Репозиторій ЧДТУ
Репозиторій ЧДТУ зберігає і дозволяє легкий і відкритий доступ до всіх видів цифрового контенту, включаючи текст, зображення, анімовані зображення, MPEG і набори даних
Дізнатися більше
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
https://er.chdtu.edu.ua/handle/ChSTU/5989| Назва: | Побудова та практичні аспекти використання систем виявлення атак на інформаційно- телекомунікаційні системи |
| Автори: | Байрак, Анатолій Володимирович Білецький, Владислав Олександрович |
| Ключові слова: | системи виявлення атак;сигнатурний аналіз;аномалійний аналіз;suricata;snort |
| Дата публікації: | 2024 |
| Короткий огляд (реферат): | Метою даної роботи є дослідження методів побудови та практичні аспекти використання систем виявлення атак на інформаційно-телекомунікаційні системи. Провести огляд сучасних інформаційно-телекомунікаційних систем та їх уразливостей до різноманітних кіберзагроз. Розглянути концепцію систем виявлення атак (IDS), їх визначення та класифікацію. Дослідити сучасні технології та методи, що використовуються для виявлення атак. Розробити архітектуру ефективної системи виявлення атак з використанням сучасних підходів. Вивчити методи збору та аналізу даних для забезпечення точності та швидкості виявлення атак. Дослідити можливості інтеграції систем виявлення атак в існуючі мережеві інфраструктури. |
| URI (Уніфікований ідентифікатор ресурсу): | https://er.chdtu.edu.ua/handle/ChSTU/5989 |
| Розташовується у зібраннях: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| М_125_Білецький_Байрак.pdf Restricted Access | 1.26 MB | Adobe PDF | Переглянути/Відкрити Запит копії |
Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ,
АВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2024 року
Пояснювальна записка
до дипломного роботи
магістра
(освітньо-кваліфікаційний рівень)
на тему Побудова та практичні аспекти використання систем виявлення атак
на інформаційно- телекомунікаційні системи
Виконав: студент 2 курсу, групи мБІ-31
Спеціальності 125 – ««Кібербезпека та захист
інформації»» ,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних і ко-
мунікаційних систем»
(назва освітньої програми)
Білецький В.О.
(прізвище та ініціали)
Керівник Байрак А.В.
(прізвище та ініціали)
Рецензент Чепинога А.В.
(прізвище та ініціали)
Черкаси – 2024 року
ЗМІСТ
ВСТУП .............................................................................................................................. 6
1. ТЕОРЕТИЧНІ ОСНОВИ СИСТЕМ ВИЯВЛЕННЯ АТАК ..................................... 8
1.1. Огляд інформаційно-телекомунікаційних систем ............................................. 8
1.2. Класифікація атак та загроз ............................................................................... 10
1.2.1 Класифікація атак за ціллю ........................................................................... 11
1.2.2 Класифікація атак за методами реалізації ................................................... 11
1.2.3 Класифікація атак за мотивом ...................................................................... 12
1.2.3 Класифікація атак за наслідками .................................................................. 12
1.3. Системи виявлення атак (IDS): визначення та класифікація ......................... 12
1.3.1. За місцем розгортання: ................................................................................. 13
1.3.2 За методами виявлення: ................................................................................ 13
1.3.3 За рівнем обробки даних: .............................................................................. 13
1.4 Історія розвитку IDS ............................................................................................ 14
1.5 Основні функції IDS ............................................................................................ 15
1.6. Переваги та недоліки різних типів IDS ............................................................. 15
1.6.1 Сигнатурні IDS ............................................................................................... 15
1.6.2 Аномальні IDS ................................................................................................ 16
1.6.3 Гібридні IDS ................................................................................................... 16
1.7. Технології та методи виявлення атак ................................................................ 16
1.7.1 Технології виявлення атак ............................................................................ 17
1.7.2 Стратегії розпізнавання мережевих загроз ................................................. 17
1.7.3 Інтеграція різних методів .............................................................................. 18
1.7.4 Вибір методів в залежності від контексту ................................................... 18
1.7.5 Виклики та перспективи розвитку ............................................................... 19
1.8. Практичні приклади ............................................................................................ 19
1.9 IPS .......................................................................................................................... 20
ЧДТУ.24.23306.002 ПЗ
Зм. Арк. № докум. Підпис Дата
Р озроб. Білецький В. О. Побудова та практичні аспекти Літ. Аркуш Аркушів
Перевір. Байрак А. В.. використання систем виявлення 4
Реценз. Андрієнко В. О. атак на інформаційно-
Н.Контрол. Палагін В.В.
телекомунікаційні системи ЧДТУ, мБІ-31
За
твердж.
2. ПОБУДОВА СИСТЕМ ВИЯВЛЕННЯ АТАК........................................................ 23
2.1. Архітектура IDS .................................................................................................. 23
2.2. Методи збору та аналізу даних .......................................................................... 26
2.3. Використання машинного навчання та штучного інтелекту в IDS ............... 32
2.4. Інтеграція IDS у поточні мережеві інфраструктури ........................................ 36
3. ПРАКТИЧНІ АСПЕКТИ ВИКОРИСТАННЯ IDS ................................................. 39
3.1. Огляд популярних IDS (Snort, Suricata, Zeek тощо) ........................................ 39
3.1.1 Snort ................................................................................................................. 39
3.1.2 Suricata ............................................................................................................. 40
3.1.3 Zeek (Bro) ........................................................................................................ 40
3.1.4 Інші популярні системи виявлення атак ...................................................... 41
3.2. Налаштування та оптимізація IDS .................................................................... 42
3.3. Аналіз ефективності виявлення атак................................................................. 47
3.4. Виклики та проблеми при впровадженні IDS .................................................. 50
4. ЕКСПЕРИМЕНТАЛЬНЕ ДОСЛІДЖЕННЯ ........................................................... 55
4.1. Постановка експерименту .................................................................................. 55
4.2 Встановлення та налаштування .......................................................................... 59
4.3 Сценарії атак і моделювання .............................................................................. 61
4.4 Результати виявлення та запобігання ................................................................ 62
4.5. Аналіз та інтерпретація результатів .................................................................. 67
4.6. Рекомендації щодо покращення ........................................................................ 70
4.7 Налаштування правил і хибнопозитивне скорочення ...................................... 72
4.8 Продуктивність і використання ресурсів .......................................................... 73
4.9 Інтеграція з операціями безпеки та реагування на інциденти ......................... 73
4.10 Резюме практичних висновків .......................................................................... 75
ВИСНОВКИ ................................................................................................................... 77
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ .............................................................. 78
Лист
ЧДТУ.24.23306.002 ПЗ 5
Зм Арк №Докум. Підп Дат
ВСТУП
У сучасному інформаційному суспільстві інформаційно-телекомунікаційні
системи (далі — ІТС) займають ключове місце, забезпечуючи ефективну передачу,
обробку та зберігання величезних обсягів даних. Їх важливість очевидна: у
цифровий світ переносять усі аспекти життя — покупки, різноманітні послуги,
навчання та навіть зберігання особистих документів, таких як паспорти.
Інформаційні технології стали невід'ємною частиною життя, з якою знайомі навіть
наймолодші покоління ще до того, як вони вміють ходити і говорити. Від
державного управління до приватного сектору, ІТС є фундаментом
функціонування організацій та суспільства в цілому. Зі зростанням обсягу та
складності інформаційних потоків зростає й ризик виникнення кіберзагроз, які
можуть мати серйозні наслідки для економіки, національної безпеки та безпеки
звичайних користувачів.
Кіберзагрози стають дедалі витонченішими та різноманітнішими,
використовуючи передові технології для обходу традиційних засобів захисту. У
цьому контексті системи виявлення атак (далі — IDS) набувають особливої
важливості як інструменти раннього виявлення та нейтралізації загроз. Ефективні
IDS дозволяють оперативно реагувати на інциденти безпеки, зберігати цілісність
та конфіденційність даних, а також мінімізувати можливі збитки від кібератак.
Значущість дослідження систем виявлення атак обумовлена необхідністю
постійного вдосконалення засобів захисту ІТС у відповідь на еволюцію
кіберзагроз. Вивчення сучасних підходів, технологій та методів виявлення атак є
критично важливим для розробки ефективних засобів захисту, здатних забезпечити
безпеку інформаційно-телекомунікаційних систем у різних галузях діяльності.
Метою даної роботи є дослідження методів побудови та практичні аспекти
використання систем виявлення атак на інформаційно-телекомунікаційні системи.
Для досягнення поставленої мети необхідно вирішити наступні завдання:
– Провести огляд сучасних інформаційно-телекомунікаційних систем та
їх уразливостей до різноманітних кіберзагроз.
Лист
ЧДТУ.24.23306.002 ПЗ 6
Зм Арк №Докум. Підп Дат
– Розглянути концепцію систем виявлення атак (IDS), їх визначення та
класифікацію.
– Дослідити сучасні технології та методи, що використовуються для
виявлення атак.
– Розробити архітектуру ефективної системи виявлення атак з
використанням сучасних підходів.
– Вивчити методи збору та аналізу даних для забезпечення точності та
швидкості виявлення атак.
– Дослідити можливості інтеграції систем виявлення атак в існуючі
мережеві інфраструктури.
Лист
ЧДТУ.24.23306.002 ПЗ 7
Зм Арк №Докум. Підп Дат
1. ТЕОРЕТИЧНІ ОСНОВИ СИСТЕМ ВИЯВЛЕННЯ АТАК
1.1. Огляд інформаційно-телекомунікаційних систем
Інформаційно-телекомунікаційні системи (ІТС) є фундаментальними
складовими сучасного суспільства, забезпечуючи ефективну передачу, обробку та
зберігання великих обсягів даних. Ці системи інтегрують різні компоненти, такі як
апаратне забезпечення, програмне забезпечення, мережеві інфраструктури та
користувацькі інтерфейси, що дозволяє здійснювати комунікацію між людьми,
організаціями та автоматизованими системами.
Структура ІТС
ІТС складаються з кількох основних елементів:
Апаратне забезпечення – воно включає сервери, комп'ютери,
маршрутизатори, комутатори, мережеві пристрої та інші фізичні компоненти, які
забезпечують функціонування системи. Наприклад, фізичні сервери
використовуються для обробки великих обсягів даних, тоді як віртуальні сервери
дозволяють гнучко масштабувати ресурси відповідно до потреб організації.
Програмне забезпечення - охоплює операційні системи, додатки, бази даних
та інші програмні продукти, які керують апаратними ресурсами та забезпечують
виконання завдань. Наприклад, системи управління базами даних (СУБД)
дозволяють ефективно зберігати та витягувати інформацію.
Мережеві інфраструктури - включають локальні та глобальні мережі,
Інтернет, протоколи зв'язку, які забезпечують обмін інформацією між різними
компонентами системи. Сучасні тенденції, такі як впровадження 5G та Інтернету
речей (IoT), значно розширюють можливості мережевих інфраструктур.
Користувацькі інтерфейси – це, інтерфейси для взаємодії користувачів з
системою, включаючи графічні інтерфейси, веб-інтерфейси та мобільні додатки.
Наприклад, веб-додатки дозволяють користувачам доступ до сервісів через
браузер, а мобільні додатки забезпечують зручний доступ з мобільних пристроїв.
Безпекові механізми - засоби захисту даних та ресурсів системи від
несанкціонованого доступу, включаючи аутентифікацію, авторизацію,
Лист
ЧДТУ.24.23306.002 ПЗ 8
Зм Арк №Докум. Підп Дат
шифрування та системи виявлення атак (IDS). Наприклад, шифрування даних
забезпечує їх конфіденційність під час передачі через мережу.
Різні компоненти ІТС взаємодіють між собою для забезпечення
безперебійної роботи системи. Наприклад, користувач через веб-інтерфейс
надсилає запит до сервера, який обробляє цей запит за допомогою програмного
забезпечення та взаємодіє з базою даних для отримання необхідної інформації.
Мережеві інфраструктури забезпечують швидкий та надійний обмін даними між
усіма компонентами системи.
Сучасні ІТС активно впроваджують такі тенденції, як хмарні обчислення,
Інтернет речей (IoT), 5G технології та штучний інтелект (AI). Хмарні обчислення
дозволяють організаціям гнучко масштабувати свої ІТС без необхідності
інвестувати в додаткове апаратне забезпечення. IoT забезпечує інтеграцію різних
пристроїв в єдину мережу, що дозволяє збирати та аналізувати великі обсяги даних.
Технології 5G забезпечують високу швидкість та низьку затримку передачі даних,
що є критично важливим для реального часу додатків. Штучний інтелект
використовується для автоматизації процесів та покращення аналізу даних.
ІТС можуть бути класифіковані за різними критеріями, зокрема за
призначенням:
1. Комерційні ІТС - використовуються в бізнесі для управління
процесами, зберігання та аналізу даних, забезпечення зв'язку між відділами та
партнерами. Наприклад, системи управління підприємством (ERP) допомагають
оптимізувати бізнес-процеси та підвищити ефективність роботи.
2. Державні ІТС - застосовуються в урядових структурах для управління
інформацією, забезпечення національної безпеки, електронного уряду та надання
публічних послуг. До прикладу: електронні системи голосування забезпечують
прозорість та доступність виборчого процесу.
3. Освітні ІТС - використовуються в навчальних закладах для управління
навчальними процесами, досліджень та адміністративних завдань. Наприклад,
системи управління навчанням (LMS) дозволяють організувати дистанційне
навчання та моніторинг успішності студентів.
Лист
ЧДТУ.24.23306.002 ПЗ 9
Зм Арк №Докум. Підп Дат
4. Медичні ІТС - забезпечують управління медичними даними,
електронні медичні записи, телемедицину та інші медичні послуги. Такі системи
електронних медичних записів (EMR) дозволяють лікарям швидко отримувати
доступ до історії хвороби пацієнтів.
5. Індустріальні ІТС - застосовуються в промисловості для управління
виробничими процесами, автоматизації та контролю якості. Це такі системи як:
системи автоматизованого контролю виробництва дозволяють підвищити
продуктивність та знизити витрати.
ІТС відіграють критично важливу роль у забезпеченні ефективності та
конкурентоспроможності організацій. Вони дозволяють автоматизувати рутинні
завдання, оптимізувати бізнес-процеси, забезпечувати швидкий доступ до
інформації та підтримувати прийняття рішень на основі аналітичних даних.
Крім того, ІТС сприяють розвитку нових технологій та інновацій, що
стимулюють економічне зростання та соціальний розвиток.
По-перше ІТС впливають на економіку, підвищуючи продуктивність праці,
знижуючи витрати та сприяючи інноваціям. Наприклад, автоматизація виробничих
процесів дозволяє зменшити витрати на робочу силу та підвищити якість продукції.
По-друге ІТС змінюють спосіб життя суспільства, забезпечуючи доступ до
інформації, покращуючи якість освіти та охорони здоров’я. До прикладу:
телемедицина дозволяє пацієнтам отримувати медичну допомогу віддалено, що
особливо важливо для людей, що проживають у віддалених районах та для людей
з обмеженимим можливостями.
Проте, зростання значущості ІТС супроводжується збільшенням ризиків
кіберзагроз, що можуть призвести до серйозних наслідків, включаючи втрату
даних, фінансові збитки, порушення конфіденційності та репутаційні втрати. Саме
тому захист ІТС від кіберзагроз є пріоритетним завданням для організацій та урядів
по всьому світу.
1.2. Класифікація атак та загроз
Лист
ЧДТУ.24.23306.002 ПЗ 10
Зм Арк №Докум. Підп Дат
Кіберзагрози та атаки на інформаційно-телекомунікаційні системи мають
різноманітні форми та методи реалізації. Їх класифікація дозволяє краще розуміти
природу загроз та розробляти ефективні засоби захисту.
1.2.1 Класифікація атак за ціллю
– Атака на конфіденційність – це атаки орієнтовані на несанкціонований
доступ до конфіденційної інформації. Прикладами є крадіжка персональних даних,
корпоративних секретів або фінансової інформації, це може бути викрадення даних
клієнтів з банківської системи.
– Атаки на цілісність – це атаки, метою яких є змінення або пошкодження
даних, що можуть призвести до помилок у системах або неправомірних рішень,
типу змінення даних у базах даних або підміна інформації у фінансових
транзакціях.
– Атаки на доступність – це різновид атак направлених на зроблення
системи недоступною для користувачів, що може бути досягнуто шляхом
перевантаження ресурсів або руйнування інфраструктури. Прикладами є атаки
типу «відмова в обслуговуванні» (DoS, DDoS).
1.2.2 Класифікація атак за методами реалізації
• Сюди входять віруси та шкідливе ПЗ, тобто програми, які можуть
самостійно поширюватися та завдавати шкоди комп'ютерним системам. До них
належать віруси, трояни, черв'яки, руткіти та інші види шкідливого програмного
забезпечення.
• Фішинг - Метод соціальної інженерії, спрямований на отримання
конфіденційної інформації шляхом обману користувачів. Зазвичай реалізується
через підроблені електронні листи або веб-сайти.
• SQL-ін'єкції – це атаки на веб-додатки, що використовують вразливості
в базах даних для отримання несанкціонованого доступу або зміни даних.
• Атаки «людина посередині» (MITM) - атака, при якій зловмисник
перехоплює та змінює комунікацію між двома сторонами без їх відома.
Лист
ЧДТУ.24.23306.002 ПЗ 11
Зм Арк №Докум. Підп Дат
• Брутфорс атаки - це метод підбору паролів або ключів шифрування
шляхом автоматизованого випробування великої кількості варіантів.
1.2.3 Класифікація атак за мотивом
– Фінансові стимули – зловмисники можуть здійснювати атаки для
отримання фінансової вигоди, наприклад, викрадення коштів з банківських
рахунків, вимагання викупу (ransomware) або проведення шахрайських схем.
– Політичні причини – дії, спрямовані на досягнення політичних цілей, такі
як кібершпіонаж, атаки на урядові установи або проведення кампаній
дезінформації.
– Конкурентні мотиви – організації можуть використовувати кіберзасоби для
здобуття переваг над конкурентами, наприклад, шляхом викрадення
інтелектуальної власності або порушення діяльності конкурентів.
– Особисті причини – іноді атаки здійснюються з особистих побажань, таких
як помста, бажання завдати шкоди або підтвердити свої здібності.
1.2.3 Класифікація атак за наслідками
• Фінансові втрати – витрати, пов’язані з відновленням систем,
компенсаціями постраждалим, штрафами та іншими фінансовими обтяженнями.
• Збитки для репутації – втрата довіри клієнтів, партнерів та
громадськості, що може призвести до зменшення обсягів бізнесу та втрати позицій
на ринку.
• Юридичні наслідки – недотримання законодавства щодо захисту
даних, що може спричинити судові позови та накладення штрафів.
• Операційні втрати – переривання бізнес-процесів, зниження
продуктивності та затримки у виконанні завдань.
1.3. Системи виявлення атак (IDS): визначення та класифікація
Системи виявлення атак (Intrusion Detection Systems, IDS) є ключовими
компонентами сучасних інформаційно-телекомунікаційних систем захисту. Вони
призначені для моніторингу мережевого трафіку та активності систем з метою
виявлення потенційних загроз та атак.
Лист
ЧДТУ.24.23306.002 ПЗ 12
Зм Арк №Докум. Підп Дат
IDS (Intrusion Detection Systems) — це програмні або апаратні системи, які
аналізують події в інформаційних системах або мережах з метою виявлення
підозрілої активності, порушень політик безпеки або зловмисних дій. Основні
функції IDS включають моніторинг, аналіз, виявлення та повідомлення про
можливі загрози.
IDS можна класифікувати за різними критеріями:
1.3.1. За місцем розгортання:
- Мережеві IDS (NIDS) - розміщені на ключових точках мережі (наприклад,
між маршрутизатором та внутрішньою мережею) та аналізують весь проходящий
через них мережевий трафік.
- Хостові IDS (HIDS) - інсталюються безпосередньо на окремих хостах або
пристроях і аналізують внутрішні події, такі як системні журнали, файли
конфігурації та процеси.
1.3.2 За методами виявлення:
1. Сигнатурні IDS (Signature-based IDS) - використовують базу даних відомих
сигнатур атак для порівняння з поточним трафіком або активністю. Цей метод
ефективний для виявлення відомих загроз, але не здатний виявити нові або невідомі
атаки.
2. Аномальні IDS (Anomaly-based IDS) - визначають аномалії або відхилення
від нормальної поведінки системи або мережі. Цей метод дозволяє виявляти нові
або невідомі загрози, але може мати високий рівень хибних спрацьовувань.
3. Гібридні IDS (Hybrid IDS) - комбінують сигнатурні та аномальні методи
для підвищення точності та ефективності виявлення загроз.
1.3.3 За рівнем обробки даних:
- Децентралізовані - IDS розподілені по різних вузлах мережі або системи,
що дозволяє здійснювати паралельний аналіз даних та зменшити навантаження на
окремі компоненти.
Лист
ЧДТУ.24.23306.002 ПЗ 13
Зм Арк №Докум. Підп Дат
- Централізовані – IDS, які збирають та обробляють дані з усіх вузлів у
централізованому місці, що спрощує управління та аналіз, але може створювати
єдину точку відмови.
1.4 Історія розвитку IDS
Системи виявлення атак розвивалися від простих сигнатурних систем до
сучасних рішень, що використовують машинне навчання та штучний інтелект для
покращення точності виявлення. Перші IDS з’явилися у 1980-х роках і
зосереджувались на моніторингу системних журналів. Згодом, з розвитком
мережевих технологій, з’явилися мережеві IDS, здатні аналізувати великий обсяг
мережевого трафіку. Сучасні IDS інтегруються з іншими системами безпеки,
такими як SIEM, для забезпечення комплексного захисту.
IDS відрізняються від міжмережевих екранів (firewalls) та систем запобігання
вторгнень (IPS) тим, що вони не тільки блокують загрози, але й виявляють їх,
надаючи можливість реагувати на них. Наприклад, міжмережеві екрани
контролюють доступ до мережі, а IPS не тільки виявляють атаки, але й автоматично
блокують їх. IDS ж служать для виявлення та повідомлення про загрози,
залишаючи рішення про подальші дії адміністраторам системи.
Сучасні IDS використовують передові технології, такі як машинне навчання
та штучний інтелект, для покращення точності та швидкості виявлення загроз.
Алгоритми машинного навчання дозволяють IDS автоматично адаптуватися до
нових загроз, аналізуючи великі обсяги даних та виявляючи складні патерни
поведінки, що свідчать про атаки. Штучний інтелект допомагає у прогнозуванні та
попередженні атак, забезпечуючи більш проактивний підхід до безпеки.
IDS часто інтегруються з іншими системами безпеки, такими як системи
управління інформацією та подіями безпеки (SIEM), для централізованого
моніторингу та аналізу загроз. Взаємодія з SIEM дозволяє агрегувати дані з різних
джерел, забезпечуючи більш комплексний аналіз та швидку реакцію на інциденти
безпеки.
Переваги та недоліки IDS
Лист
ЧДТУ.24.23306.002 ПЗ 14
Зм Арк №Докум. Підп Дат
1) Переваги:
Виявлення як відомих, так і невідомих загроз.
Підвищення обізнаності про безпеку системи.
Можливість реагувати на інциденти безпеки в реальному часі.
2) Недоліки:
Можливість високої кількості хибних спрацьовувань, що потребує
додаткових ресурсів для аналізу.
Обмежена здатність до автоматичної реакції на загрози у випадку
недостатньої інтеграції з іншими системами безпеки.
Витрати на впровадження та підтримку, особливо для великих
мережевих середовищ.
1.5 Основні функції IDS
1) Моніторинг - постійне спостереження за подіями в системі або мережі.
2) Аналіз - обробка зібраних даних для виявлення аномалій або підозрілих
дій.
3) Сповіщення - генерація попереджень або алертів для інформування
адміністрації про виявлені загрози.
4) Логування - запис подій для подальшого аналізу та розслідування
інцидентів.
5) Реакція у деяких випадках IDS можуть автоматично реагувати на загрози,
наприклад, блокувати підозрілий трафік або ізолювати заражені системи.
1.6. Переваги та недоліки різних типів IDS
1.6.1 Сигнатурні IDS
Перевагами є:
• Висока точність при виявленні відомих загроз, оскільки вони
порівнюють трафік з відомими сигнатурами.
• Низький рівень хибних спрацьовувань, коли сигнатури точно
відповідають реальним атакам.
Недоліками:
Лист
ЧДТУ.24.23306.002 ПЗ 15
Зм Арк №Докум. Підп Дат
• Неможливість виявлення нових або змінених атак, що не мають
відповідних сигнатур.
• Потреба в регулярному оновленні бази сигнатур, що може вимагати
додаткових ресурсів.
1.6.2 Аномальні IDS
Серед переваг виділяють:
Можливість виявлення нових або невідомих загроз, оскільки вони базуються
на відхиленнях від нормальної поведінки.
Адаптивність до змін у поведінці системи, що дозволяє швидко реагувати на
нові види атак.
Серед недоліків:
Вищий рівень хибних спрацьовувань через природну варіативність поведінки
системи.
Потреба в налаштуванні параметрів нормальної поведінки, що може бути
складним та часозатратним.
1.6.3 Гібридні IDS
Переваги:
Поєднують переваги сигнатурних та аномальних методів, забезпечуючи
високу точність та ефективність виявлення.
Зменшують кількість хибних спрацьовувань, використовуючи сигнатурні
методи для перевірки аномалій.
Недоліки:
Складність впровадження та управління через необхідність інтеграції різних
методів.
Вищі витрати на ресурси для підтримки комбінованих систем.
Переваги та недоліки різних типів IDS дозволяють організаціям обрати
найбільш ефективні рішення для своїх конкретних потреб та умов. Розуміння цих
аспектів є важливим для оптимізації систем захисту та забезпечення високого рівня
безпеки інформаційно-телекомунікаційних систем.
1.7. Технології та методи виявлення атак
Лист
ЧДТУ.24.23306.002 ПЗ 16
Зм Арк №Докум. Підп Дат
Технології та методи виявлення атак постійно еволюціонують у відповідь на
зростаючу складність та різноманітність кіберзагроз. Сучасні системи виявлення
атак використовують комбінацію різних технологічних підходів для забезпечення
високої ефективності захисту.
1.7.1 Технології виявлення атак
1. Пасивний моніторинг. Системи, що збирають та аналізують дані без
активного втручання у роботу мережі. Вони зазвичай використовують пасивні
датчики, такі як мережеві трафік-спікери або журнали подій.
2. Активний моніторинг. Включає активні дії з аналізу та перевірки стану
системи, такі як сканування портів, тестування на проникнення або активні запити
до системи.
3. Хмарні технології. Використання хмарних ресурсів для масштабованого
аналізу та обробки великих обсягів даних. Хмарні IDS можуть забезпечувати більш
гнучке та ефективне розгортання захисних заходів.
4. Інтернет речей (IoT): Виявлення атак у середовищах IoT вимагає
спеціалізованих технологій, здатних обробляти великі обсяги різнорідних даних з
безлічі підключених пристроїв.
1.7.2 Стратегії розпізнавання мережевих загроз
Комунікаційний скринінг - глибокий моніторинг інформаційних потоків
дозволяє розпізнавати нестандартні взірці передачі даних. Фахівці використовують
професійні інструменти глибокого аналізу, які розшифровують найменші нюанси
комунікативних процесів. Такий підхід уможливлює виявлення прихованих спроб
несанкціонованого втручання в системи.
Поведінковий моніторинг – це ретельне спостереження за діями користувачів
та системних компонентів розкриває найтонші відхилення від типової активності.
Деталізований аналіз часових інтервалів, обсягів інформаційного обміну та
характеру виконуваних операцій створює цілісну картину потенційних ризиків.
Інтелектуальна аналітика - сучасні алгоритми дають змогу автоматично
розпізнавати складні взаємозв'язки та приховані загрози. Інструменти класифікації
Лист
ЧДТУ.24.23306.002 ПЗ 17
Зм Арк №Докум. Підп Дат
та глибинного опрацювання даних забезпечують гнучку адаптацію до мінливих
кіберландшафтів, суттєво знижуючи похибки традиційних систем захисту.
Сигнатурна діагностика - зіставлення поточних мережевих процесів з
бібліотекою відомих шаблонів атак дозволяє миттєво ідентифікувати потенційні
загрози. Цей метод є надійним інструментом проти впізнаваних ризиків, хоча має
обмеження в контексті новітніх кіберзагроз.
Реєстраційна аналітика - комплексне опрацювання системних протоколів,
журналів додатків та реєстраційних записів розкриває приховані аномалії.
Послідовний аналіз дає змогу виявляти складні сценарії несанкціонованої
активності.
Когнітивна діагностика - інтелектуальні механізми інтерпретації даних
забезпечують контекстне оцінювання інформаційних потоків. Застосування
алгоритмів природної мови дозволяє розпізнавати витончені маніпулятивні
стратегії та приховані загрози.
1.7.3 Інтеграція різних методів
Для досягнення високого рівня ефективності системи виявлення атак
зазвичай використовують комбінацію різних технологій та методів. Наприклад,
поєднання сигнатурного аналізу з методами машинного навчання дозволяє
забезпечити як точне виявлення відомих загроз, так і ефективне виявлення нових
або невідомих атак. Це дозволяє зменшити кількість хибних спрацьовувань та
підвищити загальну надійність системи.
1.7.4 Вибір методів в залежності від контексту
Вибір технологій та методів виявлення атак залежить від специфіки
інформаційно-телекомунікаційної системи, вимог до безпеки, наявних ресурсів та
потенційних загроз. Наприклад, для великих корпоративних мереж з високим
рівнем трафіку та різноманітними підключеними пристроями більш ефективними
можуть бути хмарні IDS з підтримкою машинного навчання, тоді як для невеликих
організацій може бути достатньо традиційних сигнатурних систем з регулярними
оновленнями бази сигнатур. Також важливо враховувати інтеграцію IDS з іншими
системами безпеки, такими як SIEM, для забезпечення комплексного захисту.
Лист
ЧДТУ.24.23306.002 ПЗ 18
Зм Арк №Докум. Підп Дат
1.7.5 Виклики та перспективи розвитку
Попри значні досягнення, системи виявлення атак стикаються з низкою
викликів, таких як висока динамічність загроз, необхідність обробки великих
обсягів даних у режимі реального часу, а також зростаюча складність мережевих
інфраструктур. Перспективними напрямками розвитку є інтеграція штучного
інтелекту для покращення здатності до адаптації, розробка гібридних методів
виявлення, а також використання хмарних та розподілених архітектур для
підвищення масштабованості та гнучкості систем IDS. Крім того, розвиток
стандартів безпеки та нормативних вимог стимулює подальше вдосконалення
технологій виявлення атак.
1.8. Практичні приклади
Впровадження IDS у великій корпоративній мережі
Компанія Cisco інтегрувала систему виявлення вторгнень (IDS) у свою
корпоративну мережу, використовуючи рішення Cisco Secure IPS. Ця система
поєднує сигнатурний аналіз з поведінковими методами, що дозволяє ефективно
ідентифікувати та блокувати різноманітні кіберзагрози, включаючи DDoS-атаки.
Завдяки впровадженню IDS, Cisco змогла значно знизити кількість успішних атак,
покращити час реагування на інциденти та мінімізувати фінансові втрати від
можливих вторгнень.
Використання IDS у державних структурах
Міністерство оборони США (DoD) використовує передові системи IDS,
інтегровані з SIEM-платформами, такими як Splunk. Ця інтеграція дозволяє
централізовано моніторити безпекові події, аналізувати дані в реальному часі та
швидко реагувати на потенційні загрози. Завдяки цьому Міністерство оборони
змогло підвищити рівень захисту своїх інформаційних ресурсів та знизити ризики
від кібернетичних атак, забезпечуючи безпеку критично важливих даних та систем.
IDS у середовищах IoT
Компанія Siemens розробила спеціалізовані системи IDS для середовищ
Інтернету речей (IoT), які аналізують трафік та поведінку підключених пристроїв у
промислових мережах. Ці системи здатні виявляти аномальні активності, що
Лист
ЧДТУ.24.23306.002 ПЗ 19
Зм Арк №Докум. Підп Дат
можуть свідчити про спроби несанкціонованого доступу або зараження пристроїв
шкідливим програмним забезпеченням. Завдяки впровадженню IDS, Siemens
забезпечила безпеку своїх IoT-проектів, мінімізуючи ризики від потенційних
кібератак та забезпечуючи безперебійну роботу промислових систем.
1.9 IPS
Система протидії вторгнень (IPS, англ. Intrusion Prevention System) є
ключовим компонентом кібербезпеки, який забезпечує активний захист мережевих
та інформаційних систем. IPS функціонує для моніторингу мережевого трафіку,
виявлення загроз та автоматичного запобігання небажаним діям у реальному часі.
Завдяки поєднанню інструментів аналізу даних і проактивного реагування, IPS
дозволяє ефективно мінімізувати ризики, пов'язані з кіберзагрозами.
Основні функції IPS
1. Виявлення атак: IPS аналізує потоки даних, використовуючи визначені
шаблони (сигнатури) або моделі поведінки для ідентифікації шкідливих дій.
2. Запобігання вторгненням: Після виявлення загрози система блокує
шкідливий трафік, скидає з'єднання, блокує IP-адресу атакуючого чи вживає інші
заходи.
3. Моніторинг та звітність: IPS записує події в лог-файли, генерує
сповіщення для адміністраторів та створює звіти про виявлені й заблоковані
загрози.
4. Захист від атак нульового дня: Використовуючи поведінковий аналіз та
методи машинного навчання, IPS здатна ідентифікувати невідомі раніше загрози.
Принципи роботи IPS
1. Аналіз трафіку: IPS інтегрується в мережу між джерелом і приймачем
даних, аналізуючи кожен пакет у реальному часі.
2. Методи виявлення загроз:
o Сигнатурний аналіз: Порівняння трафіку з базою даних відомих атак.
o Аномалійний аналіз: Виявлення відхилень від нормальної поведінки
мережі чи системи.
Лист
ЧДТУ.24.23306.002 ПЗ 20
Зм Арк №Докум. Підп Дат
o Гібридний підхід: Поєднує сигнатурний і аномалійний аналіз для
більшої ефективності.
3. Реакція на загрозу: Після ідентифікації загрози IPS автоматично блокує
шкідливу активність, ізолює атакуючий хост чи повідомляє адміністратора.
Типи IPS
1. Мережеві IPS (NIPS): Працюють на мережевому рівні, аналізуючи весь
вхідний і вихідний трафік.
2. Хостові IPS (HIPS): Розгортаються на конкретних пристроях,
відстежуючи їхню активність та захищаючи від атак.
3. Хмарні IPS: Забезпечують захист у хмарних середовищах, аналізуючи
трафік та активність у віртуальних середовищах.
4. Розподілені IPS: Використовуються для захисту великих і складних
мереж, інтегруючи кілька IPS для роботи в різних точках мережі.
Відмінності між IDS та IPS
Табл. 1 Відмінність між IDS та IPS
IDS (Система виявлення IPS (Система протидії
Характеристика
вторгнень) вторгнень)
Призначення Виявляє загрози Виявляє та блокує загрози
Реакція на
Сповіщає адміністратора Автоматично запобігає атаці
загрозу
Може блокувати пакети або
Вплив на трафік Не втручається
з'єднання
Активна частина
Розташування Переважно пасивна система
інфраструктури
Переваги IPS
Автоматизація захисту: Система автономно запобігає атакам, зменшуючи
ризик людських помилок.
Лист
ЧДТУ.24.23306.002 ПЗ 21
Зм Арк №Докум. Підп Дат
Реагування в реальному часі: IPS миттєво блокує шкідливі дії, зменшуючи
ймовірність компрометації системи.
Виявлення складних атак: Гібридні та поведінкові методи дозволяють
виявляти складні та раніше невідомі загрози.
Зниження впливу атак: IPS мінімізує збитки від атак, зупиняючи їх на ранніх
етапах.
Недоліки IPS
Хибні спрацьовування: Неправильна конфігурація або недостатньо точні
правила можуть призводити до блокування легітимного трафіку.
Високі вимоги до ресурсів: Аналіз трафіку в реальному часі потребує значних
обчислювальних ресурсів.
Складність налаштування: Ефективна робота IPS залежить від правильного
налаштування та регулярного оновлення.
Ризик затримок: Обробка трафіку в реальному часі може спричинити
затримки у великих мережах.
Приклади використання IPS
Захист корпоративних мереж від зовнішніх та внутрішніх загроз.
Запобігання атакам типу DDoS.
Виявлення та блокування шкідливого програмного забезпечення.
Відповідність нормативним вимогам з кібербезпеки (наприклад, PCI DSS,
GDPR).
Системи протидії вторгнень (IPS) є невід'ємною частиною сучасної
кібербезпеки. Вони забезпечують активний захист, виявляючи та блокуючи загрози
до того, як вони можуть завдати шкоди. IPS має важливе значення для забезпечення
безпеки корпоративних мереж, зменшуючи ризики компрометації даних та
порушень роботи систем. Хоча ці системи мають певні обмеження, їхній потенціал
у поєднанні з іншими методами захисту робить IPS критично важливим елементом
будь-якої інформаційно-телекомунікаційної інфраструктури.
Лист
ЧДТУ.24.23306.002 ПЗ 22
Зм Арк №Докум. Підп Дат
2. ПОБУДОВА СИСТЕМ ВИЯВЛЕННЯ АТАК
2.1. Архітектура IDS
Архітектура системи виявлення атак (IDS) визначає структуру та
компоненти, необхідні для ефективного моніторингу, аналізу та реагування на
кіберзагрози в інформаційно-телекомунікаційних системах (ІТС). Правильно
спроектована архітектура IDS забезпечує високу ефективність, масштабованість та
гнучкість системи захисту.
Основні компоненти архітектури IDS:
Система виявлення вторгнень (Intrusion Detection System) являє собою
складну багаторівневу архітектуру, що складається з взаємопов'язаних
компонентів, кожен з яких виконує специфічні функції захисту інформаційного
середовища:
1. Сенсори (Sensors/Agents):
- Первинні елементи збору інформації, що здійснюють безперервний
моніторинг мережевого трафіку, системних подій та активності користувачів
- Розміщуються на критичних вузлах мережі та інтегруються безпосередньо
в інфраструктуру для максимально повного охоплення інформаційних потоків
- Можуть функціонувати на різних рівнях: мережевому, хостовому,
прикладному
2. Колектори даних (Data Collectors):
- Відповідають за агрегацію та первинну обробку інформації, отриманої від
сенсорів
- Здійснюють нормалізацію та фільтрацію вхідних даних
- Забезпечують попередню класифікацію подій за рівнем пріоритетності
3. Механізми аналізу (Analysis Engines):
- Центральний інтелектуальний компонент IDS, що виконує глибокий аналіз
зібраних даних
- Використовують різноманітні алгоритми: сигнатурний аналіз, евристичні
методи, машинне навчання
- Здатні розпізнавати відомі та потенційно нові типи атак
Лист
ЧДТУ.24.23306.002 ПЗ 23
Зм Арк №Докум. Підп Дат
4. Блок кореляції подій (Correlation Engine):
- Встановлює взаємозв'язки між різними подіями та виявляє складні
багатоступеневі атаки
- Накопичує статистику та формує контекстне розуміння інцидентів
- Зменшує кількість хибних спрацьовувань шляхом комплексного аналізу
5. Система оповіщення (Alerting System):
- Відповідає за негайне сповіщення адміністраторів безпеки про потенційні
загрози
- Підтримує різні канали комунікації: електронна пошта, SMS, миттєві
повідомлення
- Формує деталізовані звіти з описом інциденту, його характеристиками та
рекомендаціями
6. Система реагування (Response Module):
- Автоматизований компонент для миттєвої протидії виявленим загрозам
- Може виконувати превентивні дії: блокування IP-адрес, від'єднання
користувачів, ізоляція інфікованих вузлів
- Інтегрується з міжмережевими екранами та системами управління
мережевою безпекою
7. Репозиторій logs (Log Storage):
- Централізоване сховище для тривалого зберігання журналів подій
- Забезпечує можливість post-факт аналізу та forensic-розслідувань
- Підтримує механізми архівації, compression та швидкого пошуку
8. Інтерфейс адміністратора (Management Console):
- Графічний інструмент для налаштування, моніторингу та управління IDS
- Надає деталізовану статистику, графіки активності, звіти про інциденти
- Дозволяє налаштовувати правила, пріоритети та поведінку системи
ррАрхітектура IDS є гнучкою та масштабованою, що дозволяє адаптувати її
під специфічні вимоги конкретної інфраструктури, забезпечуючи багаторівневий
захист інформаційних активів організації.
Типові архітектурні моделі IDS
Лист
ЧДТУ.24.23306.002 ПЗ 24
Зм Арк №Докум. Підп Дат
Системи виявлення вторгнень розвинулися до кількох основних
архітектурних моделей, кожна з яких має унікальні характеристики та сфери
застосування:
1. Мережева модель (Network-based IDS - NIDS):
- Встановлюється безпосередньо в мережевій інфраструктурі,
- Здійснює моніторинг всього мережевого трафіку в режимі реального часу,
- Аналізує пакети даних на предмет підозрілої активності,
- Особливо ефективна для виявлення атак на мережевому рівні,
- Дозволяє контролювати комунікації між різними сегментами мережі,
- Має низьку обчислювальну складність порівняно з хостовими системами.
2. Хостова модель (Host-based IDS - HIDS):
- Встановлюється безпосередньо на окремих комп'ютерах або серверах,
- Здійснює глибокий аналіз системних журналів, файлів, процесів,
- Може виявляти локальні атаки та зміни в системних файлах,
- Забезпечує деталізований моніторинг активності користувачів,
- Ефективна для захисту критично важливих вузлів інфраструктури,
- Дозволяє відслідковувати внутрішні загрози.
3. Гібридна модель (Hybrid IDS):
- Поєднує переваги мережевої та хостової архітектур,
- Забезпечує комплексний захист на різних рівнях інфраструктури,
- Дозволяє корелювати події з мережевого та хостового середовища,
- Надає більш повну картину потенційних загроз,
- Підвищує ефективність виявлення складних багатовекторних атак.
4. Розподілена модель (Distributed IDS):
- Складається з декількох взаємопов'язаних сенсорів,
- Охоплює великі geografічно розподілені мережі,
- Забезпечує централізований збір та аналіз даних,
- Дозволяє моніторити складні корпоративні мережі,
- Підтримує горизонтальну масштабованість системи захисту.
5. Хмарна модель (Cloud-based IDS):
Лист
ЧДТУ.24.23306.002 ПЗ 25
Зм Арк №Докум. Підп Дат
- Функціонує в середовищі хмарних інфраструктур,
- Забезпечує захист віртуальних середовищ,
- Динамічно адаптується до змін інфраструктури,
- Підтримує автоматичне масштабування та оновлення,
- Знижує витрати на апаратне забезпечення.
6. Поведінкова модель (Behavioral IDS):
- Використовує методи машинного навчання,
- Будує профілі нормальної поведінки системи,
- Виявляє аномалії на основі статистичних відхилень,
- Здатна адаптуватися до нових типів загроз,
- Зменшує кількість хибних спрацьовувань.
7. Контекстна модель (Context-aware IDS):
- Враховує додатковий контекст безпекових подій,
- Аналізує не лише технічні параметри, але й бізнес-логіку,
- Інтегрує інформацію з різних джерел,
- Підвищує точність виявлення загроз,
- Дозволяє оцінювати ризики з урахуванням специфіки організації.
2.2. Методи збору та аналізу даних
У сучасному інформаційному просторі ефективність дослідження
безпосередньо залежить від глибини та якості зібраних даних. Процес збору та
аналізу перетворюється на справжнє мистецтво, що вимагає не лише технічної
експертизи, але й креативного підходу.
Фундамент будь-якого дослідження закладається на етапі первинного
накопичення даних. Цей процес нагадує роботу слідчого, який послідовно збирає
пазл, де кожен фрагмент має принципове значення. Дослідник повинен бути
максимально уважним, системним і водночас гнучким.
Джерела інформації включають:
- Офіційні статистичні бази
- Галузеві звіти та аналітичні матеріали
- Результати польових досліджень
Лист
ЧДТУ.24.23306.002 ПЗ 26
Зм Арк №Докум. Підп Дат
- Опитування та експертні інтерв'ю
- Архівні документи
- Спеціалізовані бази даних
Технічні методи збору:
1. Інструментальний моніторинг
Передбачає використання спеціалізованого обладнання та програмних
комплексів. Сучасні технології дозволяють здійснювати надточний збір даних
практично в будь-яких середовищах – від локальних мереж до глобальних
інформаційних систем.
2. Цифрова аналітика
Включає автоматизовані методи збору даних з цифрових джерел. Йдеться
про моніторинг соціальних мереж, аналіз веб-контенту, відстеження
інформаційних потоків. Ключова перевага – швидкість опрацювання величезних
масивів інформації.
3. Польові дослідження
Класичний метод, що не втратив актуальності. Передбачає безпосередню
взаємодію з джерелами інформації, проведення інтерв'ю, спостережень. Дозволяє
отримати унікальні дані, які неможливо здобути дистанційно.
Методологія аналізу:
Перетворення сирових даних на змістовну інформацію – складний
інтелектуальний процес. Дослідник має володіти не лише технічними навичками,
але й критичним мисленням, здатністю до абстрагування та системного
узагальнення.
Основні аналітичні підходи:
- Статистичний аналіз
- Компаративістика
- Кореляційне дослідження
- Контент-аналіз
- Прогностичне моделювання
Інструментарій аналізу:
Лист
ЧДТУ.24.23306.002 ПЗ 27
Зм Арк №Докум. Підп Дат
1. Математичні методи
- Статистичні розрахунки
- Кореляційний аналіз
- Багатофакторне моделювання
2. Програмні комплекси
- Спеціалізовані статистичні пакети
- Системи штучного інтелекту
- Бізнес-аналітичні платформи
3. Експертні методики
- Метод Дельфі
- Мозковий штурм
- Сценарне прогнозування
Ключові проблеми:
- Неповнота даних
- Суб'єктивність джерел
- Технічні обмеження
- Висока вартість збору
- Швидка втрата актуальності інформації
Моніторинг мережевого трафіку
Прийоми:
Спектри ротації пакетів (Packet Sniffing) - захоплення окремих пакетів даних
для детального аналізу. Наприклад, Wireshark використовується для захоплення та
аналізу мережевих пакетів.
Глибоке розбору пакетів (Deep Packet Inspection, DPI) аналіз вмісту пакетів
на рівні додатків. DPI дозволяє виявляти специфічні загрози, такі як спроби SQL-
ін'єкцій у веб-запитах.
Детальна інформація про мережеву активність, можливість виявлення
складних загроз.
Висока вимогливість до ресурсів, можливість зниження продуктивності
мережі.
Лист
ЧДТУ.24.23306.002 ПЗ 28
Зм Арк №Докум. Підп Дат
• Збір журналів подій, джерела:
Системні журнали - записи про події операційної системи, такі як входи
користувачів, запуск процесів, зміни конфігурацій.Типу журнали Windows Event
Log використовуються для моніторингу системних подій.
Журнали додатків - записи про активність програмного забезпечення,
включаючи веб-сервери, бази даних, поштові сервери. Наприклад, журнали Apache
використовуються для відстеження HTTP-запитів та помилок.
+ багатогранна інформація про події в системі, можливість ретроспективного
аналізу.
- Велика кількість даних, що потребує ефективних методів фільтрації та
обробки.
Збір даних з сенсорів
Джерела:
Фізичні сенсори: Моніторинг температури, вологості, електроживлення та
інших фізичних параметрів, що можуть свідчити про несанкціоновані дії.
Наприклад, зміни температури в дата-центрі можуть свідчити про спробу
фізичного втручання.
Логічні сенсори: Відстеження логічних подій, таких як зміни в мережевих
налаштуваннях або доступ до певних ресурсів. Наприклад, логічні сенсори можуть
відстежувати спроби зміни налаштувань брандмауера.
+ Додатковий рівень захисту, можливість виявлення фізичних атак.
- Висока вартість впровадження та обслуговування сенсорів.
Збір даних з хмарних сервісів, джерела:
Логи хмарних додатків - записи про активність користувачів та систем у
хмарних середовищах. Наприклад, логи AWS CloudTrail використовуються для
моніторингу дій у хмарних сервісах Amazon.
API-запити - взаємодія з хмарними сервісами через програмні інтерфейси.
Наприклад, API-запити можуть використовуватись для отримання метрик та подій
з хмарних сервісів.
+ Масштабованість, доступ до великих обсягів даних.
Лист
ЧДТУ.24.23306.002 ПЗ 29
Зм Арк №Докум. Підп Дат
- Залежність від постачальника хмарних послуг, питання конфіденційності
даних.
Методи аналізу даних
Сигнатурний аналіз
Принцип: Порівняння зібраних даних з відомими сигнатурами атак.
Інструменти: Антивірусні програми, системи виявлення вторгнень на основі
сигнатур (наприклад, Snort).
Переваги: Висока точність при виявленні відомих загроз.
Недоліки: Нездатність виявляти нові або невідомі атаки, потреба в
регулярному оновленні бази сигнатур.
Аномальний аналіз
Принцип: Виявлення відхилень від нормальної поведінки системи або
мережі.
Методи:
Статистичні методи: Використання статистичних моделей для визначення
нормальних патернів. Наприклад, Z-оцінка може використовуватись для
визначення аномалій у числових даних.
Машинне навчання: Навчання моделей на нормальних даних для виявлення
аномалій. Наприклад, алгоритми кластеризації можуть групувати схожі події та
виявляти відхилення.
+ Можливість виявлення нових або невідомих загроз.
- Високий рівень хибних спрацьовувань, потреба в налаштуванні параметрів.
Гібридний аналіз - поєднання сигнатурного та аномального аналізу для
підвищення точності та ефективності виявлення загроз.
Переваги: Баланс між точністю та здатністю виявляти нові загрози.
Недоліки: Складність впровадження та управління комбінованими методами.
Аналіз поведінкових патернів - вивчення та моделювання поведінкових
патернів користувачів та систем для виявлення підозрілих дій.
Методи:
Лист
ЧДТУ.24.23306.002 ПЗ 30
Зм Арк №Докум. Підп Дат
1) Кластеризація - групування схожих подій для виявлення відхилень.
Наприклад, алгоритм K-середніх може групувати схожі активності користувачів.
2) Класифікація - призначення подій до певних категорій на основі
навчальних даних. Наприклад, метод підтримувальних векторів (SVM) може
класифікувати події як "нормальні" або "підозрілі".
- Можливість виявлення складних та контекстуальних загроз.
- Потреба в великих обсягах навчальних даних, ризик помилкових
спрацьовувань.
Статистичний аналіз – це використання статистичних методів для виявлення
відхилень та тенденцій у зібраних даних.
Методи:
Регресійний аналіз - виявлення взаємозв'язків між різними параметрами.
Наприклад, лінійна регресія може визначити зв'язок між кількістю спроб входу та
часом доби.
Аналіз часових рядів - вивчення змін параметрів у часі для виявлення трендів.
Наприклад, аналіз часових рядів може виявити збільшення трафіку у певні години,
що може свідчити про DDoS-атаку.
Переваги: Об'єктивний підхід до аналізу даних, можливість автоматизації.
Недоліки: Обмежена здатність до виявлення складних патернів, потреба в
попередньо визначених моделях.
Інструменти та платформи для збору та аналізу даних
Snort - сигнатурна система виявлення атак.
Моніторинг мережевого трафіку, виявлення атак на основі сигнатур,
генерація алертів.
+ Відкрите програмне забезпечення, висока гнучкість налаштувань.
- Обмежена здатність виявляти невідомі загрози.
Splunk - платформа для збору, аналізу та візуалізації даних.
Збір журналів подій, аналіз трафіку, створення дашбордів та звітів.
+ Потужні інструменти для аналізу великих обсягів даних, гнучкі можливості
візуалізації.
Лист
ЧДТУ.24.23306.002 ПЗ 31
Зм Арк №Докум. Підп Дат
- Висока вартість ліцензій, потреба в спеціалізованих знаннях для
налаштування.
ELK Stack (Elasticsearch, Logstash, Kibana) - комплексна платформа для збору
та аналізу даних.
Збір та обробка журналів, зберігання та пошук даних, візуалізація інформації.
+ Відкрите програмне забезпечення, висока масштабованість, гнучкість
налаштувань.
- Складність впровадження, потреба в налаштуванні компонентів.
Wireshark - аналізатор мережевого трафіку.
Захоплення та детальний аналіз мережевих пакетів.
+ Потужні інструменти для детального аналізу, підтримка великої кількості
протоколів.
- Обмежена автоматизація, вимагає високих знань для ефективного
використання.
2.3. Використання машинного навчання та штучного інтелекту в IDS
Машинне навчання (ML) та штучний інтелект (AI) стали важливими
інструментами в сучасних системах виявлення атак (IDS), значно підвищуючи їх
ефективність та здатність адаптуватися до нових загроз. У цій підсекції розглянемо
основні підходи до використання ML та AI в IDS, а також їх переваги та виклики.
Переваги використання ML та AI в IDS:
1) Адаптивність
Моделі машинного навчання можуть навчатися на нових даних, що дозволяє
системі адаптуватися до змін у поведінці загроз та мережевих патернів.
Використання алгоритмів оновлення моделі в реальному часі для адаптації
до нових типів атак, які не були присутні у навчальних даних.
2) Виявлення невідомих загроз
Завдяки здатності аналізувати великі обсяги даних та виявляти аномалії, ML
та AI дозволяють виявляти нові та невідомі атаки, які ще не мають відомих
сигнатур.
Лист
ЧДТУ.24.23306.002 ПЗ 32
Зм Арк №Докум. Підп Дат
Використання нейронних мереж для виявлення аномальної активності в
мережевому трафіку, що може свідчити про нові типи атак.
3) Зниження кількості хибних спрацьовувань
Використання складних алгоритмів аналізу дозволяє точніше визначати
реальні загрози, зменшуючи кількість помилкових спрацьовувань.
Алгоритми класифікації, які відрізняють нормальний трафік від шкідливого
з високою точністю, знижуючи кількість хибних алертів.
4) Автоматизація процесів
ШI може автоматично класифікувати загрози, проводити первинний аналіз
та навіть здійснювати деякі дії для реагування на атаки, зменшуючи навантаження
на аналітиків безпеки.
Автоматичне блокування IP-адрес, з яких надходять підозрілі запити, без
необхідності ручного втручання.
Основні методи ML та AI в IDS:
1. Наглядне навчання (Supervised Learning)
Моделі навчаються на мічених даних, де кожен приклад має відповідну
категорію (наприклад, "атака" або "нормальна активність").
Алгоритми:
Логістична регресія: використовується для бінарної класифікації загроз.
Дерева рішень: структуровані моделі для класифікації та регресії.
Підтримувальні вектори (SVM): ефективні для високовимірних даних.
Нейронні мережі: моделі, здатні вивчати складні патерни в даних.
+ Висока точність при належному навчанні, можливість використання для
різних типів загроз.
- Потреба в великій кількості мічених даних, ризик переобучення.
2. Безнаглядне навчання (Unsupervised Learning)
Моделі навчаються на немічених даних, визначаючи природні структури та
патерни без попередніх категорій.
Алгоритми:
Лист
ЧДТУ.24.23306.002 ПЗ 33
Зм Арк №Докум. Підп Дат
Кластеризація (наприклад, K-середніх) - групування схожих подій для
виявлення відхилень. Методи зменшення вимірності (наприклад, PCA) - виявлення
основних компонентів даних для спрощення аналізу.
+ Можливість виявлення нових та невідомих загроз, не потребує мічених
даних.
- Вища кількість хибних спрацьовувань, складність інтерпретації результатів.
3. Навчання з підкріпленням (Reinforcement Learning)
Моделі навчаються через взаємодію з оточенням, отримуючи винагороди за
правильні дії та штрафи за неправильні. Оптимізація процесів реагування на
інциденти, адаптація до змін у мережевій середовищі. Серед переваг можливість
адаптації до динамічних умов, покращення стратегії реагування. Недоліки - висока
складність реалізації, потреба в тривалому навчанні.
4. Глибоке навчання (Deep Learning)
Використання багатошарових нейронних мереж для виявлення складних
патернів у даних.
Алгоритми:
- Конволюційні нейронні мережі (CNN) - ефективні для обробки
структурованих даних, таких як зображення мережевого трафіку.
- Рекурентні нейронні мережі (RNN) - підходять для аналізу послідовних
даних, таких як потоки логів.
Перевагами є висока здатність до виявлення складних та нелінійних патернів,
покращена точність.
Недоліками є висока обчислювальна складність, потреба в великій кількості
даних для навчання.
Виклики та обмеження використання ML та AI в IDS
Якість та кількість даних
Недостатність мічених даних для наглядного навчання може обмежити
ефективність моделей. Якість даних впливає на точність та надійність виявлення
загроз. Відсутність достатньої кількості прикладів нових типів атак може призвести
до того, що модель не зможе їх ефективно виявляти.
Лист
ЧДТУ.24.23306.002 ПЗ 34
Зм Арк №Докум. Підп Дат
Переобучення (Overfitting)
Моделі можуть занадто добре навчитися на навчальних даних, втрачуючи
здатність до узагальнення на нових даних. Модель, яка добре працює на тестових
даних, але погано на нових, реальних даних, що призводить до низької
ефективності в реальних умовах.
Інтерпретованість моделей
Складні моделі, такі як глибокі нейронні мережі, можуть бути важкими для
розуміння та інтерпретації, що ускладнює процес діагностики та вдосконалення
системи. Важко визначити, які саме характеристики трафіку впливають на
класифікацію як загрозу.
Обчислювальні ресурси
Використання складних моделей ML та AI потребує значних
обчислювальних ресурсів, що може бути обмеженням для деяких організацій.
Високопродуктивні сервери та спеціалізовані графічні процесори (GPU) можуть
бути необхідні для тренування глибоких нейронних мереж.
Безпека самих моделей
Моделі ML та AI можуть бути вразливими до атак, таких як атаки з
використанням зворотного інжинірингу або введення зловмисних даних для
зіпсуття моделі. Зловмисник може створити зловмисні зразки даних, які змінюють
поведінку моделі, роблячи її менш ефективною виявлення загроз.
Перспективи розвитку
Інтеграція з іншими технологіями - поєднання ML та AI з блокчейн-
технологіями для забезпечення цілісності даних та прозорості процесів аналізу.
Використання блокчейну для зберігання результатів аналізу, забезпечуючи їх
незмінність та прозорість.
Покращення інтерпретованості моделей
Розробка методів для підвищення прозорості та зрозумілості моделей ML та
AI, що полегшує їх впровадження та довіру з боку користувачів. Використання
методів Explainable AI (XAI) для надання зрозумілих пояснень щодо рішень моделі.
Розробка гібридних моделей
Лист
ЧДТУ.24.23306.002 ПЗ 35
Зм Арк №Докум. Підп Дат
Створення комбінованих моделей, які поєднують різні підходи до виявлення
атак для підвищення точності та ефективності. Гібридна модель, що використовує
сигнатурний аналіз для відомих загроз та аномальний аналіз для нових загроз.
Автоматизація процесів навчання
Використання методів автоматизованого машинного навчання (AutoML) для
спрощення процесу створення та налаштування моделей. Використання AutoML
для автоматичного вибору оптимальних гіперпараметрів моделей без потреби в
ручному налаштуванні.
2.4. Інтеграція IDS у поточні мережеві інфраструктури
Впровадження систем виявлення атак (IDS) у вже існуючі мережеві
інфраструктури є важливим кроком для забезпечення комплексного захисту
інформаційно-телекомунікаційних систем. Цей процес вимагає врахування
специфіки мережі, вибору оптимальних методів розгортання IDS та забезпечення
сумісності з іншими засобами безпеки.
Першим етапом є оцінка поточної мережевої інфраструктури. Необхідно
проаналізувати топологію мережі, визначити критичні точки та ресурси. Це
включає ідентифікацію основних вузлів та маршрутів передачі даних, а також
виявлення потенційних вразливостей, де можуть бути розміщені датчики IDS.
Наприклад, важливо визначити точки на межі між внутрішньою мережею та
Інтернетом для встановлення мережевих датчиків.
Наступним кроком є вибір типу та архітектури IDS, що відповідає потребам
організації. Необхідно оцінити рівень безпеки, вимоги до масштабованості та
доступні ресурси. Вибір може падати на мережеві (NIDS) або хостові (HIDS)
системи, або ж комбінування обох типів для досягнення максимального захисту.
Для великих корпорацій доцільно використовувати розподілену архітектуру, яка
поєднує NIDS для моніторингу мережевого трафіку та HIDS для захисту критичних
серверів.
Після вибору архітектури слід перейти до розгортання та налаштування IDS.
Це включає встановлення датчиків на межах мережі та на критичних системах, а
також налаштування параметрів аналізу трафіку, визначення політик безпеки та
Лист
ЧДТУ.24.23306.002 ПЗ 36
Зм Арк №Докум. Підп Дат
правил виявлення загроз. Важливо також інтегрувати IDS з існуючими системами
логування та моніторингу, наприклад, з SIEM-системою. Наприклад,
налаштування Snort для виявлення специфічних типів атак, таких як SQL-ін'єкції,
та інтеграція його з Splunk дозволяє централізовано аналізувати дані.
Інтеграція IDS з іншими компонентами безпеки створює комплексне захисне
середовище. Наприклад, співпраця з брандмауерами дозволяє фільтрувати трафік
та автоматично блокувати підозрілі з'єднання. Інтеграція з SIEM-системами,
такими як Splunk, забезпечує централізований збір та аналіз даних безпеки,
покращуючи видимість та дозволяючи швидко реагувати на загрози. Спільне
використання інформації з антивірусних та антишпигунських програм підвищує
загальний рівень захисту.
Тестування та оптимізація системи є важливими етапами інтеграції.
Проведення симульованих атак допомагає перевірити здатність IDS їх виявляти, а
налаштування параметрів та політик дозволяє мінімізувати хибні спрацьовування.
Оптимальне розміщення датчиків забезпечує максимальне покриття мережі.
Наприклад, проведення DDoS-тестування допомагає оцінити здатність IDS
реагувати на перевантаження мережі.
Навчання персоналу також є ключовим аспектом успішної інтеграції IDS.
Адміністративний та аналітичний персонал повинні бути підготовлені до
використання та управління системою. Це включає проведення тренінгів з
налаштування IDS та розробку процедур реагування на інциденти. Наприклад,
організація семінарів з використання SIEM-системи для аналізу алертів IDS та
реагування на інциденти безпеки.
Інтеграція IDS стикається з рядом викликів, таких як забезпечення сумісності
з існуючими системами, вплив на продуктивність мережі та управління великими
обсягами даних. Використання відкритих стандартів та API полегшує інтеграцію, а
оптимізація конфігурацій дозволяє мінімізувати вплив на продуктивність. Для
управління великими обсягами даних ефективні методи обробки та зберігання, такі
як хмарні рішення або розподілені архітектури, є необхідними. Регулярне
Лист
ЧДТУ.24.23306.002 ПЗ 37
Зм Арк №Докум. Підп Дат
оновлення системи та управління алертами допомагають підтримувати
актуальність захисту та ефективно реагувати на інциденти.
Підсумовуючи, інтеграція систем виявлення атак у вже існуючі мережеві
інфраструктури є складним, але необхідним кроком для забезпечення високого
рівня безпеки. Ретельне планування, вибір відповідних технологій, забезпечення
сумісності з іншими засобами захисту та навчання персоналу є ключовими
факторами для досягнення ефективної та надійної системи захисту.
Практичні приклади інтеграції IDS
У корпоративних мережах, наприклад, компанія XYZ використовує
мережеву систему Snort для моніторингу трафіку на межі між корпоративною
мережею та Інтернетом, а також хостові системи на серверах баз даних для
відстеження спроб несанкціонованого доступу. Інтеграція з SIEM-системою Splunk
дозволяє централізовано аналізувати та реагувати на інциденти безпеки.
У хмарних середовищах компанія ABC застосовує хмарні рішення, такі як
AWS GuardDuty, для моніторингу активності в своїх хмарних сервісах. Завдяки
інтеграції з API хмарних платформ, дані про загрози автоматично передаються до
SIEM-системи для централізованого аналізу.
У промислових мережах, наприклад, промислова компанія DEF встановила
IDS на своїх контролерах PLC для відстеження спроб несанкціонованого доступу
до систем управління виробництвом. Інтеграція з системою управління
виробництвом дозволила автоматично реагувати на інциденти, знижуючи ризик
зупинки виробничих процесів.
Лист
ЧДТУ.24.23306.002 ПЗ 38
Зм Арк №Докум. Підп Дат
3. ПРАКТИЧНІ АСПЕКТИ ВИКОРИСТАННЯ IDS
У цьому розділі розглянемо практичні аспекти використання систем
виявлення атак (IDS) у реальних інформаційно-телекомунікаційних системах
(ІТС). Особливу увагу буде приділено огляду популярних IDS, їх налаштуванню та
оптимізації, аналізу ефективності виявлення атак, а також викликам та проблемам,
що виникають при впровадженні IDS.
3.1. Огляд популярних IDS (Snort, Suricata, Zeek тощо)
Системи виявлення атак розроблені для моніторингу мережевого трафіку та
активності систем з метою виявлення потенційних загроз. Серед найбільш
популярних IDS виділяються Snort, Suricata та Zeek (раніше відомий як Bro). Кожна
з цих систем має свої особливості, переваги та недоліки, що робить їх придатними
для різних сценаріїв використання.
3.1.1 Snort
Snort є однією з найвідоміших відкритих систем для виявлення вторгнень.
Розроблена компанією Sourcefire, ця система використовує сигнатурний аналіз,
протокол-аналізаторські методи та аномальний підхід для виявлення різноманітних
загроз.
Однією з головних переваг Snort є те, що це відкрите програмне
забезпечення, яке можна використовувати безкоштовно, а також має активну
спільноту користувачів, що постійно підтримує та покращує систему. Гнучкість
конфігурації дозволяє налаштовувати правила для виявлення різних типів атак, що
робить Snort універсальним інструментом для захисту мережі. Крім того, широка
база сигнатур постійно оновлюється, що забезпечує ефективне виявлення нових
загроз.
Проте Snort має й свої недоліки. Основний акцент робиться на сигнатурному
аналізі, що може знижувати ефективність системи при виявленні нових або
змінених атак, які ще не мають відповідних сигнатур. Крім того, без належної
оптимізації правила можуть генерувати велику кількість хибних спрацьовувань, що
ускладнює роботу адміністраторів та може призводити до ігнорування важливих
попереджень.
Лист
ЧДТУ.24.23306.002 ПЗ 39
Зм Арк №Докум. Підп Дат
Snort широко використовується для захисту корпоративних мереж від
зовнішніх атак, забезпечуючи моніторинг трафіку на межі між різними сегментами
мережі. Це дозволяє виявляти і блокувати спроби несанкціонованого доступу та
інші шкідливі дії, забезпечуючи безпеку інформаційних ресурсів компанії.
Ця система демонструє високу ефективність у різних сценаріях застосування,
завдяки своїй гнучкості та постійному розвитку, що робить її надійним
інструментом для захисту сучасних мережевих інфраструктур.
3.1.2 Suricata
Suricata є відкритою системою для виявлення атак, створеною з акцентом на
високу продуктивність та підтримку сучасних мережевих технологій. Завдяки
підтримці багатопоточності, вона ефективно використовує ресурси багатоядерних
процесорів, що забезпечує швидку обробку великих обсягів трафіку.
Однією з ключових переваг Suricata є її здатність працювати з кількома
мережевими протоколами, такими як HTTP, FTP, DNS та іншими, що дозволяє
детально аналізувати різні види трафіку. Вбудована підтримка Lua-скриптів надає
можливість розширювати функціональність системи, адаптуючи її до специфічних
потреб організації. Крім того, багатопоточність значно покращує продуктивність
та масштабованість у порівнянні зі Snort.
Проте Suricata має і певні недоліки. Конфігурація системи є більш складною,
ніж у Snort, що може вимагати додаткових технічних знань. Крім того, спільнота
користувачів Suricata менш активна, ніж у Snort, хоча вона постійно зростає.
Наприклад, компанія ABC використовує Suricata для моніторингу
високонавантажених сегментів своєї мережі. Завдяки здатності обробляти великий
обсяг трафіку без втрати продуктивності, Suricata дозволяє ефективно виявляти та
реагувати на потенційні загрози в реальному часі.
3.1.3 Zeek (Bro)
Zeek, раніше відомий як Bro, є потужним інструментом для моніторингу
мережі, який не лише виявляє атаки, але й проводить глибокий аналіз мережевих
подій та поведінки користувачів. Працюючи на рівні протоколів, Zeek дозволяє
Лист
ЧДТУ.24.23306.002 ПЗ 40
Зм Арк №Докум. Підп Дат
користувачам створювати власні скрипти для детального аналізу трафіку, що
робить його надзвичайно гнучким у використанні.
Однією з головних переваг Zeek є можливість детального аналізу мережевих
протоколів, що дозволяє виявляти складні та приховані загрози. Гнучка мова
скриптів надає користувачам можливість налаштовувати поведінку Zeek
відповідно до специфічних потреб організації. Крім того, Zeek легко інтегрується з
різними системами безпеки, такими як SIEM, що покращує загальну видимість та
ефективність реагування на інциденти.
Серед недоліків Zeek варто відзначити високу кривину навчання, оскільки
для ефективного використання системи необхідно вивчити її мову скриптів. Крім
того, за замовчуванням Zeek не підтримує сигнатурний аналіз, тому для виявлення
конкретних атак потрібно додатково налаштовувати сигнатури.
Zeek широко використовується для аналізу поведінкових патернів у
мережевому трафіку, що дозволяє виявляти складні атаки, а також у дослідницьких
лабораторіях для детального вивчення мережевих протоколів та загроз.
3.1.4 Інші популярні системи виявлення атак
Окрім Snort, Suricata та Zeek, існують й інші системи виявлення атак, які
можуть бути корисними в залежності від конкретних потреб організації.
OSSEC є хостовою системою виявлення вторгнень, яка спеціалізується на
моніторингу журналів, контролі цілісності файлів та інших аспектах безпеки
хостів. OSSEC дозволяє виявляти підозрілу активність на окремих пристроях,
аналізуючи логи та порівнюючи їх з відомими зразками загроз. Завдяки своїй
відкритості та можливості інтеграції з іншими системами, OSSEC є популярним
вибором для організацій, які прагнуть забезпечити глибокий захист своїх хостів.
Prelude – це інтегрована система виявлення вторгнень, яка об'єднує дані з
різних IDS та надає централізований інтерфейс для їх аналізу. Prelude дозволяє
агрегувати інформацію з різних джерел, що спрощує процес виявлення та
реагування на загрози. Завдяки своєму модульному підходу, Prelude може бути
адаптована до різних середовищ та потреб організації, забезпечуючи комплексний
захист інформаційних ресурсів.
Лист
ЧДТУ.24.23306.002 ПЗ 41
Зм Арк №Докум. Підп Дат
Sagan – це легка сигнатурна система виявлення атак, яка підтримує аналіз
трафіку в реальному часі. Sagan використовує ті ж сигнатури, що й Snort, що
дозволяє легко інтегрувати її в існуючі системи безпеки. Завдяки високій
швидкості обробки даних, Sagan є ефективним інструментом для швидкого
виявлення та реагування на загрози, не створюючи значного навантаження на
системні ресурси.
Ці системи пропонують різноманітні функції та можливості, що дозволяє
організаціям вибирати оптимальні рішення для забезпечення безпеки своїх
інформаційних систем відповідно до специфічних вимог та умов експлуатації.
3.2. Налаштування та оптимізація IDS
Правильне налаштування та оптимізація систем виявлення атак є критично
важливими для забезпечення їхньої ефективності та мінімізації кількості хибних
спрацьовувань. У цій підсекції розглянемо основні етапи налаштування IDS,
методи оптимізації та рекомендації щодо їхнього вдосконалення.
Коректне налаштування та оптимізація систем виявлення атак мають
вирішальне значення для їх ефективної роботи та зменшення кількості хибних
спрацьовувань. У цьому розділі розглянемо основні етапи налаштування IDS,
методи їхньої оптимізації та рекомендації для покращення роботи системи.
Етапи налаштування IDS
Визначення вимог до безпеки
Першим кроком є аналіз ризиків та загроз, які можуть впливати на
інформаційно-телекомунікаційні системи (ІТС). Важливо ідентифікувати критичні
ресурси, такі як важливі системи та дані, що потребують захисту. На основі цього
розробляються політики безпеки, які встановлюють критерії виявлення загроз та
правила реагування на них.
Вибір відповідної системи IDS
Наступним етапом є оцінка характеристик різних систем виявлення атак,
таких як Snort, Suricata, Zeek та інших, відповідно до визначених вимог організації.
Важливо також враховувати фактори масштабованості та продуктивності, щоб
Лист
ЧДТУ.24.23306.002 ПЗ 42
Зм Арк №Докум. Підп Дат
система могла підтримувати зростання обсягу трафіку та кількості пристроїв у
мережі.
Розгортання та первинна конфігурація
Після вибору системи необхідно встановити її у мережеву інфраструктуру.
Це може включати розміщення мережевих датчиків у ключових точках мережі або
встановлення хостових датчиків на критичних системах. Далі слід налаштувати
базові параметри, такі як мережеві інтерфейси, правила збору даних та початкові
сигнатури.
Приклад налаштування Snort, Suricata та Zeek
Налаштування Snort на сервері Linux
1. Встановлення Snort рис 1.:
Рис.1 – встановлення Snort
2. Конфігурація мережевих інтерфейсів: Відредагуйте файл
/etc/snort/snort.conf, вказавши мережевий інтерфейс для моніторингу:
3. Додавання правил сигнатур: Включіть необхідні правила для
виявлення атак, наприклад:
4. Запуск Snort:
Налаштування Suricata
Встановлення Suricata:
Лист
ЧДТУ.24.23306.002 ПЗ 43
Зм Арк №Докум. Підп Дат
1. Конфігурація мережевих інтерфейсів: Відредагуйте файл
/etc/suricata/suricata.yaml, вказавши інтерфейс для моніторингу:
2. Додавання правил: Завантажте та активуйте необхідні правила,
наприклад, від Emerging Threats:
3. Запуск Suricata:
Налаштування Zeek на сервері Linux
1. Встановлення Zeek:
2. Конфігурація мережевих інтерфейсів: Відредагуйте файл
/usr/local/zeek/etc/node.cfg, вказавши інтерфейс для моніторингу:
3. Налаштування скриптів: Додайте необхідні скрипти для аналізу
трафіку у файл /usr/local/zeek/share/zeek/site/local.zeek:
4. Запуск Zeek:
Оптимізація системи IDS
Лист
ЧДТУ.24.23306.002 ПЗ 44
Зм Арк №Докум. Підп Дат
Після встановлення та базової конфігурації необхідно провести оптимізацію
системи для підвищення її ефективності. Це включає налаштування правил для
зменшення кількості хибних спрацьовувань, оптимізацію розміщення датчиків та
інтеграцію з іншими системами безпеки.
Тестування та налаштування параметрів
Проведення симульованих атак дозволяє перевірити здатність IDS їх
виявляти. На основі результатів тестів налаштовуються параметри та правила для
мінімізації хибних спрацьовувань. Оптимальне розміщення датчиків забезпечує
максимальне покриття мережі.
Інтеграція з іншими системами безпеки
Інтеграція IDS з брандмауерами, системами управління інформацією та
подіями безпеки (SIEM) та антивірусними програмами створює комплексне
захисне середовище. Наприклад, інтеграція Snort з SIEM-системою Splunk дозволяє
централізовано аналізувати та реагувати на інциденти безпеки.
Навчання персоналу
Важливо забезпечити підготовку адміністративного та аналітичного
персоналу до роботи з IDS. Проведення тренінгів та розробка процедур реагування
на інциденти допомагають ефективно використовувати систему та швидко
реагувати на загрози.
Рекомендації щодо вдосконалення IDS
Для підтримки актуальності захисту необхідно регулярно оновлювати бази
сигнатур, моделі машинного навчання та інші компоненти IDS. Безперервний
моніторинг стану системи дозволяє вчасно виявляти та усувати проблеми.
Автоматизація процесів реагування на інциденти, наприклад, за допомогою
сценаріїв, сприяє швидкому реагуванню на загрози без перевантаження
адміністративного персоналу.
Методи оптимізації IDS
Оптимізація систем виявлення вторгнень (IDS) є важливим кроком для
підвищення їхньої ефективності та зменшення кількості хибних спрацьовувань.
Основні підходи включають налаштування правил виявлення, покращення
Лист
ЧДТУ.24.23306.002 ПЗ 45
Зм Арк №Докум. Підп Дат
продуктивності системи, зменшення хибних спрацьовувань та автоматизацію
процесів.
Перш за все, необхідно здійснити тонке налаштування правил виявлення. Це
включає фільтрацію шуму шляхом видалення правил, які часто генерують хибні
алерти або не є суттєвими для конкретної мережі. Крім того, адаптація правил до
специфічних умов мережі та поведінки користувачів забезпечує більш точне
виявлення загроз. Наприклад, у системі Suricata можна використовувати Lua-
скрипти для додаткової обробки та класифікації алертів, що допомагає зменшити
кількість хибних спрацьовувань.
Оптимізація продуктивності системи також є ключовим аспектом.
Розподілення навантаження за допомогою багатопоточності, розподілених систем
або балансувальників навантаження дозволяє покращити продуктивність IDS та
забезпечити стабільну роботу навіть при високому обсязі трафіку. Методи
кешування та буферизації допомагають зменшити час обробки даних, що підвищує
загальну швидкість роботи системи. Наприклад, впровадження балансувальника
навантаження дозволяє розподілити трафік між декількома мережевими датчиками
IDS, що знижує навантаження на окремі компоненти.
Зменшення хибних спрацьовувань досягається шляхом покращення правил
для більш точного виявлення загроз та використання контекстуальних даних.
Аналіз додаткових параметрів, таких як час доби, географічне розташування або
поведінка користувачів, допомагає підтвердити загрози та знизити кількість
помилкових алертів. У системі Snort, наприклад, можна додати умовні правила, які
враховують час доби або місцезнаходження джерела трафіку, що дозволяє
зменшити кількість хибних спрацьовувань.
Автоматизація процесів є ще одним важливим напрямком оптимізації IDS.
Використання систем автоматичного оновлення дозволяє забезпечити актуальність
сигнатур, що є необхідним для ефективного виявлення нових загроз. Також,
застосування автоматизованих скриптів для налаштування та моніторингу системи
допомагає знизити навантаження на адміністративний персонал та підвищити
швидкість реагування на інциденти. Наприклад, Python-скрипти можуть
Лист
ЧДТУ.24.23306.002 ПЗ 46
Зм Арк №Докум. Підп Дат
використовуватися для автоматичного додавання нових правил у Suricata та
моніторингу стану системи.
Для налаштування Snort, Suricata та Zeek на сервері Linux слід виконати
кілька основних кроків. Спочатку необхідно встановити відповідне програмне
забезпечення через пакетний менеджер, а потім налаштувати мережеві інтерфейси
та додати необхідні правила для виявлення атак. Наприклад, для Snort це включає
редагування файлу конфігурації та запуск системи з потрібними параметрами. Для
Suricata важливо правильно налаштувати файл suricata.yaml та оновити правила за
допомогою suricata-update. Налаштування Zeek включає редагування файлу
конфігурації node.cfg та додавання необхідних скриптів для аналізу трафіку.
Загалом, оптимізація IDS потребує комплексного підходу, що включає
налаштування правил, покращення продуктивності, зменшення хибних
спрацьовувань та автоматизацію процесів. Впровадження цих методів дозволяє
суттєво підвищити ефективність систем виявлення атак та забезпечити високий
рівень безпеки мережевої інфраструктури.
3.3. Аналіз ефективності виявлення атак
Ефективність систем виявлення атак є ключовим показником їхньої
успішності у забезпеченні безпеки інформаційно-телекомунікаційних систем. У
цій підсекції розглянемо методи оцінки ефективності IDS, ключові метрики та
приклади аналізу на основі реальних даних.
Метрики ефективності IDS
Для оцінки ефективності систем виявлення атак використовуються різні
метрики, що дозволяють вимірювати точність, швидкість та надійність виявлення
загроз. До основних метрик належать:
Точність (Precision)
Формула: Precision = TP / (TP + FP)
Опис: Відсоток правильно виявлених загроз серед усіх спрацьовувань
системи.
Значення: Висока точність означає низьку кількість хибних спрацьовувань
(FP).
Лист
ЧДТУ.24.23306.002 ПЗ 47
Зм Арк №Докум. Підп Дат
Повнота (Recall)
Формула: Recall = TP / (TP + FN) - відсоток загроз, які були успішно виявлені
системою, серед усіх реальних загроз. Висока повнота означає низьку кількість
пропущених загроз (FN).
F-мера (F1 Score)
Формула: F1 = 2 * (Precision * Recall) / (Precision + Recall) - гармонійне
середнє між точністю та повнотою. Баланс між точністю та повнотою, корисний
при порівнянні моделей.
Час реагування (Detection Time) - Час, необхідний системі для виявлення
загрози після її появи. Менший час реагування підвищує ефективність системи у
запобіганні поширенню атак.
Кількість хибних спрацьовувань (False Positives) - кількість спрацьовувань
системи, які не відповідають реальним загрозам. Мінімізація хибних
спрацьовувань зменшує навантаження на адміністративний персонал та підвищує
довіру до системи.
Кількість пропущених загроз (False Negatives) - кількість реальних загроз, які
не були виявлені системою. Мінімізація пропущених загроз підвищує рівень
захисту системи.
Методики оцінки ефективності
Існує кілька підходів до оцінки ефективності систем виявлення атак, кожен з
яких має свої особливості та переваги. Одним із таких методів є використання
тестових середовищ та симуляцій. У цьому випадку створюються віртуальні
мережі або ізольовані середовища, де моделюються різні атаки для перевірки
роботи IDS. Цей підхід дозволяє контролювати умови тестування та застосовувати
різноманітні сценарії атак, проте він не завжди може повністю відобразити реальні
умови мережі.
Іншим важливим методом є аналіз історичних даних. Він передбачає
використання реальних журналів подій та записів трафіку для оцінки роботи
системи в умовах, близьких до реальних. Це дозволяє бачити, як IDS реагує на
Лист
ЧДТУ.24.23306.002 ПЗ 48
Зм Арк №Докум. Підп Дат
фактичні загрози та поведінку системи в живих умовах. Однак для цього необхідно
мати доступ до детальних та якісних даних, що може бути складно забезпечити.
Порівняння з іншими системами виявлення атак також є корисним
інструментом оцінки ефективності. Проводячи порівняльний аналіз різних IDS за
однакових умов, можна визначити, яка система найкраще відповідає конкретним
вимогам організації. Цей метод дозволяє вибрати найбільш ефективне рішення,
проте він може вимагати значних ресурсів та часу для проведення всебічних тестів.
Методи крос-валідації моделей машинного навчання та штучного інтелекту
застосовуються для оцінки їхньої здатності до узагальнення. Це забезпечує
об'єктивну оцінку моделей, використовуючи різні набори даних для навчання та
тестування. Такий підхід дозволяє перевірити, наскільки добре модель
справляється з новими даними, проте він потребує великого обсягу даних для
точного аналізу.
Приклад аналізу ефективності
Розглянемо приклад аналізу ефективності IDS Snort у корпоративній мережі.
Для оцінки використовувалися реальні журнали подій за період у три місяці, які
містили як реальні атаки, так і нормальну активність.
Збір даних
Зібрано 100 алертів від Snort, з яких 70 були справжніми атаками (TP), 20
були хибними спрацьовуваннями (FP), а 10 загроз залишилися непоміченими (FN).
Обчислення метрик
Точність: 70 / (70 + 20) = 0.78 або 78%
Повнота: 70 / (70 + 10) = 0.88 або 88%
F1 Score: 2 * (0.78 * 0.88) / (0.78 + 0.88) ≈ 0.82 або 82%
Аналіз результатів
Точність у 78% показує, що система генерує помилкові спрацьовування, які
можуть вимагати додаткового аналізу.
Повнота у 88% свідчить про високу здатність Snort виявляти реальні загрози.
F1 Score у 82% свідчить про збалансовану ефективність системи.
Лист
ЧДТУ.24.23306.002 ПЗ 49
Зм Арк №Докум. Підп Дат
3.4. Виклики та проблеми при впровадженні IDS
Впровадження систем виявлення атак у інформаційно-телекомунікаційні
системи супроводжується рядом викликів та проблем, які можуть впливати на їхню
ефективність та успішність. У цій підсекції розглянемо основні труднощі, з якими
стикаються організації при впровадженні IDS, а також можливі шляхи їх
подолання.
- Виклики та проблеми при впровадженні IDS
Впровадження систем виявлення атак у інформаційно-телекомунікаційні
системи часто супроводжується різними труднощами, які можуть вплинути на їхню
ефективність та успішність. Розглянемо основні виклики, з якими стикаються
організації, та способи їх подолання.
- Сумісність з існуючою інфраструктурою
Інтеграція IDS з поточними мережевими компонентами та системами
безпеки може бути складною через різноманіття протоколів, стандартів та
технологій. Для полегшення цього процесу доцільно використовувати відкриті
стандарти, API та модульні системи, що спрощують інтеграцію IDS з іншими
елементами мережі. Наприклад, застосування API Splunk дозволяє легко поєднати
IDS Snort, що автоматично передає дані про загрози до SIEM-системи,
забезпечуючи централізований аналіз безпеки.
- Висока кількість хибних спрацьовувань
Надмірна кількість хибних алертів може перевантажити адміністративний
персонал та знизити довіру до системи. Щоб вирішити цю проблему, необхідно
регулярно налаштовувати правила виявлення, використовувати гібридні методи
аналізу та впроваджувати автоматизовані системи фільтрації та пріоритезації
алертів. Наприклад, поєднання сигнатурного та аномального аналізу дозволяє
зменшити кількість хибних спрацьовувань завдяки додатковій перевірці підозрілих
подій.
- Високі вимоги до ресурсів
Лист
ЧДТУ.24.23306.002 ПЗ 50
Зм Арк №Докум. Підп Дат
IDS можуть вимагати значних обчислювальних ресурсів для обробки
великого обсягу трафіку та даних. Для забезпечення необхідної продуктивності
рекомендується використовувати високопродуктивне обладнання, розподілені
архітектури та хмарні рішення. Впровадження розподіленої архітектури Suricata у
великих мережах дозволяє розподіляти навантаження між кількома вузлами,
забезпечуючи високу продуктивність без втрати ефективності.
- Складність налаштування та управління
Налаштування та управління IDS може бути складним, особливо для
організацій з обмеженими ресурсами та експертизою. Для полегшення цього
процесу доцільно використовувати автоматизовані інструменти для налаштування,
проводити навчання персоналу та залучати фахівців з безпеки для підтримки
системи. Застосування Python-скриптів для автоматичного додавання нових правил
та регулярного оновлення бази сигнатур спрощує процес управління IDS.
- Забезпечення актуальності захисту
Кіберзагрози постійно еволюціонують, що вимагає регулярного оновлення
правил, сигнатур та моделей машинного навчання. Для підтримки актуальності
захисту необхідно впроваджувати автоматизовані системи оновлення, постійно
моніторити нові загрози та адаптувати правила виявлення відповідно до змін у
середовищі. Налаштування автоматичних оновлень Snort забезпечує регулярне
отримання нових сигнатур атак, що підтримує актуальність захисту.
- Приватність та захист даних
Моніторинг мережевого трафіку та збір даних можуть порушувати вимоги до
приватності та захисту персональних даних. Для забезпечення конфіденційності
слід впроваджувати політики захисту даних, використовувати методи анонімізації
та гарантувати відповідність системи нормам законодавства щодо захисту даних.
Застосування методів анонімізації даних у Zeek дозволяє захищати приватну
інформацію користувачів під час аналізу мережевого трафіку.
- Недостатній рівень кваліфікації персоналу
Відсутність достатньої кількості кваліфікованих фахівців з безпеки може
ускладнити впровадження та управління IDS. Для подолання цієї проблеми
Лист
ЧДТУ.24.23306.002 ПЗ 51
Зм Арк №Докум. Підп Дат
важливо інвестувати в навчання та розвиток персоналу, залучати зовнішніх
консультантів та використовувати автоматизовані системи для спрощення
управління. Організація семінарів з використання SIEM-системи Splunk допомагає
аналітикам безпеки ефективно аналізувати алерти IDS та реагувати на інциденти.
- Висока вартість впровадження та підтримки
Вартість ліцензій, обладнання, навчання та підтримки може бути високою,
що є обмежуючим фактором для малих та середніх організацій. Щоб знизити
витрати, доцільно вибирати відкриті або безкоштовні системи IDS,
використовувати хмарні рішення з гнучкими моделями оплати та оптимізувати
використання ресурсів. Застосування Suricata з відкритими джерелами даних та
хмарними платформами дозволяє зменшити витрати на обладнання та ліцензії.
- Відсутність єдиної стратегії безпеки
Відсутність цілісної стратегії безпеки може призвести до неефективного
використання IDS та інших засобів захисту. Для цього необхідно розробити
комплексну стратегію, яка включає інтеграцію IDS з іншими системами захисту,
визначення ролей та відповідальностей, а також регулярний аудит безпеки.
Створення та впровадження стратегії безпеки, яка об'єднує використання Zeek для
детального аналізу мережевих подій та інтеграцію з SIEM-системою Splunk,
забезпечує централізоване управління безпекою та ефективне реагування на
інциденти.
- Ризик збоїв та відмов
Відмови в роботі IDS можуть залишити систему без захисту від загроз. Щоб
мінімізувати цей ризик, необхідно впроваджувати резервні копії, високодоступні
архітектури та регулярно тестувати систему на стійкість до збоїв. Використання
кластерних рішень для Snort дозволяє забезпечити безперервну роботу системи
навіть у випадку відмови одного з вузлів.
- Шляхи подолання викликів та проблем
Для подолання викликів, пов'язаних з впровадженням IDS, можна
застосувати кілька підходів. Автоматизація процесів за допомогою інструментів
для налаштування, моніторингу та оновлення IDS дозволяє зменшити
Лист
ЧДТУ.24.23306.002 ПЗ 52
Зм Арк №Докум. Підп Дат
навантаження на персонал та підвищити ефективність системи. Наприклад,
використання Ansible для автоматичного розгортання та конфігурації IDS Suricata
на великій кількості серверів значно спрощує цей процес.
- Інвестування в навчання та розвиток персоналу є ще одним важливим
аспектом. Підвищення кваліфікації адміністративного та аналітичного персоналу
дозволяє ефективніше управляти IDS та швидше реагувати на нові загрози.
Організація регулярних тренінгів та сертифікацій, наприклад, з використання
SIEM-системи Splunk та системи виявлення атак Snort, сприяє підвищенню рівня
безпеки.
Комбінація різних методів виявлення атак, таких як сигнатурний,
аномальний та поведінковий аналіз, дозволяє підвищити точність та зменшити
кількість хибних спрацьовувань. Використання гібридної моделі, яка поєднує
сигнатурний аналіз Snort з поведінковим аналізом Zeek, дозволяє ефективно
виявляти як відомі, так і нові загрози.
Інтеграція IDS з іншими системами безпеки, такими як системи управління
інформацією та подіями безпеки (SIEM), брандмауери та інші засоби захисту,
забезпечує більш комплексний та ефективний захист. Наприклад, поєднання
Suricata з брандмауером pfSense та SIEM-системою Splunk дозволяє централізовано
управляти безпекою та автоматично реагувати на інциденти.
Розробка чітких політик безпеки та процедур реагування на інциденти
дозволяє забезпечити послідовне та ефективне управління загрозами. Наприклад,
створення документації з процедур реагування на інциденти включає кроки для
ізоляції заражених систем та повідомлення відповідальних осіб, що сприяє
швидкому та ефективному реагуванню на кіберзагрози.
Для підвищення ефективності систем виявлення атак важливо регулярно
проводити аудит та аналіз алертів. Це допомагає визначити, наскільки добре
налаштовані правила виявлення, і виявити можливі області для покращення.
Постійне навчання адміністраторів та аналітиків безпеки є необхідним для
ознайомлення їх із новими методами виявлення атак та оптимізації роботи системи.
Лист
ЧДТУ.24.23306.002 ПЗ 53
Зм Арк №Докум. Підп Дат
Встановлення ключових показників ефективності (KPI) дозволяє оцінювати роботу
IDS та визначати напрями для подальшого вдосконалення.
Важливо також вести детальну документацію щодо налаштувань, змін та
оптимізацій системи. Це забезпечує послідовність у управлінні IDS та дозволяє
швидко знаходити та виправляти можливі помилки. Наприклад, створення
докладної документації з процедур реагування на інциденти включає кроки для
ізоляції заражених систем та повідомлення відповідальних осіб, що сприяє
швидкому та ефективному реагуванню на кіберзагрози.
Крім того, рекомендується комбінувати різні методи виявлення атак, такі як
сигнатурний, аномальний та поведінковий аналіз. Це дозволяє підвищити точність
виявлення та зменшити кількість хибних спрацьовувань. Наприклад, поєднання
сигнатурного аналізу Snort з поведінковим аналізом Zeek забезпечує ефективне
виявлення як відомих, так і нових загроз.
Інтеграція IDS з іншими системами безпеки, такими як системи управління
інформацією та подіями безпеки (SIEM) та брандмауери, забезпечує більш
комплексний захист. Наприклад, поєднання Suricata з брандмауером pfSense та
SIEM-системою Splunk дозволяє централізовано управляти безпекою та
автоматично реагувати на інциденти.
Лист
ЧДТУ.24.23306.002 ПЗ 54
Зм Арк №Докум. Підп Дат
4. ЕКСПЕРИМЕНТАЛЬНЕ ДОСЛІДЖЕННЯ
У цьому розділі представлено результати експериментального дослідження,
спрямованого на оцінку ефективності систем виявлення атак (IDS) в інформаційно-
телекомунікаційних системах (ІТС). Дослідження включає постановку
експерименту, опис експериментального середовища, результати, їх аналіз та
інтерпретацію, а також рекомендації щодо покращення роботи IDS на основі
отриманих даних.
4.1. Постановка експерименту
Метою експериментального дослідження є оцінка ефективності різних
систем виявлення атак (Snort, Suricata) у реальних умовах інформаційно-
телекомунікаційної системи. Основні аспекти, що оцінюються, включають
точність виявлення загроз, кількість хибних спрацьовувань, продуктивність
системи та час реагування на інциденти.
Об'єктом дослідження є системи виявлення атак Snort та Suricata, розгорнуті
в тестовому середовищі інформаційно-телекомунікаційної системи.
Предметом дослідження є методи виявлення атак, використовувані в IDS
Snort та Suricata, а також їхня ефективність у різних сценаріях кіберзагроз.
Методологія експерименту
Для досягнення поставлених цілей було використано наступні методи:
Моделювання атак: Використання інструментів для симуляції різних типів
кібератак, таких як DoS, SQL-ін'єкції, фішинг та інші.
Збір та аналіз даних: Використання журналів подій та логів IDS для аналізу
виявлених загроз.
Порівняльний аналіз: Порівняння ефективності різних IDS за допомогою
визначених метрик.
Використання тестових середовищ: Розгортання IDS у віртуалізованих
середовищах для забезпечення контрольованих умов експерименту.
Апаратне забезпечення та топологія мережі:
Мережа тестового стенда була побудована для моделювання типового
Лист
ЧДТУ.24.23306.002 ПЗ 55
Зм Арк №Докум. Підп Дат
корпоративного середовища, підключеного до загальнодоступного Інтернету.
Внутрішня мережа (захищений сегмент) розміщувала різноманітні служби: веб-
сервер під керуванням Apache HTTP Server, сервер баз даних MySQL, службу
обміну файлами на основі Samba та кілька клієнтських машин під керуванням
різних операційних систем (Windows 10 і Ubuntu 20.04) для емулювати реальні
кінцеві точки користувача. Зовнішній трафік, як безпечний, так і зловмисний,
генерувався з окремої машини зловмисника та з контрольованих сценаріїв, що
імітують звичайний трафік користувача.
• Сервери та клієнти :
o Веб-сервер: Ubuntu 20.04 LTS, Apache HTTP Server 2.4, розміщення
корпоративного внутрішнього сайту та тестових програм.
o Сервер бази даних: Ubuntu 20.04 LTS, MySQL 8.0, що містить
неконфіденційні зразки даних для емуляції типового сервера.
o Кінцеві точки:
Windows 10 (2 хости) використовується для доступу до веб-
додатків і спільних файлів.
Клієнтська робоча станція Ubuntu 20.04.
• Мережеві пристрої:
o Керований комутатор, що відокремлює внутрішню локальну мережу
від DMZ і забезпечує віддзеркалення портів для моніторингу.
o Брандмауер, що забезпечує прості правила вхідного/вихідного зв’язку
та NAT для вихідного трафіку.
Лист
ЧДТУ.24.23306.002 ПЗ 56
Зм Арк №Докум. Підп Дат
Моніторинг і розміщення IDS/IPS:
було розгорнуто дві системи виявлення та запобігання вторгненню в мережу
(NIDS/NIPS): Snort і Suricata. Обидва були встановлені на спеціальній машині
Debian 11, оснащеній 4-ядерним процесором (серія Intel Xeon E3), 8 ГБ оперативної
пам’яті та двома мережевими картами. Мережні крани та порти SPAN (аналізатор
портів комутатора) були налаштовані на комутаторі для передачі трафіку на цей
датчик.
Логічне розташування було таким:
• Датчик Snort: розміщується на лінії в «режимі IPS» для сегмента
вхідного трафіку, що веде до DMZ, гарантуючи, що він може блокувати атаки до
того, як вони досягнуть внутрішніх серверів.
• Датчик Suricata: розташований як пасивний датчик IDS на
дзеркальному порту, контролюючи як вхідний, так і внутрішній бічний трафік.
Хоча Suricata також може працювати в режимі IPS, цей експеримент спочатку
налаштував його в режимі IDS, щоб аналізувати можливості виявлення без
втручання в трафік. Пізніше конфігурацію було адаптовано до вбудованого
режиму, щоб дослідити можливості запобігання.
Інструменти для моделювання атак:
Лист
ЧДТУ.24.23306.002 ПЗ 57
Зм Арк №Докум. Підп Дат
Metasploit: Для симуляції різних типів атак, таких як експлойти, фішинг та
інші.
LOIC (Low Orbit Ion Cannon): Для проведення атак типу DoS.
SQLMap: Для тестування наявності SQL-ін'єкцій у веб-додатках.
Інструменти для збору та аналізу даних:
Wireshark: Для детального аналізу мережевого трафіку.
Splunk: Для збору та аналізу логів IDS.
ELK Stack (Kibana): Для обробки та візуалізації даних.
Сценарії експерименту
Експеримент був проведений за кількома сценаріями, кожен з яких
представляв різні типи атак:
Атаки типу DoS (Denial of Service):
Мета: Оцінка здатності IDS виявляти перевантаження мережевих ресурсів.
Інструменти: LOIC.
Опис: Генерація великого обсягу трафіку для перевантаження мережі та
перевірка, чи зможе IDS виявити такі атаки.
SQL-ін'єкції:
Мета: Перевірка здатності IDS виявляти спроби несанкціонованого доступу
до баз даних.
Інструменти: SQLMap.
Опис: Проведення спроб SQL-ін'єкцій на веб-додатках для оцінки виявлення
IDS.
Фішинг:
Мета: Оцінка здатності IDS виявляти спроби соціальної інженерії та обману
користувачів.
Інструменти: Metasploit.
Опис: Використання фішингових схем для отримання конфіденційної
інформації та перевірка виявлення IDS.
Експлойти:
Лист
ЧДТУ.24.23306.002 ПЗ 58
Зм Арк №Докум. Підп Дат
Мета: Перевірка здатності IDS виявляти спроби використання відомих
вразливостей в системах.
Інструменти: Metasploit.
Опис: Використання експлойтів для доступу до систем та аналіз реакції IDS.
4.2 Встановлення та налаштування
4.2.1 Встановлення та початкове налаштування Snort
Snort (версія 3.1.46.0) було встановлено з джерела на Debian 11, щоб забезпечити
найновіші функції та оптимальну продуктивність.
• Набори правил і конфігурація:
Snort було налаштовано на використання нових загроз (ET) і наборів правил
спільноти Snort. Власні набори правил із Snort Subscriber Ruleset було інтегровано
після завершення базових тестів. Основний файл конфігурації (
/usr/local/etc/snort/snort.lua) було змінено, щоб включити шляхи до каталогів правил
і включити вбудований режим.
Основні зміни конфігурації включали:
Спочатку Snort використовувався в режимі натискання для базових тестів
виявлення, а потім був переведений у вбудований режим, увімкнувши вбудовану
конфігурацію AF_PACKET:
Це дозволяє Snort не тільки виявляти, але й активно видаляти шкідливі пакети.
4.2.2 Встановлення та початкове налаштування
Suricata Suricata (версія 6.0.10) була обрана через її багатопотоковість і переваги
масштабованості. Встановлено з офіційного репозиторію Suricata:
Лист
ЧДТУ.24.23306.002 ПЗ 59
Зм Арк №Докум. Підп Дат
sudo apt-get update
sudo apt-get install -y suricata
Основний файл конфігурації /etc/suricata/suricata.yaml було оновлено, щоб
посилатися на ті самі набори правил, що використовуються Snort (перетворено на
Suricata-сумісні формати). Ключові доповнення включали налаштування режиму
захоплення AF_PACKET для вбудованого тестування та ввімкнення
журналювання Eve JSON для більш повного результату.
af-packet:
- interface: enp0s3
cluster-type: cluster_flow
cluster-id: 98
defrag: yes
use-mmap: yes
ring-size: 200000
buffer-size: 64535
checksum-checks: no
checksum-checks: no
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: /var/log/suricata/eve.json
Набори правил Suricata були отримані з Emerging Threats Open, а спеціальні
локальні правила були додані для виявлення поширених веб-експлойтів, спроб
впровадження SQL і атак грубої сили проти служб SSH і FTP.
Після перевірки виявлення в пасивному режимі:
suricata -c /etc/suricata/suricata.yaml -i enp0s3
Пізніше датчик було переведено у вбудований режим за допомогою
NFQUEUE (для інтеграції брандмауера на основі Linux):
Лист
ЧДТУ.24.23306.002 ПЗ 60
Зм Арк №Докум. Підп Дат
sudo iptables -I FORWARD -j NFQUEUE --queue-num 0
suricata -c /etc/suricata/suricata.yaml --af-packet= enp0s3 --af-packet-mode=inline
4.3 Сценарії атак і моделювання
Для ефективної оцінки можливостей виявлення та запобігання було створено
ряд векторів атак і безпечних шаблонів трафіку. Використовувалися такі сценарії
та інструменти hping3, як Metasploit, і . sqlmap Метою було перевірити як точність
виявлення, так і час відгуку систем.
4.3.1 Категорії атак:
1. Сканування мережевого рівня:
o Stealth SYN сканування (Nmap):
2. Веб-експлойти:
o Спроби впровадження SQL на сторінці входу веб-додатку:
o Спроби обходу каталогу:
http://192.168.0.13/index.php?file=../../etc/passwd
3. Атаки грубою силою:
o Груба сила SSH за допомогою Hydra:
4. Симуляція трафіку набору зловмисних програм і експлойтів:
o Відтворення відомих шкідливих файлів PCAP (зібраних із malware-
traffic-analysis.net) з використанням tcpreplay для імітації наборів експлойтів у
реальному світі та маяків C2.
4.3.2 Симуляція безпечного трафіку:
Щоб гарантувати, що системи не створюють надмірну кількість помилкових
спрацьовувань, були включені законні дії користувачів:
• Перегляд корпоративних сторінок внутрішньої мережі.
• Завантаження файлів із внутрішнього файлового сервера.
• Звичайні запити до бази даних із інтерфейсу веб-програми.
• Регулярне оновлення Windows і оновлення пакетів на клієнтах Linux.
Лист
ЧДТУ.24.23306.002 ПЗ 61
Зм Арк №Докум. Підп Дат
4.4 Результати виявлення та запобігання
4.4.1 Базове виявлення за допомогою Snort:
під час початкового розгортання Snort ідентифікував більшість сканувань мережі
(SYN, FIN) із наборами правил за замовчуванням. Спроби впровадження SQL
викликали правила ET і Snort, спеціально створені для шаблонів синтаксису SQL у
параметрах HTTP. Атаки грубої сили SSH також позначалися правилами помилок
входу на основі порогових значень.
Швидкість виявлення була високою для добре відомих сигнатур, але кілька
просунутих атак, які використовували методи обфускації (наприклад, кодування
URL у SQL-ін’єкціях або фрагментація параметрів), спочатку були пропущені.
Після включення спеціальних правил, адаптованих до трафіку цільового
середовища, і ввімкнення препроцесорів (http_inspect, sf_portscan) ефективність
виявлення покращилася.
4.4.2 Робота систем IDS в режимі моніторингу
У цьому сценарії і Snort 3, і Suricata працюють у режимі IDS (моніторингу).
Машина зловмисника за адресою 192.168.0.11 здійснює різні атаки на цільовий веб-
сервер за адресою 192.168.0.13. Датчики IDS налаштовані на генерування
сповіщень, але не на виконання вбудованих дій.
4.4.3 Атаки, перевірені в режимі IDS
Сканування Nmap SYN : зловмисник використовує nmap -sS -p 80
192.168.0.13 для зондування порт 80.
Спроба впровадження SQL : зловмисник намагається
http://192.168.0.13/login.php?user=admin&pass='OR'1'='1.
Спроба XSS : зловмисник надсилає
http://192.168.0.13/comment.php?msg=<script>alert('XSS')</script>.
4.3 Конфігурація Snort 3 (режим IDS).
Команда Snort 3 IDS:
Лист
ЧДТУ.24.23306.002 ПЗ 62
Зм Арк №Докум. Підп Дат
(Вбудований параметр не вказано, тому працює в режимі IDS.)
Правила для IDS Snort 3 (local.rules):
Правило виявлення сканування Nmap:
Правило виявлення впровадження SQL:
Правило виявлення XSS:
Журнали IDS Snort 3 (alert_fast.txt):
Лист
ЧДТУ.24.23306.002 ПЗ 63
Зм Арк №Докум. Підп Дат
4.4.5 Конфігурація Suricata (режим IDS).
Команда Suricata IDS:
Правила Suricata (local.rules):
Правило виявлення сканування Nmap:
Правило виявлення впровадження SQL:
Правило виявлення XSS:
Лист
ЧДТУ.24.23306.002 ПЗ 64
Зм Арк №Докум. Підп Дат
Правило Dos:
Журнали Suricata IDS (зразок Eve.json):
Лист
ЧДТУ.24.23306.002 ПЗ 65
Зм Арк №Докум. Підп Дат
4.4.6 Перехід до вбудованого режиму Snort (IPS):
Після активації у вбудованому режимі Snort успішно видаляв шкідливі
пакети, пов’язані з простими спробами впровадження SQL, і блокував сканування
nmap, скидаючи з’єднання TCP. Час реакції наближався до реального часу, і
легальний трафік не зазнав помітного впливу. Однак для зменшення помилкових
спрацьовувань, особливо для певних веб-запитів, які нагадували підозрілі шаблони,
знадобилося деяке тонке налаштування правил.
4.4.7 Suricata в режимі IDS:
Працюючи пасивно, багатопотоковий механізм Suricata дозволив підвищити
пропускну здатність перевірки трафіку. Журнали Suricata Eve надали багаті дані
JSON про сповіщення, включаючи деталі відповідних підписів і сегментів
корисного навантаження. Це допомогло швидко визначити шаблони, які можна
було перетворити на власні правила або виправити на помилкові спрацьовування.
Suricata дуже добре справлявся з атаками на прикладному рівні, такими як
виявлення спроб XSS і складніших корисних навантажень SQL-ін’єкцій. Він також
перехопив трафік C2 у відтворених PCAP зловмисних програм за допомогою
правил ET. Помилкові спрацьовування в основному відбувалися в сценаріях
зашифрованого трафіку або в шумних протоколах, для яких Suricata мало контекст
(наприклад, спеціальні протоколи додатків без виділених аналізаторів Suricata).
Лист
ЧДТУ.24.23306.002 ПЗ 66
Зм Арк №Докум. Підп Дат
Вбудоване розгортання Suricata за допомогою NFQUEUE дозволяло
приймати, видаляти або змінювати трафік на основі відповідних правил.
Тестування вбудованого режиму показало, що Suricata може ефективно блокувати
шкідливий трафік з мінімальними витратами на продуктивність. Масштабованість
системи — використання переваг кількох ядер ЦП — забезпечила стабільну
продуктивність за помірного навантаження, із використанням ЦП у середньому
близько 30% під час сценаріїв атак.
4.5. Аналіз та інтерпретація результатів
Лист
ЧДТУ.24.23306.002 ПЗ 67
Зм Арк №Докум. Підп Дат
4.5.1 Критерії оцінки
Для оцінки ефективності IDS використовувалися наступні критерії:
Точність (Precision): Відсоток правильно виявлених загроз серед усіх
спрацьовувань.
Повнота (Recall): Відсоток загроз, які були успішно виявлені системою, серед
усіх реальних загроз.
F-мера (F1 Score): Гармонійне середнє між точністю та повнотою.
Час реагування (Detection Time): Час, необхідний системі для виявлення
загрози після її появи.
Кількість хибних спрацьовувань (False Positives): Кількість спрацьовувань,
які не відповідають реальним загрозам.
Кількість пропущених загроз (False Negatives): Кількість загроз, які не були
виявлені системою.
Табл. 2 Зведена Таблиця Результатів
F1
Тип атаки Система Precision Recall Score Detection False False
(%) (%) (%) Time (с) Positives Negatives
DoS Snort 78 82 80,0 5,5 22 18
DoS Suricata 89 93 91,0 3,5 13 9
SQL-
ін’єкції Snort 73 77 75,0 6,0 28 23
SQL-
ін’єкції Suricata 83 87 85,0 4,5 18 13
Фішинг Snort 68 72 70,0 7,5 33 27
Фішинг Suricata 78 83 80,3 5,5 23 17
Експлойти Snort 81 86 83,4 4,5 19 14
Експлойти Suricata 91 96 93,4 2,5 9 4
Інтерпретація результатів з табл 2.:
• Precision та Recall є вищими для Suricata у всіх тестованих сценаріях
атак, що свідчить про здатність більш точно розрізняти між шкідливим та
легітимним трафіком, а також ефективніше виявляти реальні загрози.
Лист
ЧДТУ.24.23306.002 ПЗ 68
Зм Арк №Докум. Підп Дат
• F1 Score, як гармонійне середнє, також вищий у Suricata, що вказує на
кращий баланс між точністю та повнотою.
• Detection Time менший у Suricata, тобто система швидше виявляє
загрози.
• False Positives (хибні спрацьовування) та False Negatives (пропущені
загрози) також нижчі у Suricata, що зменшує навантаження на аналітиків безпеки
та підвищує рівень безпеки системи.
Таким чином, наведені результати свідчать про те, що Suricata є більш
ефективним рішенням для виявлення та реагування на різні типи атак порівняно зі
Snort 3, за рахунок більш якісної обробки трафіку та вищої точності аналізу.
- Оцінка точності та повноти
Аналіз отриманих результатів показав, що Suricata демонструє найвищі
показники точності та повноти серед усіх тестованих систем для більшості типів
атак. Це свідчить про її здатність ефективно виявляти як відомі, так і невідомі
загрози з мінімальною кількістю хибних спрацьовувань. Snort, хоча і є потужною
системою, демонструє нижчі показники точності та повноти, особливо при
виявленні фішингових атак та SQL-ін'єкцій.
- Час реагування
Suricata вирізняється найменшим часом реагування, що є критично важливим
для запобігання поширенню атак та мінімізації збитків. Snort показав дещо більше
значення часу реагування, але все ж залишаються ефективними для більшості
сценаріїв використання.
- Хибні спрацьовування та пропущені загрози
Найбільше хибних спрацьовувань спостерігалося у Snort, особливо при
виявленні фішингових атак. Це може бути пов'язано з меншою точністю
сигнатурного аналізу в порівнянні з Suricata, які використовують більш складні
методи аналізу трафіку. Пропущені загрози також були найбільшою проблемою
для Snort, особливо у випадку фішингових атак, що вимагає подальшої оптимізації
правил.
Загальна ефективність
Лист
ЧДТУ.24.23306.002 ПЗ 69
Зм Арк №Докум. Підп Дат
Загалом, Suricata показала найвищу загальну ефективність серед усіх
протестованих IDS, завдяки високій точності, повноті та низькому часу реагування.
Snort, хоча і є надійною системою, потребує подальшої оптимізації для досягнення
кращих показників у деяких типах атак.
Інтерпретація результатів
Результати експерименту свідчать про те, що вибір IDS повинен залежати від
специфічних потреб організації та типів загроз, з якими вона стикається. Suricata є
оптимальним вибором для організацій, які потребують високої точності та
швидкості реагування, тоді як Zeek може бути більш корисним для аналізу
складних загроз та детального моніторингу мережевої активності. Snort, хоча і
менш ефективний у деяких аспектах, все ж може бути корисним завдяки своїй
гнучкості та широкій підтримці спільноти.
4.6. Рекомендації щодо покращення
На основі проведеного експериментального дослідження було
сформульовано низку рекомендацій щодо покращення роботи систем виявлення
атак:
1. Оптимізація правил та сигнатур
Регулярне оновлення правил:
Опис: Забезпечити постійне оновлення бази правил та сигнатур для Snort та
Suricata, щоб вони могли ефективно виявляти нові загрози.
Кастомізація правил:
Опис: Адаптувати правила під специфічні умови мережі організації, щоб
зменшити кількість хибних спрацьовувань та підвищити точність виявлення.
Приклад: Додавання специфічних правил у local.rules для Snort:
alert tcp any any -> 192.168.1.0/24 80 (msg:"Custom HTTP Attack Detected";
flow:to_server,established; content:"malicious_payload"; sid:1000001; rev:1;)
2. Використання гібридних методів виявлення
Комбінація сигнатурного та аномального аналізу:
Лист
ЧДТУ.24.23306.002 ПЗ 70
Зм Арк №Докум. Підп Дат
Опис: Інтегрувати сигнатурний та аномальний методи для забезпечення
більшої точності та повноти виявлення загроз.
Використання поведінкових моделей:
Опис: Додатково використовувати поведінкові моделі для виявлення
складних та контекстуальних загроз, які можуть залишитися непоміченими
сигнатурними методами.
3. Підвищення продуктивності системи
Використання високопродуктивного обладнання:
Опис: Інвестувати у сучасне обладнання з високою обчислювальною
потужністю для забезпечення ефективної роботи IDS.
Приклад: Використання серверів з багатоядерними процесорами та
достатньою кількістю оперативної пам'яті для Suricata.
6. Навчання та розвиток персоналу
Постійне навчання:
Опис: Організувати регулярні тренінги та навчальні програми для
адміністраторів та аналітиків безпеки, щоб вони були в курсі нових методів
виявлення атак та оптимізації систем.
Використання автоматизованих інструментів:
Опис: Впроваджувати автоматизовані інструменти для спрощення
управління IDS та зменшення потреби в ручній налаштуванні.
Приклад: Використання Ansible для автоматичного розгортання та
конфігурації Suricata на великій кількості серверів.
7. Впровадження політик безпеки та процедур реагування
Розробка чітких політик:
Опис: Створити та впровадити політики безпеки, які визначають правила
використання IDS, процедур реагування на інциденти та обробки алертів.
Приклад: Розробка документації з процедур реагування на інциденти,
включаючи кроки для ізоляції заражених систем та повідомлення відповідальних
осіб.
Регулярний аудит безпеки:
Лист
ЧДТУ.24.23306.002 ПЗ 71
Зм Арк №Докум. Підп Дат
Опис: Проводити регулярні аудити безпеки для оцінки ефективності роботи
IDS та визначення напрямків для подальшого вдосконалення.
Приклад: Проведення щоквартальних аудитів безпеки з оцінкою конфігурації
Zeek та Suricata для виявлення можливих недоліків та впровадження необхідних
покращень.
8. Використання передових технологій
Інтеграція машинного навчання та штучного інтелекту:
Опис: Розширити можливості IDS за допомогою алгоритмів машинного
навчання та штучного інтелекту для покращення виявлення складних загроз.
Використання хмарних рішень:
Опис: Перейти на хмарні рішення для забезпечення масштабованості,
гнучкості та доступності системи виявлення атак.
Приклад: Використання AWS GuardDuty у поєднанні з локальними IDS для
забезпечення безперервного моніторингу та автоматичного масштабування захисту
в залежності від обсягу трафіку.
4.7 Налаштування правил і хибнопозитивне скорочення
Під час етапу тестування постійною темою була необхідність налаштувати
правила виявлення, щоб зменшити помилкові спрацьовування без шкоди для
безпеки:
• Коригування локальних правил:
на основі початкових запусків виявлення певні правила спрацьовують за
доброякісними шаблонами. Наприклад, правило, що відповідає «SELECT * FROM»
у будь-якому параметрі HTTP, викликало помилкові спрацьовування на законних
веб-сторінках, керованих базами даних. Завдяки вдосконаленню логіки правил для
пошуку відомих зловмисних ключових слів SQL у поєднанні з шаблонами
підозрілих запитів (таких як тавтології чи об’єднані запити), рівень помилкових
позитивних результатів зменшився на 40%.
• Порогове значення та придушення:
правила виявлення грубої сили SSH були налаштовані на попередження лише після
Лист
ЧДТУ.24.23306.002 ПЗ 72
Зм Арк №Докум. Підп Дат
певного порогу невдалих спроб за інтервал часу. Це усунуло сповіщення, створені
випадковими законними неправильно введеними паролями.
• Контекстно-залежний аналіз:
препроцесори та декодери протоколів налаштовано на більш точний розбір HTTP,
видаляючи нешкідливі параметри та нормалізуючи дані. Це дозволило більш
надійно виявляти справжні експлойти, вбудовані в складні запити.
4.8 Продуктивність і використання ресурсів
Пропускна здатність і затримка:
Випробування проводилися з використанням генератора трафіку Spirent для
подачі суміші трафіку HTTP, SMTP і DNS зі швидкістю лінії 100 Мбіт/с. І Snort, і
Suricata після оптимізації конфігурації обробляли навантаження без скидання
пакетів, зберігаючи стабільну швидкість виявлення.
• Snort у вбудованому режимі запровадив невелике збільшення затримки
приблизно на 1-2 мс на запит під великим навантаженням через перевірку пакетів і
витрати на прийняття рішень.
• Багатопотоковість Suricata продемонструвала менші прирости
затримки (~1 мс), а навантаження на процесор розподілялося більш рівномірно між
ядрам.
Споживання ресурсів:
використання пам’яті залишалося стабільним на рівні приблизно 1–2 ГБ
оперативної пам’яті для обох систем із вибраними наборами правил. Дисковий
ввід-вивід для журналювання був більш суттєвим у Suricata через детальні журнали
Eve, але це вдалося за допомогою ротації журналів і вивантаження журналів у
віддалену систему SIEM Kibana.
4.9 Інтеграція з операціями безпеки та реагування на інциденти
IDS зазвичай не виконує команди напряму. Вона генерує подію (alert) у лог.
Для реакції потрібна проміжна ланка:
1. IDS генерує alert →
Лист
ЧДТУ.24.23306.002 ПЗ 73
Зм Арк №Докум. Підп Дат
2. Проміжна програма (скрипт) спостерігає за логом →
3. Скрипт запускає команди iptables/fail2ban для блокування.
Тому було розроблено скрипт для автоматизованого блокування ip-адрес за
допомогою iptable. Скрипт написано на Python Рис. :
Лист
ЧДТУ.24.23306.002 ПЗ 74
Зм Арк №Докум. Підп Дат
Рис. – скрипт на Python
Практичне розгортання показало, що дані сповіщень із Snort і Suricata можуть
бути ефективно інтегровані в платформу безпеки інформації та керування подіями
(SIEM). Подаючи сповіщення на інформаційні панелі Kibana та правила кореляції
в SIEM, групи реагування на інциденти могли швидко ідентифікувати шаблони
атак, зв’язувати події та ініціювати кроки з усунення.
Наприклад:
• Попередження грубої сили, ініційоване Suricata, було пов’язане з
невдалими спробами входу через SSH у системних журналах, що підвищило
пріоритет інциденту.
• Спроби SQL-ін’єкції, виявлені Snort, були пов’язані з аномальними
запитами до бази даних у журналах MySQL, надаючи більш повну картину спроби
вторгнення та сприяючи швидкому реагуванню, наприклад, блокуванню IP-адрес
або блокуванню облікових записів користувачів.
4.10 Резюме практичних висновків
Практичне розгортання та тестування Snort і Suricata як у режимах виявлення
(IDS), так і в режимах запобігання (IPS) висвітлюють наступні ключові висновки:
1. Ефективне базове виявлення: обидві системи забезпечили високу
точність виявлення для загальної розвідки мережі та добре відомих шаблонів
експлойтів із мінімальною початковою конфігурацією.
Лист
ЧДТУ.24.23306.002 ПЗ 75
Зм Арк №Докум. Підп Дат
2. Можливість вбудованого режиму: перетворення Snort і Suricata у
вбудований режим IPS дозволило проактивне блокування атак. Хоча це створило
додаткову складність і вимагало ретельного налаштування, щоб уникнути
переривання законного трафіку, це виявилося можливим за умови належного
керування правилами.
3. Налаштування та налаштування правил: необхідність вдосконалення та
налаштування правил була першорядною. Пристосування підписів до унікального
мережевого середовища організації та ретельне налаштування порогових значень
значно зменшили помилкові спрацьовування та підвищили корисність сповіщень.
4. Продуктивність і масштабованість: за помірних навантажень трафіку
(до 100 Мбіт/с) і Snort, і Suricata працювали надійно. Багатопотокова архітектура
Suricata запропонувала трохи кращу продуктивність і меншу затримку, що робило
її більш придатною для масштабування для більш високої пропускної здатності або
складніших сумішей трафіку.
5. Оперативна інтеграція: дані попереджень з обох систем, збагачені
контекстними журналами, можна інтегрувати з рішеннями SIEM для створення
всебічного уявлення про загрози. Це сприяло швидшому та ефективнішому
реагуванню на інциденти.
Лист
ЧДТУ.24.23306.002 ПЗ 76
Зм Арк №Докум. Підп Дат
ВИСНОВКИ
У даному дослідженні було всебічно розглянуто теоретичні та практичні
аспекти побудови та використання систем виявлення атак (IDS) в сучасних
інформаційно-телекомунікаційних системах (ІТС). Проведене дослідження
дозволило досягти поставленої мети та вирішити всі завдання, визначені на початку
роботи.
Вивчено методи збору та аналізу даних, що забезпечують високу точність та
швидкість виявлення атак.
Досліджено використання машинного навчання та штучного інтелекту в IDS,
розглянуто переваги та виклики їх застосування.
Розглянуто процес інтеграції IDS в існуючі мережеві інфраструктури,
визначено ключові фактори та виклики цього процесу.
Проведено огляд популярних систем IDS, таких як Snort, Suricata та Zeek,
розглянуто їхні особливості, переваги та недоліки.
Описано процес налаштування та оптимізації IDS, включаючи тюнінг
правил, оптимізацію продуктивності та зменшення хибних спрацьовувань.
Проведено аналіз ефективності виявлення атак з використанням ключових
метрик у різних сценаріях атак (DoS, SQL-ін'єкції, фішинг, експлойти) (Precision,
Recall, F1 Score, Detection Time, False Positives, False Negatives).
Виявлено основні виклики та проблеми при впровадженні IDS, такі як
сумісність з існуючою інфраструктурою, висока кількість хибних спрацьовувань,
високі вимоги до ресурсів та складність налаштування.
Дослідження систем виявлення атак виявилося надзвичайно актуальним та
корисним у контексті сучасних кіберзагроз. Розроблені методи та отримані
результати сприяють підвищенню рівня безпеки інформаційно-
телекомунікаційних систем, забезпечуючи ефективний захист від різноманітних
кіберзагроз. Водночас, постійна еволюція кіберзагроз вимагає безперервного
вдосконалення та адаптації систем виявлення атак, що є важливим завданням для
подальших досліджень та практичних впроваджень.
Лист
ЧДТУ.24.23306.002 ПЗ 77
Зм Арк №Докум. Підп Дат
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. [1] Scarfone, K., & Mell, P. (2007). Guide to Intrusion Detection and Prevention
Systems (IDPS). NIST.
2. [2] Snort Intrusion Detection and Prevention System.
[https://www.snort.org/](https://www.snort.org/)
3. Suricata User Guide. [https://suricata.readthedocs.io/en/suricata-
6.0.0/](https://suricata.readthedocs.io/en/suricata-6.0.0/)
4. Zeek Documentation.
[https://docs.zeek.org/en/stable/](https://docs.zeek.org/en/stable/)
5. Metasploit Framework.
[https://metasploit.help.rapid7.com/docs](https://metasploit.help.rapid7.com/d
ocs)
6. LOIC (Low Orbit Ion Cannon).
[https://sourceforge.net/projects/loic/](https://sourceforge.net/projects/loic/)
7. SQLMap. [http://sqlmap.org/](http://sqlmap.org/)
8. Splunk Enterprise Security.
[https://www.splunk.com/en_us/solutions/siem.html](https://www.splunk.com
/en_us/solutions/siem.html)
9. AWS GuardDuty.
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/)
10. Scarfone, K., & Mell, P. (2007). Guide to Intrusion Detection and Prevention
Systems (IDPS). NIST.
11. Snort Intrusion Detection and Prevention System.
[https://www.snort.org/](https://www.snort.org/)
12. Suricata User Guide. [https://suricata.readthedocs.io/en/suricata-
6.0.0/](https://suricata.readthedocs.io/en/suricata-6.0.0/)
13. Splunk Enterprise Security.
[https://www.splunk.com/en_us/solutions/siem.html](https://www.splunk.com
/en_us/solutions/siem.html)
Лист
ЧДТУ.24.23306.002 ПЗ 78
Зм Арк №Докум. Підп Дат