IRChNUT
Електронний архів Національного університету "Чернігівська політехніка"
Особливості створення мережевої системи виявлення вторгнень у комп’ютерні системи
ISSN 2415-363X
JavaScript is disabled for your browser. Some features of this site may not work without it.
Показати скорочений опис матеріалу
| dc.contributor.author | Риндич, Є. В.
|
|
| dc.contributor.author | Коняшин, В. В.
|
|
| dc.contributor.author | Зайцев, С. В.
|
|
| dc.contributor.author | Усов, Я. Ю.
|
|
| dc.date.accessioned | 2019-06-25T07:35:04Z | |
| dc.date.available | 2019-06-25T07:35:04Z | |
| dc.date.issued | 2018 | |
| dc.identifier.uri | http://ir.stu.cn.ua/123456789/17937 | |
| dc.description | Риндич, Є. В. Особливості створення мережевої системи виявлення вторгнень у комп’ютерні системи / Є. В. Риндич, В. В. Коняшин, С. В. Зайцев, Я. Ю. Усов // Математичні машини і системи. — 2018. — № 3. — С. 89-96. | en_US |
| dc.description.abstract | Досліджено існуючі мережеві системи виявлення вторгнень (Intrusion Detection System, IDS) на основі хоста (Host-based intrusion detection system, HIDS) та мережеві системи виявлення вторгнення (Network intrusion detection system, NIDS). Особливу увагу приділено системам з відк-ритим програмним кодом як таким, що надають можливість провести дослідження не лише ро-боти, а й архітектури програмного забезпечення та принципів їх реалізації. Досліджено такі сис-теми, як Snort, Suricata, Bro IDS, Security Onion. Система Snort є лідером серед систем із відкри-тим кодом і отримала широке визнання як ефективне рішення мережевої системи виявлення вто-ргнень для широкого кола сценаріїв та випадків використання в локальних та корпоративних ме-режах. Визначено загальні риси мережевих систем виявлення вторгнень, їх позитивні та негатив-ні особливості. Запропонована трирівнева «клієнт-серверна» загальна архітектура мережевої системи виявлення вторгнень із використанням веб-додатку. У порівнянні з дворівневою «клієнт-серверною» архітектурою або «файл-серверною» архітектурою трирівнева архітектура забезпе-чує, як правило, більшу масштабованість, кращу можливість конфігурування. Базовими шарами запропонованої архітектури є шар веб-додатків або кластер веб-додатків, шар сервера додатків, який може бути масштабовано, та шар баз даних. Визначено особливості побудови мережевих систем виявлення вторгнень на стороні сервера. Вузьким місцем усієї системи є набір підписів і незручний спосіб взаємодії з користувачем. Одна з найважливіших проблем сучасних систем поля-гає в тому, що даний набір не може відстежувати загрози, які не мали прецедентів у минулому. Тому основним напрямом досліджень є впровадження пошуку вторгнень на основі пошуку анома-льної активності. Наступна проблема, що була виявлена та досліджувалась, полягає в розробці дружніх інтерфейсів. Дана проблема вирішується впровадженням веб-додатку, який може ефек-тивно взаємодіяти з сервером і на якому розміщені системи виявлення вторгнень та база даних, що зберігає всю необхідну інформацію. Перспективними напрямами досліджень слід вважати ро-зробку методів пошуку вторгнень на основі пошуку аномальної активності та їх впровадження в реальних комп’ютерних мережах. | en_US |
| dc.language.iso | uk | en_US |
| dc.publisher | Інститут проблем математичних машин і систем НАН України | en_US |
| dc.relation.ispartofseries | ;№ 3. | |
| dc.subject | мережева система | en_US |
| dc.subject | виявлення вторгнень | en_US |
| dc.subject | підписи | en_US |
| dc.subject | категорії вторгнень | en_US |
| dc.subject | аналіз мережевого трафіка | en_US |
| dc.subject | сетевая система | en_US |
| dc.subject | обнаружение вторжений | en_US |
| dc.subject | подписи | en_US |
| dc.subject | категории вторжений | en_US |
| dc.subject | анализ сетевого трафика | en_US |
| dc.subject | network system | en_US |
| dc.subject | intrusion detection | en_US |
| dc.subject | security | en_US |
| dc.subject | signatures | en_US |
| dc.subject | intrusion categories | en_US |
| dc.title | Особливості створення мережевої системи виявлення вторгнень у комп’ютерні системи | en_US |
| dc.title.alternative | Features of creating a network intrusion detection system in computer systems | en_US |
| dc.title.alternative | Особенности создания сетевой системы обнаружения вторжений в компьютерные системы | en_US |
| dc.type | Article | en_US |
| dc.description.abstractalt1 | Исследованы существующие сетевые системы обнаружения вторжений (Intrusion Detection System, IDS) на основе хоста (Host-based intrusion detection system, HIDS) и сетевые сис-темы обнаружения (Network intrusion detection system, NIDS). Особое внимание уделено системам с открытым кодом как таким, которые предоставляют возможность провести исследование не только работы, а и архитектуры программного обеспечения и принципов их реализации. Исследо-ваны такие системы, как Snort, Suricata, Bro IDS, Security Onion. Система Snort является лидером среди систем с открытым кодом и получила широкое признание как эффективное решение сете-вой системы обнаружения вторжений для широкого круга сценариев и случаев использования в локальных и корпоративных сетях. Определены общие черты сетевых систем обнаружения вторжений и их положительные и негативные особенности. Предложена обобщенная трехуров-невая «клиент-серверная» архитектура сетевой системы обнаружения вторжений с использова-нием веб-приложения. По сравнению с двухуровневой «клиент-серверной» архитектурой или «файл-серверной» архитектурой, трехуровневая архитектура обеспечивает, как правило, боль-шую масштабируемость, лучшую возможность конфигурирования. Базовыми слоями предложен-ной архитектуры являются слой веб-приложений и кластер веб-приложений, слой сервера прило-жений, который может масштабироваться, и слой баз данных. Определены особенности по-строения сетевых систем обнаружения вторжений на стороне сервера. Узким местом всей си-стемы является набор подписей и неудобство взаимодействия с пользователем. Одной из важ-нейших проблем современных систем является то, что сейчас данный набор не может отслеживать угрозы, которые не имели прецедентов в прошлом. Поэтому основным направлением иссле-дований является внедрение поиска вторжений на основе поиска аномальной активности. Следу-ющая проблема, которая была обнаружена и исследована, заключается в разработке друже-ственных интерфейсов. Данная проблема решается внедрением веб-приложения, которое может эффективно взаимодействовать с сервером, на котором размещены системы обнаружения вторжений и база данных, хранящая всю необходимую информацию. Перспективными направле-ниями исследований следует считать разработку методов поиска вторжений на основе поиска аномальной активности и их внедрение в реальные компьютерные сети. | en_US |
| dc.description.abstractalt2 | The existing network-based Intrusion Detection System (IDS) based host (Host-based intrusion detection system, HIDS) and network detection systems (Network intrusion detection system, NIDS) have been investigated. Special attention is paid to open source systems, as they provide an opportunity to re-search not only work principles, but the software architecture and the principles of their implementation. Systems such as Snort, Suricata, Bro IDS, Security Onion have been studied. Snort is a leader in open source systems and has been widely recognized as an effective network intrusion detection system solution for a wide range of scenarios and cases of use in local and corporate networks. Determine the general features of network systems to detect invasions and their positive and negative features. A generalized three-level «client-server» architecture of the network intrusion detection system using a web application is proposed. Compared to the two-level «client-server» architecture or «file-server» architecture, the three-tier architecture provides, as a rule, greater scalability, better configuration capability. The under-lying layers of the proposed architecture are the web application layer or the web application cluster, the application server layer that can be scaled, and the database layer. Determine the peculiarities of build-ing network systems for detecting server-side intrusions. The bottleneck of the entire system is a set of sig-natures and inconvenience of interaction with the user. One of the most important problems of modern systems is that this set cannot track threats that have not had precedents in the past. Therefore, the main direction of research is to introduce intrusion searches based on the search for abnormal activity. The next problem that has been discovered and investigated is the development of friendly interfaces. This problem is solved by the introduction of a web application that can efficiently interact with a server host-ing intrusion detection systems and a database that stores all the necessary information. Prospective are-as of research should be considered the development of methods for searching intruders based on the search for abnormal activity and their implementation into real computer networks. | en_US |
