Центр стратегических оценок и прогнозов www.csef.ru 
11 
 адаптироваться к изменениям собственной структуры при 
последующем совершенствовании системы; 
 быть устойчивой к дезинформации. 
На основе анализа опубликованных результатов исследований, а также 
исходя из существующих потребностей обеспечения защиты информации в 
информационных 
системах, 
далее 
представлен 
набор 
требований 
к 
проектируемой системе обнаружения вторжений по двум направлениям: 
функциональные требования и требования функционирования. 
4.1. Функциональные требования 
Так как сложность сетевого пространства непрерывно возрастает, то это 
должно отразиться на разработке функциональных требований к системе 
обнаружения вторжения. Общие функциональные требования к системе 
обнаружения вторжений, предназначенной для оснащения вычислительных 
систем, которые разворачиваются в настоящее время или будут развернуты в 
ближайшем будущем (см. Приложение 1) включают следующее: 
 СОВ должна непрерывно контролировать ситуацию и сообщать о 
вторжениях; 
 СОВ должна обладать достаточным количеством информации, 
чтобы восстановить систему, определить степень повреждения и 
установить ответственность за вторжение; 
 СОВ должна быть модульной и с перестраиваемой архитектурой, 
поскольку каждый сервер и сетевой сегмент будет требовать 
уникальных тестов на вторжения и эти тесты должны быть 
модернизируемыми, и, при необходимости, подлежащими замене 
новыми, более совершенными тестами; 
 так как СОВ назначена критическая роль контроля состояния 
защиты сети, сама СОВ является первичной целью нападения. СОВ 
должна работать во враждебной вычислительной среде и показывать 
высокую 
степень 
отказоустойчивости, 
а 
также 
учитывать 
значительную деградацию собственной структуры и функций; 
 СОВ должна быть адаптируемой к топологии сети и изменениям 
конфигурации, поскольку вычислительные элементы динамически 
добавляются и удаляются из сети; 
 системы обнаружения аномалий (как составная часть СОВ) должны 
иметь очень низкий процент ложных срабатываний. Учитывая 
прогнозируемое увеличение в сетевой связности и трафике, простое 
уменьшение процента числа сигналов ложной тревоги от общего 
числа срабатываний не может быть достаточным, поскольку 
абсолютное количество сигналов ложной тревоги может продолжать 
повышаться; 

Центр стратегических оценок и прогнозов www.csef.ru 
12 
 СОВ должна обучаться на опыте и улучшать возможности 
обнаружения 
спустя 
некоторое 
время 
после 
начала 
функционирования. Самонастраивающаяся СОВ должна обучаться 
распознаванию сигналов ложной тревоги сначала при помощи 
администратора системы, а в дальнейшем и самостоятельно; 
 СОВ должна быть легко модифицируемой при частом обновлении 
сигнатур классификации несанкционированных действий, как только 
появляются новые положения защиты и исправления в системе 
защиты, а также в случае обнаружения новых каналов уязвимости 
информационной системы и появлении новых путей нападения; 
 необходимы базовые инструментальные средства для помощи 
администраторам системы в подготовке ответа на различные 
нападения. От СОВ будет требоваться не только обнаружить 
аномальные события, но также и проводить автоматизированные 
ответные мероприятия; 
 СОВ должна проводить интеграцию данных и обрабатывать 
информацию от множества распределенных источников данных типа 
межсетевых экранов, маршрутизаторов и коммутаторов. Поскольку 
требование обнаружения в реальном масштабе времени заставляет в 
качестве основных решений выбирать перепрограммируемые 
аппаратные 
устройства, 
которые 
могут 
загружать 
новое 
программное обеспечение в процессе функционирования, СОВ 
должна быть способной связаться с такими аппаратными 
устройствами; 
 в составе СОВ будут необходимы инструментальные средства 
сжатия 
данных 
для 
обработки 
собранной 
информации. 
Инструментальные средства извлечения данных будут полезны при 
реализации методов обнаружения аномалий при статистической 
обработке собранных данных; 
 СОВ 
должна 
быть 
приспособлена 
к 
обеспечению 
автоматизированного ответа на подозрительную деятельность. 
Быстрые изменения в состоянии сетей и ограниченное время, 
выделяемое на администрирование сети, делают трудным для 
администраторов системы процесс диагностирования проблемы и 
выработки ответных действий с целью минимизировать ущерб, 
который может быть нанесен злоумышленником; 
 наличие 
способности 
обнаруживать 
и 
реагировать 
на 
распределенные и скоординированные по цели, месту и времени 
нападения станет жизненно необходимой. В скоординированных 
нападениях против сети будут вовлекаться большие силы, что 
позволит злоумышленникам реализовывать намного больше число 
различных нападений против единственной цели. Эти атаки могут 

Download 0.49 Mb.

Do'stlaringiz bilan baham: