Решетневскуе чтения. 2013
Deli: A new run-time control point // Proceedings of the 35th Annual Symposium on Microarchitecture (MICRO35), Istanbul, Turkey, November 2002. p. 257-270.
2. Henry S, Kafura D. IEEE Transactions on Software Engineering Volume SE-7, Issue 5, Sept. 1981. Page(s): 510-518.
3. Marco Cova; Viktoria Felmetsger; Greg Banks; Giovanni Vigna; "Static Detection of Vulnerabilities in x86 Executables, "Computer Security Applications Conference, 2006. ACSAC '06. 22nd Annual, vol., no., pp. 269-278.
4. http ://uninformed.org/index.cgi?v=7&a= 1&p=3
5. Pedram Amini, «Fuzzing Framework», Black Hat USA, 2007.
© mygpaK M. O. 2013
УДК 004.056
СОЗДАНИЕ МЕТОДОЛОГИИ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
К. В. Якименко, М. Н. Жукова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail: [email protected]
Рассматривается проблема обнаружения и анализа инцидентов информационной безопасности. Предлагается методология обнаружения инцидентов информационной безопасности посредством анализа ключевых признаков.
Ключевые слова: инциденты информационной безопасности.
CREATING DETECTION METHODOLOGIES OF INFORMATION SECURITY INCIDENTS
К. V. Yakimenko, M. N. Zhukova
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: [email protected]
The problem of detection and analysis of information security incidents is assumed. A methodology to detect information security incidents through the analysis of key features is proposed.
Keywords: information security incidents.
Инцидент информационной безопасности - появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности.
На сегодняшний день существуют различные методы реагирования на инциденты информационной безопасности, а также расследования таких инцидентов. Разработаны и эффективно функционируют системы обнаружения и предотвращения вторжений (частный случай решения рассматриваемой проблемы). Однако нет универсальной, формализованной методики обнаружения инцидентов информационной безопасности [1]. Статистика позывает, что инциденты информационной безопасности, как правило, обнаруживаются по факту, уже после того как событие произошло. В свою очередь, утечки конфиденциальной информации вообще могут быть не обнаружены. Проводить расследование таких инцидентов крайне проблематично.
Поиск и обнаружение инцидентов информационной безопасности и предшествующей их возникновению аномальной активности является ключевой проблемой и начальным этапом процесса реагирования на инциденты информационной безопасности. Поиск и обнаружение инцидентов информационной безопасности могут быть реализованы различными методами: сигнатурный анализ и поиск по ключевым признакам.
Сигнатурный метод подобен сигнатурному методу анализа, применяемому различными антивирусными программами, а также системами обнаружения вторжений. В соответствии с заранее заданными сигнатурами анализируются события, происходящие в информационной системе предприятия, и в случае обнаружения совпадения сигнатур инцидента с произошедшим или происходящим событием происходит оповещение администратора безопасности или предпринимаются ответные действия (частный случай такой системы - система предотвращения вторжений (IPS - Intrusion Prevention system).
Методы и средства защиты информации
Поиск по ключевым признакам заключается в следующем. На базе анализа статистики произошедших инцидентов информационной безопасности выделяется набор ключевых признаков, которые могут соответствовать различным инцидентам информационной безопасности.
Такими признаками могут быть, например увеличение объема входящего трафика, что косвенно может свидетельствовать о начале DoS-атаки. Увеличение числа неудачных попыток входа может говорить о том, что злоумышленник подбирает пароль к системе и т. д.
Для реализации подобного алгоритма обнаружения инцидентов информационной безопасности необходимо провести глубокий анализ статистики зарегистрированных инцидентов информационной безопасности и предшествующей их возникновению аномальной активности, а также выделить ключевые признаки тех или иных инцидентов. После создания подробной выборки инцидентов информационной безопасности будет создана универсальная модель инцидентов информационной безопасности, возникающих в неизвестный момент времени периода наблюдения.
На базе разработанных моделей планируется создать информационную систему, которая будет осуще-
ствлять сбор и анализ информации, осуществлять поиск ключевых признаков появления инцидентов в соответствии с заданной моделью, а также в соответствии с заданной политикой информационной безопасности, осуществлять ответные действия. Такими действиями могут быть, например, блокирование атакующего хоста, ограничение количества попыток входа в систему, оповещение администратора безопасности и т. д.
На текущий момент ведется анализ находящейся в открытом доступе статистики инцидентов информационной безопасности, и создается база признаков инцидентов информационной безопасности и аномальной активности.
Библиографическая ссылка
1. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
References
1. GOST R ISO/IEC 18044-2007. Information technology. Methods and tools to ensure security. Management of information security incidents.
© Якименко К. В., Жукова М. Н., 2013