення вторгнення у сво'1 рiшення: на тдпис (Signature-based) i на основi аномалш (Anomaly-based) [3]. NIDS на базi пiдписiв вiдстежуе мережевий трафiк на наявнють пiдозрiлих патернiв у пакетах даних -«тдпиав» вiдомих шаблошв вторгнення в мережу - для виявлення та усунення нападiв та компромiсiв. Використовуючи перелiк вiдомих титв вторгнень та 1'х шаблонiв даних, NIDS на основi пiдпису може швидко визначити вторгнення та розпочати вщповщний курс дiй.

NIDS на основi аномалiй використовуе базову лшю системи в нормальному робо-чому сташ для вiдстеження наявностi незвично'1 або тдозршо1! дiяльностi. Хоча для цього методу потрiбен час для налаштування, оскiльки для базового сценар^ потрiбно, щоб NIDS дiзналася про вашу модель використання системи. Цей оргашчний евристичний тд-хiд до виявлення вторгнень може бути бшьш гнучким та потужним, шж тдхщ, що вима-гае, щоб шаблон iз попередньо iснуючим типом вторгнень знаходився в перелщ вiдомих титв вторгнень.

Snort е лщером серед систем з вщкритим кодом. Незважаючи на вщсутшсть графiч-ного штерфейсу або простого iнтерфейсу адмiнiстратора, цей шструмент отримав широке визнання як ефективне ршення мережевоï системи виявлення вторгнень для широкого кола сценарпв та випадюв використання. Крiм того, громада створила рiзнi штерфейси для вирiшення проблеми вiдсутностi графiчного iнтерфейсу. Snort використовуе як виявлення вторгнення на основi сигнатур, так i методи, що базуються на аномалiях i можуть поклада-тися на створеш користувачами правила або тдписи, отриманi з баз даних.

Suricata е прямим конкурентом Snort i використовуе методолопю, основану на тд-писах, безпеку, керовану правилами/пол^икою, та тдхщ, що базуеться на аномалiях, для виявлення вторгнень. Для деяких це ршення е сучасною альтернативою галузевому стандартному шструменту - Snort «на стерощи» з багатьма можливостями для потоку, приско-ренням графiчного процесора та численними моделями виявлення статистичних аномалiй.

Bro IDS використовуе виявлення вторгнень на основ1 аномалш i, як правило, засто-совуеться у поeднаннi з Snort, оскшьки вони дуже добре доповнюють один одного. Слiд зазначити, що Bro насправдi е спещальною мовою для мережевих додаткiв, в яких написано Bro IDS. Ця технология особливо ефективна при аналiзi трафiкy i часто застосовуеться у випадках судово'1 експертизи.

Security Onion [4] насправдi е дистрибутивом Linux на базi Ubuntu для IDS та монь торингу мережево'1 безпеки (NSM) i складаеться з декшькох вищезазначених технологiй з вщкритим кодом, якi працюють у взаемозв'язку мiж собою. Платформа пропонуе комплек-сне виявлення вторгнень, монiторинг безпеки мереж та yправлiння журналами, об'едную-чи найкраще з Snort, Suricata, Bro, а також iншi шструменти, такi як Sguil, Squert, Snorby, ELSA, Xplico та ш. Для випадюв, коли необхiдно отримати найкраще з вищезазначених шструмешив в одному пакет!, варто використовувати Security Onion. У табл. 1 наведено порiвняльний аналiз вищезазначених систем.

Таблиця 1 - Пор!вняльний анал!з юнуючих IDS

Назва системи Переваги Недол!ки

Snort Дуже простий в установщ, запуску та робот!. Велике ком'юнт користувач!в, багато тдтримува-них ресурав, доступних в 1нтер-нет! Поставляеться без графiчного ште-рфейсу, хоча юнують додатки, роз-робленi ком'юнгп. Обробка пакет!в може бути повшьною

Suricata Може використовувати набори правил Snort. Мае розширеш фу-нкцп, таю як багатопоточшсть i прискорення графiчного проце-сора Схильш до помилкових спрацьо-вувань. Системна та мережева ре-сур сом!стк! сть

Bro IDS Платформа може бути адаптова-на до р!зних випадкiв використання мережево'1 безпеки, в допо-вненнi до NIDS Необхщний певний досвщ програ-мування. Отримання квал!ф!кацп в Bro DSL може потребувати певних зусиль

Security Onion Комплексний стек безпеки, що складаеться з декшькох провщ-них р!шень !з вщкритим кодом. Забезпечуе простий шструмент налаштування для встановлення всього стеку Як платформа, що складаеться з декшькох технологш, Security Onion наслщуе недол!ки кожного компонента

4. Мета статт1

Провести анал!з та виявити особливост! роботи мережевих систем виявлення вторгнень. Запропонувати узагальнену арх!тектуру цього класу систем з урахуванням використання ними веб-додатюв.

5. Виклад основного матер1алу

Мережев! системи виявлення вторгнень призначеш для детектування атак у сегмент! мереж!, яю знаходиться тд управлшням одного адмшютратора. Таким чином можна визна-чити IDS як систему, що використовуеться в корпоративних мережах, яю можуть включа-ти в себе територ!ально вщдалеш мереж!, що використовують едину пол!тику безпеки. Джерелом шформаци для них е мережевий траф1к: заголовки i вмют мережевих пакет!в.

Сучасш NIDS е розподiленi i складаються з декiлькох компонент. На рис. 1 наведено арх^ектуру та особливосп роботи NIDS на прикладi Snort, яка складаеться з таких компонент:

- аналiзатор трафiку (sniffer);

- дешифратор паке^в (preprocessor);

- мехашзм виявлення (detection engine);

- набiр правил (ruleset);

- система реестрацп/оповщення (logger/alerter).

Рисунок 1 - Арх1тектура Snort

Аналiзатор трафiку призначений для перехоплення i подальшого аналiзу мережево-го трафiку. Перехоплення трафку здiйснюеться за допомогою бiблiотеки pcap (libpcap -для Linux, WinPcap - для Windows) звичайним «прослуховуванням» мережевого штерфей-

су.

Дешифратор паке^в готуе перехопленi пакети в форму типу даних, яю потiм мо-жуть бути обробленi механiзмом виявлення. Дешифратор паке^в може рееструвати Ethernet, SLIP i PPP-пакети.

Механiзм виявлення аналiзуе i обробляе пакети, подаш до нього «дешифратором», грунтуючись на правилах Snort (так як система виявлення в Snort працюе на основi шдпи-сiв). Змiннi модулi можуть бути включенi в мехашзм виявлення, щоб збiльшити функщо-нальш можливостi Snort.

Набiр правил включае в себе низку пiдписiв (правил), на основi яких орiентуеться мехашзм виявлення, i вже потiм виршуе, чи е перехоплений трафiк вторгненням.

Система реестрацп/оповщення дозволяе рееструвати шформащю, зiбрану дешифратором пакетiв у легкому для читання формат або повщомляти про виявленi загрози. За замовчуванням файли реестрацп збереженi в каталозi /var/log/snort.

Snort мае три режими роботи [5]:

1. Режим пакетного сшферу. В цьому режимi Snort читае i дешифруе вс мережевi пакети i формуе дамп до stdout (ваш екран). Для перекладу Snort в режим сшффер викори-стовуйте ключ -v.

2. Режим реестрацп пакетв. Цей режим записуе пакети на диск i декодуе !х в ASCII-формат.

3. Режим виявлення вторгнень. У цьому режимi Snort виступае як повнощнна мере-жева система виявлення вторгнень.

Саме третш режим вiдповiдае принципам роботи NIDS. При правильному налашту-ваннi Snort можна досягнути досить високого рiвня захисту мережъ Головним критерiем правильного налаштування системи е низка правил для виявлення вах можливих категорш вторгнень. Для того, щоб цього досягти, використовуеться великий досвiд, отриманий дов-готривалою експлуатацiею системи. За тривалий час свого юнування Snort накопичив ве-лике ком'юнiтi, яке поповнювало перелiк правил, i на сьогодшшнш час число цих правил перевищуе величину в 50 000. Оскшьки система е гнучкою i орiентована на кастомiзацiю

тд потреби користувача, то е можливють самостiйно розробляти noTpi6HÍ пiдписи (правила).

Кожен пщпис мае подш на двi частини: заголовок та опцй. Заголовок пiдпису включае дiю, протокол, IP-адресу i маски для вщправника та отримувача, а також номери пор^в вiдправника та отримувача. Опцп пщпису включають повiдомлення та шформащю про те, якi частини пакета варто перевiрити, аби визначити, чи слщ прийняти по вщно-шенню до пакета задану д^.

Нижче наведено приклад пiдпису:

alert tcp any any -> 192.160.0.0/24 111 \

(content: "| 00 01 86 a5 msg: "mountd access";)

Опцй пiдпису вказуються у круглих дужках, слова, за якими слщуе двокрапка, е ключовими.

При дотриманн усiх вказаних у пщпис умов по вiдношенню до пакета виконуеться задана пщписом дiя (генеращя попередження у наведеному прикладi).

Заголовок правила мае вигляд:

<Дiя> <Протокол> <Вiдправник> <Порт> <Напрямок> <Отримувач> <Порт> (ключ: значення)

Заголовок правила мiстить ключове слово, яке визначае д^, виконувану при ств-падiннi всiх заданих тдписом умов. Дiя завжди вказуеться першою i може бути одним i наведених ключових слiв:

1. Alert - сгенерувати сигнал з використанням обраного методу i записати шформащю про пакети в журнальний файл.

2. Log - записати шформащю про пакети в журнальний файл.

3. Pass - ^норувати пакет.

4. Active - згенерувати сигнал i активiзувати шше динамiчне правило.

5. Dynamic - правило не виконуе жодних дш до його активацп за допомогою ди activate в шшому правил^ а при активацп виконуеться як log.

Наступне поле заголовку вказуе протокол, який буде вщстежуватися.

Шсля протоколу в пщпис вказуються адреси i номери пор^в для даного тдпису. Ключовому слову any будуть вщповщати вс адреси IP (0.0.0.0/0).

Номери пор^в можна задавати у виглядi конкретного значення, дiапазону, перелiку або ключового слова any (будь-який порт). Для пор^в також пщтримуеться оператор запе-речення. Для задання дiапазону вказуються верхня та нижня гранищ, вiдокремленi двок-рапкою (:).

Оператор напрямку -> вказуе напрямок передачi трафiку для даного тдпису. Адреси i порт лiворуч вщ цього оператора вщносяться до вiдправника, а праворуч - до отримувача паке^в. Можна також створювати двонаправлет тдписи за допомогою оператора <>. У цьому випадку кожна iз пар «адреса-порт» буде трактуватися як вщправник i отримувач водночас.

Опцй правил е найважлившою частиною роботи системи пщпиав. Для роздiлення опцiй у тдписах використовуеться крапка з комою (;). Ключовi слова опцiй вiддiляються вщ аргументiв двокрапкою (:).

1снуе 4 (чотири) основних категорп опцiй пщпиав:

1. Meta-data - iнформацiя про пщпис, що не впливае на детектування пакетiв i вико-нуват по вiдношенню до них операцп.

2. Payload - опцiя перегляду поля даних пакета (packet payload).

3. Non-payload - опщя перегляду службових полiв пакета.

4. Post-detection - опщя, яка вказуе, що необхщно зробити тсля виконання заданих для пщпису умов.

Для забезпечення зручного користування NIDS потрiбен user-friendly штерфейс ко-ристувача. Цю вимогу можна забезпечити за допомогою веб-додатку, що е поширеною практикою на сьогодшшнш день. Проте спочатку потрiбно спроектувати архiтектуру тако! системи.

Для даного випадку слщ використовувати трирiвневу «клiент-серверну» арх^екту-ру. Це арх^ектурна модель програмного комплексу, що передбачае наявшсть у ньому трьох компоненпв: клiента, сервера додаткiв (наша система виявлення) i сервера баз даних (з яким працюе сервер додатюв).

У порiвняннi з дворiвневою «^ент-серверною» архiтектурою або «файл-серверною» арх^ектурою, трирiвнева архiтектура забезпечуе, як правило, бшьшу масшта-бованiсть (за рахунок горизонтально! масштабованосп сервера додаткiв i мультиплексу-вання з'еднань), кращу можливють конфiгурування (за рахунок iзольованостi рiвнiв один вiд одного) [6].

Дана архитектура представлена на рис. 2.

Слщ зазначити, що для NIDS важливим е розподшена обробка подш. Для цього в наведенiй архiтектурi запропоновано використати Веб кластер.

Рисунок 2 - Трир1внева «кл1ент-серверна» арх1тектура мережево! системи виявлення вторгнень

6. BHCHOBKH Ta npono3Huii

Y po6oTi npoBegeHo aHani3 icHyronux Mepe^eBux cucreM BHAB.neHHfl BToprHeHb, akhh noKa3aB Heo6xigHÍcTb BUKopucraHHa user-friendly ÍHTep^eñcy KopucryBana Ta po3po6.neHHfl y3ara.nbHe-Hoi apxÍTeKTypu NIDS 3 ypaxyBaHHaM BUKopucraHHa Be6-gogaTKy.

3anp0n0H0BaH0 apxiTeKTypy Mepe^eBo'í cucreMH BHAB.neHHfl BToprHeHb Ha ochobí Tpu-piBHeBoi K^iHT-cepBepHoi Mogem. Bugmem ochobhí KoMnoHeHTH cucreMH BHAB.neHHfl i onuca-Ha ií poGoTa, ^o пpaцroe Ha ochobí nignucÍB.

^k noKa3aB aHam3 cucreMH, By3bKHM мicцeм yciei cucreMH e Ha6ip nignucÍB i He3pyn-hhh cnoci6 B3aeMogii 3 KopucryBaneM. OgHa 3 HañBa^^HBÍmHx npo6.neM cynacHux cucreM no-.rarae b ToMy, ^o gaHuñ Ha6ip He Mo^e BÍgcre^yBaTH 3arpo3H, akí He Ma.nu npe^gemÍB y mh-Hy^oMy. ToMy ochobhhm HanpaMoM goc.nig:®:eHb e BnpoBag^eHHa nomyKy BToprHeHb Ha ochobí nomyKy aHoMa^bHoí aKTHBHocri.

HacTynHa npo6.neMa, a caMe po3po6Ka gpy:®HÍx ÍHTep$eñcÍB, BupimyeTbca BnpoBa-g^eHH^M Be6-gogaTKy, akhh Mo^e e^eKTHBHo B3aeMogiaTH 3 cepBepoM, Ha aKoMy po3MÍ^ern cucreMH BHHB^eHHa i 6a3a gaHux, ^o 36epirae Bcro Heo6xigHy ÍH^opMa^ro.

CnHCOK A^EPE^

1. Dhangar K., Kulhare D., Khan A. A Proposed Intrusion Detection System. International Journal of Computer Applications. 2013. Vol. 65, N 23. P. 46-50.

2. Vijayarani S., Sylviaa M. Intrusion Detection System - A Study. International Journal of Security, Privacy and Trust Management. 2015. Vol. 4, N 1. P. 31 - 44.

3. Shaker A. Gore S. Intrusion Detection System (IDS): Case Study. International Conference on Advanced Materials Engineering IPCSIT. 2011. Vol. 15. P. 6 - 9.

4. Top Free Network-Based Intrusion Detection Systems (IDS) for the Enterprise. URL: https://www.upguard.com/articles/top-free-network-based-intrusion-detection-systems-ids-for-the-enterprise.

5. Open Source Intrusion Detection System using Snort: conf. paper from the 4th International Symposium on Sustainable Development. International Burch University, Faculty of Engineering and Information Technologies. Sarajevo: SOC-1441, 2014. 8 p.

6. PuHguH C.B. CepBicHo-opieHToBaHa apxiTeKTypa iH^opMa^HHHx chctcm y c^epi HagaHHa TpaHcnop-thhx nocnyr. Bíchuk Цернiгieсbкого дep^aeнoгo тexнonoгiннoгoynieepcumemy. Texninni nayKU. 2013. № 1. C.155-160.

Cmammn nadiümna do peda^ii 13.06.2018

i Надоели баннеры? Вы всегда можете отключить рекламу.