НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

«Київський політехнічний інститут імені Ігоря Сікорського»

Факультет інформатики та обчислювальної техніки
Кафедра обчислювальної техніки

«На правах рукопису» «До захисту допущено»

УДК Завідувач кафедри
Стіренко С.Г.
(підпис) (ініціали, прізвище)

“ ” 2019 р.

Магістерська дисертація
зі спеціальності: 123. Комп’ютерна інженерія____________
(код та назва напряму підготовки або спеціальності)

Спеціалізація: 123. Комп’ютерні системи та мережі_________________

на тему:

Виконав (-ла): студент (-ка) 2 курсу, групи ІВ-82мп

(шифр групи)

Серпучнко Микола Вадимович

(прізвище, ім’я, по батькові) (підпис)

Науковий керівник доц. ктн. Роковий О. П.

(посада, науковий ступінь, вчене звання, прізвище та ініціали) (підпис)

Консультант
(назва розділу) (посада, вчене звання, науковий ступінь, прізвище, ініціали) (підпис)

Рецензент
(посада, науковий ступінь, вчене звання, науковий ступінь, прізвище та ініціали) (підпис)

Засвідчую, що у цій магістерській

дисертації немає запозичень з праць
інших авторів без відповідних посилань.
Студент
(підпис)

Київ – 2019 року

Національний технічний університет України
1
 «Київський політехнічний інститут імені Ігоря Сікорського»

Факультет (інститут) Інформатики та обчислювальної техніки

(повна назва)

Кафедра Обчислювальної техніки

(повна назва)

Рівень вищої освіти – другий (магістерський) за освітньо-професійною

програмою
Спеціальність 123. Комп’ютерна інженерія
(код і назва)

Спеціалізація 123. Комп’ютерні системи та мережі________

(код і назва)

ЗАТВЕРДЖУЮ
Завідувач кафедри
Стіренко С.Г.
(підпис) (ініціали, прізвище)

« » 2019 р.

ЗАВДАННЯ
на магістерську дисертацію студенту
Серпученку Миколі Вадимовичу
(прізвище, ім’я, по батькові)

1. Тема дисертації Система виявлення шкідливих дій у потоках

мережевого трафіку

Науковий керівник дисертації доц. ктн. Роковий О. П.

(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)

затверджені наказом по університету від «_07_» __11__ 2018 р. № _4112-c_

2. Строк подання студентом дисертації __________

3. Об’єкт дослідження

4. Предмет дослідження

5. Перелік завдань, які потрібно розробити:

2
 ___________________________________

6. Консультанти розділів дисертації:

Підпис, дата
Прізвище, ініціали та посада
Розділ завдання завдання
консультанта
видав прийняв

7. Дата видачі завдання

Календарний план
Назва етапів виконання Строк виконання
№ з/п Примітка
магістерської дисертації етапів дисертації

Студент ______________ ____________________

(підпис) (ініціали, прізвище)

Науковий керівник дисертації

(підпис) (ініціали, прізвище)

3
 ЗМІСТ
ВСТУП.........................................................................................................................6
РОЗДІЛ 1. ВИЗНАЧЕННЯ ОСНОВНИХ ПРИНЦИПІВ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ ТА ЗАХИСТУ ІНФОРМАЦІЇ.............................................................8
1.1. Основні принципи інформаційної безпеки...................................................8
1.2. Структура інформаційної безпеки...............................................................11
1.3. Основні підходи до захисту інформації......................................................17
Висновки до розділу 1...............................................................................................20
РОЗДІЛ 2. СИСТЕМИ ВИЯВЛЕННЯ ТА ЗАПОБІГАННЯ АТАК...............21
2.1. Система виявлення вторгнень (IDS)...........................................................21
2.1.1. Мережева система виявлення вторгнень (NIDS).................................22
2.1.2. Найпоширеніші системи виявлення мережевих вторгнень (NIDS)...23
2.1.3. Система виявлення вторгнень на основі хоста (HIDS).......................26
2.1.4. Найпоширеніші системи виявлення вторгнень на основі хоста
(HIDS) ..................................................................................................................30
2.2. Система запобігання вторгнень (IPS).........................................................33
2.2.1. Мережева система запобігання вторгнень (NIPS)...............................35
2.2.2. Система бездротового запобігання вторгнень (WIPS)........................36
2.2.3. Аналіз поведінки в мережі (NBA).........................................................38
2.2.4. Система запобігання вторгнень на основі хоста (HIPS).....................40
Висновки до розділу 2...............................................................................................42
РОЗДІЛ 3. РОЗРОБКА СИСТЕМИ ВИЯВЛЕННЯ ШКІДЛИВОГО HTTPS
ТРАФІКУ..................................................................................................................44
3.1. Проблематика аналізу HTTPS трафіку....................................................44
3.1.1. Аудит системи безпеки на кінцевому хості.........................................45
3.1.2. Мережевий пристрій з DPI....................................................................48
3.2. Виділення підозрілого трафіку.................................................................50
3.3. Інструмент SNORT та взаємодія з ним....................................................52
3.3.1. Принцип роботи SNORT........................................................................52
3.3.2. Інтеграція SNORT з розроблюваним додатком...................................54
Висновки до розділу 3...............................................................................................55
4
РОЗДІЛ 4. РЕАЛІЗАЦІЯ СИСТЕМИ ВИЯВЛЕННЯ ШКІДЛИВОГО
HTTPS ТРАФІКУ НА БАЗІ ІНСТРУМЕНТУ SNORT.....................................56
4.1. Вимоги до програмного продукту............................................................56
4.2. Структура програмного продукту............................................................58
4.2.1. Налаштування тестової лабораторії......................................................58
4.2.2. Розробка препроцесорного блоку.........................................................59
4.2.3. Перевірка працездатності системи........................................................61
Висновки до розділу 4...............................................................................................63
РОЗДІЛ 5. РОЗРОБКА СТАРТАП ПРОЕКТУ..................................................64
5.1. Опис ідеї проекту.......................................................................................64
5.2. Технологічний аудит ідеї проекту............................................................67
5.3. Аналіз ринкових можливостей запуску стартап-проекту......................68
5.4. Розроблення ринкової стратегії проекту.................................................79
5.5. Розроблення маркетингової програми стартап-проекту........................83
Висновки до розділу 5...............................................................................................88
ВИСНОВКИ..............................................................................................................89
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.............................................................91

5
 ВСТУП
Останніми роками захист, що забезпечується файерволом і антивірусом,
став не ефективним проти мережевих атак і шкідливого програмного
забезпечення. На перший план виходять системи виявлення та запобігання
вторгнень IDS / IPS, які можуть виявляти і блокувати як відомі, так і ще не
відомі загрози. Епоха, коли для виявлення факту атаки вважалося достатнім
знайти якийсь характерний шаблон трафіку, або "сигнатуру", вже пройшла.
Вважається, що для успішного виявлення атак сучасна IPS повинна вміти
проводити аналіз сеансу взаємодії з урахуванням протоколів, використовуваних
для передачі даних (особливо актуально для протоколів прикладного рівня
моделі OSI), виконувати відновлення фрагментованих IP-пакетів до їх аналізу,
не передавати фрагменти IP-датаграм без перевірки, відстежувати спроби
створення перекриваються фрагментів IP-датаграм, спроби перезапису вмісту
TCP-сегментів і запобігати їм та іншими характеристиками.

Разом з тим, з моменту появи перших IPS-рішень на ринку і до

сьогоднішнього дня ряд питань так і залишається відкритим. Мережева IPS має
можливість і, більш того, зобов'язана блокувати передачу трафіку, що
становить атаку. Разом з тим, мережева IPS не повинна допускати блокування
легітимного трафіку. Відповідно, одним з критично важливих показників IPS є
кількість помилкових спрацьовувань. Можливості IPS з контролю трафіку
обмежені тими протоколами, засоби аналізу яких закладені в програмне
забезпечення системи. Разом з тим постійно виникають нові популярні серед
користувачів сервіси і механізми мережевої взаємодії, що володіють своїми
уразливостями. Навіть в найдосконалішої і ефективно підтримуваної IPS не
можуть бути заздалегідь передбачені всі можливі уразливості добре
опрацьованих базових протоколів. Більш того, деякі можливості взаємодії, які
не були передбачені в лабораторії, в якій розроблялася IPS, можуть зустрітися
на практиці і не бути спробою вторгнення.

6
 Особливою проблемою на сьогодні для IPS полягає у неможливості
сканування шифрованого трафіку на предмет загроз без володіння ключами для
дешифрування. Шкідливий трафік може маскуватися під звичайний і
проходити непоміченим крізь брандмауери.

Тому, тема магістерської роботи, а саме система виявлення шкідливих дій у

потоках мережевого трафіку є надзвичайно актуальною. Ця та інші суміжні
проблеми досліджуються задля покращення роботи систем виявлення загроз та
підвищення захищеності мережі.

7
 РОЗДІЛ 1

ВИЗНАЧЕННЯ ОСНОВНИХ ПРИНЦИПІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

ТА ЗАХИСТУ ІНФОРМАЦІЇ

1.1. Основні принципи інформаційної безпеки

Інформаційна безпека – це не лише захист інформації від несанкціонованого

доступу. Інформаційна безпека – це в основному практика запобігання
несанкціонованому доступу, використання, розкриття, зриву, модифікації,
інспекції, зміни або знищення інформації [1]. Інформація може бути будь-якою,
дані, профіль у соціальних мережах, дані в мобільному телефоні, біометричні
дані і т.д.

Під час Першої світової війни була розроблена багаторівнева система

класифікації, враховуючи чутливість інформації. З початком Другої світової
війни було здійснено формальне узгодження системи класифікації. Алан
Тьюрінг був тим, хто успішно розшифрував машину "Енігма", яку німці
використовували для шифрування воєнних даних[2].

Інформаційна безпека – це практика захисту інформації, що пом'якшує

інформаційні ризики. Це частина управління інформаційними ризиками.
Зазвичай це передбачає запобігання або принаймні зменшення ймовірності
несанкціонованого/неналежного доступу, використання, розкриття інформації,
зриву, видалення, знищення, модифікації, зчитування та запису. Зменшення
негативного впливу таких інцидентів – це також частина інформаційна безпеки.
Інформація може приймати будь-яку форму, наприклад електронну чи фізичну,
матеріальну (наприклад, паперові роботи) або нематеріальну (наприклад,
знання)[3]. Основна увага в галузі інформаційної безпеки – це збалансований
захист конфіденційності, цілісності та доступності даних, зберігаючи при
цьому увагу на ефективному наданні послуг, але не перешкоджаючи
8
продуктивності організації. Це значною мірою досягається за допомогою
структурованого процесу управління ризиками, який передбачає:

 Ідентифікація інформації та пов'язаних з нею активів, потенційні

загрози, вразливості та наслідки;
 Оцінка ризиків;
 Вирішення способів подолання ризиків або їх лікування, тобто
уникання, пом'якшення, або їх прийняття;
 Вибір та розробка відповідних засобів безпеки там, де потрібно
зменшити ризик;
 Моніторинг діяльності, внесення необхідних коректив для вирішення
будь-яких питань, змін та можливостей удосконалення.

Щоб стандартизувати цю дисципліну, науковці та професіонали

співпрацюють, пропонуючи вказівки, політику та галузеві стандарти щодо
пароля, антивірусного програмного забезпечення, брандмауера, програмного
забезпечення для шифрування, юридичної відповідальності, обізнаності з
безпеки та навчання тощо. Ця стандартизація може бути додатково зумовлена
широким спектром законів та правил, які впливають на спосіб доступу,
обробку, зберігання, передачу та знищення даних. Однак імплементація будь-
яких стандартів та настанов в межах суб'єкта господарювання може мати
обмежений ефект, якщо культура постійного вдосконалення не буде прийнята.

В основі інформаційної безпеки лежить інформаційне забезпечення, акт

збереження конфіденційності, цілісності та доступності інформації,
забезпечення того, що інформація не буде скомпрометована жодним чином при
виникненні критичних ситуацій[4]. Ці питання включають стихійні лиха,
несправності комп'ютера або сервера та фізичні крадіжки, але не обмежуються
ними. Запровадження цифрового документо-обороту, вимагає власного набору
практик захисту інформації, чим зараз, як правило, займаються фахівці з питань
інформаційних технологій (ІТ). Ці фахівці застосовують інформаційну безпеку
до технологій (найчастіше певної форми комп'ютерної системи). Варто
9
зазначити, що комп'ютер не обов'язково означає домашній гаджет. Комп’ютер –
це будь-який пристрій з процесором і деякою пам’яттю[5]. Такі пристрої
можуть варіюватися від автономних пристроїв, що не пов’язані з мережею,
настільки простими, як калькулятори, до мережевих мобільних
обчислювальних пристроїв, таких як смартфони та планшети. Сьогодні, через
характер та цінність даних, майже на будь-яких великих підприємствах можна
зустріти фахівців з ІТ-безпеки. Вони несуть відповідальність за збереження
всієї технології в компанії від кібератак, які часто намагаються отримати
критичну приватну інформацію або отримати контроль над внутрішніми
системами.

Сфера інформаційної безпеки за останні роки значно зросла та розвинулася.

Вона пропонує багато областей для спеціалізації, включаючи безпеку мереж та
спорідненої інфраструктури, збереження додатків і баз даних, тестування
безпеки, аудит інформаційних систем, планування безперервної роботи,
відкриття електронних записів та цифрову криміналістику[6].

Загрози інформаційній безпеці бувають у різних формах. Одні з

найпоширеніших загроз сьогодні – це напади програмного забезпечення,
крадіжки інтелектуальної власності, крадіжки особистих даних, крадіжки
обладнання чи інформації, саботаж та вимагання інформації. Більшість людей
зазнали певних програмних атак. Віруси, фішинг-атаки та троянські коні – це
декілька поширених прикладів програмних атак. Крадіжка інтелектуальної
власності також була великою проблемою для багатьох підприємств у сфері
інформаційних технологій (ІТ). Крадіжка особи – це спроба діяти як хтось
інший, щоб отримати особисту інформацію цієї особи або скористатись їхнім
доступом до життєво важливої інформації за допомогою соціальної інженерії.
Крадіжки обладнання чи інформації набувають сьогодні більшого поширення
оскільки сьогодні більшість пристроїв є мобільними, через це їх легше вкрасти,
а також, оскільки кількість ємності даних збільшується[7]. Саботаж зазвичай
полягає у знищенні веб-сайту організації з метою спроби викликати втрату
довіри з боку її клієнтів. Вимагання інформації полягає в крадіжці майна або
10
інформації компанії як спробі отримати плату в обмін на повернення
інформації або майна назад її власнику, як і викупу. Існує багато способів
захистити себе від деяких цих атак, але однією з найбільш функціональних
заходів є проведення періодичної обізнаності користувачів. Загроза номер один
для будь-якої організації - це користувачі або внутрішні працівники, їх також
називають інсайдерськими загрозами.

Уряди, військові, корпорації, фінансові установи, лікарні, некомерційні

організації та приватний бізнес накопичують велику кількість конфіденційної
інформації про своїх працівників, клієнтів, продукцію, дослідження та
фінансовий стан. Якщо конфіденційна інформація про клієнтів або фінанси
бізнесу або нову лінійку продуктів потрапить до рук конкурента або хакера,
бізнес та його клієнти можуть зазнати широких, непоправних фінансових втрат,
а також завдати шкоди репутації компанії[8]. З точки зору бізнесу,
інформаційна безпека повинна бути збалансована з витратами.

Для особистості інформаційна безпека має суттєвий вплив на

конфіденційність, що в різних культурах розглядається дуже по-різному.

Відповіді на загрози

Можливі відповіді на загрозу або ризик безпеки:

 зменшити/пом'якшити – запровадити захисні та контрзаходи для

усунення вразливості чи блокування загроз
 призначити/передати – передати відповідальність загрози іншому
суб’єкту чи організації, наприклад придбання страхування або
аутсорсинг
 прийняти – оцінити, якщо вартість контрзаходу перевищує можливу
вартість збитків через загрозу

1.2. Структура інформаційної безпеки

11
 Три основні принципи – конфіденційність, цілісність та доступність лежать
в основі інформаційної безпеки[9]. Ці три принципи – в літературі
взаємозамінно називаються атрибутами безпеки, властивостями, цілями
безпеки, основними аспектами, інформаційними критеріями, критичними
характеристиками інформації та основними складовими. Проте ще триває
дискусія про те, чи достатньо цих трьох принципів для вирішення швидко
мінливих технологій та вимог бізнесу, з рекомендаціями розглянути
можливість розширення перетину між доступністю та конфіденційністю, а
також взаємозв'язок між безпекою та конфіденційністю. Іноді пропонувались
інші принципи, такі як "підзвітність"; було зазначено, що такі питання, як
неприйняття закону, не вписуються в три основні концепції.

У 1992 році та переглянутому у 2002 році в Керівних принципах ОЕСР

щодо безпеки інформаційних систем та мереж запропоновано дев'ять
загальновизнаних принципів: обізнаність, відповідальність, реагування, етика,
демократія, оцінка ризиків, проектування та впровадження безпеки, управління
безпекою та переоцінка. Спираючись на це, у 2004 році інженерні принципи
безпеки інформаційних технологій NIST запропонували 33 принципи. З
кожного з цих похідних вказівок та практик[10].

У 1998 році Донн Паркер запропонував альтернативну модель класичних

трьох CIA, яку він назвав шістьма атомними елементами інформації. Елементи
– конфіденційність, володіння, цілісність, справжність, доступність та
корисність. Заслуги Паркерівської Гексади є предметом дискусій серед фахівців
з безпеки[11].

У 2011 році The Open Group опублікувала стандарт управління

інформаційною безпекою O-ISM3[12]. Цей стандарт пропонував оперативне
визначення ключових понять безпеки, з елементами, які називаються "цілі
безпеки", пов'язані з контролем доступу, доступністю, якістю даних,
відповідності та технічним. У 2009 році Ініціатива захисту програмного
забезпечення DoD випустила три аспекти кібербезпеки – сприйнятливість для

12
системи, доступом до помилок та здатністю до виправлення несправності.
Жодна з цих моделей не є широко прийнятою.

Конфіденційність

В інформаційній безпеці конфіденційність "є властивістю, що інформація не

надається або розголошується стороннім особам, організаціям чи процесам".
Хоча конфіденційність подібна до "секретності", ці два слова не є
взаємозамінними. Вірніше, конфіденційність – це компонент секретності, який
застосовується для захисту наших даних від несанкціонованого перегляду[13].
Приклади конфіденційності електронних даних, що підлягають компрометації,
включають крадіжку ноутбука, крадіжку пароля або чутливі електронні листи,
що надсилаються невірним особам.

Цілісність

В інформаційній безпеці цілісність даних означає підтримку та

забезпечення точності та повноти даних протягом усього її життєвого циклу.
Це означає, що дані не можуть бути змінені несанкціонованим або невідкритим
способом[14]. Це не те саме, що референтна цілісність у базах даних, хоча це
може розглядатися як особливий випадок узгодженості, як це розуміється в
класичній моделі ACID обробки транзакцій. Системи інформаційної безпеки
зазвичай забезпечують цілісність повідомлення поряд з конфіденційністю.

Доступність

Доступність — властивість інформації бути захищеною від

несанкціонованого блокування[15]. Щоб будь-яка інформаційна система
відповідала своєму призначенню, інформація повинна бути доступною, коли
вона потрібна. Це означає, що обчислювальні системи, що використовуються
для зберігання та обробки інформації, засоби захисту, що використовуються
для її захисту, і канали зв'язку, які використовуються для доступу до неї,
повинні функціонувати правильно. Системи високої доступності мають на меті
залишатися доступними постійно, запобігаючи перебоям у обслуговуванні
13
через відключення електроенергії, збої обладнання та оновлення системи.
Забезпечення доступності також передбачає запобігання атак відмови в
обслуговуванні, наприклад, завалення вхідних повідомлень до цільової
системи, що по суті змушує її вимкнутись.

У галузі інформаційної безпеки доступність часто можна розглядати як

одну з найважливіших частин успішної програми захисту інформації. Зрештою,
кінцеві користувачі повинні мати можливість виконувати функції роботи;
забезпечуючи доступність організації в змозі виконати ті стандарти, яких
очікують зацікавлені сторони організації. Це може включати такі теми, як
конфігурація проксі, зовнішній доступ до Інтернету, можливість доступу до
спільних накопичувачів та можливість надсилання електронних листів. Часто
керівники не розуміють технічну сторону інформаційної безпеки і розглядають
доступність як просте виправлення, але це часто вимагає співпраці багатьох
різних організаційних команд, таких як операції в мережі, операції з розвитку,
реагування на інциденти та управління правилами, змінами. Успішна команда з
інформаційної безпеки передбачає безліч різних ключових ролей, щоб зв'язати
та вирівняти для ефективного забезпечення трьох CIA.

Відмовостійкість

Неприйняття відмови – означає, що одна сторона не може відмовити в

отриманні повідомлення або транзакції, а також інша сторона не може
відмовити в надсиланні повідомлення або транзакції[16]. Наприклад, у
криптографії достатньо показати, що повідомлення відповідає цифровому
підпису, підписаному приватним ключем відправника, і що відправник міг би
надіслати повідомлення, і ніхто більше не міг його змінити під час транзиту.
Цілісність та автентичність даних є необхідними умовами для заборони даних.

Важливо зауважити, що хоча такі технології, як криптографічні системи,

можуть допомогти в зусиллях, що не відмовляються, в основі цієї концепції
лежить легальна концепція, що виходить за рамки технології. Наприклад,
недостатньо, щоб показати, що повідомлення відповідає цифровому підпису,
14
підписаному приватним ключем відправника, і, таким чином, лише відправник
міг надіслати повідомлення, і ніхто інший не міг його змінити під час транзиту
(цілісність даних). Передбачуваний відправник може натомість
продемонструвати, що алгоритм цифрового підпису є вразливим або
несправним, або стверджувати або доводити, що ключ його підпису був
порушений. Вина в цих порушеннях може бути, а може і не лежати на
відправнику, і такі твердження можуть або не можуть звільнити відправника
від відповідальності, але твердження призведе до визнання недійсним вимоги
про те, що підпис обов'язково підтверджує справжність та цілісність. Таким
чином, відправник може відкинути повідомлення (оскільки автентичність та
цілісність є необхідними умовами для невідхилення)

Автентичність - означає перевірити, що користувачі - це те, про кого вони

говорять, і що кожен вхід, який прибуває до пункту призначення, - від
надійного джерела. Цей принцип, якщо дотримуватися, гарантує дійсне та
справжнє повідомлення, отримане від надійного джерела через дійсну
передачу. Наприклад, якщо взяти приклад вище, відправник надсилає
повідомлення разом з цифровим підписом, який був створений за допомогою
хеш-значення повідомлення та приватного ключа. Тепер на стороні приймача
цей цифровий підпис розшифровується за допомогою відкритого ключа, що
генерує хеш-значення, і повідомлення знову хеширується для створення хеш-
значення. Якщо значення 2 відповідає, то воно називається дійсною передачею
з автентичним або ми говоримо справжнє повідомлення, отримане на стороні
одержувача

Підзвітність – означає, що має бути можливість однозначно відслідковувати

дії суб'єкта господарювання до цієї організації. Не кожному працівникові слід
дозволити вносити зміни до даних інших працівників. Для цього існує окремий
відділ в організації, який відповідає за внесення таких змін, і коли вони
отримують запит на зміну, цей лист повинен бути підписаний вищим органом
влади, наприклад директором коледжу та особою, яка надає змогу вносити
зміни.
15
 Управління ризиками

Управління ризиками – це процес виявлення небезпечних ситуацій та загроз

інформаційним ресурсам, що використовуються організацією для досягнення
бізнес-цілей, та вирішення, які контрзаходи, якщо такі є, прийняти зниження
ризику до прийнятного рівня, виходячи з цінності інформаційного ресурсу для
організації[17].

У цьому визначенні є дві речі, які можуть потребувати певного роз'яснення.

По-перше, процес управління ризиками – це тривалий, ітераційний процес. Це
потрібно повторювати нескінченно. Ділове середовище постійно змінюється, і
щодня виникають нові загрози та вразливості. По-друге, вибір контрзаходів
(контролів), що застосовуються для управління ризиками, повинен забезпечити
баланс між продуктивністю, вартістю, ефективністю контрзаходу та вартістю
захищеного інформаційного активу.

Процеси аналізу ризиків та оцінки ризиків мають свої обмеження, оскільки,

коли трапляються інциденти із безпекою, вони виникають у контексті, і їх
рідкість та унікальність створюють непередбачувані загрози. Аналіз цих явищ,
для яких характерні поломки, сюрпризи та побічні ефекти, вимагає
теоретичного підходу, який здатний досліджувати та інтерпретувати
суб'єктивно деталі кожного інциденту.

Ризик – це ймовірність того, що трапиться щось погане, що спричинить

шкоду інформаційному активу (або втрату активу). Уразливість – це слабкість,
яку можна використати для загрози або заподіяння шкоди інформаційному
активу. Загроза – це будь-що (техногенне чи діяння природи), що може нанести
шкоду.

Ймовірність того, що загроза використає вразливість для заподіяння шкоди,

створює ризик. Коли загроза використовує вразливість для заподіяння шкоди,
це має вплив. В умовах інформаційної безпеки вплив – це втрата доступності,
цілісності та конфіденційності та, можливо, інші втрати (втрачений дохід,

16
втрата життя, втрата нерухомості). Слід зазначити, що неможливо виявити всі
ризики, а також не можна усунути всі ризики. Решта ризику називається
"залишковим ризиком".

Оцінка ризику проводиться командою людей, які мають знання про

конкретні сфери бізнесу. Членство в колективі може змінюватися з часом,
оскільки оцінюються різні частини бізнесу. Для оцінки може
використовуватися суб'єктивний якісний аналіз, заснований на
проінформованій думці, або там, де є достовірні цифри та історична
інформація, для аналізу може використовуватися кількісний аналіз.

1.3. Основні підходи до захисту інформації

Оцінки ризику. Чим ризикованіші дані, тим більший захист їм потрібно

забезпечити. Чутливі дані повинні ретельно зберігатися, тоді як дані з низьким
рівнем ризику можуть бути забезпечені меншим захистом. Головною причиною
цих оцінок є вигода за витратами, оскільки краща безпека даних дорівнює
більшим витратам[18]. Однак це хороший тест, щоб визначити, які дані
потрібно берегти більш ретельно, і зробити всю систему обробки даних більш
ефективною. Існують дві осі, на яких має базуватися оцінка ризику: потенційна
серйозність у випадку порушення даних та ймовірність порушення. Чим
більший ризик на кожній з цих осей, тим більш чутливі дані.

Резервні копії. Резервне копіювання – це метод запобігання втраті даних,

який часто може статися або через помилку користувача, або через технічну
несправність. Резервні копії слід регулярно робити та оновлювати. Регулярне
резервне копіювання призведе до додаткових витрат компанії, але можливі
перебої у звичайній діловій діяльності обійдуться ще дорожче. Резервне
копіювання повинно здійснюватися у відповідності з принципом, поясненим
вище – дані, які мають менше значення, можуть не забезпечуватися резервними

17
копіями, на відміну від важливих даних. Такі резервні копії слід зберігати у
безпечному місці та, можливо, зашифровувати.

Шифрування. Дані з високим рівнем ризику є основним кандидатом для

шифрування на кожному кроці: придбання (онлайн-криптографічні протоколи),
обробку (повне шифрування пам'яті) та подальше зберігання (RSA або AES).
Добре зашифровані дані по суті є безпечними; навіть у випадках порушення
даних, дані безповоротно втратять свою доцільність.

Псевдонімізація. Псевдонімізація – це ще один метод, який підвищує

безпеку даних та конфіденційність людей. Він добре працює з великими
наборами даних і складається з вилучення ідентифікаційної інформації з
фрагментів даних. Наприклад, заміна імен осіб на випадково створені рядки.
Ідентифікація людини та розкриття наданих ним даних стають неможливими.
Дані все ще залишаються корисними, але вони вже не містять конфіденційну
інформацію, яку можна ідентифікувати. Оскільки людей не можна
безпосередньо ідентифікувати за допомогою псевдонімізованих даних,
процедури у випадку порушення чи втрати даних значно простіші, а ризики
значно зменшуються.

Контроль доступу. Впровадження контролю доступу до робочого процесу

компанії є дуже ефективним методом зниження ризику. Чим менше людей має
доступ до даних, тим менший ризик (ненавмисного) порушення або втрати
даних. Доступ до конфіденційних даних має бути наданий лише надійним
працівникам, які мають вагомі підстави отримати доступ до них.

Знищення. Може настати час, коли дані потрібно буде знищити. Знищення
даних може не здатися методом захисту на перший погляд, але насправді це
так. Дані захищаються таким чином від несанкціонованого відновлення та
доступу. Жорсткі диски найчастіше знищуються за допомогою знежирення,
тоді як паперові документи, компакт-диски та магнітофони подрібнюються на
невеликі шматочки. Для конфіденційних даних рекомендується знищення
даних на місці. Зашифровані дані можна легко видалити, просто знищивши
18
ключі дешифрування, гарантуючи, що дані будуть нечитабельними принаймні
протягом наступних декількох десятиліть, після чого вони, швидше за все,
застаріють.

19
 Висновки до розділу 1

Перший розділ присвячений визначенню поняття інформаційної безпеки в

цілому, розглянуто стан та перспективи розвитку технологій захисту інформації
та визначені найпоширеніші на сьогодні типи кіберзагроз. Зокрема:

1. Були висвітлені основні принципи сучасної інформаційної безпеки та

визначені можливі відповіді на загрозу або ризик безпеки.
2. Була дослідження структура інформаційної безпеки, основні
принципи захисту інформації та головні вимоги, що висуваються до
сучасних систем протидії кіберзлочинам.
3. Визначено основні підходи до захисту інформації, основні методи
оцінки ризиків та базові принципи їх зменшення.

Спираючись на проведений аналіз та дослідження сучасної інформаційної

безпеки було визначено, що одним з найбільш вразливим до кібератак секторів
є мережа. Саме тому було прийнято рішення зосередити увагу на розв’язання
наступних завдань:

 дослідити існуючі способи виявлення та запобігання вторгнень з

мережі;
 оцінити ефективність існуючих підходів до виявлення
найпоширеніших, на сьогодні, атак;
 визначити слабкі сторони виявлення та запобігання вторгнень та
розробити рішення, які дозволять посилити надійність систем для
захисту інформації.

20
 РОЗДІЛ 2

СИСТЕМИ ВИЯВЛЕННЯ ТА ЗАПОБІГАННЯ АТАК

2.1. Система виявлення вторгнень (IDS)

Система виявлення вторгнень (IDS) – це пристрій або програмне

забезпечення, що контролює мережу або системи для запобігання зловмисної
активності чи порушень політики[19]. Будь-яку шкідливу діяльність чи
порушення зазвичай повідомляється або адміністратору, або збирається
централізовано, використовуючи систему безпеки та управління подіями
(SIEM). Система SIEM поєднує виходи з декількох джерел і використовує
методи фільтрації тривоги, щоб відрізнити шкідливу активність від помилкових
тривог.

Типи IDS мають широкий спектр дії від окремих комп'ютерів до великих
мереж. Найбільш поширені класифікації – мережеві системи виявлення
вторгнень (NIDS) та системи виявлення вторгнень на основі хоста (HIDS).
Система, яка контролює важливі файли операційної системи, є прикладом
HIDS, тоді як система, яка аналізує вхідний мережевий трафік, є прикладом
NIDS. Також можна класифікувати IDS за підходом до виявлення. Найвідоміші
варіанти – це виявлення на основі підписів (розпізнавання поганих моделей,
таких як зловмисне програмне забезпечення) та виявлення на основі аномалії
(виявлення відхилень від моделі "хорошого" трафіку, яка часто покладається на
машинне навчання). Іншим поширеним варіантом є виявлення на основі
репутації (визнання потенційної загрози відповідно до балів репутації). Деякі
продукти IDS мають можливість реагувати на виявлені вторгнення. Системи з
можливостями реагування зазвичай називають системою запобігання вторгнень
(IPS). Системи виявлення вторгнень можуть також слугувати певним цілям,
доповнюючи їх спеціальними інструментами, такими як використання глечика
для меду для приваблювання та оцінки зловмисного трафіку.
21
 2.1.1. Мережева система виявлення вторгнень (NIDS)

Мережеві системи виявлення вторгнень (NIDS) встановлюються в

стратегічній точці всередині мережі для перевірки трафіку з усіх пристроїв у
мережі. Він виконує спостереження за трафіком по всій підмережі і порівнює
трафік, що передається по мережі, з колекції відомих атак. Після виявлення
нападу або якщо було виявлено ненормальну поведінку, попередження може
бути відправлено адміністратору. Прикладом використання NIDS є
встановлення його в підмережі, де розташовані брандмауери, щоб перевірити,
чи хтось намагається зламати брандмауер. В ідеалі можна сканувати весь
вхідний та вихідний трафік, однак це може створити вузьке місце, яке б
погіршило загальну швидкість роботи мережі. OPNET і NetSim - це часто
використовувані інструменти для моделювання систем виявлення вторгнень у
мережу[20]. Системи NIDS також здатні порівнювати підписи для схожих
пакетів, щоб пов'язувати та видаляти виявлені шкідливі пакети, які мають
підпис, що відповідає записам у NIDS. Коли конструкція NIDS класифікується
відповідно до властивості системної інтерактивності, існують два типи: он-лайн
та офлайн-NIDS. Он-лайн NIDS займається моніторингом в режимі реального
часу. Він аналізує пакети Ethernet і застосовує деякі правила, щоб вирішити, чи
це атака чи ні. Офлайн NIDS займається збереженими даними та виконує їх
обробку, щоб вирішити, чи це атака чи ні.

NIDS також можна поєднувати з іншими технологіями для підвищення

частоти виявлення та прогнозування. IDS на основі штучної нейронної мережі
здатний інтелектуально аналізувати величезні обсяги даних завдяки
самоорганізуючої структурі, яка дозволяє INS IDS ефективніше розпізнавати
структури вторгнення. Нейронні мережі допомагають IDS у передбаченні атак
шляхом навчання на помилках; INN IDS допомагає розробити систему
раннього попередження, засновану на двох шарах. Перший шар приймає
поодинокі значення, тоді як другий шар приймає вихідний рівень першого

22
шару як вхідний; цикл повторюється і дозволяє системі автоматично
розпізнавати нові непередбачені зразки в мережі. Ця система може складати
середній показник виявлення та класифікації 99,9%, ґрунтуючись на
результатах дослідження 24 мережевих атак, розділених на чотири категорії:
DOS, Probe, Remote-to-Local, та user-to-root.

2.1.2. Найпоширеніші системи виявлення мережевих вторгнень

(NIDS)

Snort – це безкоштовна мережева система виявлення вторгнень на основі

відкритого коду, що підтримується Cisco Systems. Це найвідоміший інструмент
на ринку з відкритим кодом, працює на різних платформах, включаючи
Windows та Linux, і здатний аналізувати трафік у режимі реального часу[21].

Snort працює в трьох різних режимах: сніфферський режим, реєстратор

пакетів та виявлення вторгнень. Режим виявлення вторгнень заснований на
тому, що називається "базовою політикою", яка є просто набором правил. Snort
дозволяє вільно додавати свої власні правила, або просто завантажити правила,
розроблені та надані спільнотою Snort. Функції виявлення вторгнень Snort
здатні виявити "OS fingerprinting", сканування портів, сканування SMB та
багато інших різних атак за допомогою двох методів виявлення: на основі
підписів та методів на основі аномалії.

23
 Рис. 2.1. Схема роботи Snort

Snort має деякі недоліки. Графічний користувальницький інтерфейс не дуже

зручний для користувачів, навіть незважаючи на те, що багато графічних
інтерфейсів були створені та запроваджені громадою для вирішення цієї
проблеми. Також робота з обробки пакетів може бути повільною і
непосильною. Нарешті, потрібно бути обережними, створюючи власні правила,
щоб помилково не зменшити захищеність системи.

Suricata – це ще одна безкоштовна мережа виявлення вторгнень на основі

відкритого коду[22]. Як зазначається в офіційній документації, Suricata надає
можливості виявлення та запобігання вторгнень в режимі реального часу, а
також функції контролю мережевої безпеки. Таким чином, Suricata може
виступати як повністю замкнута система моніторингу мережі. Вона також
сумісна зі структурою даних Snort, і дає можливість впроваджувати бази
політики Snort в Suricata для додаткової зручності.

Ця система виходить за межі виявлення мережевих вторгнень на вивчення

TLS-сертифікатів, HTTP-запитів та DNS-транзакцій. Щоб забезпечити гарну
інтеграцію з іншими рішеннями, такими як SIEM, Suricata використовує файли
YAML та JSON для вводу та виводу інформації. Навантаження Suricata
розподіляє завдяки своїм багатопотоковим можливостям та прискоренню GPU.

Zeek – монітор безпеки, який також є безкоштовним та має відкритий код.

Як видно з назви, цей NIDS є більш ніж мережевою системою виявлення
вторгнень, оскільки він також забезпечує можливість моніторингу[23]. Zeek
може працювати на Unix, Linux та Mac OS і виконує дві операції: спочатку
реєстрацію трафіку, керовану системою подій, а потім аналіз. Цей проект
відрізняється від Snort тим, що він також працює на прикладному шарі. Іншими
словами, Zeek дає вам можливість відслідковувати різні сервіси з різних рівнів
OSI, таких як HTTP, DNS, трафік SNMP та FTP, завдяки різноманітним
аналізаторам, що стосуються протоколу.

24
 Як і інші рішення NIDS, Zeek використовує методи виявлення на основі
підписів та аномалії. Проект також підтримується великою та різноманітною
спільнотою користувачів, яка надає додаткові переваги учасникам з різних груп
(академії та галузі). Цей IDS, однак, має деякі обмеження, оскільки, як правило,
потрібна велика кількість зусиль надійні навички програмування та досвід
написання сценаріїв для його нормального розгортання і надійної роботи.

OpenWIPS-ng – це безкоштовний NIDS з відкритим кодом, призначений

для бездротових мереж. WIPS – це система захисту від вторгнень у бездротових
мережах[24]. Цей інструмент був розроблений тією ж командою, яка розробила
відомий мережевий інструмент вторгнення Aircrack-ng.

OpenWIPS-ng можна використовувати або як sniffer пакетів WiFi, або для

виявлення вторгнень. OpenWIPS-ng працює виключно в системах Linux і
постачається з трьома основними компонентами:

 Датчик для збору даних і відправки команд.

 Сервер, який містить механізм аналізу.
 Інтерфейс для відображення подій та попереджень.

Рис. 2.2. Структура системи OpenWIPS-ng

25
 Більшість процесів працює на сервері, оскільки там працює більшість
плагінів, і там також збираються пакети. Зв'язок шифрується за замовчуванням
і обробляється двома типами каналів: командним каналом та каналом даних.

Sguil – це колекція компонентів для моніторингу безпеки мережі,

розроблена Робертом Вісшером за ліцензією GPLv3. Поточна стабільна версія
Sguil – 0.9.0, і, як і будь-яка інша NSM, її роль – збір та представлення даних
аналітикам, які можуть виявити та реагувати на вторгнення.

Цей клієнт написаний на tcl/tk, тому він може працювати в будь-якій

операційній системі, яка підтримує цю мову програмування, включаючи Linux,
BSD, Solaris, Mac OS та Win32[25]. Налаштувати його можна, змінивши файл
/etc/sguil/sguil.conf. Після встановлення Sguil аналітики можуть отримувати
сповіщення, у тому числі від Snort, Suricata, OSSEC, Bro та багатьох інших
джерел даних. Вони також можуть класифікувати події та сповіщення та навіть
переадресувати події та сповіщення вищому керівництву.

2.1.3. Система виявлення вторгнень на основі хоста (HIDS)

Система виявлення вторгнень на основі хоста (HIDS) – це система

виявлення вторгнень, яка здатна контролювати та аналізувати внутрішні
компоненти обчислювальної системи, а також мережеві пакети на її мережевих
інтерфейсах, подібно до способу мережевої системи виявлення вторгнень
(NIDS). Це був перший тип програмного забезпечення для виявлення
вторгнень, коли оригінальна цільова система була мейнфрейм-комп'ютером, а
зовнішня взаємодія була нечастою[26].

IDS на основі хоста може частково або повністю контролювати або

динамічну поведінку та стан комп'ютерної системи, виходячи з того, як вона
налаштована. Окрім таких заходів, як динамічна перевірка мережевих пакетів,
орієнтованих на цей конкретний хост (необов'язковий компонент доступний з
більшістю комерційних програмних рішень), HIDS може виявити, яка програма
26
отримує доступ до яких ресурсів, і виявить, що, наприклад, текстовий процесор
раптово і незрозуміло почав змінювати системну базу даних паролів.
Аналогічно, HIDS може дивитись на стан системи, її збережену інформацію, в
оперативній пам'яті, у файловій системі, файлах журналів чи в інших місцях, і
переконатися, що їх вміст виглядає очікувано, і не був змінений
зловмисниками.

HIDS можна вважати агентом, який контролює політику безпеки системи.

Багато користувачів комп’ютерів стикаються з інструментами, які відстежують
динамічну поведінку системи у вигляді антивірусних (AV) пакетів. У той час як
AV-програми часто також відстежують стан системи, вони витрачають багато
часу на перегляд того, що робиться всередині комп'ютера – і чи повинна певна
програма мати доступ до певних системних ресурсів. Лінії тут розмиваються,
оскільки багато інструментів перетинаються у функціональності. Деякі системи
запобігання вторгнень захищають від атак переповнення буфера системної
пам'яті і можуть підвищувати захищеність системи.

Принципова дія HIDS залежить від того, що успішні зловмисники (хакери),

як правило, залишать слід у своїй діяльності. Насправді такі зловмисники часто
хочуть володіти комп’ютером, на який напали, і встановити програмне
забезпечення, яке надасть зловмисникам майбутній доступ до будь-якої
діяльності (реєстрація натискань клавіш, крадіжка особи, спам, активність
ботнету, шпигунське програмне забезпечення тощо).

Теоретично користувач комп'ютера має можливість виявляти будь-які

подібні модифікації, а HIDS намагається зробити саме це і повідомляє про свої
висновки.

В ідеалі HIDS працює спільно з NIDS, таким чином, щоб HIDS знаходив
все, що проходить повз NIDS. Комерційні програмні рішення часто
співвідносять результати HIDS та NIDS, щоб дізнатись, чи проник зловмисник
до цільового хоста.

27
 Загалом HIDS використовує базу даних системних об'єктів, які вона
повинна контролювати – зазвичай (але не обов'язково) об'єкти файлової
системи. HIDS також може перевірити, чи не були змінені відповідні області
пам'яті – наприклад, таблиця системних викликів для Linux та різні віртуальні
табличні структури в Microsoft Windows.

Для кожного предмета, які оброблює HIDS, вінзазвичай запам'ятовує свої

атрибути (дозволи, розмір, дати модифікації) та створює якусь контрольну суму
(хеш MD5, SHA1 або подібний) для вмісту, якщо такий є. Ця інформація
зберігається в захищеній базі даних для подальшого порівняння (база даних
контрольної суми).

Альтернативним методом для HIDS може бути надання функціональності

типу NIDS на рівні мережевого інтерфейсу (NIC) кінцевої точки (або сервера,
робочої станції чи іншого кінцевого пристрою). Забезпечення HIDS на
мережевому рівні має перевагу в наданні більш детальної реєстрації джерела
(IP-адреси) атаки та даних про атаку, наприклад, пакетні дані.

Під час встановлення – і коли будь-який з об'єктів, що відстежуються,

змінюється правомірно – HIDS повинен ініціалізувати свою контрольну базу
даних шляхом сканування відповідних об'єктів. Особи, відповідальні за безпеку
комп'ютера, повинні жорстко контролювати цей процес, щоб запобігти
зловмисного внесення несанкціонованих змін в базу даних. Таким чином, така
ініціалізація зазвичай займає тривалий час і передбачає криптографічне
блокування кожного об'єкта, що контролюється, та бази даних контрольної сум.
Через це розробники HIDS зазвичай будують об'єктну базу даних таким чином,
що часті оновлення бази контрольних сум не потрібні.

Комп'ютерні системи, як правило, мають багато динамічних (часто

змінюваних) об'єктів, які зловмисники хочуть модифікувати – а, отже, повинні
контролюватися HIDS – але їх динамічна природа робить їх непридатними для
техніки контрольної суми[27]. Щоб подолати цю проблему, HIDS використовує
різні інші методи виявлення: моніторинг зміни файлових атрибутів, файлів
28
журналів, які зменшилися в розмірі з моменту останньої перевірки, та численні
інші засоби для виявлення незвичних подій. Після того як системний
адміністратор створив відповідну базу даних об’єктів – в ідеалі за допомогою
інструментів інсталяції HIDS – та ініціалізував базу даних контрольних сум,
HIDS має все необхідне для регулярного сканування об'єктів, що
відслідковуються, та звітування про всі екстремальні ситуації, що сталися.
Звіти можуть мати форму журналів, електронних листів тощо.

Зазвичай HIDS зазвичай намагається запобігти обробці об'єктів-бази даних,

контрольної бази даних та її звітів від будь-якої форми підробки. Зрештою,
якщо зловмисникам вдасться змінити будь-який із об’єктів HIDS-моніторів,
ніщо не зможе перешкодити таким зловмисникам змінити сам HIDS, поки
адміністратори безпеки не застосують відповідних запобіжних заходів.
Наприклад, багато хробаків та вірусів намагаються відключити антивірусні
засоби.

Окрім крипто-методів, HIDS може дозволити адміністраторам зберігати

бази даних на компакт-диску чи інших пристроях пам'яті, налаштаваних лише
для читання (ще один фактор, що сприяє нечастому оновленню) або зберігати
їх хмарі. HIDS часто негайно надсилає свої журнали в хмару – як правило,
використовуючи VPN-канали до якоїсь центральної системи управління. В
хмарі може вирішуватися чи є даний тип HIDS надійним, чи, можливо, він був
змінений зловмисниками. Хоча сфера застосування хмарної обробки багато в
чому відрізняється від HIDS, вона принципово забезпечує спосіб визначити, чи
змінював хто-небудь частину системи. В архітектурному відношенні це
забезпечує остаточне виявлення вторгнень на основі хоста, що залежить від
обладнання, яке знаходиться поза системою, таким чином, зловмиснику
набагато складніше пошкодити його об'єкти та бази даних контрольної суми.

2.1.4. Найпоширеніші системи виявлення вторгнень на основі хоста

(HIDS)
29
 OSSEC – це безкоштовна та відкрита система з відкритим кодом на основі
системи виявлення вторгнень, розроблена та підтримувана фондом OSSEC
завдяки величезному списку учасників. Пізніше він був власником Trend
Micro[28]. Це зростаючий проект із близько 5000 завантажень щомісяця і
характеризується своєю масштабованістю та підтримкою
багатоплатформеності, оскільки він працює в Windows, різних дистрибутивах
Linux та MacOS.

Як HIDS, цей інструмент надає можливість виконувати аналіз журналу,

перевірку цілісності файлів, моніторинг політики та виявлення руткітів,
використовуючи як методи виявлення сігнатур, так і аномалії. Він дає цінні
відомості про системні операції з метою виявлення аномалій. OSSEC
використовує модель сервер-агент – це означає, що виділений сервер
забезпечує агрегацію та аналіз для кожного хоста. Щоб встановити та
налаштувати OSSEC, кроки досить прості, але у OSSEC є деякі недоліки.
Наприклад, при оновленні до нової версії, втрачаються правила, визначені
через операцію перезапису, якщо попередньо не експортувати ці правила та
імпортувати їх після міграції. Однак при об’єднанні кількох пристроїв та різних
сервісів (веб-серверів, баз даних, брандмауерів тощо), OSSEC є хорошим
вибором як потужний механізм аналізу журналів.

Tripwire – це безкоштовна система з відкритим кодом, заснована на захисті

хостів, розроблена Tripwire[29]. Компанія пропонує комерційне рішення, але
також є HIDS з відкритим кодом. Пакет Tripwire з відкритим кодом працює
виключно на майже всіх дистрибутивах Linux. Відомий своїми чудовими
можливостями для забезпечення цілісності даних, він допомагає системним
адміністраторам виявляти зміни в системних файлах та повідомляти їх про
наявність пошкоджених або підроблених файлів.

Щоб встановити його на хості Linux, можна просто скористатися утилітами

apt-get або yum. Під час встановлення буде запропоновано додати необхідну
парольну фразу. Після її встановлення потрібно буде ініціювати базу даних, і

30
можна легко розпочати перевірку. Якщо потрібна добре інтегрована система
виявлення вторгнень Linux, Tripwire з відкритим кодом може бути найкращим
вибором, але він має кілька обмежень. Наприклад, він не має повідомлень у
режимі реального часу, тому журнали повинні переглядатися самостійно.
Також Tripwire може виявляти тільки ті порушення, що трапилися після її
встановлення, і не може виявляти шкідливі дій до її інсталяції.

Wazuh – це ще одне відкрите джерело моніторингу для перевірки

цілісності, реакції на інциденти та дотримання вимог безпеки системи. Остання
версія – 3.8.2[30]. Ця система була утворена як частина OSSEC, і як свідчить
офіційна документація, була побудована з більшою надійністю та
масштабованістю. Wazuh використовує методи виявлення аномалії та сігнатур
для виявлення руткітів на додаток до аналізу журналу, перевірки цілісності,
моніторингу реєстру Windows та активного реагування. Він відрізняється від
OSSEC своєю здатністю інтегруватися з ELK, покращеним набором правил і
можливістю використовувати API. Wazuh також можна використовувати для
моніторингу файлів у контейнерах Docker, зосереджуючи увагу на постійних
томах та прив'язуванні точок монтування.

Цей HIDS складається з 3 основних компонентів: агенти, сервер та

еластичний стек. Його агенти працюють на операційних системах Windows,
Linux, Solaris, BSD та Mac. Щоб дізнатися, як встановити проект,
рекомендується дотримуватися офіційного керівництва по встановленню.
Етапи прості у виконанні та добре пояснені. Wazuh має кілька недоліків.
Встановлення сервера та API можуть бути складними у виконанні щоб
коректну працездатність системи.

Samhain – це HIDS з відкритим кодом з центральним управлінням, який

допомагає перевірити цілісність файлів, відстежувати файли журналів та
виявляти приховані процеси[31]. Це багатоплатформене рішення працює на
системах POSIX (Unix, Linux, Cygwin / Windows).

31
 Встановити Samhain дуже просто, просто потрібно завантажити файл tar.gz
з офіційної веб-сторінки та встановити його у системі. Перед цим вам потрібно
переконатися, що на сервері працюють MySQL та Apache. Проекти Samhain
оснащені великою та детальною документацією. Цей HIDS також надає
можливості централізованого та зашифрованого моніторингу через комунікації
TCP / IP. Він відрізняється від інших HIDS з відкритим кодом, своїми
можливостями прихованості – маскуючи себе від зловмисників, завдяки
специфічному коду, складеного його розробниками. Хоча громада Samhain
хороша, її встановити складніше, ніж інші HIDS. Клієнти Windows вимагають
встановлення Cygwin, а його звіти спочатку складні для розуміння.

Security Onion – це безкоштовна та відкрита система виявлення вторгнень,

побудована на Linux, розроблена та підтримувана Doug Burks[32]. Цей проект
складається з трьох компонентів: повна функція захоплення пакетів, системи
виявлення вторгнень, які пов'язують події на основі хоста з подіями на основі
мережі, а також безліч інших наборів інструментів, включаючи Snort, Bro,
Sguil, Suricata та багато інших утиліт.

Security Onion – це більше, ніж система виявлення вторгнень. Зрештою, при

бажанні, можна легко і за лічені хвилини створити платформу Network Security
Monitoring (NSM). Цей інструмент дуже зручний завдяки дружньому
інтерфейсу.

Перш ніж встановлювати його, потрібно знати, що Security Onion підтримує

лише 64-розрядне обладнання. Поглиблені технічні вимоги також можна знайти
в офіційній документації. Етапи встановлення Security Onion досить прості.
Прочитавши документацію, включаючи вимоги та примітки до випуску,
потрібно завантажити ISO-образ.

Security Onion – найкращий вибір, якщо необхідно встановити моніторинг

безпеки за короткий час, але він має деякі недоліки. По-перше, він не підтримує
Wi-Fi для управління мережею. Крім того, для ефективного управління та
розповсюдження потрібен досвід роботи з різними інструментами. На додаток
32
до цього, він автоматично не створює резервні копії конфігурацій, крім правил.
Для цього потрібно буде скористатися сторонніми утилітами.

2.2. Система запобігання вторгнень (IPS)

Система запобігання вторгнень (IPS) – це форма захисту мережі, яка працює

на виявлення та запобігання виявленим загрозам[33]. Системи попередження
вторгнень постійно контролюють мережу, шукаючи можливі шкідливі випадки
та фіксуючи інформацію про них. IPS повідомляє про ці події системним
адміністраторам і вживає запобіжних заходів, таких як закриття точок доступу
та налаштування брандмауерів для запобігання майбутніх атак. Рішення IPS
можуть також використовуватися для виявлення проблем із політикою
корпоративного захисту, застерігаючи співробітників та гостей мережі від
порушення правил, які містяться в цій політиці.

Оскільки в типовій бізнес-мережі існує стільки точок доступу, важливо

мати спосіб контролювати ознаки можливих порушень, інцидентів та
неминучих загроз. Сьогоднішні мережеві загрози стають все більш
досконалими та здатними проникнути навіть у найнадійніші рішення для
безпеки.

Системи запобігання вторгнень вважаються розширеннями систем

виявлення вторгнень, оскільки вони обидві відстежують мережевий трафік та /
або системну діяльність щодо зловмисної діяльності. Основні відмінності
полягають у тому, що, на відміну від систем виявлення вторгнень, системи
запобігання вторгнень розміщуються в мережі та здатні активно запобігати або
блокувати виявлені вторгнення. IPS може вживати таких дій, як надсилання
сигналу тривоги, скидання виявлених зловмисних пакетів, скидання з’єднання
або блокування трафіку зі зловмисної IP-адреси. IPS також може виправляти
помилки циклічної перевірки надмірності (CRC), дефрагментувати потоки

33
пакетів, зменшувати проблеми послідовності TCP та очищати небажані
варіанти транспортного та мережевого рівнів.

Системи запобігання вторгнень працюють, скануючи весь мережевий

трафік. Існує ряд різних загроз, для запобігання яких призначені IPS:

 Атака відмови в службі (DoS)

 Атака розподіленого відмови в обслуговуванні (DDoS)
 Різні види вразливостей
 Черви
 Віруси

IPS здійснює перевірку пакетів у режимі реального часу, глибоко

перевіряючи кожен пакет, який подорожує по мережі. Якщо виявлені будь-які
зловмисні або підозрілі пакети, IPS здійснить одну з наступних дій:

 Припинить сеанс TCP, який експлуатується, і заблокує доступ до

злочинної IP-адреси або облікового запису користувача-
правопорушника від доступу до будь-якої програми, націлених хостів
або інших мережевих ресурсів.
 Перепрограмує або переконфігурує брандмауер, щоб запобігти
подібній атаці в майбутньому.
 Видалить або замінить будь-який шкідливий вміст, який залишається
в мережі після нападу. Це робиться шляхом упаковки корисних
навантажень, видалення інформації заголовка та видалення заражених
вкладень з файлових або електронних серверів.

2.2.1. Мережева система запобігання вторгнень (NIPS)

Мережева система запобігання вторгнень (NIPS) – це система, яка

використовується для контролю мережі, а також захисту конфіденційності,
цілісності та доступності мережі[26]. Основні її функції включають захист
34
мережі від загроз, таких як відмова в обслуговуванні (DoS) та несанкціоноване
використання.

NIPS відстежує мережу на предмет шкідливої активності або підозрілого

трафіку, аналізуючи протокольну активність. Після встановлення NIPS в
мережі він використовується для створення фізичних зон безпеки. Це, у свою
чергу, робить мережу розумною та швидко відрізняє "хороший" трафік від
"поганого" трафіку. Іншими словами, NIPS стає подібною до в'язниці для
ворожого трафіку, такого як трояни, черв'яки, віруси та поліморфні загрози.

Система запобігання вторгнень (IPS) знаходиться в мережі та стежить за

трафіком. Коли виникає підозріла подія, вона вживає заходів, виходячи з
певних встановлених правил. IPS – це активний пристрій в режимі реального
часу на відміну від системи виявлення вторгнень, яка не є вбудованою і є
пасивним пристроєм. IPS вважаються еволюцією системи виявлення вторгнень.

NIPS виробляються за допомогою високошвидкісних інтегральних схем

(ASIC) та мережевих процесорів, які використовуються для швидкісного
мережевого трафіку, оскільки вони розроблені для паралельного виконання
десятків тисяч інструкцій та порівнянь, на відміну від мікропроцесора, який
виконує одну інструкцію за раз.

Більшість NIPS використовують один із трьох методів виявлення наступним

чином:

Виявлення на основі підпису: Підписи – це заздалегідь визначені та

попередньо налаштовані шаблони атак. Цей метод виявлення відстежує
мережевий трафік і порівнює його з попередньо налаштованими підписами,
щоб знайти відповідність. Після успішного виявлення співпадіння, NIPS вживає
наступних відповідних дій. Цей тип виявлення атак не може запобігти загрозам
нульового дня. Однак він виявився дуже хорошим проти одиночних пакетних
атак.

35
 Виявлення на основі аномалії: Цей метод виявлення створює базову лінію
для середніх мережевих умов. Після створення базової лінії система періодично
відбирає мережевий трафік на основі статистичного аналізу та порівнює
вибірку зі створеною базовою лінією. Якщо активність виявляється поза
базовими параметрами, NIPS вживає необхідних дій.

Виявлення аналізу стану протоколу: Цей тип виявлення ідентифікує

відхилення станів протоколу шляхом порівняння спостережуваних подій з
попередньо визначеними профілями.

2.2.2. Система бездротового запобігання вторгнень (WIPS)

Система бездротового запобігання вторгнень (WIPS) – це мережевий

пристрій, який контролює радіоспектр на предмет наявності несанкціонованих
точок доступу (виявлення вторгнень) і може автоматично вживати контрзаходи
(запобігання вторгнень).

Основна мета WIPS – запобігти несанкціонованому доступу до локальних

мереж та інших інформаційних ресурсів бездротовими пристроями. Ці системи,
як правило, реалізуються як накладення на існуючу інфраструктуру бездротової
локальної мережі, хоча вони можуть бути розгорнуті окремо, щоб
застосовувати політику бездротового зв'язку в організації[34]. Деякі передові
бездротові інфраструктури мають інтегровані можливості WIPS.

Великі організації з численними працівниками особливо вразливі до

порушень безпеки, викликаних шахрайськими точками доступу. Якщо
працівник (довірений суб'єкт господарювання) в одному місці розміщує
легкодоступний бездротовий маршрутизатор, вся мережа може бути піддана
впливу будь-кого, хто знаходиться в межах сигналів.

36
 У липні 2009 року Рада стандартів безпеки PCI опублікувала інструкції з
бездротового зв’язку для PCI DSS, рекомендуючи використовувати WIPS для
автоматизації бездротового сканування для великих організацій[35].

Система бездротового запобігання вторгнень (WIPS) вбудовує в

інфраструктуру бездротової мережі повний набір можливостей для виявлення і
нейтралізації бездротових загроз. Завдяки цьому дане рішення є найбільш
повним, точним і економічно найефективнішим в галузі з точки зору
забезпечення безпеки операцій в бездротової мережі.

Труднощі при захисті бездротової мережі. Поширення бездротових мереж і

велика кількість нових мобільних обчислювальних пристроїв розмили
традиційні кордони між довіреними і не довіреними мережами, а також
перемістили пріоритети безпеки з мережевого периметра на захист інформації
та на забезпечення безпеки користувачів.

До числа проблем ІТ-безпеки відносяться: нелегальні точки доступу, що

створюють т. н. «Чорний хід», DDoS-атаки (Distributed denial-of-service),
мережева розвідка «по повітрю», підслуховування, злам трафіку і необхідність
демонструвати відповідність галузевим вимогам.

Рішення WIPS володіє наступними ключовими характеристиками і

перевагами:

Виявлення, локалізація, класифікація і блокування нелегальних точок

доступу. Рішення wIPS виявляє, автоматично класифікує на основі
настроюються правил і блокує нелегальні точки доступу, клієнтів нелегальних
точок доступу, помилкових клієнтів і клієнтські ad hoc з'єднання.

 Виявлення бездротових атак. Рішення WIPS ідентифікує і локалізує

атаки на бездротову мережу, в т. ч. нелегальні точки доступу, DoS-
атаки на валідних клієнтів і мережу, атаки типу man-in-the-middle,
спроби використання чужого пароля, атаки нульового дня і нові
невідомі атаки.
37
  Моніторинг вразливостей захисту. Рішення WIPS самостійно виконує
автоматичний цілодобовий моніторинг і оцінку бездротових
вразливостей шляхом попереджувального і постійного сканування
бездротової мережі на предмет ослаблення захисту і конфігурацій, що
не відповідають політикам безпеки.
 Управління, моніторинг та звітність. Рішення WIPS повністю
інтегровано в інфраструктуру, що забезпечує єдине уніфіковане
уявлення для управління дротової і бездротової мережею.

2.2.3. Аналіз поведінки в мережі (NBA)

Аналіз поведінки в мережі (NBA) – це спосіб підвищити безпеку приватної

мережі шляхом моніторингу трафіку та відзначаючи незвичні дії або
відхилення від нормальної роботи. Звичайні системні рішення щодо
запобігання вторгнень захищають периметр мережі за допомогою перевірки
пакетів, виявлення підписів та блокування в режимі реального часу. Рішення
НБА спостерігають за тим, що відбувається всередині мережі, агрегуючи дані з
багатьох точок для підтримки офлайн-аналізу[36].

Встановивши орієнтир для нормального трафіку, програма NBA пасивно

відстежує активність мережі та прапорці невідомих, нових чи незвичних
моделей, які можуть вказувати на наявність загрози. Програма також може
відстежувати та фіксувати тенденції в пропускній здатності та використанні
протоколів. Аналіз поведінки в мережі особливо добре підходить для виявлення
нових зловмисних програм та запобігання атакам нульового дня.

Хороша програма NBA може допомогти адміністратору мережі

мінімізувати час та затрати праці на пошук та вирішення проблем. Це рішення
слід використовувати як доповнення до захисту, що забезпечується мережевим
брандмауером, системою виявлення вторгнень, антивірусним програмним
забезпеченням та програмою виявлення шпигунських програм.

38
 Загальну модель NBA зображено на Рис. 2.3.

Рис. 2.3. Структура системи NBA

Сніфер збирає дані з обраного мережевого сегмента та робить попередню

обробку. Він здатен перехоплювати мережевий трафік у вибраному режимі
взаємодії (динамічно розпізнавати додаткові підключені інтерфейси та
мережеві модулі за необхідності) відповідно критерію фільтрації, обраному
інженером (підтримуючи різні протоколи другого і третього рівнів моделі OSI,
а також протоколи вищих рівнів, роблячи можливим фільтрувати трафік, що
проходить через з'єднання, використовуючи вибрані порти, або фізичні, або
логічні адреси).

Механізм обробки даних зможе створити підсумки отриманих даних

відповідно до критеріїв фільтрації, заданих користувальницьким інтерфейсом.
Його завдання полягатиме в порівнянні спостережуваного мережевого трафіку
з набором моделей поведінки мережі.

39
 Модельна поведінка мережі зібрана у двох місцях – базі даних отриманої
інформації та базі даних моделей, вивчених через аналіз обраної комп'ютерної
мережі. Завдяки такому порівняльному аналізу можна буде зробити висновок,
чи правильно працює мережа, і якщо є якісь порушення система повинна
сповістити користувача про їх найбільш ймовірну причину.

2.2.4. Система запобігання вторгнень на основі хоста (HIPS)

Система запобігання вторгнень на основі хоста (HIPS) – це система або

програма, що використовується для захисту критичних комп'ютерних систем,
що містять важливі дані від вірусів та інших шкідливих програм, що поширені
в Інтернеті[37]. Починаючи від мережевого рівня аж до рівня програми, HIPS
захищає від відомих і невідомих атак. HIPS регулярно перевіряє
характеристики одного хоста та різні події, що відбуваються всередині хоста,
на предмет підозрілих дій.

HIPS може бути застосований на різних машинах, включаючи сервери,

робочі станції та комп'ютери.

HIPS використовує базу даних системних об'єктів, що контролюються для

ідентифікації вторгнень, аналізуючи системні виклики, журнали програм та
модифікації файлової системи (бінарні файли, файли паролів, бази даних
можливостей та списки контролю доступу). Для кожного об'єкта, про який йде
мова, HIPS запам'ятовує атрибути кожного об'єкта та створює контрольну суму
на вміст. Ця інформація зберігається в захищеній базі даних для подальшого
порівняння.

Система також перевіряє, чи не були змінені відповідні області пам'яті. Як

правило, HIPS не використовує вірусні зразки для виявлення шкідливого
програмного забезпечення, а підтримує список надійних програм. Програмі, яка
перевищує свої дозволи, забороняється виконувати незатверджені дії.

40
 HIPS має численні переваги. Перш за все, підприємства та домашні
користувачі більш захищенні від невідомих загроз та атак. HIPS використовує
своєрідну систему профілактики, яка має більше шансів зупинити такі напади
порівняно з традиційними захисними засобами. Ще однією перевагою
використання такої системи є необхідність запуску та управління кількома
програмами безпеки для захисту ПК, таких як антивірус, антишпигунське
програмне забезпечення та брандмауер.

41
 Висновки до розділу 2

Другий розділ присвячений дослідженню систем виявлення та запобігання

атак, способів та алгоритмів протидії кіберзлочинів, розглянуто сьогоднішній
стан і перспективи застосування технологій IDS / IPS в рамках сучасних мереж,
розглянуто приклади успішного впровадження лідерами ринку рішень з
використанням IDS / IPS, що дозволить скласти картину сучасного стану
технології та можливості вирішення поставлених завдань. А саме:

1. Проведено дослідження сучасного стану розвитку систем IDS / IPS в

комп’ютерних мережах, розглянуто основні структурні елементи
таких систем та проблеми, які дозволяє повністю або частково
вирішуються через встановлення та налаштування таких систем
виявлення та запобігання атак.
2. Визначені основні переваги та недоліки систем IDS / IPS відносно
існуючих на сьогодні відомих загроз.
3. Були порівняні системи захисту інформації які зосереджені на
мережевому захисті з тими, що базуються безпосередньо на хості.
4. Аргументовано необхідність встановлення систем IDS / IPS, що
дозволить спростити адміністрування безпеки мереж,
переконфігурацію за рахунок централізованого управління
структурою безпеки, а також полегшить адаптацію системи безпеки
до різних умов функціонування. Впровадження цього підходу
сприятиме підвищенню захищеності мережі і дозволить, певною
мірою, захиститися навіть від найбільш несподіваних атак.
5. Були досліджені основні недоліки існуючих систем та складності, що
можуть виникати при встановленні та налаштуванні систем IDS / IPS.

Спираючись на проведений аналіз та дослідження існуючих систем

виявлення та запобігання атак було визначено, що одним з найбільш складних
для опрацювання цими системами є шифрований трафік. Його дослідження
42
вимагає володіння секретними ключами шифрування і, крім того значно
сповільнює обробку даних. Саме тому було прийнято рішення зосередити увагу
на розв’язання наступних завдань:

 розробити спосіб аналізу зашифрованого трафіку на предмет

потенційно шкідливих дій, без необхідності його розшифровування.
 розробити програмний модуль для виявлення шкідливих дій, для
одного, з найбільш поширених на сьогодні протоколів прикладного
рівня – HTTP, а саме, його версії з шифруванням – HTTPS, з метою
демонстрації запропонованої концепції.
 оцінити ефективність запропонованого підходу, виділити переваги та
недоліки, а також вказати на сфери можливого застосування
запропонованого рішення.

43
 РОЗДІЛ 3

РОЗРОБКА СИСТЕМИ ВИЯВЛЕННЯ ШКІДЛИВОГО HTTPS ТРАФІКУ

3.1. Проблематика аналізу HTTPS трафіку.

HTTPS (аббривіатура від англ. Hyper Text Transfer Protocol Secure) –

розширення протоколу HTTP для підтримки шифрування з метою підвищення
безпеки. Дані в протоколі HTTPS передаються поверх криптографічних
протоколів SSL або TLS. На відміну від HTTP з TCP-портом 80, для HTTPS за
замовчуванням використовується TCP-порт 443.[38]

Загалом, HTTP/TLS-запити генеруються шляхом перенаправлення URI. Як

наслідок, ім'я хоста сервера відоме клієнту. Якщо ім'я хоста доступне, клієнт
повинен перевірити його ідентифікатор сервера, представлений у повідомленні
сертифіката сервера, з метою запобігання нападів "людина по середині".

Як уже зазначалося, сертифікати SSL мають пов'язану пару публічного та

приватного ключів. Відкритий ключ поширюється як частина сертифіката, а
приватний ключ зберігається надзвичайно безпечно. Ця пара асиметричних
ключів використовується в "рукостисканні" SSL для обміну ще одним ключем
між двома сторонами для симетричного шифрування та дешифрування даних.
Клієнт використовує відкритий ключ сервера, щоб зашифрувати симетричний
ключ і надійно надіслати його серверу, а сервер використовує його приватний
ключ для його розшифрування. Кожен може шифрувати за допомогою
відкритого ключа, але лише сервер може розшифрувати за допомогою
приватного ключа.

Однак те, що було розроблено для захисту користувачів може бути

застосовано зловмисниками для обходу захисту системи. Шифрування трафіку
значним чином ускладнює, а подекуди й взагалі унеможливлює аналіз потоків
даних системами захисту, таких як мережевих екранів, брандмауерів та

44
антивірусів. Це означає, що якщо зловмисник вже потрапив до мережі і заразив
комп’ютер то надалі, він може спокійно, без перепон віддалено керувати
комп’ютером, сканувати мережу та скачувати необхідні дані використовуючи
шифрування, і жоден мережевий екран не зможе виявити такі дії. На сьогодні
існує два основних підходи до вирішення цієї проблеми:

 Аудит системи безпеки на кінцевому хості.

 Мережевий пристрій з DPI.

Проте обидва ці підходи є недосконалими.

3.1.1. Аудит системи безпеки на кінцевому хості.

Аудит – це процес аналізу інформації, що накопичилася, який проводиться в

реальному часі або періодично. В термінах операційних систем аудит – це
процес, що дозволяє фіксувати події, що відбуваються в операційній системі і
мають відношення до безпеки[39]. Наприклад, спроби створити об'єкти
файлової системи або активні директорії, отримати до них доступ або видалити
їх. Інформація про такі події заноситься до журналу подій операційної системи.
Засоби аудиту мають включати в собі засоби сповіщення адміністратора про
події, що мають відношення до безпеки системи.

Можливості, які надає аудит:

 Дізнатися про усі дії користувачів та адміністраторів;

 Можливість дізнатися послідовність виконаних подій;
 Можливість виявити спроби порушення інформаційної безпеки;
 Можливість отримання інформації для аналізу та діагностики
технічних проблем в системі.

Після ввімкнення аудиту операційна система починає відстежувати і

протоколювати події, пов'язані з безпекою. В налаштуваннях аудиту необхідно
вказати, які події мають відслідковуватися. Отриману інформацію можна
45
переглянути за допомогою стандартних засобів перегляду подій (Event Viewer).
Кожен запис журналу зберігає дані про тип виконаної дії, користувача, що її
виконав, дату і момент часу виконання даної дії, а також багато іншої
додаткової інформації.

Система аудита дозволяє відстежувати успішні та невдалі спроби виконання

певної дії, тому за перегляду журналу подій можна з'ясувати, хто виконав, або
спробував виконати заборонену дію [40].

Аудит реалізується через налаштування локальних політик безпеки, а саме

політик аудиту. Політика аудиту визначає, які події і для яких об'єктів будуть
заноситися в журнал подій безпеки. Аналіз журналу даних відноситься до
організаційних заходів, для підтримки яких може використовуватися
найрізноманітніше програмне забезпечення. У найпростішому випадку можна
користуватися стандартним додатком Перегляд подій (Event Viewer).

Для того, щоб зробити аналіз більш ефективним можна застосовувати більш
потужні і прогресивні програми і системи управління подіями безпеки (Security
Information and Event Management), що забезпечують постійний контроль
журналів безпеки, виявлення нових подій, їх класифікацію, сповіщення
адміністратора при виявленні критичних подій. Журнал безпеки представляє
собою базу даних або простіше кажучи файл, в якому реєструються події,
пов'язані з безпекою.

Налаштування засобів аудиту дозволяє вибрати типи подій, що підлягають

реєстрації, і визначити, які саме параметри будуть реєструватися. Загальними
подіями аудиту безпеки є:

 доступ до файлів і каталогів

 управління обліковими записами користувачів і груп
 вхід користувачів в систему і вихід з неї

46
 Системні журнали є основним і загалом единим джерелом інформації для
подальшого аудиту та виявлення порушень безпеки, тому питанню захисту
системних журналів від нелегальних змін повинна приділятися особлива увага.

Недоліком системи протоколювання є те, що вона спроектована таким

чином, що будь-який користувач може довільним чином змінювати записи у
системних журналах, для системи безпеки цей недолік має критичне значення.

Також досить важливим є питання про зберігання системних журналів.

Журнали зберігаються на носії інформації, тому може виникнути проблема
переповнення цього носія, а саме у системному журналі.

Система при цьому налаштована реагувати на ці події може бути по

різному, наприклад: система може бути заблокована до моменту вирішення
проблеми з доступним дисковим простором; можуть бути автоматично
видалені найстаріші записи системних журналів; система може продовжити
функціонування тимчасово призупинивши протоколювання інформації.
Безумовно, останній варіант в більшості випадків є неприйнятним, і спосіб
зберігання системних журналів має бути чітко зарегламентований в політиці
безпеки організації, що збирається його використовувати.

В загальному випадку фіксуються такі параметри, що стосуються подій, що

здійснюються користувачами:

 виконана дія
 ідентифікатори користувачів і груп, які виконали дію
 дата і час виконання

Передбачені два рівні аудиту:

 Рівень авторизації служби, на якому проводиться авторизація

абонента.
 Рівень повідомлень, на якому WCF перевіряє допустимість
повідомлень і легітимність абонента.

47
 Будь-яка система аудиту, у будь-якій операційній системі, сама по собі не
забезпечує жодного додаткового захисту, але надає можливість отримати усю
інформацію про усі системні події та порушення безпеки, або такі спроби,
завдяки чому можна вживати певні попереджуючі заходи. Ця система
призначена для моніторингу критичних, з точки зору безпеки, подій у системі.

3.1.2. Мережевий пристрій з DPI.

Deep packet inspection (DPI) – це тип обробки даних, який детально

перевіряє дані, що надсилаються по комп'ютерній мережі, і зазвичай вживає
заходів, блокуючи, перенаправляючи або реєструючи їх відповідно. DPI часто
використовується для того, щоб забезпечити правильність формату даних, щоб
перевірити наявність шкідливого коду, а також для підслуховування та
цензурування Інтернету. Є кілька заголовків для IP-пакетів; мережеве
обладнання потребує використання лише першого (IP-заголовка) для
нормальної роботи, але використання другого заголовка (наприклад, TCP або
UDP), як правило, вважається неглибоким оглядом пакетів (зазвичай
називається стаціонарним оглядом пакетів). [41]

Існує кілька способів одержання пакетів для глибокої перевірки пакетів.

Використання дзеркального відображення порту (іноді його називають Span
Port) – дуже поширений спосіб, а також використання оптичного сплітеру.

Глибока перевірка пакетів (і фільтрування) дозволяє розвинути мережеве

управління, сервісне обслуговування користувачів та функції безпеки, а також
збирання та накопичення даних, підслуховування та цензура Інтернету. Хоча
DPI використовується для управління Інтернетом протягом багатьох років,
деякі прихильники нейтралітету мережі побоюються, що ця методика може
бути використана антиконкурентно або для зменшення відкритості Інтернету
[42].

48
 DPI використовується в широкому діапазоні застосувань, на так званому
"підприємницькому" рівні (корпорації та більші установи), в постачальниках
послуг зв'язку та в урядах.

Спочатку безпека на рівні підприємства була лише дисципліною по

периметру, з домінуючою філософією запобігання несанкціонованим
користувачам та захисту авторизованих користувачів від зовнішнього світу.
Найбільш часто використовуваним інструментом для досягнення цієї мети був
потужний брандмауер. Він може дозволити тонкий контроль доступу із
зовнішнього світу до заздалегідь визначених напрямків внутрішньої мережі, а
також дозволяти доступ назад до інших хостів лише за умови, що раніше було
зроблено запит у зовнішній світ. [43]

Однак загрози можуть існувати на рівнях, які не видно стаціонарному

брандмауеру. Крім того, збільшення використання ноутбуків на підприємстві
ускладнює попередження проникнення у корпоративну мережу загроз, таких як
віруси, хробаки та шпигунське програмне забезпечення, оскільки багато
користувачів підключать ноутбук до менш захищених мереж, таких як домашні
широкосмугові з'єднання або бездротові мережі в громадських місцях.
Брандмауери також не розрізняють дозволене та заборонене використання
програм із законним доступом. DPI дозволяє ІТ-адміністраторам та
працівникам служби безпеки встановлювати політику та застосовувати їх на
всіх рівнях, включаючи додатки та користувачів, щоб допомогти боротися з
цими загрозами.

Глибока перевірка пакетів здатна виявити кілька видів атак переповнення

буфера. DPI може використовуватися підприємством для запобігання витоку
даних (DLP). Коли користувач електронної пошти намагається надіслати
захищений файл, користувачеві може бути надана інформація про те, як
отримати належний дозвіл на відправку файлу.

Недоліками цієї системи є досить висока вартість та складність

встановлення (приблизно 75000$). Тільки досить великі компанії можуть
49
дозолити собі такі витрати. Крім того, на дешифрування пакету витрачається
досить багато часу, що може дуже негативно позначитися на швидкодію мережі
при великій завантаженості.

Як зазначалося вище, деякі підприємства використовують практику BYoD

(Bring your own device) – це IT-політика, згідно з якою співробітникам
дозволено або рекомендується використовувати особисті мобільні пристрої
(телефони, планшети, ноутбуки) для доступу до корпоративних даних та
систем[44]. Це підвищує зручність роботи, а отже і працездатність. Однак, така
практика унеможливлює використання DPI для дослідження зашифрованого
трафіку, оскільки для цього необхідно було б додавати корпоративний
сертифікат на кожен такий пристрій вручну. Це б могло викликати у
працівників підозри та дискомфорт, що їхня компанія за ними стежить.

Через ці фактори багато середніх та малих підприємств змушені

відмовлятися від таких засобів кібер-захисту, що робить їх цікавою здобиччю
для хакерів.

3.2. Виділення підозрілого трафіку

Будь-який трафік в мережі працює з часовими мітками. Як правило,

більшість протоколів в мережі працюють за принципом запит-відповідь. В
залежності від реалізації протоколу, при відправленні запиту, система
автоматично вмикає таймер та чекає на відповідь. Якщо таймер сплив система
може обірвати зв'язок, або повторити запит. Навіть якщо протокол не працює з
часом напряму, він все одно має певні часові характеристики.

Більшість протоколів є унікальними за своїми часовими характеристиками.

Це означає, що навіть при шифруванні протоколи можна ідентифікувати.

50
 Ідея, що покладена в основу даного дипломного проекту базується на
принципі аналізу часових затримок в одному, з най популярніших на сьогодні
протоколів – HTTP, а саме, його шифровану версію – HTTPS.

Якщо зловмисник якимось чином дізнався секретний ключ сертифікату, що

використовує HTTPS, або підклав свій сертифікат на клієнтську машину як
довірений, то він може легко перехоплювати та модифікувати трафік. Проте
будь-які операції з трафіком вносять свої затримки, а отже, змінюють часові
характеристики трафіку. Така зміна може слугувати ідентифікатором
стороннього вторгнення.

Протокол HTTPS має свої нормовані значення часових інтервалів. Однак ці

показники можуть змінюватися не тільки як результат несанкціонованої
модифікації трафіку. На ці часові інтервали також може впливати мережа.
Проміжні пристрої передачі даних, брандмауери, мережеві екрани – в
залежності від кількості та налаштувань вони можуть вносити різну затримку
та по різному впливати на часові характеристики протоколу. Крім того, ця
характеристика може змінюватися в залежності від завантаженості мережевої
інфраструктури або кінцевого вузла.

Це означає, що у двох різних мережах можуть бути різні еталонні показники

часу та затримок при використанні одного і того самого протоколу. Тому, для
нормальної працездатності системи необхідно попередньо визначити допустимі
значення еталонних показників для поточної інфраструктури. Після
накопичення достатньої кількості інформації можна визначити середні та
допустимі значення різниці в часі між відправленням HTTP запиту та
отримання відповіді.

Для інтеграції цього рішення в інфраструктуру, його необхідно підключити

до системи IDS/IPS як ще одне правило. SNORT – це система IDS, яка
найкраще підходить для вирішення цієї задачі, завдяки своїй надійності та
простоті реалізації.

51
 3.3. Інструмент SNORT та взаємодія з ним

3.3.1. Принцип роботи SNORT

Потрапивши в SNORT, пакет послідовно проходить через декодери,

препроцесори і тільки потім вже потрапляє в детектор, який починає
застосовувати правила[45]. Завдання декодерів зводиться до того, щоб з
протоколів канального рівня (Ethernet, 802.11, Token Ring ...) «витягнути» дані
мережевого і транспортного рівня (IP, TCP, UDP).

Рис. 3.1. Структура системи SNORT

Завданням препроцесорів є підготовка даних з протоколів транспортного і

мережного рівнів до процесу застосування правил. У даній роботі
використовується препроцесор для роботи з TCP, список розв'язуваних їм
завдань в загальному вигляді такий:

 Контроль стану (контроль дотримання протоколу)

 Збірка сеансу (об'єднання даних з декількох пакетів сеансу)
 Нормалізація протоколу

52
 Правильне налаштування препроцесорів може помітно підвищити
продуктивність системи і знизити кількість зайвих даних, що потрапляють в
детектор. Так само, завдяки особливостям архітектури, можна відносно легко
підключити до SNORT самописний препроцесор.

В результаті, перед відправкою в детектор формуються "суперпакет", до

якого починають застосовуватися правила. Процес застосування правил
зводиться до пошуку в "суперпакеті" зазначених в правилі сигнатур. Самі
правила складаються з опису трафіку, шуканої сигнатури, опису загрози і опису
реакції на виявлення.

В загальному випадку правила SNORT мають вигляд:

alert icmp ip src_port –> $HOME_NET dst_port (msg:”Test message”;

sid:1001234; rev:1; classtype:icmp-event;), де

Правило заголовка:

 alert – Дія при спрацюванні правила. Snort генерує попередження,

коли встановлена умова буде виконана.
 ip – IP-джерело звідки прийшло повідомлення. Snort перевіряє всі
джерела.
 port – Порт-джерело. Snort перевіряє всі порти.
 –> – Напрямок. Від джерела до місця призначення.
 $HOME_NET – IP-адреса призначення. Використовується значення
HOME_NET з файлу snort.conf.
 dst_port – Порт призначення. Snort перевіряє всі порти в захищеній
мережі.

Параметри правила

 msg:"Test message" – Snort включить це повідомлення до

попередженням.

53
  sid:1001234 – Ідентифікатор правила Snort. Всі ідентифікатори, що
менші 1000000 зарезервовані, тому використовується будь-яке число,
що більше 1000000).
 rev:1 – Редакційний номер. Ця опція дозволяє полегшити технічне
обслуговування правил.
 classtype: icmp-event – класифікує правило як «icmp-подія», одну з
попередньо визначених категорій Snort. Цей варіант допомагає в
організації правил.

3.3.2. Інтеграція SNORT з розроблюваним додатком.

Для інтеграції розроблюваного алгоритму зі Snort, застосування одних лише

правил недостатньо. Алгоритм виявлення підозрілих дій підключається
напряму в препроцесор Snort як його компонент.

Препроцесор Snort – це тип плагіна, який можна використовувати для

надання додаткової функціональної обробки основному ядру. Динамічні
препроцесори – це автономні бібліотеки, написані на С, які можна компілювати
незалежно від основної бази коду. Потім бібліотеку включають, розміщуючи її
в каталозі, де Snort може знайти її при запуску. Також необхідне оновлення
файлу конфігурації Snort, щоб Snort знав про це.

Кінцевою метою інтеграції є розробка динамічного препроцесора, який буде

здатний виявляти відхилення показників часової затримки, що вказує на те, що
відбулося перехоплення трафіку. Попередньо буде описаний процес
поступового збирання шаблону для препроцесора, його складання, перевірки
завантаження його в Snort під час виконання, а потім перевірки, його можна
викликати, щоб генерувати сповіщення шляхом надсилання зловмисного
трафіку через мережевий сегмент, який він відстежує, і перевіряти, чи ці
сповіщення передаються в SIEM для аналізу.

54
 Висновки до розділу 3

В рамках цього розділу були коротко розглянуті системи глибокого аналізу

пакетів даних DPI та, на прикладі одного, з найбільш поширеного на сьогодні,
протоколу HTTPS, описано проблему використання таких систем для роботи з
шифрованим трафіком. Було обумовлено вибір алгоритму для аналізу
зашифрованого трафіку без необхідності його розшифрування. Для реалізації
цього рішення було запропоновано:

1. Використання характерних саме для протоколу HTTPS часових

затримок. Спочатку, при використанні даного підходу, визначаються
еталонні часові затримки для протоколу HTTPS характерні для
поточної мережевої інфраструктури. Потім, при опрацюванні пакетів
HTTPS, базуючись на знайдених еталонних значеннях, приймається
рішення про те, чи був трафік скомпрометований, чи ні.
2. Спосіб застосування розробленого рішення через приєднання даного
алгоритму як модуля для системи Snort.

Крім цього, були описані основні переваги та потенційні недоліки в

застосуванні запропонованого методу вибору наступного вузла для
перенаправлення пакетів.

55
 РОЗДІЛ 4

РЕАЛІЗАЦІЯ СИСТЕМИ ВИЯВЛЕННЯ ШКІДЛИВОГО HTTPS

ТРАФІКУ НА БАЗІ ІНСТРУМЕНТУ SNORT

4.1. Вимоги до програмного продукту.

Для демонстрації роботи запропонованого алгоритму, було вирішено

розробити програмний препроцесор Snort для системи виявлення зловмисних у
потоках мережевого трафіку для протоколу HTTPS. Розроблювана програма
повинна бути проста, зрозуміла у використанні та забезпечувати виконання
наступних завдань:

1. Тестування мережі з метою генерування бази допустимих та

еталонних часових показників для протоколу HTTPS.
2. Виявлення відхилень від допустимих показників часових затримок та
ідентифікація зловмисного трафіку.
3. Генерація повідомлень в разі виявлення шкідливого трафіку.

Для виконання даного завдання, було обрано інструмент системи виявлення

вторгнень Snort. Хоча правила Snort мають просту структуру, кількість та
різноманітність опцій у синтаксисі правила Snort дозволяє виконувати досить
складний аналіз пакетів, які перевіряються. Це добре для ситуацій, коли
симптоми загрози можуть бути захищені та інкапсульовані в межах одного
логічного виразу [46].

Мінімальні вимоги характеристики ПК для Snort досить несуттєві. Сам він

займає всього 7.3 МБ дискового простору та може працювати на будь-якому
процесорі, що підтримує х86 архітектуру. Проте, оскільки Snort
встановлюється, як правило, в мережі як певний мережевий екран то, для
нормальної працездатності мережі, вимоги до апаратної частини різко
зростають і напряму залежать від розмірів мережевої інфраструктури, її

56
завантаженості та обсягу трафіку, який Snort повинен аналізувати. Також,
значно зростає затребуваний дисковий простір, що необхідний для численних
правил та лог-файлів. Отже рекомендовані вимоги потребують значно кращих
характеристик від апаратної частини і можуть варіюватися.

По-перше, дані Snort можуть займати багато дискового простору, по-друге,

як правило, контролювання систему відбувається дистанційно. Для Linux та
UNIX це означає, використання захищеної оболонки (SSH) та Apache з шаром
захищених сокетів (SSL). Для Windows це означає Термінальні послуги (з
обмеженням, на те, які користувачі та машини можуть підключатися).

Обладнання. Одна з найважливіших речей, яка знадобиться, особливо при

роботі Snort в режимі системи виявлення вторгнень на основі мережі (NIDS), –
це дійсно великий жорсткий диск. Для збереження даних, які використовує
ядро виявлення Snort для перевірки правил, як у файлах syslog, так і в базі
даних, необхідно багато дикого простору.

Ще один рекомендований апаратний компонент для Snort – це другий

інтерфейс Ethernet. Один з інтерфейсів необхідний для типового підключення
до мережі (SSH, веб-сервіси тощо), а інший інтерфейс – для сніффінгу трафіка.
Цей інтерфейс моніторингу, який робить сканування, і є датчиком Snort.

Для нормальної роботи Snort необхідна карта мережевого інтерфейсу (NIC)

для збору потрібної кількості мережевих пакетів. Наприклад, якщо мережа –
100 МБ, то необхідна мережева карта не менша ніж 100 МБ для збору
правильної кількості пакетів. В іншому випадку пакети будуть втрачатися і
зібрати необхідну інформацію буде неможливо.

Крім того, для зберігання даних вам знадобиться жорсткий диск

достатнього розміру. Якщо жорсткий диск занадто малий, є велика ймовірність,
що повідомлення не зможуть бути записані ні в базу даних, ні у файли
журналів. Хорошим налаштуванням для одного датчика Snort може бути розділ
9 ГБ для /var [47].

57
 Операційна система

Snort був розроблений як легкий IDS. В даний час Snort може працювати в
системах x86 Linux, FreeBSD, NetBSD, OpenBSD та Windows. Інші
підтримувані системи включають Sparc Solaris, PowerPC MacOS X та MkLinux
та PA-RISC HP-UX. Сьогодні Snort працює майже на будь-якій сучасній ОС.

4.2. Структура програмного продукту.

В процесі розробки, було визначено 3 основних етапи: налаштування

тестової лабораторії, розробка препроцесорного блоку, налаштування і
підключення системи Snort та перевірка працездатності. Для тестування логіки
був підготований консольний додаток, який надає можливість перехоплювати
та модифікувати трафік користувача.

4.2.1. Налаштування тестової лабораторії.

Тестову лабораторію було складено за допомогою використання

віртуальних машини. Архітектура мережі розділена на декілька сегментів,
використовуючи засоби віртуальних мереж, що надаються віртуальними
машинами VirtualBox. Це дозволяє логічно відокремлювати гостьові віртуальні
машини відповідно до відповідних функцій у тестовій лабораторії. Цей підхід
забезпечує безпеку, фільтруючи трафік через VM, який виконує функції
брандмауера та мережевого шлюзу. Таким чином, трафік між віртуальною та
локальною фізичною мережею та трафік між IPS (Snort) VM та SIEM (Splunk)
VM та хостом інтерфейсу управління Snort можна моніторити та контролювати
окремо.

У цій конфігурації Snort, налаштований як посередник між двома

мережевими сегментами за допомогою пари віртуальних мережевих адаптерів,
що дає змогу контролювати трафік, а не просто пасивно спостерігати за ним.
58
Головна перевага такого налаштування, окрім того, що це дозволяє Snort діяти
як IPS (тобто, відкидати пакети), полягає в тому, що вона дозволяє
конфігурувати один сегмент лабораторії як захищену "пісочницю" для
вивчення зловмисних програм, якщо це потрібно. Відключення IPS VM
дозволить ефективно ізолювати сегмент, що містить скомпрометований хост,
що є дуже корисним засобом "кнопки екстреного вимкнення", якщо щось вийде
з-під контролю.

4.2.2. Розробка препроцесорного блоку.

За основу розроблюваного блоку був взятий приклад динамічного

препроцесора (Dymanic Preprocessor eXample)[48]. Проект надає вихідний код
для "порожнього" плагіна, створює сценарії, які забезпечують об'єднання всіх
необхідних елементів та розподілення вихідних бінарних файлів у потрібні
місця, а також тестовий скрипт (у комплекті з деякими тестовими даними у
вигляді .pcap файлу), щоб перевірити, що плагін працює як слід – принаймні,
ізольовано. Незважаючи на те, що цей проект дуже корисний для початку
роботи, робота з налаштуванням плагіну, реєстрацією та завантаженням Snort
під час запуску та викликом під час виконання вимагає трохи більше роботи, і
не всі кроки, повністю інтуїтивно зрозумілі.

Не налаштований препроцесор розглядає пакети, щоб визначити, чи

відповідає номер вихідного або вихідного порту попередньо визначеному
номеру. Це число визначено у файлі конфігурації Snort, який потрібно змінити,
щоб ввести значення конфігурації для нового препроцесора. Джерело було
змінене, щоб дозволити препроцесору шукати наявність HTTPS протоколу у
потоках мережевого трафіку.

Коли препроцесор виявляє вихідний пакет з HTTPS, він зчитує дані з TCP
заголовку та запам’ятовує їй, а також, час, коли цей пакет до нього надійшов.
Коли приходить відповідь, препроцесор віднімає час коли прийшов пакет від

59
часу, який він запам’ятав та порівнює результат з базою еталонних значень.
Якщо результат виходить за рамки допустимих значень, то генерується
попередження про можливу компрометацію з’єднання.

Виклик функції DynamicPreprocessorData.alertAdd (…), спричиняє

створення попередження, коли необхідні умови виконані. Цей метод приймає
сім параметрів: ідентифікатор препроцесора, ідентифікатор правила, номер
редакції правила, номер класифікації сповіщення, ціна сповіщення, рядок
повідомлення та посилання на метадані, що стосуються попередження.

Класифікаційний номер попередження, який використовується у

вищевказаному методі виклику, походить від файлу класифікації
попередження, який відображає типи класифікації для повідомлень про
попередження: /opt/snort/etc/classification.conf

Константи, визначені у файлі заголовка інформації препроцесора

sf_preproc_info.h, визначають основні та другорядні номери версій, а також ім'я
препроцесора (значення рядка імені є важливим, оскільки воно
використовується для ідентифікації значень конфігурації з конфігураційним
файлом snort.conf) : /opt/snort_dpx/dpx-1.7/sf_preproc_info.h

Snort визначає, де шукати динамічні препреоцесори відповідно до запису у

файлі конфігурації snort.conf: /opt/snort/etc/snort.conf

Новіші версії Snort дозволяють включати та відключати правила та події,

пов’язані з препроцесорами окремо, через окремий файл конфігурації, однак
для цілей цієї роботи достатньо просто направити Snort на автоматичне
включення всіх правил препроцесора із відповідним записом у snort.conf файл
конфігурації: /opt/snort/etc/snort.conf

60
 Рис. 4.1. Автоматичне включення всіх правил препроцесора в snort.conf

В цьому ж файлі конфігурації snort.conf, додамо запис для налаштування

поведінки препроцесора під час виконання. Наступний рядок визначає значення
номера порту; пакет, який обробляється, повинен мати або вихідний, або
цільовий порт, який відповідає цьому значенню, або пакет буде ігноруватися
препроцесором:

Рис. 4.2. Визначення порту в snort.conf

4.2.3. Перевірка працездатності системи.

Для перевірки того, чи буде розроблена система виявляти

скомпрометований HTTPS використовується встановлена в цій мережі
віртуальна машина з операційною системою Kali Linux. Для підміни трафіку
використовується утиліта Ettercap.

Ettercap – це всеосяжний набір для атак “man in the middle”. У ньому є

сніфер прямих зв’язків, фільтрація вмісту на ходу та багато інших цікавих
хитрощів. Він підтримує активне та пасивне розкриття багатьох протоколів та
включає в себе безліч функцій для аналізу мережі та хостів.[49]

За допомогою утиліти Ettercap відбувається підміна змісту HTTPS

повідомлень, що надходять з веб серверу. В даному випадку змінюється
наповнення сайту. Тобто, коли користувач заходить на цікавий для нього сайт,
відбувається підміна і він бачить кінцевий сайт, але зі зловмисно зміненим
контекстом.
61
 Після підключення системи Snort та застосування утиліти Ettercap в лог-
файлах Snort /var/log/snort/sjd_alert.full можна побачити що препроцесор
успішно виявив що над трафіком були здійснені зловмисні дії:

Рис. 4.3. Snort успішно виявив атаку

62
 Висновки до розділу 4

У рамках даного розділу були детально розглянуті аспекти розробки

програмного продукту, обґрунтовано вибір способу написання модулю для
системи попередження та запобігання вторгнень Snort. Крім цього, в даному
розділі було вирішено наступні завдання:

1. Були висунуті вимоги до розроблюваного програмного продукту,

вказані необхідні системні вимоги для апаратної складової, на якій
буде запускатися дана програма а також описані основні завдання, які
програма повинна вирішувати.
2. Було обґрунтовано вибір системи попередження та запобігання
вторгнень Snort, надано короткі відомості цю систему та
перераховано її переваги.
3. Проведено детальний опис віртуальної тестової лабораторії де
запропонований модуль розроблювався та тестувався .
4. Описано процес розробки препроцесорного блоку для системи Snort.
Були надані коментарі щодо основних фалів конфігурації системи
Snort та способу інтеграції препроцесорного блоку в працюючу
систему.
5. Продемонстровано приклад тестового запуску програми, який
демонструє роботу модулю для виявлення компрометації HTTPS
трафіку. Запропонований приклад демонструє виконання алгоритму,
запропонованого в розділі 3 та підтверджує справедливість
запропонованої ідеї для системи виявлення шкідливих дій у потоках
мережевого трафіку.

63
 РОЗДІЛ 5

РОЗРОБКА СТАРТАП ПРОЕКТУ

5.1. Опис ідеї проекту

Системи IPS/IDS мають поширене комерційне застосування, незважаючи на

відносну молодість технології. В розділі 2 були наведені приклади уже
успішних застосувань технології IPS/IDS в корпоративних мережах.
Розроблений програмний продукт призначений для виявлення потенційно
небезпечних дій стосовно протоколу HTTPS у потоках мережевого трафіку і на
даному етапі розробки може бути представлений як повноцінний модуль для
системи Snort. Проте, за умови подальшого розвитку, можна спланувати
основні ідеї, положення та скласти стратегію дій для розробки ефективного,
конкурентно-спроможного додатку.

В рамках дипломного проекту, можна реалізувати 2 ідеї: модуль IDS, що

буде сповіщати про потенційне вторгнення, або система IPS, яка буде
автоматично переривати передачу даних при виявленні потенційно
небезпечного трафіку. В даному розділі, буде описано розробку стартап-
проекту системи виявлення шкідливих дій в потоках мережевого трафіку. В
табл 4.1 викладено зміст ідеї, що пропонується (система виявлення потенційно
небезпечного трафіку в мережі), можливі напрямки застосування ідеї, основні
вигоди, що може отримати користувач з ідеї та чим відрізняється ідея від
існуючих аналогів.

64
 Таблиця 4.1.

Опис ідеї стартап-проекту

Зміст ідеї Напрямки Вигоди для користувача

застосування

Система для виявлення Виявлення Можливість оцінити веб трафік

потенційно вторгнення користувача на предмет
небезпечних дій в потенційної компрометації
потоках мережевого даних та сповістити про це
трафіку на базі системи
Snort Запобігання Можливість миттєво переривати
вторгнення зв'язок при виявленні підозрілих
дій, з метою запобігання втрати
особливо важливої інформації

Аналіз потенційних техніко-економічних переваг ідеї (чим відрізняється від

існуючих аналогів та замінників).

Попереднім колом аналогів є існуючі модулі для аналізу мережевого

трафіку в системах Snort, Suricata, Zeek.

65
 Таблиця 4.2.

Визначення сильних, слабких та нейтральних характеристик ідеї проекту

№ Техніко-економічні Мій Конкуренти W N S

характеристики ідеї проект
1 2 3

1 Можливість + + + - +
застосовувати на інших
платформах

2 Можливість виявляти + - - - +
загрози без
необхідності
розшифровувати
клієнтський трафік

3 Можливість роботи в + - - - +
компаніях з BYoD-
підходом

4 Відсоток неточностей, - + + + +
пов'язаний з
мережевою
інфрастуктурою

Визначений перелік слабких, сильних та нейтральних характеристик та

властивостей ідеї потенційного товару є підґрунтям для формування його
конкурентоспроможності. Як видно з таблиці 4.2, основною перевагою
66
розроблюваного продукту є саме можливість виявляти загрози без необхідності
розшифровувати трафік користувача, а отже можливість впровадження такої
системи в компаніях, які підтримують ідею BYoD, на що і варто зробити
ставку. В майбутньому варто врахувати основний недолік розроблюваного
продукту, а саме додати динамічне перерахування еталонних затримок через
підключення системи машинного навчання.

5.2. Технологічний аудит ідеї проекту

Таблиця 4.3.

Технологічна здійсненність ідеї проекту

№ Ідея проекту Технології її реалізації Наявність Доступність

технології технологій

1 Система для Системи Snort Є в наявності Доступні

виявлення безкоштовно
потенційно
2 небезпечних Бібліотека для мови Є в наявності Доступні
дій в потоках програмування Pyton безкоштовно
мережевого
3 трафіку на Інструкції з Є в наявності Доступні

базі системи підключення модулів безкоштовно

Snort до системи Snort

Обрана технологія реалізації ідеї проекту: системи виявлення вторгнень

Snort, бібліотека для мови програмування Pyton, інструкції з підключення
модулів до системи Snort, в тому числі модуля, запропонованого в даному
дипломному проекті.

67
 5.3. Аналіз ринкових можливостей запуску стартап-проекту

Прогнозується, що ринок IDS / IPS у секторі BFSI (англ. Banking, financial

services and insurance) зросте на рівні CAGR  (англ. Compound annual growth
rate)  на рівні 15% у період з 2019 по 2025 рік.[50] Промисловість BFSI
займається величезною масою фінансових даних, що сприяє страхуванню,
транзакціям та пов'язаним з цим фінансовим послугам для своїх клієнтів. Ці
фінансові установи схильні до величезних кібер-злочинів та фізичних ризиків,
тим самим вимагаючи розширених рішень щодо галузі безпеки. Зростання
прийняття передових технологій, електронної платформ, Інтернету, хмарних
технологій та мобільного банкінгу створило більшу сприйнятливість до
кіберзагроз критичним даним банківських клієнтів. Це посилило вимогу щодо
впровадження рішень IDS / IPS нового покоління в банківському секторі.

Визначення ринкових можливостей, які можна використати під час

ринкового впровадження проекту, та ринкових загроз, які можуть перешкодити
реалізації проекту, дозволяє спланувати напрями розвитку проекту із
урахуванням стану ринкового середовища, потреб потенційних клієнтів та
пропозицій проектів-конкурентів. В таблиці 4.4 наведена попередня
характеристика потенційного ринку для розроблюваного стартап-проекту.

68
 Таблиця 4.4.

Попередня характеристика потенційного ринку стартап-проекту

№ Показники стану ринку Характеристика

1 Кількість головних гравців, од >10

2 Динаміка ринку (якісна оцінка) В сфері IDS / IPS технологій ринок

знаходиться на етапі стрімкого
зросту, в той час як ринок
традиційних брандмауерів суттєво
збавив оберти

3 Наявність обмежень для входу та Велика кількість конкурентів як в

їх характер сфері систем виявлення вторгнень,
так і тих, хто розширює наявні
продукти підтримкою IDS / IPS
систем

69
 Таблиця 4.5.

Характеристика потенційних клієнтів стартап-проекту

№ Потреба, що Цільова аудиторія Вимоги споживачів до товару

формує ринок

1 Можливість Корпоративні Необхідність гнучкого

виявляти загрози в клієнти, налаштування системи,
зашифрованому підприємства, можливість виявляти загрози в
трафіку без організації що зашифрованому трафіку без
необхідності його підтримують ідею необхідності його
розшифрування BYoD розшифрування

2 Необхідність Банківські, Можливість інтеграції системи

миттєво переривати фінансові та інші в налаштовану
мережеве з’єднання установи, які інфраструктуру, надійність
при виявленні мають особливо виявлення потенційних загроз
потенційних загроз чутливу та
конфіденційну
інформацію

70
 Таблиця 4.6.

Фактори загроз

№ Фактор Зміст загрози Можлива реакція компанії

1 Висока На даний момент існує Швидка реакція команди

конкуренція велика кількість аналогів, розробників на побажання
які в основному потенційних клієнтів,
повторюють функціонал постійне оновлення та
одне одного, тому є розширення функціоналу,
загроза не переманити спираючись на останні
клієнта нововведення в IDS / IPS
системах

2 Вузький спектр На ринок треба вийти Затримка моменту виходу

функціоналу і якомога швидше, тому до на ринок, з метою
можливостей цього моменту повинні розширення базового
бути реалізовані всі набору функціоналу на
основні функції для момент старту поширення
забезпечення можливості програми
конкуренції та
розширенню клієнтської
бази

3 Економічний В силу обмеженості в Побудова чіткого бізнес-

фінансовому плані, плану із залученням
можливі накладки, так як інвесторів
до моменту виходу на
ринок компанія не дає
жодного прибутку

71
 Таблиця 4.7.

Фактори можливостей

№ Фактор Зміст можливості Можлива реакція

компанії

1 Залучення Склавши чіткий бізнес- Збільшити штат,

інвестицій план, можна залучити прискорити вихід на
інвесторів, що дозволить ринок, вийти на період
розширити штат і самоокупності раніше
прискорити момент
виходу на ринок

2 Розширення З допомогою продуманої Спланувати рекламну

клієнтської бази PR-кампанії, можна кампанію, проводити
переманити клієнтів презентації та семінари
конкурентів на тему систем IDS /
запропонувавши більш IPS, в яких для
вигідні умови демонстрації буде
використано
розроблюваний
продукт

3 Укладання Укладання договорів на Отримати зв’язки з

контрактів на надання послуг потенційними
роботи тестування та клієнтами та
моделювання мережі використовувати
розроблювану
програму для захисту
мережі на замовлення

72
 Таблиця 4.8.

Ступеневий аналіз конкуренції на ринку

Особливості В чому проявляється дана Вплив на діяльність

конкурентного характеристика підприємства (можливі дії
середовища компанії, щоб бути
конкурентоспроможною)

Складність входу на Ринок не є новим та велика Пропонувати більш

ринок кількість конкурентів уже вигідні умови (навіть з
укріпили свої позиції, можливістю працювати
завели зв'язки та мають без прибутку), аналізувати
налагоджену клієнтську та впроваджувати нові
базу розробки в сфері IDS / IPS
раніше конкурентів,
якісна рекламна кампанія

Загальнодоступність Система Snort базується на Критично важливо

інформації ідеї відкритого коду, а готувати оновлення в
отже, після оприлюднення мінімальний термін і
нового модуля, ця впроваджувати нові ідеї,
інформація стає доступною щоб мати перевагу перед
для всіх конкурентами

Схожість продуктів- Оскільки продукти на Експерементувати з

замінників обраному ринку виконують ідеями для нових
фактично одну і ту ж оновлень, впроваджувати
функцію, важко суттєво нові рішення в
вирізнятися серед мінімальний термін
конкурентів

73
 Таблиця 4.9.

Аналіз конкуренції в галузі за М. Портером

Складові Прямі Потенційні Постачальн Клієнти Товари-

аналізу конкуренти в конкуренти ики замінники
галузі в галузі

Існуючі Wireshark Cisco, Open Банківські, Open

модулі для Information фінансові Source-
аналізу Security та інші рішення
мережевого Foundation установи,
трафіку в які мають
системах особливо
Snort, чутливу та
Suricata, Zeek конфіденц
та інші ійну
інформаці
ю

Висновки: Існує велика Є маса Постачальн Більшість Є

кількість додатків, иками є клієнтів безкоштов
різноманітни що можуть світові уже давно ні рішення
х рішень у виконувати лідери у на ринку розроблені
конкурентів такі ж сфері та мають ентузіаста
операції мережевого налагодже ми для
обладнання ні захисту
контакти з інформації
постачаль в мережах
никами

74
 Таблиця 4.10.

Обґрунтування факторів конкурентоспроможності

№ Фактор Обґрунтування (наведення чинників, що

конкурентоспроможності роблять фактор для порівняння
конкурентних проектів значущим)

1 Можливість виявляти загрози Так як проект на етапі розробки, можна

в зашифрованому трафіку без врахувати переваги та недоліки
необхідності його конкурентів, щоб до виходу на ринок
розшифрування мати кращу систему захисту ніж в інших

2 Забезпечення Більшість з конкурентів розробляють

кросплатформеності додаток під конкретну операційну
систему (переважно Linux). Створення
кросплатформеного додатку розширить
клієнтську базу, завдяки відв’язки
програми від конкретної операційної
системи

3 Швидке реагування на відгуки На етапі розробки неможливо

передбачити всі нюанси застосування.
Завдяки забезпеченню швидкого
відгуку, можна використовувати
користувачів у якості бета-
тестувальників, що дозволить
максимально швидко адаптувати
додаток під потреби реальних клієнтів

75
 Таблиця 4.11.

Порівняльний аналіз сильних та слабких сторін

№ Фактор Бали Рейтинг товарів-конкурентів у по-

конкурентоспроможності 1-20 рівнянні з розроблюваним
продуктом

-3 -2 -1 0 1 2 3

1 Можливість виявляти 18 ✓
загрози в зашифрованому
трафіку без необхідності
його розшифрування

2 Забезпечення 15 ✓
кросплатформеності

3 Швидке реагування на 10 ✓
відгуки

76
 Таблиця 4.12.

SWOT- аналіз стартап-проекту

Сильні сторони: Слабкі сторони:

Можливість виявляти загрози в Велика кількість конкурентів

зашифрованому трафіку без
Наявність opensource рішень
необхідності його розшифрування
Недовіра великих клієнтів
Можливість врахування досвіду
конкурентів

Швидке реагування на
побажання клієнтів

Можливості: Загрози:

Отримати контракти на Програти конкуренцію opensource

впровадження та тестування IDS / проектам
IPS рішень
Не переманити клієнтів від уже
наявних конкурентів

Таблиця 4.13.

77
 Альтернативи ринкового впровадження стартап-проекту

№ Альтернатива ринкової Ймовірність отримання Строки реалізації

поведінки ресурсів

1 Відкриття проекту та Низька, так як в Практично миттєво

розповсюдження в основному це будуть
рамках opensource пожертви ентузіастів.
ліцензії Можливість продажу у
випадку зацікавленості з
боку великих компаній

2 Розповсюдження Висока, оскільки До року, з

проекту через публічними заходами можливістю
конференції, публічні можна поширити ідею продовження
виступи проекту та завести
знайомства з
потенційними
інвесторами та клієнтами

3 Участь в тендерах і Середня, так як на це Кілька місяців, в

укладення договорів з впливають економічні, залежності від
державними установами політичні, особисті наявності запиту з
мотиви і не можна боку держави
гарантувати абсолютну
прозорість та
добросовісну
конкуренцію на цьому
ринку

5.4. Розроблення ринкової стратегії проекту

78
 Таблиця 4.14.

Вибір цільових груп потенційних споживачів

№ Опис профілю Готовність Орієнтовний Інтенсивність Простота

цільової групи споживачів попит в конкуренції в входу у
потенційних сприйняти системах IDS / сегменті сегмент
клієнтів продукт IPS

цільової групи
(сегменту)

1 Банки та Готові Продукт Висока Складний

фінансові сприйняти необхідний конкуренція вхід
установи негайно уже

2 Приватні Не всі Продукт Конкуренція Вхід

компанії користувачі необхідний не середня помірно-
готові всім складний
прийняти

Які цільові групи обрано:

Потрібно працювати зі всіма цільовими групами, перевагу надати

приватними компаніям

79
 Таблиця 4.15.

Визначення базової стратегії розвитку

№ Обрана альтернатива Стратегія Ключові Базова

розвитку проекту охоплення ринку конкурентос- стратегія
проможні розвитку
позиції
відповідно до
обраної
альтернативи

1 Розвиток шляхом Впливати на Виступ на Оперативно

маркетингової обрані цільові конференціях, оновлювати
компанії та групи в порядку вільне продукт
публічної значимості та розповсюдження відповідно до
демонстрації перспектив для навчально- побажань
можливості дослідницьких клієнтів
продукту цілей

80
 Таблиця 4.16.

Визначення базової стратегії конкурентної поведінки

№ Чи є проект Чи буде компанія Чи буде Стратегія

«першопрохідцем» шукати нових компанія конкурентної
на ринку? споживачів, або копіювати поведінки
забирати основні
існуючих у характеристики
конкурентів? товару
конкурента, і
які?

1 Ні, проект не є Необхідно Через схожість Пропонувати

«першопрохідцем» рухатись у різних функціоналу, схожий
напрямках, як компанія буде функціонал на
шукати нових копіювати кращих
споживачів, так і основні умовах,
відбирати характеристики оперативно
існуючих у у конкурентів оновлювати
конкурентів функціонал
відповідно до
нових
стандартів

81
 Таблиця 4.17.

Визначення стратегії позиціонування

№ Вимоги до товару Базова Ключові Вибір

цільової аудиторії стратегія конкуренто- асоціацій, які
розвитку спроможні мають
позиції власного сформувати
стартап-проекту комплексну
позицію
власного
проекту

1 Висока частота Розширити Оперативне Система

оновлення, широкий штат, виправлення виявлення та
функціонал, досліджувати недоліків та запобігання
новини щодо впровадження вторгнень
Кросплатформеність
виходу нових побажань
рішень

82
 5.5. Розроблення маркетингової програми стартап-проекту

Таблиця 4.18.

Визначення ключових переваг концепції потенційного товару

№ Потреба Вигода, яку пропонує Ключові переваги перед

товар конкурентами (існуючі або
такі, що потрібно створити

1 Необхідність Можливість виявляти Можливість виявляти загрози

аналізувати загрози в в зашифрованому трафіку без
зашифрований зашифрованому необхідності його
трафік трафіку без розшифрування.
необхідності його
Підвищена швидкість аналізу
розшифрування
зашифрованих даних

2 Часте оновлення Врахування Створення відділу підтримки

програми побажань клієнтів та для аналізування реагування
виправлення на відгуки клієнтів
помилок в
найкоротші терміни

3 Формування Можливість Модуль для формування звітів

звітів з формувати звіти по з результатами роботи
результатами роботі програми з програми
моделювання детальним описом
порушень безпеки,
що відбулися

83
 Таблиця 4.19.

Опис трьох рівнів моделі товару

Рівні товару Сутність та складові

І. Товар за Система виявлення підозрілих дій для зашифрованих

даних в потоках мережевого трафіку
задумом

Властивості/характеристики Розмір

1. Система Snort разом з наборами 8ГБ

базових правил

2. Сховище лог-файлів 500ГБ

ІІ. Товар у 3. Модуль аналізу результатів та 30МБ
реальному статистики
виконанні Якість: внутрішнє тестування програми, логування збоїв та
система зворотнього зв’язку для повідомлення про
неналежну роботу програми
Пакування: продаж електронних ключів-ліцензій, компакт-
диск в пластиковій коробці з логотипом та інструкцією
Марка: назва організації-розробника + назва товару

ІІІ. Товар із До продажу: програмний код

підкріпленням
Після продажу: диск/електронна версія додатку з ключем

За рахунок чого потенційний товар буде захищено від копіювання:

прив’язка копії програмного продукту до конкретного ПК та активація
програми шляхом введення ліцензійованого ключа, або шляхом надання
послуг без передачі програмного продукту замовнику

84
 Таблиця 4.20.

Визначення меж встановлення ціни

№ Рівень цін на Рівень цін на Рівень доходів Верхня та

товари-замінники товари-аналоги цільової групи нижня межі
п/п
споживачів становлення
ціни на
товар/послугу

1 0$ - 500$ 0$-500$ >10000$/місяць 100$-200$

Таблиця 4.21.

Формування системи збуту

Функції збуту,
Специфіка
які має
закупівельної Глибина каналу Оптимальна
№ виконувати
поведінки збуту система збуту
п/п постачальник
цільових кліє-
товару
нтів

Покупка ліцензії Перевезення Канал збуту Вертикальна

на продукт або дисків з ПО до однорівневий (право
договір про магазинів (через роздрібну власності
надання послуг продажу, дистрибуцію) залишається у
1
без передачі ПО розміщення в розробника
до замовника центрах ПЗ)
електронної
дистрибуції

85
 Таблиця 4.22.

Концепція маркетингових комунікацій

Специфік Канали
Ключові
а комунікацій, Завдання
позиції, Концепція
№ поведінки якими рекламного
обрані для рекламного
п/п цільових користуються повідомлен-
позиціонуван звернення
клієнтів цільові ня
ня
клієнти

1 Купують Тематичні Надання Демонстра- Охоплення

товар на зустрічі, послуг ція основних аудиторії,
вимогу конференції, налаштуван- функцій пояснення
презентації ня системи розробленого функцій та
тощо IDS / IPS для продукту можливо-
роботи з стей
розробленим розроблено-
продуктом, го продукту
продаж ПЗ та його
переваг

86
 Висновки до розділу 5

П’ятий розділ присвячений розробці стартап-проекту для розроблюваного

програмного продукту, зроблено опис ідеї проекту, проведено детальний аналіз
конкурентів та можливостей, що доступні на даному ринку. Для дослідження в
рамках розробки стартап-проекту було виконано наступні завдання:

Наведено загальний опис ідеї проекту для виходу на ринок, описаний

функціонал проекту, визначено основних конкурентів та співставлено
функціонал конкурентів для визначення переваг розроблюваного продукту над
обраними конкурентами.

Проведено технічний аудит проекту і визначено можливості реалізації

програмного продукту

Проаналізовано ринкові можливості для запуску проекту, порівняно

перспективи запуску в порівнянні з конкурентами, встановлено план та ринкову
стратегію розвитку продукту, визначено цільові групи та способи просування
проекту.

Розроблено маркетингову програму для просування продукту на ринку,

описано способи та основні канали збуту, визначено пріоритетні цільові групи
та маркетингові повідомлення для розширення клієнтської бази

В підсумку, було отримано стартап-проект для запуску розробленого

програмного продукту на ринок, отримано навички створення стартап-проектів,
побудови маркетингової стратегії та аналізу обраного ринку.

87
 ВИСНОВКИ

Магістерська робота присвячена вирішенню задачі виявлення шкідливих

дій у потоках мережевого трафіку, а саме способах аналізу зашифрованого
мережевого трафіку.

Було проведено теоретичний огляд та аналіз особливостей технологій IDS /

IPS, виявлено основні переваги та недоліки їх застосування.

Також було розглянуто існуючі способи виявлення та запобігання вторгнень

та аргументовано можливості їх застосування в мережах. Була розглянута
проблема виявлення небезпечних дій в зашифрованому трафіку, та можливий
спосіб вирішення даної проблеми з використанням технології DPI, що базується
на концепції глибокого аналізу пакетів даних. Проведене теоретичне
дослідження та аналіз існуючих рішень підтвердив необхідність розробки
нового підходу до вирішення задачі виявлення небезпечних дій в
зашифрованих потоках даних, у зв’язку з необхідністю володіння секретними
ключами для аналізу зашифрованих даних, що довіру до власника мережі, а
також у зв’язку зі значним зменшенням продуктивності системи, яка змушена
повністю розшифровувати і переглядати кожен пакет даних перед тим, як його
передати далі по мережі.

Було запропоновано алгоритму визначення скомпрометованого

зашифрованого трафіку без необхідності його розшифрування. Даний алгоритм
направлений на суттєве зменшення затримки пакетів при аналізі на предмет
порушення їх конфіденційності, а також на відмову від необхідності володіти
секретними ключами користувачів. Це дозволяє використовувати даний підхід
там, де раніше це було неможливо.

Для перевірки результатів роботи алгоритму, було розроблено програмний

модуль для системи виявлення вторгнень, в якій препроцесорний блок реалізує

88
запропонований алгоритм. Програма дозволяє виявляти скомпрометований
HTTPS трафік без необхідності його розшифрування.

Тестування роботи алгоритму показало ефективне виявлення порушення

цілісності зашифрованих пакетів даних, в залежності від часових затримок
характерних для обраного протоколу. Перегляд лог-файлів програми під час
тестування демонструє, що запропонований алгоритм ефективно виявляє
вторгнення, що свідчить про вирішення проблеми аналізу зашифрованих даних
без необхідності їх розшифровування.

89
 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Andress J. The Basics of Information Security: Understanding the

Fundamentals of InfoSec in Theory and Practice. / Jason Andress, Steven
Winterfeld // Information Security. – 2014 – C. 3-5.
2. Бауэр Ф. Расшифрованные секреты. / Бауэр Ф. // Мир. – 2007. —C. 550.
3. Коваленко, Ю. О. Забезпечення інформаційної безпеки на підприємстві. /
Коваленко, Ю. О. //Економіка промисловості. – 2010 – C. 123-129.
4. Кормич Б. А. Інформаційна безпека: організаційно-правові основи: Навч.
посібник. 2004. — C. 384.
5. Інформатика: Комп'ютерна техніка. Комп'ютерні технології. — Київ :
«Академія», 2002. — С. 704.
6. Харченко B. C. Інформаційна безпека. Глосарій. — К.: КНТ, 2005.
7. The Use of Audit Trails to Monitor Key Networks and Systems Should
Remain Part of the Computer Security Material Weakness [Електронний
ресурс] / Steve Mullins, Myron Gulley, Esther Wilson // . – 2004. – Режим
доступу до ресурсу:
https://www.treasury.gov/tigta/auditreports/2004reports/200420131fr.html
8. Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в країнах
НАТО та ЄС: Навчальний посібник. — 2007.
9. Schlienger, Thomas; Teufel, Stephanie. "Information security culture - from
analysis to change".// South African Computer Society (SAICSIT) – 2003 – C.
46–52.
10.Рекомендація про Керівні принципи щодо безпеки інформаційних систем
Ради ОЕСР 1992 р.
11.Parker, Donn B. Fighting Computer Crime : A New Framework for Protecting
Information // N. Y. : John Wiley & Sons – 1998. — C. 528.

90
12.OPEN INFORMATION SECURITY MANAGEMENT MATURITY MODEL
(O-ISM3), VERSION 2.0 [Електронний ресурс] – 2010 – Режим доступу до
ресурсу: https://www.ism3.com/node/39
13.Богуш В. М., Кривуца В. Г., Кудін А. М., «Інформаційна безпека:
Термінологічний навчальний довідник» За ред. Кривуци В. Г. — Київ.
2004. — C. 508.
14.Богуш В. М., Юдін О. К. «Інформаційна безпека держави». — К.: «МК-
Прес», 2005. — C. 432
15.Указ президента України Про Положення про технічний захист
інформації в Україні [Електронний ресурс] – 1008 – Режим доступу до
ресурсу:
https://zakon.rada.gov.ua/laws/show/ru/1229/99/ed20080504/find/sp:wide:max
100?text=%C4%EE%F1%F2%F3%EF%ED%B3%F1%F2%FC
16. Laprie, J. C. «Dependable Computing and Fault Tolerance: Concepts and
Terminology», / Laprie, J. C. //Proceedings of 15th International Symposium
on Fault-Tolerant Computing – 1985 – C. 2-11
17.Ткач С. М. Управління ризиками інвестиційної діяльності в регіоні:
теоретичні основи та прикладні аспекти : монографія / С. М. Ткач. //
Львів : ДУ «Інститут регіональних досліджень імені М. І. Долішнього
НАН України» – 2015. – C. 234.
18.Grandell, J. Aspects of Risk Theory [Text]/ J. Grandell. // New York –
Heidelberg- Berlin: Springer-Verlag – 1992. — C. 175.
19.Axelsson, S. «Intrusion Detection Systems: A Survey and Taxonomy»
[Електронний ресурс] – 2000 – Режим доступу до ресурсу:
http://neuro.bstu.by/ai/To-dom/My_research/Paper-0-again/For-research/D-
mining/Anomaly-D/Intrusion-detection/taxonomy.pdf
20.Saba Siraj. Network Simulation Tools Survey / Saba Siraj, Ajay Kumar, Gupta
Rinku-Badgujar // Department of Computer Science and Engineering,
PGMCOE, Wagholi, Pune [Електронний ресурс] – 2012 – Режим доступу
до ресурсу:

91
 https://pdfs.semanticscholar.org/2a85/121b8473e9b177507bc934430709b9e01
1e5.pdf
21.Джей Бил. и др. Snort 2.1. Обнаружение вторжений. // Бином-пресс, 2006
— C. 656
22.Suricata[Електронний ресурс] – 2018 – Режим доступу до ресурсу:
https://suricata-ids.org/about/open-source/
23.Zeek [Електронний ресурс] – 2014 – Режим доступу до ресурсу:
https://www.zeek.org/
24.Gaddadevara Matt Siddesh. Cyber-Physical Systems: A Computational
Perspective / addadevara Matt Siddesh, Ganesh Chandra Deka,
Krishnarajanagar GopalaIyengar Srinivasa, Lalit Mohan Patnaik // Cyber-
Physical Systems – 2016 – C.441
25.Bejtlich, Richard. "8.2 Using sguil". The Practice of Network Security
Monitoring: Understanding Incident Detection and Response / Bejtlich,
Richard – 2013 – C. 15
26.Newman, Robert C. Computer Security: Protecting Digital Resources. /
Newman, Robert C. // Jones & Bartlett Learning. – 2009 – C. 269
27.Vacca, John. Computer and Information Security Handbook. / Vacca, John //
Morgan Kauffman – 2013 – C. 494-495
28.OSSEC [Електронний ресурс] – 2019 – Режим доступу до ресурсу:
https://www.ossec.net/
29.Michael Jang. Security Strategies in Linux Platforms and Applications. /
Michael Jang // Jones & Bartlett Publishers – 2010 — C. 512
30.Wazuh [Електронний ресурс] – 2019 – Режим доступу до ресурсу:
https://wazuh.com/
31.Samhain [Електронний ресурс] – 2006 – Режим доступу до ресурсу:
https://www.la-samhna.de/samhain/
32.Security Onion [Електронний ресурс] – 2019 – Режим доступу до ресурсу:
https://securityonion.net/

92
33.В. А. Сердюк. Новое в защите от взлома корпоративных систем. / В. А.
Сердюк // Москва: Техносфера – 2007 – C. 360.
34.Cisco Wireless Intrusion Prevention System [Електронний ресурс] – 2013 –
Режим доступу до ресурсу:
https://www.cisco.com/c/dam/en/us/products/collateral/wireless/adaptive-
wireless-ips-software/at_a_glance_c45-504521.pdf
35.Information Supplement: PCI DSS Wireless Guideline [Електронний ресурс]
– 2009 – Режим доступу до ресурсу:
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf
36.Network behavior analysis [Електронний ресурс] – 2008 – Режим доступу
до ресурсу: https://searchsecurity.techtarget.com/definition/network-behavior-
analysis
37.Host-Based Intrusion Prevention System [Електронний ресурс] – 2008 –
Режим доступу до ресурсу:
https://www.techopedia.com/definition/4290/host-based-intrusion-prevention-
system-hips
38. HTTP Over TLS // IETF RFC 2818 [Електронний ресурс] – 2000 – Режим
доступу до ресурсу: https://tools.ietf.org/html/rfc2818#section-2.3
39.Ярочкин В. И. Информационная безопасность: Учебник для студентов —
М. // Академический Проект; Гаудеамус, 2-е изд., — 2004. — C. 544
40.Аудит ресурсов и событий [Електронний ресурс]. – 2001 – Режим
доступу: http://www.xnets.ru/plugins/content/content.php?content.151
41.Thomas Porter. The Perils of Deep Packet Inspection [Електронний ресурс].
– 2014 – Режим доступу: https://www.symantec.com/connect/articles/perils-
deep-packet-inspection
42.Hal Abelson; Ken Ledeen; Chris Lewis. "Just Deliver the
Packets"[Електронний ресурс]. – 2009 – Режим доступу:
https://www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-
research/2009/ledeen-lewis_200903/

93
43.Elan Amir (2007-10-29). "The Case for Deep Packet Inspection"
[Електронний ресурс]. – 2007 – Режим доступу:
http://www.itbusinessedge.com/item/?ci=35275
44.BYOD: Bring your own device [Електронний ресурс]. – 2019 – Режим
доступу: https://www.ibm.com/security/mobile/maas360/bring-your-own-
device
45.SNORT Users Manual 2.9.13[Електронний ресурс]. – 2019 – Режим
доступу: https://snort-org-site.s3.amazonaws.com/production/document_files/
files/000/000/214/original/snort_manual.pdf?X-Amz-Algorithm=AWS4-
HMAC-SHA256&X-Amz-Credential=AKIAIXACIED2SPMSC7GA
%2F20191124%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-
Date=20191124T171650Z&X-Amz-Expires=172800&X-Amz-
SignedHeaders=host&X-Amz-
Signature=be643e5eedcdc22bd82c7abf9d0e0d943957ac497eccb00540450379
0d60f7f9
46.Rules Authors Introduction to Writing Snort 3 Rules [Електронний ресурс]. –
2019 – Режим доступу:
https://snort-org-site.s3.amazonaws.com/production/document_files/files/
000/000/141/original/Rules_Writers_Guide_to_Snort_3_Rules.pdf?X-Amz-
Algorithm=AWS4-HMAC-SHA256&X-Amz-
Credential=AKIAIXACIED2SPMSC7GA%2F20191124%2Fus-east-
1%2Fs3%2Faws4_request&X-Amz-Date=20191124T171945Z&X-Amz-
Expires=172800&X-Amz-SignedHeaders=host&X-Amz-
Signature=d0a5e85f39f34110b8964643facea7d516d57544f9628db3b41745ecb
d31719c
47.Snort System Requirements [Електронний ресурс]. – 2019 – Режим
доступу: https://flylib.com/books/en/3.100.1.199/1/
48.DPX Readme [Електронний ресурс]. – 2017 – Режим доступу:
https://www.snort.org/documents/38

94
49.Ettercap [Електронний ресурс]. – 2019 – Режим доступу:
https://www.ettercap-project.org/
50.IDS / IPS Market Trends 2025 – The BFSI sector has been stimulating the
global industry [Електронний ресурс]. – 2019 – Режим доступу:
https://www.marketwatch.com/press-release/ids-ips-market-trends-2025-the-
bfsi-sector-has-been-stimulating-the-global-industry-2019-07-16

95