На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2005 г.
Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ


ОБНАРУЖЕНИЕ АНОМАЛИЙ В ERP-СИСТЕМАХ

А. В. Беляев,
С. А. Петренко,
д. т. н.


Предыдущая статьяСледующая статья

Понятие «обнаружение аномалий» появилось сравнительно недавно и сразу привлекло к себе внимание специалистов в области безопасности ERP. В 2003–2004 годах на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг безопасности начали активно предлагать соответствующие решения. Согласно прогнозам аналитиков Gartner, 85 % крупнейших международных компаний с вероятностью 0,8 к 2007 году воспользуются функциями современных систем обнаружения аномалий в системах ERP. На каких инженерных принципах базируются перспективные системы обнаружения аномалий? Какой вклад внесла российская школа сетевой безопасности в развитие этого нового направления защиты информации? Какие методики и алгоритмы обнаружения аномалий в ERP могут быть полезны для практики отечественных служб защиты информации?

Состояние проблемы обнаружения аномалий

С завидным постоянством тема обнаружения аномалий возглавляет сегодня списки и рейтинги наиболее актуальных тем в различных федеральных и коммерческих целевых программах в области защиты информации. Так, например, в разработанном научно-техническим Советом НАТО ранжированном списке из 11 важнейших технических задач на период 2005–2010 годов три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий в современных и перспективных распределенных вычислительных системах на основе TCP/IP. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО, существующие системы обнаружения вторжений (IDS) ежедневно обнаруживают в среднем 400–600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают, что это составляет не более 14–17 % от общего числа реально осуществляемых атак и воздействий внутренних нарушителей. По понятным причинам эти факты настораживают специалистов в области защиты информации.

Более того, до сих пор считалось, что относительно просто решается лишь задача обнаружения вторжений в системы ERP на основе TCP/IP, которая сводится к задачам распознавания:

  • структурных признаков (сигнатур) известных типов атак;
  • инвариантных признаков структуры корректных вычислительных процессов;
  • корреляционных признаков нормального функционирования распределенных вычислительных систем.

Однако в случае задачи распознавания аномалий в ERP возникает целый ряд затруднений, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:

  • построение некоторого эталонного множества инвариантов «нормального» (семантически корректного) развития вычислительных процессов в условиях априорной неопределенности воздействий внешней и внутренней среды;
  • установление шкал измерения признаков эталонов или инвариантов;
  • выявление необходимых и достаточных информативных признаков инвариантов;
  • построение правил распознавания аномалий.

Поэтому существующие до сих пор решения отдельных простейших частных случаев проблемы распознавания аномалий вычислительных процессов в системах ERP не позволили разработать единый, универсальный метод обнаружения ранее неизвестных типов атак и воздействий (табл. 1). Для решения этой задачи западные и отечественные научно-исследовательские коллективы и школы срочно занялись углубленной теоретической проработкой этого вопроса.

Не осталась в стороне и российская школа сетевой безопасности. Например, Санкт-Петербургская школа защиты информации профессора В. В. Ковалева (авторы являются учениками и последователями этой школы) предложила оригинальный способ решения задачи обнаружения аномалий в ERP-системах на основе инвариантов подобия. В результате были выработаны принципиально новые инженерные принципы разработки промышленных и коммерческих прототипов систем обнаружения аномалий, которые позволяют теоретически обнаруживать и парировать все виды внутренних и внешних воздействий (в том числе и ранее не известные). Давайте рассмотрим основные идеи этого оригинального подхода.

< ... >


 

В связи с некорректным отображением ряда формул в журнальной версии данной статьи, произошедшим из-за технического сбоя в работе типографии, предлагаем вам ее исправленный вариант в формате pdf (Beljaev.pdf - 430 Кб).


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100