Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/7772
Title: Система захисту мережевих ресурсів інформаційних систем від негативних кібернетичних впливів
Authors: Панаско, Олена Миколаївна
Балибердін, Денис Володимирович
Keywords: мережеві ресурси;кібербезпека інформаційних систем;кібернетичні атаки;вразливості інформаційних систем;системи виявлення та запобігання вторгненням (ids/ips);захист мережевої інфраструктури
Issue Date: 2022
Abstract: Розроблення та обґрунтування системи захисту мережевих ресурсів інформаційної системи модельного підприємства із застосуванням систем виявлення та запобігання вторгненням
URI: https://er.chdtu.edu.ua/handle/ChSTU/7772
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Балибердін_Панаско.pdf
  Restricted Access
5.14 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
 
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА 
КІБЕРБЕЗПЕКИ 
 
 
До захисту допущено  
завідувач кафедри РТСК 
д.т.н., професор  
_______________ В.В. Палагін  
"_____" _____________ 2022 року 
 
 
Пояснювальна записка 
до дипломного проекту (роботи) 
                 магістра              
 
(освітньо-кваліфікаційний рівень) 
на тему «Система захисту мережевих ресурсів інформаційних систем від 
негативних кібернетичних впливів» 
 
Виконав: студент  2  курсу, групи    БІ-011    
Спеціальності         125 – «Кібербезпека» , 
(шифр і назва спеціальності) 
 
освітньої програми  «Безпека інформаційних і 
комунікаційних систем»  
                         (назва освітньої програми) 
                        Балибердін Д.В.   
(прізвище та ініціали) 
Керівник   Панаско О.М.  
(прізвище та ініціали) 
Рецензент    
(прізвище та ініціали) 
 
 
 
 
Черкаси – 2022 року 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
Факультет електронних технологій, автотранспорту та машинобудування  
Кафедра  робототехнічних і телекомунікаційних систем та кібербезпеки  
Освітньо-кваліфікаційний рівень  магістр  
Спеціальність  125 – Кібербезпека  
Освітня програма  – Безпека інформаційних і комунікаційних систем  
 
 
 
 
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри  В.В. Палагін 
“_____” ___________________ 2022 року 
 
 
 
ЗАВДАННЯ 
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ 
 
                                  Балибердіна Дениса Володимировича ________________ 
(прізвище, ім’я, по батькові) 
1. Тема проекту (роботи) Система захисту мережевих ресурсів інформаційних систем від 
негативних кібернетичних впливів  
керівник проекту (роботи)  Панаско Олена Миколаївна  
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом вищого навчального закладу від «___» __________2022 року № ____ 
 
2. Термін здачі студентом закінченої роботи  “ 10 ” грудня 2022 року _________ 
 
3. Вихідні дані до роботи: Нормативно-правові документи та міжнародні стандарти у 
сфері інформаційної та кібернетичної безпеки інформаційних систем; наукові публікації 
та методичні матеріали з питань захисту мережевих ресурсів інформаційних систем; 
відомості про сучасні методики здійснення атак на мережеві ресурси та способи їх 
реалізації; програмно-апаратні засоби виявлення вразливостей, системи запобігання та 
виявлення вторгнень; модельна структура інформаційної системи підприємства та її 
мережева інфраструктура..      
 
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Аналіз сучасних методик атак на мережеві ресурси інформаційних систем та моделей 
потенційних порушників кібербезпеки; дослідження кіберзагроз для мережевих ресурсів 
та методів збору інформації про інформаційні системи; аналіз і порівняння технологій 
та засобів захисту мережевих ресурсів, включаючи сканери вразливостей і засоби 
протидії соціальній інженерії; розроблення та обґрунтування системи захисту 
мережевих ресурсів інформаційної системи модельного підприємства із застосуванням 
систем виявлення та запобігання вторгненням.  
 
 
5.  Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)  
1. Структурна схема мережевої інфраструктури модельного підприємства; 2. Схема 
організації системи захисту мережевих ресурсів інформаційної системи; 3. 
Функціональна схема роботи системи виявлення та протидії кібернетичним атакам.  
 
.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються 
Підпис, дата 
Прізвище, ініціали та посада 
Розділ завдання завдання 
консультанта 
видав прийняв 
    
    
 
 
7. Дата видачі завдання    
  
 
КАЛЕНДАРНИЙ ПЛАН 
 
Термін  
№ Назва етапів дипломного проекту  
виконання етапів Примітка  
з/п (роботи)  
проекту (роботи) 
1. Аналіз технічного завдання та пошук 
18.09.22 – 09.10.22  
літератури 
2. Аналіз сучасних методик атак на мережеві 
ресурси інформаційних систем та моделей 10.10.22 – 24.10.22  
потенційних порушників кібербезпеки 
3. Дослідження кіберзагроз для мережевих 
ресурсів та методів збору інформації про 25.10.22 – 10.11.22  
інформаційні системи 
4. Аналіз і порівняння технологій та засобів 
захисту мережевих ресурсів, включаючи 
11.11.22 – 25.11.22  
сканери вразливостей і засоби протидії 
соціальній інженерії 
5. Розроблення та обґрунтування системи 
захисту мережевих ресурсів інформаційної 
системи модельного підприємства із 11.11.22 – 25.11.22  
застосуванням систем виявлення та 
запобігання вторгненням 
8. Оформлення пояснювальної записки 27.11.22 – 01.12.22  
9. Оформлення презентації 02.12.22 – 09.12.22  
 
 
 
Студент        Балибердіна Д.В.  
 ( підпис ) (прізвище та ініціали) 
 
Керівник проекту (роботи)  Панаско О.М.  
 ( підпис ) (прізвище та ініціали) 
 
Зміст 
ВСТУП .......................................................................................................................... 5 
1. МЕТОДИКИ АТАК НА МЕРЕЖЕВІ РЕСУРСИ ІНФОРМАЦІЙНИХ 
СИСТЕМ ...................................................................................................................... 7 
1.1  Тестування на проникнення в систему ......................................................... 7 
1.2  Кіберзагрози для мережевих ресурсів інформаційних систем ................ 11 
1.3  Моделі порушників кібербезпеки ............................................................... 12 
1.4  Різновиди збору інформацію про системи ................................................. 13 
2. ТЕХНОЛОГІЇ ЗАХИСТУ МЕРЕЖЕВИХ ІНФОРМАЦІЙНИХ РЕСУРСІВ 
ІНФОРМАЦІЙНИХ СИСТЕМ ВІД НЕГАТИВНИХ КІБЕРНЕТИЧНИХ 
ВПЛИВІВ ................................................................................................................... 18 
2.1  Системи захисту мережевих ресурсів ........................................................ 18 
2.2  Технології здійснення негативних кібернетичних впливів на мережеві 
ресурси інформаційних систем ............................................................................. 21 
2.3  Сканери мережевих вразливостей .............................................................. 28 
2.4  Засоби соціальної інженерії, як негативний кібернетичних впливів на 
мережеві ресурси інформаційних систем ............................................................ 31 
3. СИСТЕМА ЗАХИСТУ МЕРЕЖЕВИХ РЕСУРСІВ ІНФОРМАЦІЙНИХ 
СИСТЕМ ВІД НЕГАТИВНИХ КІБЕРНЕТИЧНИХ ВПЛИВІВ ........................... 33 
3.1  Топологія та склад інформаційних комп‘ютерних сервісів модельного 
підприємства. .......................................................................................................... 33 
3.2  Інформаційні комп’ютерні технології перешкоджання атакам на 
внутрішню структуру мережі ............................................................................... 34 
3.3  Впровадження системи протидії вторгнень ............................................... 37 
ВИСНОВКИ ............................................................................................................... 57 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ................................................................. 59 
Додаток А ................................................................................................................... 62 
 
 
 
 
 
ВСТУП 
 
Статистика зростання кібернетичних впливів говорить про значне 
посилення діяльності зловмисників в інформаційному просторі. Джерела та 
характер таких впливів сьогожні дуже різняться, що пояснюється мотивами та 
цілями атак.  
В більшості випадків атакуються мережеві ресурси компаній. На 
мережевих ресурсах може зберігатися доволі великий перелік різної інформації, 
яка може складати велику цінність (конфіденційні або персональні дані, 
інтелектуальна власність, важливі фінансові документи тощо). Якщо 
інформаційно-комунікаційна система підприємства чи організації не захищена 
належним чином, то така компанія ризикує втратити не лише надважливі для 
функціонування дані, але й довіру та репутацію на ринку. В ділових колах 
розуміють, шо якщо компанія не може належним чином захистити свою 
інформаційну систему від сторонніх впливів, то всі зусилля компанії щодо 
просування та залучення інвестицій, клієнтів або трафіку на сайти та сервіси, до 
торгових точок можуть бути раптово зірвані. Тому вибір та розробка, коректне 
налаштування систем захисту мережевих ресурсів інформаційних систем від 
негативних кібернетичних впливів є вкрай актуальною задачею. 
Актуальною задачею є створення такої системи захисту мережевих 
ресурсів інформаційних систем від негативних кібернетичних впливів, яка б 
максимально ефективно протидіяла широкому спектру впливів, мала б широкі 
можливості реагування та блокування загроз. При цьому така система не 
повинна впливати на процеси нормальної бізнес-діяльності організації.   
Об`єктом дослідження  є – система захисту мережевих ресурсів 
інформаційних систем. 
Предметом дослідження виступають методи та механізми захисту від 
негативних кібернетичних впливів мережевих ресурсів інформаційних систем. 
 
 
5 
 
Метою роботи є дослідження негативних кібернетичних впливів, 
формування піходів та організація системи захисту мережевих ресурсів 
інформаційних систем від негативних кібернетичних впливів для підприємства. 
Для досягнення мети необхідно розв’язати наступні задачі: 
1. Проаналізувати поширені методики атак на мережеві ресурси 
інформаційних систем (ІС). 
2. Розглянути існуючі технології захисту мережевих інформаційних 
ресурсів інформаційних систем від негативних кібернетичних впливів та 
провести аналіз систем захисту мережевих ресурсів. 
3. На основі статистики атак на ресурси ІС підприємства провести 
пробні атаки з використанням технологій пен-тестування та виявити вразливості, 
окреслити методи та шляхи їх усунення. 
4. Провести практичну реалізацію та тестування створеної системи 
захисту мережевих ресурсів від втручання. 
Структура та обсяг роботи. Пояснювальна записка до кваліфікаційної 
роботи магістра складається зі вступу, 3 розділів та загальних висновків, 
переліку використаних джерел, що містить 24 найменувань на 3 сторінках. 
Загальний обсяг роботи – 60 сторінок, з них 60 сторінок основного тексту. 
 
 
 
 
 
 
 
 
 
6 
 
1. МЕТОДИКИ АТАК НА МЕРЕЖЕВІ РЕСУРСИ ІНФОРМАЦІЙНИХ 
СИСТЕМ 
 
Термін «інформаційна система» може розглядатися у вкрай широкому 
розумінні. Для підприємства ІС – це, як правило якась система обробки, 
зберігання та керування інформації, яка побудовна на основі комп’ютерних 
мереж. Для розуміння того, які атаки існують для різних типів і поколінь 
компютерних мереж, необхідно дотримуватися певної класифікації, щоб можна 
було розібратися, в тому як вони працюють і на які частини мережі можуть 
вплинути. 
 
1.1  Тестування на проникнення в систему 
 
Найбільш популярною класифікацією атак на мережевий трафік є 
зіставлення атак рівням моделі мережевої взаємодії OSI. Тобто, всі кібератаки 
розглядаються в контексті існуючих рівнів моделі OSI. 
За основу класифікації кібератак можна брати етапи тестування на 
проникнення, які зазвичай реалізують визначення найбільш ймовірних сценаріїв 
атаки зловмисника на комп‘ютерну мережу організації. Найчастіше тестування 
на проникнення проводиться у 2 етапи: 
− збір максимально доступної інформації про об‘єкт або систему 
− другий - безпосередньо атака. 
Якщо мати на увазі мережеву взаємодію, то атакою взагалі можна вважати 
і стандартний функціонал мережевих засобів, який може використовуватися не 
за його прямим призначенням. 
Зазвичай класифікація кібератак виглядає так: 
- пошук хостів, які мають доступ до зовнішньої мережі; 
- пошук хостів, які не мають доступу до зовнішньої мережі; 
- сканування хостів; 
- сніффінг (прослуховування трафіку); 
7 
 
- атаки на локальну мережу; 
- зміна напрямку або характеру мережевого трафіку частково або 
окремих пакетів даних. 
Перед тим як розпочати тестування на проникнення в інформаційну 
систему, зловмиснику потрібно зібрати якомога більше інформації про цільову 
систему, яка піддаватиметься атаці. Тому збір інформації є головним етапом у 
тестуванні на проникнення. Відомий і очевидний факт полягає в тому, що чим 
більше інформації зловмисник матиме про об’єкт проникнення, тим більше 
шансів й нього є на успішну реалізацію атаки.  
Під час збирання інформації про цільову інформаційну систему головною 
метою є збір даних такого характеру: 
- ip-адреса 
- назва інформаційних сервісів або послуг 
- наявність відкритих портів 
- тип операційної системи тощо. 
 
1.1.1 Тестування на проникнення 
Тест на проникнення, який також називають пен-тестом пера або етичним 
хакерством - це техніка кібербезпеки, яку організації та підприємства 
використовують для виявлення, перевірки та виділення вразливостей у своїй 
системі безпеки. Ці тести на проникнення часто проводять етичні хакери. В 
якості таких «етичних» факторів виступають штатні співробітники або 
співробітники третіх сторін, які імітують стратегії та дії потенційних 
зловмисникі. Метою таких атак є оцінка можливості зламу комп’ютерних 
систем, мереж або веб-додатків організації, які функціонують в ІС підприємства. 
Підприємства також можуть використовувати пен-тести для того, щоб оцінити 
дотримання правил інформаційної безпеки на тому чи іншому підприємстві чи 
організації. 
Процес пен-тестування вважається проактивним заходом кібербезпеки, 
оскільки такий тест передбачає послідовне самоініцінювання вдосконалення на 
8 
 
основі звітів, які створює даний тест. Пен-тестування відрізняється від 
непроактивних підходів до тестів, які не виправляють недоліки, які виникають в 
процесі тестування. Наприклад, при застосуванні непроактивного підходу до 
кібербезпеки передбачалося б, що компанія оновлювює свій брандмауер тільки 
після того, як виток даних був зафіксований. Метою профілактичних заходів, 
таких як пен-тестування, є мінімізація кількості ретроактивних оновлень і 
підвищення ступеня безпеки організації. 
Існує три основні стратегії пен-тестування, кожна з яких надає 
тестувальникам певний рівень інформації, необхідної для здійснення атаки: 
− Тестування методом білої скриньки надає зловмиснику всі 
подробиці про систему організації чи цільову мережу та перевіряє код і 
внутрішню структуру ІС, що тестується. Тестування методом білої скриньки 
також відоме як тестування «прозорого» ящика, прозорого або кодового 
тестування. 
− Тестування методом чорної скриньки – це тип поведінкового та 
функціонального тестування потенційної цілі, де зловмисникам не надається 
жодних відомостей про систему. Організації зазвичай наймають етичних хакерів 
для тестування методом «чорної скриньки», де здійснюється атака в реальному 
режимі, щоб отримати уявлення про вразливі місця інформаційної системи. 
− Тестування методом сірого ящика – це комбінація методів 
тестування «білого» та «чорного» ящика. Він надає зловмиснику часткові дані 
про систему, такі як облікові дані низького рівня, логічні блок-схеми та карти 
топології мережі. Основна ідея тестування методом «сірого» ящика полягає в 
тому, щоб знайти потенційні проблеми з кодом і функціональністю ІС. 
Перевірку вразливостей цілі атаки при використанні методу пен-
тестування можна розділити на такі шість етапів: 
1. Розвідка і планування. 
2. Сканування. 
3. Отримання початкової інформації. 
4. Ведення доступу. 
9 
 
5. Аналіз. 
6. Очищення та відновлення. 
Вся процедура здійснення тестів на проникнення умовно складається з 
шести базових кроків (рис): 
1. Підготовка 
2. Побудова плану нападу 
3. Підбір команди для атаки 
4. Визначення типу даних для компроментації і викрадення. 
5. Виконання тесту. 
6. Узагальнення результатів атаки. 
 
Рис.1.1 -7 кроків проведення пен-тестування 
 
За результатами проведених тестів можна виначити певний перелік загроз 
для інформаційної системи. 
 
 
 
10 
 
1.2  Кіберзагрози для мережевих ресурсів інформаційних систем  
 
Всі існуючи кіберзагрози для інформаційного мережевого трафіку модна 
умовно поділити на групи: 
- технічні; 
- соціальна інженерія. 
При цьому ризиків для інформації в середині ІС може бути доволі багато. 
Якщо припустити, що основним ризиком для інформації даного підприємства є 
знищення або підміна інформації на web-сайті або спроби несанкціонованого 
отримання доступу до інформації, що циркулює в середовищі компютерної 
мережі підприємства, то це означає, що саме така інформація має цінність для 
зловмисника. Можна припустити, що практично вся інформація в сучасних ІС 
зберігається в електронному вигляді в корпоративній мережі підприємства. 
Успішна реалізація спроб НСД часто приводить до зміни цілісності інформації 
на офіційному сайті. Такі діє часто ведуть до повного блокування його роботи. 
Втрата конфіденційності інформації типу конфіденційної або персональних 
даних, яка знаходиться на ПК в мережі підприємства, також негативно впливає 
на роботу. Заподіяні наслідки приводять до втрати ділової репутації, зниження 
довіри до партнерів, фінансових та репутаційних втрат, а в результаті – до 
економічних збитків. 
З огляду на наведене вище, можна створити певний орієнтовний перелік 
моделей порушника кібербезпеки. Такі моделі допомогають аналітику з 
кібербезпеки зрозуміти характер та мету потенційних спроб НСД до ІС, 
передбачати їх періодичність, ступінь загроз та встановити приблизну 
кваліфікацію зловмисників. Орієнтуючись на отриману модель стає набагато 
простіше сформувати підходи до побудови та налаштування системи захисту 
мережевих ресурсів інформаційних систем від негативних кібернетичних 
впливів. 
 
11 
 
1.3  Моделі порушників кібербезпеки 
 
Для побудови моделей порушника кібербезпеки можна скористатися 
рекомендаціями, наведеними в [1-5]. 
Відповідно до рекомендацій НД ТЗІ 1.1-003-99 [7] під моделлю порушника 
(user violator model) розуміють абстрактний формалізований або 
неформалізований опис можливого порушника кібербезпеки. 
При формуванні моделіпорушника класичним способом можна керуватися 
документом, представленим в  [7]. При розробці такої моделі розділемо три 
підмножини загроз: 1) загрози в межах підприємства; 2) загрози окремим 
підрозділам підрозділам, які у випадку їх успішної реалізації зловмисником 
можуть поширитися за межі підрозділу; 3) загрози лініям та крмунікаціям між 
окремими підрозділами. 
Далі керуватимемся тим фактом, що порушник в системі можливий тільки 
зовнішнього типу (мережева атака відбувається із зовнішнього сегменту мережі, 
web-сайту на сервері), а основними засобами впливу з боку зовнішнього 
порушника виступають мережеві атаки різного типу з проходженням пакетів 
даних по телекомунікаційним протоколам та портам даної комп’ютерної мережі. 
В результаті аналізу потенційних негативних кібернетичних загроз можна 
отримати дві основні моделі порушника, які можуть бути максимально 
характерними для даної ІС: хакер-одинак та конкуренти (таблиця 1.1). 
 
Таблиця 1.1 Характеристика моделі ймовірних порушників кібербезпеки  
Характеристика Хакер-одинак Конкуренти 
Обчислювальна потужність Персональний комп’ютер Потужна локальна 
технічних засобів атак або планшет обчислювальна мережа 
Виділені канали з високою 
Вид доступу до інтернету, Локальна обчислювальна 
пропускною здатністю 
тип каналів доступу/зв‘язку мережа, wi-fi, 4G тощо 
трафіку 
Фінансові можливості 
Обмежені Великі можливості 
порушника 
12 
 
Рівень знань порушника в Високий, фаховий, 
Нефаховий, аматорський 
галузі IT спеціалізований 
Сучасні технології та 
Готове ПЗ, слабке 
Технології, що методи проникнення до ІС, 
уявлення та припущення 
використовуються для атак впливу на потоки даних в 
про вразливості ІС 
ІС проникнення 
Докладає значних зусиль 
для отримання інформації 
Знання порушника про про принципи 
Поверхневі знання про 
побудову системи захисту функціонування системи 
побудову конкретної ІС 
об'єкта захисту ІС, впроваджує 
представника жо служби 
безпеки 
Блокує функціонування 
системи, змінює 
Мета шкідливого впливу або Експеримент, самоціль, 
інформацію в ІС, надсилає 
НСД власне самоствердження 
неправдиву інформацію від 
чужого імені 
Непублічний, Прихований  та відкрито 
Характер дій порушника 
прихований демонстративний 
Фіксується зупинення 
Глибина проникнення Намагається отримати 
спроб НСД після першого 
порушника повний контроль над ІС 
успішного впливу 
 
При проектуванні систем захисту від негативних кібернетичних впливів 
необхідно врахувати важливість своєчасного оновлення операційних систем, 
критичного ПЗ. Це пов‘язано з тим, що середній термін існування найбільш 
застарілих невстановлених оновлень критичного ПЗ корпоративних мереж (ОС, 
антивірусне ПЗ тощо) становить більше 4 місяців. Тобто, в умовах стрімкого 
збільення кількості кіберінцидентів це значний термін, який прямо впливає на 
безпеку інформації. 
  
1.4 Різновиди збору інформацію про системи 
 
Збір та аналіз інформації, корекція обраних способі проникнення до ІС 
можуть повторюватися неодноразово. Першечерговий збір інформації ж 
ключовим елементом проведення успішного і коректного пен-тесту. Від того, 
13 
 
наскільки чітко і акуратно він був здійснений, може залежати, як ефективність 
тесту на проникнення загалом, так і ефективність відпрацювання окремих 
векторів атаки (соціальна інженерія, атаки методом «грубої» сили, атака на web-
додатки тощо).  
Існує три основні способи збору інформації: 
-  Пасивний збір інформації про об’єкт 
 1.4.1 Пасивний збір інформації - цей вид збирання, який використовують для 
отримання інформації про ціль, не маючи фізичного контакту або доступу до 
конкретної інформаційної системи. Такий спосіб передбачає, що зловмисник 
використовує інші джерела для збору інформації, ніж традиційні. Такий спосіб 
допомагає дізнатися про об’єкт ІС підприємства багато корисного: ip-адреси, 
домени та під-домени, розміщення серверів, хостингу тощо. 
 Щоб скористатися пасивним способом збирання інформації досить 
володіти декількома простими командами. Ці команди найчастіше реалізуються 
з ПК зловмисника під керуванням ОС Linux, збірки Kali: 
- whois. Це сервіс, який дозволяє дізнатися детальну інформацію про 
власника домену. У ОС Linux цю команду можна вводити в терміналі. 
- dig. Утиліта надає можливість дізнатися про домен найповнішу 
інформацію, наприклад, IP - адресу, яка прив'язана до даного доменного імені та 
ще ряд корисних для адміністратора ІС параметрів. 
- nslookup. Дана команда дозволяє отримати інформацію за вказаним 
доменом або IP адресою. 
- ping. Команда служить для того, щоб дізнатися, чи існує зв'язок з 
віддаленим вузлом мережі з використанням протоколу ICMP (Internet Control 
Message Protocol).  
Перелічені вище команди допомагають отримати первинну інформацію 
про цільову систему, яка піддається тесту надалі. 
Команда Whois при аудиті інформаційного ресурсу може надати дуже 
багато інформації, але слід акцентуватися лише на основній. 
14 
 
  1.4.2 Активний збір інформації 
Суть активного збору інформації полягає у реалізації логічного з'єднання 
аналітика з ціллю атаки безпосередньо. Така техніка дає можливість перейти на 
новий рівень отримання інформації про об’єкт атаки. До даної тактики можна 
віднести сканування портів. Цей метод активно використовується динамічного 
сканування. Тут важливо концентрувати увагу на збиранні інформації про 
відкриті порти, доступні служби тощо. 
Активний збір інформації передбачає відправлення вузлу (сервісу, службі) 
деяких запитів та їх обробку. Прикладом подібних запитів можуть бути, 
наприклад, запити до DNS сервера на перенесення зони, яка ним обслуговується. 
Подібні дії здебільшого фіксуються в log-файлах (журналах) і можуть бути 
проаналізовані системами виявлення вторгнень (IDS) та відповідальними 
особами (адміністраторами, співробітниками служби інформаційної безпеки)? як 
у режимі реального часу, так і в інший зручний час. По суті, використання 
сканерів уразливостей (безпеки) також є одним із способів здійснення активного 
збору інформації. Часто, такі сканери базуються на утиліті nmap. 
При спробі проникнення з усіх зібраних даних відбираються найбільш 
оптимальні шляхи для проведення успішної атаки за максимально короткий 
проміжок часу щодо об'єктів дослідження.  
1.4.3 Технологія проведення атак методом чорної скриньки. 
Тестер використовує будь-які інструменти, які він має у власному 
розпорядженні: набори публічних експлоїтів (Metasploit, Canvas, etc.), стандартні 
програм і утиліт (telnet, браузер, etc.), плагіни для браузерів тощо. Після 
успішного отримання початкової інформації про систему, атакуючий діє вже за 
методом сірої скиньки - знову збирає та аналізує інформацію, тільки вже в 
межах системи, яку вдалося зламати. 
Для прикладу, можна привести пен-тест, проведений аналітиком з 
кібербезпеки для комерційного підприємства з кількістю співробітників до 500 
осіб. Для такої організації проведення повного пен-тестування може зайняти 
приблизно 5 робочих днів. Приклад зібраної в результаті інформації включає такі 
дані: 
15 
 
- неформальні взаємини співробітників в компанії. 
- тестові сервіси для партнерів (Web-додатки на нестандартних 
портах, VPN-сервер); 
- облікові записи ivan, i_dovgan, ivan.dovgan тощо; 
В результаті складено список можливих паролів (наприклад: назва 
компанії, доменні імена, корпоративні слогани та ін.) Зібрана інформація надалі 
дозволяє успішно провести атаку по всіх необхідних напрямках. 
Володіючи списком передбачуваних логінів і паролів можна провести 
атаку «грубої» сили Брутфорс і менш менш ніж за 15-20 хвилин отримати список 
всіх логінів, що використовуються в компанії і, як наслідок, надалв успішно 
компроментувати частину з цих облікових записів. 
Маючи уяву про працюючі "тестові" Web-додатки досить просто 
проведено їх сканування в режимі black-box. Цього достатньо, аби отримати 
низку вразливостей на них, які можна експлуатувати і згодом спуститися на 
рівень операційної системи. Проникнення у внутрішню мережу також не складу 
проблеми. Для цього достатньо спробувати авторизуватися під 
скомпрометованим раніше обліковим записом до VPN. Підбирати пароль 
повторно не завжди буде необхідністю для такої атаки, адже часто, 
співробітники використовують однакові паролі для доступу на декілька 
мережевих ресурсів. 
Далі можна використати технологію «троянської» програми, заздалегіть 
вкладеної у виконуваний файл типу макров Word, Excel тощо. Не складно знайти 
і відслідкувати контакти необхідного співробітника в соціальній мережі. Дал, 
знаючи хто і з ким неформально спілкується, віддправити підготовлений 
«троянський лист «від подруги» до «друга» з таким прикріпленим до нього 
«троянським» виконуваним файлом, що не викличе найменшої підозри. 
Відкриття даного листа на ПК може мати абсолютно різні, але неприємні 
наслідки. 
 
16 
 
Наприклад, не виявивши при проведенні пен-тесту на проникнення 
методом black-box до Web-додатку на етапі сканування жодних більш-менш 
суттєвих вразливостей на стороні сервера часто можна помітити mod_rewrite. 
Така ситуація типова, адже більшість web-серверів працюють під Apachi. 
Модуль для веб-сервера Apache mod_rewrite — це для перетворення URL-адрес. 
Модуль використовує в своїй роботі правила, які можуть бути описані як у 
конфігурації сервера (httpd.conf), так і у .htaccess файлах безпосередньо у 
файловій структурі сайту. З чого зрозуміти, яким чином формуються запити до 
самого web-додатку, з використанням методики чорної скриньки, не є 
можливим. Однак, можна скористатися пошуковою машиною Google, в 
результаті внутрішня логіка програми з параметрами стає більш явною. 
Отримана інформація дозволяє виявити sql-injection і успішно отримати привілеї 
адміністратора досліджуваного Web-сайту. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
17 
 
2. ТЕХНОЛОГІЇ ЗАХИСТУ МЕРЕЖЕВИХ ІНФОРМАЦІЙНИХ 
РЕСУРСІВ ІНФОРМАЦІЙНИХ СИСТЕМ ВІД НЕГАТИВНИХ 
КІБЕРНЕТИЧНИХ ВПЛИВІВ 
 
2.1  Системи захисту мережевих ресурсів 
 
В залежності від того, яким чином необхідно захистити мережеві ресурси 
або, як та чи інша система має реагувати на кібервпливи, виділяють декілька 
типів систем захисту. Для захисту чи мінімізації дій зловмисників існують 
системи виявлення загроз (IDS) та системи попередження загроз (IPS) [8-10]. 
Для того, аби мати можливість блокувати загрози спроб НСД на 
мережевий трафік використовуються IPS – системи, IDS системи 
використовують для того, аби фіксувати спроби впливу на об’єкт захисту. Такі 
системи часто здатні класифікувати загрози, оповіщати адміністратора про 
кількість та тип загрози, але рішення про те, як саме реагувати на спробу НСД 
приємає адміністратор захисту ІС. 
 
2.1.1 Системи виявлення та оповіщення про загрози (вторгнення) (IDS) – 
це програма або апаратна система мережевої та компютерної безпеки, яка 
виявляє вторгнення або порушення безпеки і здатна їх автоматично 
класифікувати та сповіщати про них адміністратора. Будова та поведінка 
системи виявлення загроз (IDS) показана на рис.2.1. 
 
 
18 
 
 
 
Рис. 2.1 - будова та поведінка cистеми виявлення загроз (IDS) 
 
2.1.2 Система запобігання (блокування) вторгнень (IPS) це програмна або 
апаратна система мережевої та кібернетичної безпеки, яка виявляє вторгнення 
або порушення безпеки і автоматично захищає від них шляхом блокування 
шкідливого інформаційного трафіку. 
Системи IPS на практиці розглядаються, як розширення систем виявлення 
та оповіщення про вторгнення (IDS). І в IDS, і в IPS системах завдання 
відстеження атак залишається однаковим. Часто, при практичній реалізації 
просто розширюють готову IDS систему до рівня IPS. Однак, такі системи 
відрізняються в тій частині, що IPS - система повинна відстежувати активність в 
реальному часі і оперативно реалізовувати дії, щодо запобігання мережевих атак. 
Різниці в поведінці даних систем можна побачити на рис.2.2 [11]. 
 
19 
 
 
 
Рис.2.2 – Різниця в поведінці систем виявлення вторгнення (Intrusion 
Detection System) та системи запобігання вторгненням (IPS) 
 
 Системи виявлення/попередження загроз бувають таких видів: 
1) мережеві IPS (Network-based Intrusion Prevention, NIPS) -  
відстежують трафік в комп'ютерній мережі та блокують підозрілі потоки 
мережевого трафіку. 
2) IPS системи для бездротових мереж (Wireless Intrusion Prevention 
Systems, WIPS). Дані системи перевіряють потенційну мережеву активність в 
бездротових мережах. Вони здатні виявляти невірно зконфігуровані точки 
бездротового доступу до мережі, атаки типу MitM, спуфинг mac-адрес і т.д. 
3) Аналізатор поведінки в комп’ютерній мережі (Network Behavior 
Analysis, NBA). Таке ПЗ аналізує мережевий трафік та ідентифікує нетипові 
мережеві потоки, наприклад DoS або DDoS атаки. 
4) Персональні IPS (Host-based Intrusion Prevention, HIPS). Такі 
програми ждя ПК часто працюють в резидентному режимі. Вони здатні виявляти 
підозрілу активність на мережевому адаптері ПК. 
Використання систем виявлення та попередження мережевих вторгнень 
дозволяє заблокувати небажаний мережевий трафік за спеціальними правилами 
або визначити за характерними ознакам спроби НСД вже на рівні мережевих 
20 
 
пакетів і комунікаційних протоколів в рамках моделі OSI. Такі атаки, як правило, 
здійснюються особами з числа потенційних зловмисників за допомогою 
спеціалізованого ПЗ – мережевих сканерів. 
У зв‘язку з тим, що моніторинг спроб сканування мережевих портів можна 
виявити, проглядаючи системний журнал (log-файл), що вимагає великих 
часових і людських витрат (залежно від кількості фізичних серверів, сервісів, 
веб-вузлів) та з огляду на те, що аналіз та реагування на мережеві загрози вимагає 
відповідної кваліфікації та часу на прийняття рішень, то рекомендаційні 
документи посилаються на необхідність використання спеціальних детекторів 
атак [12-14]. 
 
2.2  Технології здійснення негативних кібернетичних впливів на мережеві 
ресурси інформаційних систем  
 
2.2.1 Атака посередника, або атака типу «людина посередині» (Man in the 
middle (MITM)) — вид атаки в комп'ютерній безпеці та пен-тестуванні, коли 
зловмисник таємно ретранслює та за необхідності змінює маршрутизацію між 
двома абонентами мереєі, які продовжують вважати, що вони безпосередньо 
спілкуються один з одним і далі. MiTM є методом компрометації каналу зв'язку, 
у якому зловмисник, підключившись до каналу зв‘язку між контрагентами, 
здійснює втручання у протокол передачі даних, видаляючи або спотворюючи 
інформацію. 
За статистикою, наведеної в [15] приблизно 95% HTTPS серверів мають 
MiTM вразливості, а приблизно в 35% випадків зловмисник експлуатують саме 
атаки MitM [16]. 
Одним із прикладів атак типу «людина посередині» є активне 
прослуховування, при якому зловмисник встановлює незалежні зв'язки з 
жертвами та маршрутизує через свій мережевий інтерфейс інформаційний 
трафік між обома сторонами. 
Для здійснення пен-тесту у вигляді MiTM атаки задіємо ПЗ Ettercap. 
21 
 
  Ettercap - це ПЗ для атаки типу "людина посередині" (MitM). Дане ПЗ може 
«прослуховувати» реальні мережеві з'єднання, фільтрувати он-лайн вміст 
переданих даних та містить багато інших додаткових інструментів. Він 
підтримує активне і пасивне розкриття багатьох протоколів і включає багато 
функцій для аналізу комп’ютерних мереж та хостів. 
Технологія даної атаки на прикладі ARP-спуфінга вигладає так: 
- вводимо команду ifconfig в термінал, щоб дізнатися про 
конфігурацію мережевих інтерфейсів для моніторингу (Рис.2.3).  
 
 
 
Рис. 2.3 - Отримання інформації про стан доступних мережевих 
інтерфейсів 
 
- запускаємо програму ettercap-graphical та обираємо необхідний 
мережевий інтерфейс (eth0). Відключаємо “Sniffing at startup” і тиснемо галочку 
у правому верхньому кутку (Рис.2.4).  
22 
 
 
Рис. 2.4 – запуск програми ettercap-graphical та вибір необхідного 
мережевого інтерфейсу (eth0) 
 
- натискаємо Host->Scanning for host, після чого бачимо результат 
сканування (Рис.2.5-2.6).  
 
 
 
Рис.2.5 – результат сканування під’єднань до мережевого інтерфейсу 
ПК зловмисника 
23 
 
 
Рис. 2.6 – формування списку доступних для аналізу з даного ПК 
хостів  
 
- переходимо до вкладки Host->Host list та додаємо всі мережеві 
пристрої командою Add to target 1 (Рис.2.7).  
 
Рис. 2.7 - MAC-адреси всіх учасників атаки 
 
- переходимо до вкладки Mitm->ARP poisoning. Натискаємо на 
галочку біля Sniff remote connections. Після чого натискаємо кнопку Start sniffing 
(Рис.2.8-2.9). 
24 
 
 
Рис. 2.8 – вибір методу мережевої атаки (ARP-spoofing) 
 
 
Рис. 2.9 – Вкладка для налаштування атак типу «Man-In-The-Middle» 
 
- після вибору типу MiTM атаки та мережевого інтерфейсу з’являється 
можливість безпосередньої ініціації атаки через ARP-spoofing. Даний процес 
показаний на рис.2.10. 
25 
 
 
Рис. 2.10 – Початок MITM-атаки 
 
- Відкриваємо вікно перегляду підключень до обраних хостів:  
Меню -> View -> Connections (Рис.2.11-2.12). 
 
 
Рис. 2.11 – вибір доступних для атаки хост-ПК 
 
- Після вибору об’єкта атаки можна побачити процес вибору та 
підмини MAC-адреси ПК жертви (рис.2.12). 
26 
 
 
Рис. 2.12 - процес вибору та підмини MAC-адреси ПК жертви 
 
- Не зупиняючи атаку, відкриваємо вікно сайту 
http://testphp.vulnweb.com/login.php та вводимо логін і пароль, імітуючи тим 
самом дії жертви  атаки (рис. 2.13). 
 
 
 
Рис. 2.13 – Введення логіну та паролю (імітації дій жертви атаки) 
 
- У вікні програми бачимо, що здійснено перехоплення введеного 
логіну та паролю (Рис.2.14).  
27 
 
 
 
Рис. 2.14 - Перехоплені конфіденційні дані авторизації жертви атаки 
 
Як видно, в результаті вдало проведеної атаки були перехоплені 
конфіденційні дані авторизації жертви атаки. Дані вдалось перехопити через 
незахищене з’єднання (http-протокол) та тому що у зловмисника існує доступ до 
даної локальної мережі (такий доступ часто не регламентують в умовах 
підприємств та корпорацій).  
Показаний приклад один з небагатьох, який показує необхідність та 
важливість створнння адекватної системи захисту мережевих ресурсів. 
 
2.3  Сканери мережевих вразливостей  
 
Сканери мережевих портів – улюблений інструмент не тільки спеціаліста 
з пен-тестування, але й хакерів, зловмисників тощо [18]. Nmap - це утиліта, яка 
призначена для різнопланового сканування IP-мереж з різними параметрами 
налаштувань [19]. Дана програма може працювати будь-якою кількістю об'єктів 
у системі, визначати стан об'єктів сканованої мережі (портів і відповідних їм 
служб та сервісів). Програма існує для практично всіх платформ ОС. Nmap 
використовує безліч різних методів сканування, таких як UDP, TCP (connect), 
28 
 
TCP SYN (напіввідкрите), FTP-proxy (прорив через ftp), Reverse-ident, ICMP 
(ping), FIN, ACK, Xmas tree, SYN- та NULL-сканування. 
Nmap також підтримує великий набір додаткових можливостей, а саме: 
визначення операційної системи віддаленого хоста з використанням відбитків 
стека TCP/IP, «невидиме» сканування, динамічне обчислення часу затримки та 
повтор передачі мережевих пакетів, паралельне сканування, визначення 
неактивних хостів методом паралельного ping-сканування з використанням 
хибних хостів, визначення наявності пакетних фільтрів, пряме (без використання 
portmapper) RPC-сканування, сканування з використанням IP-фрагментації, 
швидкий пошук вразливостей типу SQL Injection, а також довільна вказівка IP-
адрес і номерів портів мереж, що скануються. В останніх версіях додано 
можливість написання довільних сценаріїв (скриптів) мовою програмування Lua. 
Агрумент TCP connect [-sT]  утиліти nmap є наибільш простим і загальним 
типом сканування. Результати використання утиліти nmap з даним аргументом 
наведені нижче: 
 
nmap -sT -p1–20 test.net 
[*] exec: nmap -sT -p1–20 test.net 
Starting Nmap 7.60 ( https://nmap.org ) at 2018–02–16 14:55 EET 
Nmap scan report for test.net (193.239.68.38) 
Host is up (0.020s latency). 
rDNS record for 193.239.68.38: www.test.net 
PORT STATE SERVICE 
1/tcp filtered tcpmux 
2/tcp filtered compressnet 
Nmap done: 1 IP address (1 host up) scanned in 1.61 seconds 
  
Як видно з наведеного вище, в команду nmap було передано параметр -sT, 
який виконує TCP connect сканування, а параметр -p задає діапазон портів, які 
слід просканувати. 
  
29 
 
Параметр SYN scan [-sS] — вважається невидимим типом сканування, адже 
він не передбачає встановлення повного підключення або зв'язку між об'єктом 
сканування (жертвою) та сканером(зловмисником). Такий тип сканування 
називають "напіввідкритим" скануванням. Приклад результатів такого 
сканування можна побачити нижче: 
 
nmap -sS test.net 
[*] exec: nmap -sS test.net 
Starting Nmap 7.60 ( https://nmap.org ) at 2018–02–16 15:04 EET 
Nmap scan report for test.net (193.239.68.38) 
Host is up (0.020s latency). 
rDNS record for 193.239.68.38: www.test.net 
Not shown: 999 filtered ports 
PORT STATE SERVICE 
80/tcp open http 
Nmap done: 1 IP address (1 host up) scanned in 5.01 seconds 
 
 Параметр -sS вказує nmap на використовувати використання режиму SYN 
сканування. Результати вводу мережевої інформації з параметрами TCP connect 
та SYN scan здебільшого схожі. Різниця полягає лише в тому, що режим роботи 
nmap з параметром SYN scan важко виявити міжмережевими екранама та IDS - 
системами. Сучасні фаєрволи їх виявляють. 
Режим ACK scan [-sA] — спеціальний режим сканування мережі, який 
надає інформацію про те, які порти мають фільтруються фаєрволом, а які ні. 
Параметр ACK scan відправляє TCP ACK кадри на віддалений порт. Якщо 
відповіді не було, то порт сканується фаєрволом. Однак, якщо об’єкт атаки 
повернув RST пакет (connection reset  — скидання з'єднання), то порт 
фільтруватися не буде: 
 
nmap -sS test.net 
[*] exec: nmap -sA test.net 
30 
 
Starting Nmap 5.51SVN ( http://nmap.org ) at 2018–02–16 15:19 EET 
Nmap scan report for 192.168.56.102 
Host is up (0.0011s latency). 
Not shown: 999 filtered ports 
9001/tcp unfiltered  tor-orport 
  
Для визначення типу ОС на цільовому об’єкті майбутньої атаки nmap має 
деякі додаткові можливості, окрім сканування портів. Коректна інформація про 
ОС жертви допомагає отримати більше інформації про ціль атаки. Одним з 
найбільш широко використовуваних параметрів команди nmap для визначення 
типу операційної системи є аршумент -O: 
nmap -O test.net  
[*] exec: nmap -O test.net  
Starting Nmap 5.51SVN ( http://nmap.org ) at 2018–02–16 15:19 EET 
Nmap scan report for test.net  
Host is up (0.0014s latency).  
MAC Address: 08:00:27:34:A8:87 (Cadmus Computer Systems)  
Device type: general purpose 
Running: Microsoft Windows XP 
  
2.4  Засоби соціальної інженерії, як негативний кібернетичних впливів на 
мережеві ресурси інформаційних систем  
 
Соціальна інженерія - ця техніка, яка дещо нагадує пасивний збір 
інформації, але при цьому спирається на людський фактор. Основу даної тактики 
складає «полювання» на роздруківки даних, перехоплення телефонних дзвінків, 
використання банальної неуважності співробітників або маніпулювання 
людськими слабкостями співробітниками тієї структури, яка планується бути 
жертвою мережевих спроб кібернетичного впливу. Наприклад, хакер може 
зареєструвати домен схожий на цільовий і розсилати від імені реальних 
співробітників, служб підтримки, адміністративного персоналу підприємства чи 
31 
 
організації повідомлення, що пропонують або, навіть, примушують перейдіть за 
певними посиланням. Інколи, такі повідомлення містять посилання на введення 
конфіденційних службових даних: логіну або паролю тощо. Відповідно до 
статистичних даних, наведених CS Hub в [19] в 2022 році атаки на ІС за типом 
«соціальна інженерія» є «найнебезпечнішою» загрозою на думку 75% 
спеціалістів з кібербезпеки. За даними авторитетного джерела [19] в 2020 році 
65% відсотків бізнесу в США стали жертвами фішингових атак (один з видів атак 
«соціальна інженерія»). Згідно зі звітом Cisco про тенденції загроз кібербезпеці 
за 2021 рік, на фішингові атаки припадає 90% витоків даних [19]. 
Актуальна статистика фішингових атак засобами «соціальної інженерії» на 
елементи інформаційної інфраструктури в період з квітня 2021 по березень 2022 
року наведена на рис.2.15. 
 
 
Рис.2.15 – статистика фішингових атак засобами «соціальної 
інженерії» на елементи інформаційної інфраструктури в період з квітня 
2021 по березень 2022 року [20] 
 
Єдиним ефективним методом захисту від атак типу «соціальна інженерія» є 
психологічна протидія, планування та активна реалізації ефективного 
організаційного захисту інформації. 
32 
 
3. СИСТЕМА ЗАХИСТУ МЕРЕЖЕВИХ РЕСУРСІВ 
ІНФОРМАЦІЙНИХ СИСТЕМ ВІД НЕГАТИВНИХ 
КІБЕРНЕТИЧНИХ ВПЛИВІВ 
 
 
3.1  Топологія та склад інформаційних комп‘ютерних сервісів модельного 
підприємства. 
 
На рис.3.2 наведено топологію комп‘ютерної мережі інформаційної 
системи тестового підприємства. Компютерна мережа має WAN-сегмент, 2 
сегменти локальної комп‘ютерної мережі: LAN-1 та LAN-2 та демілітарізовану 
зону DMZ, в якій знаходиться web-сервер та TPoT (колекція різних ханіпотів - 
приманок, пасток для зловмисника, метою яких є примусити його повірити у 
легітимність сервісів, які імітує даний ханіпіт). 
DMZ сегмент відокремлений від потенційного незахищеного WAN-
сегменту міжмережевим екраном FW-1, а від двох сегментів ЛОМ підприємства 
- міжмережевим екраном FW-2. На фаєрволі FW-2 встановлена IDS/IPS система 
Suricata. Для атак методом пен-тестування будемо використовувати ПК під 
керуванням ОС Kali Linux. Дана робоча станція фізично розташована в сегменті 
ЛОМ LAN-1. 
 
 
Рис. 3.2 – топологія інформаційної системи тестового підприємства 
33 
 
 
 Наведена на рис.3.2 топологоія ІС тестового підприємства не має 
реального прототипа. Але, системи схожої конфігурації характерні для 
аутосорінгових компаній взагалі. Показаний на рис.3.2 сегмент мережі LAN-1 
оснащений стаціонарними «тонкими» клієнтами для адміністрації та служб 
технічної підтримки. Сегмент LAN-2 містить в своєму складі стаціонарний ПК 
“ELK”, який використовується в якості файл-сервера та використовується 
системою управління версіями розробленого ПЗ та дисковим RAID-сховищем 
для розгортання віртуальних контейнерів створеного ПЗ фахівцями Dev-Ops, а 
Switch LAN-2 даного сегменту оснащений певною кількістю Wi-Fi інтерфейсів 
та використовується для підключення і роботи фахівців компанії з переносних 
ПК. 
 
3.2  Інформаційні комп’ютерні технології перешкоджання атакам на 
внутрішню структуру мережі 
 
3.2.1 ДМЗ для перешкоджання спробам НСД 
 
В структурі комп’ютерної мережі підприємства передбачена 
деиілітарізована зона DMZ з маршрутом мережевого комутатора сегмента 
Switch-DMZ з адресою 176.16.12.0/24 (рис.3.3). 
 
 
Рис.3.3 - зовнішні підключення та демілітарізована зона комп’ютерної 
мережі модельного підприємства 
 
34 
 
 Демілітарізовна зона DMZ відділяється від потенціно небезпеченого 
середовища Internet (WAN на рис.3.3) міжмережевим екраном FW-1. На даному 
екрані здійснено блокування потенційно небезпечних портів, окрім портів 443, 
4443, 8080, 80 для мінімізації пливу кіберзагроз ззовні. В даній демілітарізованій 
зоні знаходиться корпоративний web-сервер та колеції TPoT. Колекція «принад» 
для потенційного зловмисника, зосереджена в TPoT має на меті зацікавити 
зловмисника спокусливими, але практично не функціонуючими в складі 
комп’ютерної мережі штучно створеними web-сервісами, на зразок e-mail, file-
серверами, web-серверами тощо. Всі ці мережі штучно створені web-сервіси 
мають спеціально створені для потенційного зловмисника вразливості у вигляді 
незакритих портів, «легких паролів» тощо. Даний «рубіж» оброни має зупинити 
зловмисника і дає час на його викриття і нейтралізацію. Додатковим захисним 
бар’єром в системі для потенційного кіберзлочинця є використання технології 
NAT, яка реаліується в сегментів DMZ. NAT дозволяє всім клієнтом, яка 
знаходяться в межах даної технології заходити до зовнішньої мережі за 
однаковою динамічної IP-адресою, що дає змогу приховати від пен-
тестувальника, або від кіберзлочинця реальну топологію та маршрутизаію даної 
мережі.  
 
3.2.2 Засоби перешкоджання атакам arp-spoofing типу MiTM 
Як було досліджено в п.2.2 розділу 2, в інформаційної системи тестового 
підприємства існують вразливості web-сервіса, які дають змогу провесту MiTH 
атаку методом arp-spoofing. Для нивілювання таких спроб можна використати 
дла методи захисту: 
1. Змінити комунікаційний на https (приклад вхожу на web-сайт, що має 
цей протокол)  (рис. 3.4).   Для цього слід замовити і встановити відповідний ssl-
сертифікат або використовувати захищений ssh-протокол. 
 
35 
 
 
Рис.3.4 – Метод 1 для перешкоджання атаці 
 
2. Також можна використати VPN-з’єднання на ПК жертви. Він змінить          
IP-адресу жертви, що дасть їй залишитися анонімною і непоміченою 
зловмисником (рис. 3.5). 
 
 
 
Рис. 3.5 – Метод 2 для перешкоджання атаці  
 
 
36 
 
3.3  Впровадження системи протидії вторгнень 
 
Як було показано в розділі 2, найбільш поширеними загрозами для 
інформаційних ресурсів організації можуть бути: 
- атаки на мережеві протоколи, які спрямовані на створення умов 
недоступності інформаційних ресурсів (web-серверів, серверыв додаткыв, 
сервісів електронної пошти і т.д.), тобто, атаки класу DoS та DDoS; 
- атаки для компрометації інформаційних ресурсів та ескалація 
привілеїв прав в системі, як з боку інсайдерів, так і з боку зовнішніх 
зловмисників. Проводяться, як з метою використання ресурсів даної ІС, так і з 
метою нанесення шкоди; 
- навмисні дії, які реалізуються шкідливим програмним кодом (віруси, 
мережеві хробаки, троянські програми, програми-шпигуни тощо); 
- витоки конфіденційної інформації та викрадення даних, як через 
існуючу компютерну мережу (e-mail, FTP, web і т.д.), так і через зовнішні носії 
інформації; 
- різноманітні мережеві атаки на додатки. 
Реалізація захисту периметра інформаційної системи є обов’язковим 
елементом побудови системи захисту інформаційної безпеки підприємства чи 
організації від спроб НСД. 
Для мінімізації загроз інформаційній безпеці необхідне впровадження 
багаторівневої системи захисту інформації. Першим рівнем забезпечення 
інформаційної безпеки, яка блокує несанкціонований доступ хакерів в 
корпоративну мережу, є міжмережевий екран. 
Система запобігання вторгненням (Intrusion Prevention System) — це 
програмна або апаратна система мережевої та комп'ютерної безпеки, яка виявляє 
вторгнення або порушення безпеки та має змогу автоматичного захисту. 
Системи IPS можна розглядати, як розширення систем виявлення вторгнень 
(IDS), оскільки завдання по відстеженню атак в обох цих системах залишається 
однаковими. Однак, IPS та IDS системи відрізняються в тому, що IPS –система 
37 
 
повинна відстежувати активність у реальному режимі часу та швидко 
реалізовувати дії щодо запобігання атакам.  Можливі заходи щодо запобіганню 
вторгенням можуть бути наступними: блокування потоків трафіку в мережі; 
скидання з'єднань, видача попереджувальних сигналів оператору. Також IPS 
системи здатні виконувати дефрагментацію мережевих пакетів, 
перевпорядкування пакетів TCP для забезпечення захисту мережі від пакетів зі 
зміненими значеннями SEQ та ACK номерами [21]. 
Для реагування на спроби атак «прослуховування» мережевого трафіку, 
підміна змісту мережевих пакетів того є ПЗ Suricata. Дана система є open source 
IPS/IDS системою. Створена дана система розробниками, які працювали над IPS 
версією подібної ж системи Snort. Основна відмінність Suricata від Snort - 
можливість використання GPU в режимі IDS та більш просунута система IPS, 
багатозадачність, висока продуктивність, що дозволяє обробляти потік 
мережевого трафіку зі швидкістю до 10Gbit/s на типовому апаратному 
забезпеченні, повна підтримка формату правил Snort [22].  
В Suricata використовуються два режими роботи IPS: NFQ і AF_PACKET 
NFQ IPS працює наступним чином: 
1) Мережевий пакет потрапляє на обробку до стандартного інтерфейсу 
управління роботою міжмережевого екрану (брандмауера) netfilteriptables Linux. 
2) Правило міжмережевого екрану iptables направляє його до черги 
NFQUEUE, наприклад: iptables -I INPUT -p tcp -j NFQUEUE 
3) З черги NFQUEUE пакети можуть оброблятися на рівні користовуча, що 
і  реалізується в Suricata. 
4) Suricata оброблює мережеві пакети по налаштованим правилам (rules) 
та, в залежності від них може винести один з трьох вердиктів: NF_ACCEPT, 
NF_DROP або ж — NF_REPEAT. 
5) Мережеві пакети, які потрапляють в NF_REPEAT, можуть бути 
промарковані в системі, та направлені знову в початок поточної таблиці iptables, 
що надає великого потенціалу для впливу на подальшу перспективу пакетів за 
допомогою правил iptables. 
38 
 
Починаючи з версії 1.4, Suricata отримала можливість працювати в якості 
повноцінної IPS системи, використовуючи zero copy режим системи 
AF_PACKET, але з невеликими обмеженнями. 
IPS Suricata в нормальному режимі повинна працювати в якості шлюзу з 
двома мережевими інтерфейсами. Якщо мережевий пакет потрапляє під правило 
типу DROP, то він просто не відправляється на інший мережевий інтерфейс. 
Переваги режиму zero copy полягають у швидкості обробки пакетів, що, 
безперечно підвищує продуктивність роботи не тільки системи захисту 
інформації, а всієї ІС підприємства вцілому. 
 
3.3.1 Розгортання системи протидії 
Встановлення ПЗ Suricata практикується на сервер, який забезпечує захист 
периметру мережі або її сегменту в межах підприємства.  
   Встановити його за відсутності можна з або з пакету. Встановимо дане ПЗ 
з репозиторію (рис.3.6) за допомогою команд: 
 
apt-get install software-properties-common 
add-apt-repository ppa:oisf/suricata-stable 
39 
 
 
Рис.3.6 – Встановлення ПЗ Suricata 
 
 Команда для встановлення вигладає так (рис.3.7). 
 
Рис.3.7 – команда для встановлення ПЗ Suricata 
 
Далі оновлюємо список пакетів для уникнення проблем з розпізнаванням 
конфігурації репозитарію (рис.3.8).  
 
 
Рис.3.8 – оновлення списку пакетів ОС Linux 
 
Встановлюємо ПЗ Suricata (рис.3.9). 
 
 
Рис.3.9 – команда інсталяція ПЗ Suricata в Linux 
 
3.3.2 Налаштування встановленої системи 
  
40 
 
Для того, щоб активувати захист встановленої IPS системи дозволяємо 
автозапуск даного сервісу-демону ОС Linux (рис.3.10). 
 
Рис.3.10 – автозапуск сервісу-демону Suricata в ОС Linux  
 
Підготовка до збірки зборки всіх пакетів і баз сигнатур реагування Suricata 
є важливим етапом супроводу життєвого циклу даного ПЗ. Для цього 
встановлюємо необхідні для збірки пакети (рис.3.11). 
 
 
Рис. 3.11 - підготовка до збірки зборки всіх пакетів і баз сигнатур 
реагування Suricata 
 
Після скачування архіву зборок всіх пакетів і баз сигнатур реагування 
Suricata на сервер розпаковуємо його (рис.3.12). 
 
 
Рис. 3.12 – розпаковка архіву зборок всіх пакетів і баз сигнатур реагування 
Suricata на сервер 
 
Переходимо у каталог архіву з якого починаємо зборку та встановлення 
IDS-частини ПЗ Suricata (рис.3.13) 
 
Рис. 3.13 - збірка та встановлення IDS-частини ПЗ Suricata 
 
Після конфігурування збираємо пакет для подальшого розгортання 
цілісної IDS/IPS системи на базі ПЗ Suricata (рис.3.14). 
41 
 
 
Рис.3.14 – збирання пакету для подальшого розгортання цілісної IDS/IPS 
системи на базі ПЗ Suricata 
 
Зібраний пакет цілісної IDS/IPS – системи встановлюємо, збираємо і 
встановлюємо конфігураційні файли (рис.3.15). 
 
 
Рис.3.15 – збірка і встановлення конфігураційних файлів 
 
Для установки та оновлення suricata ставимо пакети (рис.3.16). 
 
Рис.3.16 – встановлення пакетів для оновлення Suricata 
42 
 
 
Для повного завершення встановлення, створимо конфігураційний файл 
програми за замовчуванням і сервіс для автозапуску (рис.3.17). 
 
 
Рис.3.17 – створення конфігураційного файлу програми за замовчуванням і 
сервісу для автозапуску 
 
У створеному кофігураційному файлі налаштуємо наступні параметри 
запуску, функціонування та мережевої адресації (рис.3.18). 
 
 
рис.3.18 – налаштування у кофігураційному файлі параметрів запуску, 
функціонування та мережевої адресації 
 
43 
 
Завантажуємо скріпт автозапуску IDS/IPS системи командою, показаною 
на рис.3.19.  
 
Рис.3.19 – завантаження скріпта автозапуску IDS/IPS системи 
 
Після створення дозволу на запуск ініціалізаційного файлу дозволяємо 
автозапуск ПЗ Suricata та стартуємо його базовий сервіс (рис.3.20). 
 
 
Рис.3.20 - автозапуск ПЗ Suricata та старт його базового сервісу 
 
До базових налаштувань IDS/IPS системи відноситься вкрай бажаний 
режим оновлення правил реагування на мережеві загрози. Для цього вводимо 
команду, наведену на рис.3.21. 
 
Рис.3.21 – оновлення правил реагування на мережеві загрози 
 
Оновлюємо індекс джерела правил безпеки в ПЗ Suricata показано на 
рис.3.22. 
 
Рис.3.22 - оновлення індексу джерела правил безпеки в ПЗ Suricata 
 
44 
 
Налаштування робочого мережевого інтерфейсу необхідні для коректної 
роботи всіх серісів захисту IDS/IPS. Перш за все відкриваємо конфігураційний 
файл за замовченням та зміняємо налаштування робочого інтерфейсу на 
IFACE=ens32 (рис.3.23). 
 
 
 
Рис.3.23 – налаштування робочих мережевих інтерфейсів  
 
Далі у налаштуваннях користувача (файл suricata.yaml) слід змінити 
параметри правил обробки пакетів на вхідному мережевому інтерфейсі  IDS/IPS 
системи Suricata (рис.3.24). 
 
45 
 
 
 
 
Рис.3.24 - зміна параметрів правил обробки пакетів на вхідному 
мережевому інтерфейсі Suricata 
 
Після зміни правил фільтрації слід перезапустити систему IDS командою: 
systemctl restart suricata. 
 Таким чином, система захисту мережевих ресурсів від негативних 
кібернетичних впливів налаштована і можна перейти до її тестування. Для цього 
запускаємо метасплойт. 
 
3.3.3 Аудит системи протидії вторгнення на основі інструменту Metasploit 
Framework 
Metasploit Framework — найпотужніший інструмент, який можуть 
використовувати як кіберзлочинці, так і «білі хакери», фахівці з проникнення для 
дослідження вразливостей у мережах та серверах під час аудиту безпеки 
інформаційних систем підприємств та організацій. Оскільки даний фреймворк 
має відкритий вихідний код, то його можна легко налаштувати та 
використовувати для роботи в середовищі більшості існуючих ОС. 
За допомогою засобів фреймворку Metasploit пен-тестер може 
використовувати готовий або створити на його базі власний код користувача і 
впроваджувати його в мережу для пошуку слабких місць безпеки. В якості ще 
одного способу пошуку загроз, після проведення ідентифікації та 
документування виявлених недоліків в безпеці, цю інформацію можна 
46 
 
використовувати для усунення системних недоліків та визначення 
пріоритетності рішень), або ж для наступної атаки. 
Запуск метасплойту для тестування вразливості мережі, яка захищається 
IDS/IPS Suricata показано на рис.3.25. 
 
 
Рис. 3.25 – Запуск метасплойту для тестування вразливості мережі, яка 
захищається IDS/IPS Suricata 
 
У зв‘язку з тим, що в майбутньому метою вторгнення є захват контролю 
над системою для підвіщення привілєїв і майбутнього порушення 
функціонування сервісів даної ІС, то здійснемо пошук потрібного для цього 
експлойту. Під експлойтом зловмисники або пен-тестери розуміють 
комп'ютерну програму, фрагмент програмного коду або послідовність команд, 
які експлуатують вразливість у програмному забезпеченні. Такі вразливості 
застосовуються для проведення атаки на інформаційно - обчислювальну 
систему.  
Пошук експолойта в цільовій ІС показано на рис.3.26. 
 
 
Рис.3.26 – Пошук експолойта в цільовій ІС 
  
В результаті проведення пошуку бачим список з наявних 10 потенційних 
експлойтів на одному з серверів цільової ІС (рис.3.27). 
47 
 
 
 
Рис.3.27 – список знайдени в цільовій ІС потенційних експлойтів 
 
Обираємо шостий експлойт, після чого вказуємо цільовий хост ІС, на який 
буде здійснена пробна атака (рис.3.28). 
 
 
Рис.3.28 – вибір екслойта для атаки 
 
Запускаємо знайдений експлойт під номером 6 (шість) (рис.3.29). Взагалі, 
даний метасплойт повязаний з експлуатацією вразливостей БД MS SQL – 
структури.  Для такої пен-тест атаки можна використовувати засоби nmap або 
самого metasploit [23]. При його експлуатації, варто буде обережним, адже 
системи захисту  може заблокувати облікові записи, якщо кілька разів не вийде 
авторизуватися під існуюче ім’я реального користувача. 
48 
 
 
 
 
Рис.3.29 - запуск знайденого експлойта під номером 6 (шість) 
 
Реалізація встановленої та налаштованої системи захисту мережевих 
ресурсів ІС з використанням ПЗ Suricata на спробу вторгнення і атаки на один с 
ресурсів системи можна побачити на прикладі лог-файлу фіксації роботи ОС на 
рис.3.30.  
 
 
 
Рис.3.30 – реакція системи захисту Suricata в ОС на спробу пен-тестування 
шляхом використання знайденого експлойта під номером 6 
  
Як видно з рис.3.30 IDS модуль встановленої системи захисту Suricata 
зафіксувала спроби використання знайденого експлойта, а її IPS частина  
зупинила функціонування підозрілого сервісу. 
 
3.2.3 Викорстання ПЗ pfSense для реагування на негативні кібернетичні 
впливи 
Перспективний і простим засобом для організації систем захисту від 
шкідливих впливів є засіб pfSense. Він являє собою спеціалізований дистрибутив 
49 
 
ОС FreeBSD з відкритим кодом. Дане ПЗ призначене для виконання 
функцій мережевого екрана та мережевого маршрутизатора. 
Показаний на рис. 3.2 сегмент мережі – DMZ містить ПК, який позначений, 
як Kali. На даному ПК встановлено дистрибутив pfSense для створення IDS/IPS 
системи на базі виділеного міжмережевого екрану та маршрутизатора в одному 
пристрої для захисту LAN сегментів комп'ютерної мережі. ПЗ pfSense дозволяє 
реалізовувати налаштування та оновлення через web-інтерфейсу без 
знання базової ОС FreeBSD. Таке рішення додає ще один рубіж захисту системи 
у додаток до розгялнутого в п.3.2.1. 
Перед проведенням пен-тесту підготуємо систему pfsense до роботи в 
режимі перешкоджання/блокування загроз. Для цього заходимо через web-
інтерфейс та браузер з будь-якої доступної ОС до панелі керування та 
переходимо до налаштувань міжмережевого екрану (рис.3.31). 
 
 
Рис.3.31 – Підключення до pfsense через браузер 
 
Після чого слід створити нове налаштування Aliases. Дане налаштування 
використаємо для того, щоб зібрати всі захищувані від міжмережевого екрану 
fw_2 мережі в одне ціле (див. рис.рис.3.2). Такий крок дає змогу економити 
50 
 
обчислювальні ресурси віртуальної машини, з якої відбувається робота pfsense 
та значно спростити адмінісрування системою захисту. 
Створюємо налаштуванн Aliases під назвою ALL_NET. До складу нього 
ввійшла мережа 0.0.0.0/1 та 128.0.0.0/1 (тобто, це весь діапазон можливого 
налаштування адремації протоколу IPv4) (рис.3.32). 
 
Рис.3.32 – Створення Aliases 
 
Далі переходимо в пункт меню Services – >Suricata (рис.3.33) де видно, що 
за замовчуванням встановлений інтерфейс системою pfsense визначається 
(рис.3.34). 
 
Рис.3.33 – Перехід до налаштувань зони захисту Suricata 
51 
 
 
 
Рис.3.34 – створені за замовчуванням налаштування мережевого 
інтерфейсу 
 
Далі переходимо в Global Settings та налаштовуємо безпосередньо ПЗ 
Suricata (рис.3.35). 
 
Рис.3.35 – налаштування IDS/IPS системи Suricata 
 
В даному випадку для посилення захисту підключаємо до Suricata правила 
реагування Snort. Дана IDS/IPS система є вільною мережевою системою 
запобігання вторгненням (IPS) та виявлення спроб мережевих НСД [24] з 
відкритим вихідним кодом. Вона здатна виконувати реєстрацію пакетів і в 
реальному часі здійснювати аналіз трафіку в IP-мережах. Бази даних snort 
52 
 
містять ряд сигнатур, які дозволяють розрізняти активне спроби атак на 
переповнення буфера, приховане сканування портів, атаки на веб-додатки, SMB-
зондування, спроби визначення операційної системи. Це перешкоджатимо 
роботі мережевих «слухачів» трафіку навіть при неповному циклі пакетів 
запитів. 
Обов’язково переходимо до пункту Updates та оновимо встановлені 
правила та сигнатури (рис.3.36). 
 
Рис.3.36 –оновлення правил фильтрації та сигнатур IDS/IPS системи 
Suricata 
Після чого потрібно змініти правила інтерфейсу(рис.3.37-3.38).  
 
Рис.3.37 – зміна правил логування роботи інтерфейсів 
53 
 
 
 
Рис.3.38 – зміна правил інспектування та захисту для інтерфейсів 
 
Потім потрібно перейти у налашування LAN_Categories та вибрати 
правила, які необхідно використовувати для відслідковування можливих подій 
вторгнення (обираємо всі) (рис.3.39). 
 
 
Рис.3.39 – Вибір правил, які будемо використовувати 
 
Після проведення атаки переходимо до пункту Alerts, для того, щоб 
побачити інформацію про реагування на спроби пен-тестування з (рис.3.40). В 
журналі не зареєстровані такі спроби.  
54 
 
 
Рис. 3.40– Перевірка лог-файлу 
 
Пробуємо провести атаку через пен-тестування з використанням утиліти 
nmap (рис.3.41) 
 
Рис.3.40 1-  Спроба просканувати інтерфейс фаервола 
 
При спробі просканувати систему командою nmap, система IDS/IPS 
Suricatа реагує на це сканування, що видно по журналу подій. 
Таким чином використання ПЗ Suricata в режимі для захисту від 
використання експлойта, так і в якості засобу блокування підозрілої мережевої 
активності шляхому «прослуховування» портів з різними циклами пакетів 
55 
 
показує, що система реагує на різні види кіберзагроз мережевого та прикладного 
характеру. Але така реакція досягається лише за умови адекватного 
конфігурування та оновлення системи, коректного налаштування мережевих 
інтерфейсів реагування та нестандартних прийомах підключення сигнатур і 
правил визначення загроз системою. Тобто, ПЗ Suricata може бути 
централізовано встановлене та налаштоване через віддалений інтерфейс. Це дає 
змогу керувати оновленнями, налаштовувати таку систему захисту через будь-
який доступний web-інтерфейс пристроїв, які підтримують роботу протоколу 
http. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
56 
 
ВИСНОВКИ 
 
В результаті дослідження системи захисту мережевих ресурсів 
інформаційних систем від негативних кібернетичних впливів було здійснено: 
− дослідження різних методик та засобів проведення атак на мережеві 
ресурси різного типу та топології мережевих ресурсів інформаційних систем; 
− детально розглянуті види кіберзагрози для мережевих ресурсів 
інформаційних систем, методики тестування на проникнення та типовы 
кіберзагрози для компютерних мереж підприємства; 
− сформовано модель загроз та порушника кібербезпеки та 
проаналізовані різновиди збору інформацію про компютерні інформаційні 
системи; 
Розглянуті технології захисту мережевих інформаційних ресурсів 
інформаційних систем від негативних кібернетичних впливів, в звязку з чим 
проведено аналіз систем захисту мережевих ресурсів. 
В рамках дослідження технологій здійснення негативних кібернетичних 
впливів на мережеві ресурси інформаційних систем було проаналізована 
статистика атак на ресурси ІС та проведено атаки типу arp-spoofing, методом 
експлуатації експлойта та метасплойта. Внаслідок проведення атаки в рамках 
застосованої технології пен-тестування було отримано: 
- конфіденційна дані авторизації; 
- відомості про структуру та склад інформаційних мережевих сервісів 
компютерної мережі підприємства; 
- перелік певних вразливостей системи. 
В якості заходів щодо розробки системи захисту мережевих ресурсів 
інформаційних систем від негативних кібернетичних впливів було: 
− запропоновано на первірено ефективність методів перешкоджання 
атакам типу MiTM; 
− реалізована методика пен-тестів мережевих ресурсів системи та 
знайдено ряд доступних експлойтів та метасплойтів, сканування мережевого 
57 
 
трафіку з різними наборами та складом пакетів, які можуть бути потенційно 
використані для реалізації спроб взяття під контроль ІС підприємства; 
− шляхом використання знайденого експлойтів (на пркладі mssql БД) 
перевірена реакція встановленої та налаштованої системи захисту мережевих 
ресурсів IDS/IPS Suricata в ОС на спроби атак, а IPS частина усіпшно зупинила 
функціонування підозрілого сервісу; 
− в результаті раціонального налаштування IDS/IPS системи 
проведений пен – тесту захищуваних LAN – секторів з використанням 
мережевих сканерів з різними параметрами був успішно визначений та 
заблокований. 
Отже, реалізована на основі комплексного підходу до забезпечення 
безпеки мережевих ресурсів створена система захисту мережевих ресурсів в 
змозі успішно протистояти негативних кібернетичних впливів (за умов корекної 
інтерпритації сформованої моделі порушника і реалізації рекомендованих 
методів захисту комп’ютерної мережі). 
 
 
 
 
 
 
 
 
 
 
 
 
 
58 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Kireienko O. Information security violator model with general and specialized 
information // Ukrainian Scientific Journal of Information Security, 2019, vol. 25, issue 
1, pp. 24-29.doi: https://doi.org/10.18372/2225-5036.25.13198 
2. W. Liu, H. Tanaka, K. Matsuura, "EmpiricalAnalysis Methodology for 
Information-Security Investment and Its Application to Reliable Survey of Japanese 
Firms", IPSZ Journal, Vol. 48, no. 9, September 2007, pp. 3204-3218,  
3. Архипов А. Е. Применение рефлексивных моделей рисков для защиты 
информации в киберпространстве / А. Е. Архипов // Захист інформації. - 2017. - 
Т. 19, № 3. - С. 204-213. - Режим доступу: 
http://nbuv.gov.ua/UJRN/Zi_2017_19_3_4. 
4. Мирошник М. А. Разработка средств защиты информации в 
распределенных компьютерных системах и сетях / М. А. Мирошник // 
Інформаційно-керуючі системи на залізничному транспорті. - 2015. - № 1. - С. 
18-25. 
5. Ю. Хохлачова, "Політика інформаційної безпеки об’єкта", Правове, 
нормативне та метрологічне забезпечення системи захисту інформації в Україні, 
№2(24), 2012. 
6. НД ТЗІ 1.1-005-07 Захист інформації на об’єктах 
інформаційноїдіяльності. Створення комплексу технічного захисту інформації. 
Основні положення. 
7. Кіреєнко, Олександр. Рекомендації щодо розробки моделі 
порушника інформаційної безпеки із загальною та спеціалізовню інформацією / 
Ukrainian Scientific Journal of Information Security. 2019, Vol. 25 Issue 1, p24-29. 
6p. 
8. Axelsson S. Intrusion Detection Systems: A Survey and Taxonomy 
[Електронний ресурс] / Stefan Axelsson. – 2000. – Режим доступу до ресурсу: 
http://neuro.bstu.by/ai/To-dom/My_research/Paper-0-again/For-research/D-
mining/Anomaly-D/Intrusion-detection/taxonomy.pdf. 
59 
 
9. Système de prévention d'intrusion [Електронний ресурс] // Wikipedia. 
Portail de la sécurité informatique. – 2018. – Режим доступу до ресурсу: 
https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusio
n. 
10. Snort Rules and IDS Software [Електронний ресурс] // Downloads. – 
2019. – Режим доступу до ресурсу: https://www.snort.org/downloads. 
11. A. Anggraeni, J. G. A. Ginting, and S. Ikhwan, “Implementation of 
intrusion prevention system (IPS) to analysis triad cia on network security attacks on 
web server”, INFOTEL, vol. 14, no. 4, Nov. 2022. 
12. Закон України «Про основні засади забезпечення кібербезпеки 
України». Урядовий кур'єр від 15.11.2017. № 215. 
13. The Use of Audit Trails to Monitor Key Networks and Systems Should 
Remain Part of the Computer Security Material Weakness [Електронний ресурс] / 
Steve Mullins, Myron Gulley, Esther Wilson // . – 2004. – Режим доступу до ресурсу: 
https://www.treasury.gov/tigta/auditreports/2004reports/200420131fr.html 
14. W. Liu, H. Tanaka, K. Matsuura, "EmpiricalAnalysis Methodology for 
Information-Security Investment and Its Application to Reliable Survey of Japanese 
Firms", IPSZ Journal, Vol. 48, no. 9, September 2007, pp. 3204-3218 
15. https://www.secureops.com/wp-content/uploads/2021/08/SecureOps-
Cybersecurity-Statistics-Report-FINALv1-updated.pdf 
16. Wu, Mingtao & Moon, Young. (2019). Intrusion Detection of Cyber-
Physical Attacks in Manufacturing Systems: A Review. 10.1115/IMECE2019-10135. 
17. R. Rohrmann, M. W. Patton and H. Chen, "Anonymous port scanning: 
Performing network reconnaissance through Tor," 2016 IEEE Conference on 
Intelligence and Security Informatics (ISI), 2016, pp. 217-217, doi: 
10.1109/ISI.2016.7745475. 
18. R. R. Rohrmann, V. J. Ercolani and M. W. Patton, "Large scale port scanning 
through tor using parallel Nmap scans to scan large portions of the IPv4 range," 2017 
IEEE International Conference on Intelligence and Security Informatics (ISI), 2017, 
pp. 185-187, doi: 10.1109/ISI.2017.8004906. 
60 
 
19. Olivia Powell. Social engineering “most dangerous” threat, say 75% of 
security professionals (2022) / Cyber Security Hub. 2022. Access via: 
https://www.cshub.com/attacks/news/social-engineering-most-dangerous-threat-say-
75-of-security-professionals 
20. APWG 1Q 2022: Phishing Researches Record high; APWG Observes One 
Million Attacks within The Quarter – For The First Time – In The First Quarter of 
2022 /  Report Phishing Emails. Anti-Phishing Working Group, Inc. Access via: 
https://apwg.org/apwg-1q-2022-phishing-reaches-record-high-apwg-observes-one-
million-attacks-within-the-quarter-for-the-first-time-in-the-first-quarter-of-2022/ 
21. SYN-флуд [Електронний ресурс] // Wikipedia. The free Encyclopedia. 
– 2015. – Режим доступу до ресурсу: https://ru.wikipedia.org/wiki/SYN-
%D1%84%D0%BB%D1%83%D0%B4. 
22. Suricata[Електронний ресурс] – 2018 – Режим доступу до ресурсу: 
https://suricata-ids.org/about/open-source/ 
23. 1433 - Pentesting MSSQL - Microsoft SQL Server . Hack Tricks. Access 
via: https://book.hacktricks.xyz/network-services-pentesting/pentesting-mssql-
microsoft-sql-server 
24. Martin Roesch. «Snort: Lightweight intrusion detection for networks» 
(англ.) // Richmond Journal of Law & Technology[en] : Large Installation System 
Administration Conference '99: 13th[en]. — Сиетл: USENIX, 1999. — 7 November. 
 
 
 
 
 
 
 
 
 
61 
 
Додаток А 
 
62 
 
 
 
63 
 
 
64 
 
 
65 
 
 
66 
 
 
67 
 
 
68 
 
 
69 
 
 
70 
 
 
71 
 
 
72 
 
 
73 
 
 
74 
 
 
75 
 
 
76