В настоящей работе представлены результаты подготовки виртуального стенда для моделирования и обнаружения сетевых атак с применением свободно распространяемой системы обнаружения вторжений (СОВ) уровня сети. Актуальность работы связана
с растущей востребованностью СОВ в качестве источников событий информационной безопасности для систем управления событиями информационной безопасности (SIEM). В ходе работы был выполнен сравнительный анализ наиболее популярных свободно распространяемых сетевых СОВ с открытым исходным кодом и обоснован выбор системы Zeek для ее применения в рамках проекта. В работе используются сетевые журналы Zeek, которые содержат важную и структурированную информацию об анализируемом сетевом трафике. Построение лабораторного стенда выполнено на базе виртуальной машины под управлением ОС Linux и сетевого симулятора Mininet. Предложено графическое представление разработанного виртуального стенда. Продемонстрировано экспериментальное исследование эффективности системы обнаружения вторжений посредством моделирования сетевой атаки типа «отказ в обслуживании» и дальнейшего анализа полученного сетевого трафика средствами СОВ.
1.?Bruneau G. The history and evolution of intrusion detection: Technical report. – The SANS Institute, 2001. – URL: https://www.sans.org/white-papers/344/ (accessed: 20.03.2022).
2.?Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты: утв. ФСТЭК России 03.02.2012. – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/
dokumenty-po-sertifikatsii/120-normativnye-dokumenty (дата обращения: 03.06.2022).
3.?Котов В.Д., Васильев В.И. Современное состояние проблемы обнаружения сетевых вторжений // Вестник Уфимского государственного авиационного технического университета. – 2012. – Т. 16, № 3 (48). – С. 198–204.
4.?Комаров А. Системы обнаружения вторжений, сертифицированные по новым требованиям. – 2018, 22 августа. – URL: https://zlonov.com/new-fstec-ips (дата обращения: 03.06.2022).
5.?Haas S., Sommer R., Fischer M. Zeek-osquery: Host-network correlation for advanced monitoring and intrusion detection // IFIP International Conference
on ICT Systems Security and Privacy Protection. – Maribor, Slovenia, 2020. – P. 248–262.
6.?Скорых М.А. Применение фреймворка Zeek и ELK-стека для анализа рассылок вредоносного программного обеспечения // Актуальные проблемы инфотелекоммуникаций в науке и образовании, АПИНО 2021: X юбилейная международная научно-техническая и научно-методическая конференция:
в 4 т. – СПб.: СПбГУТ, 2021. – Т. 1. – С. 658–661.
7.?Жданов Н.С., Матерухин А.В. Использование виртуальной лабораторной среды для обучения студентов навыкам тестирования на проникновение // Безопасность информационных технологий. – 2020. – Т. 27, № 4. – С. 95–107. – DOI: 10.26583/bit.2020.4.08.
8.?Comparing machine learning techniques for Zeek log analysis / D.K. And-rews, R.K. Agrawal, S.J. Matthews, A.S. Mentis // 2019 IEEE MIT Undergraduate Research Technology Conference (URTC). – Cambridge, MA, 2019. – P. 1–4.
9.?Красненков А.М., Чернокнижный Г.М. Учебный практикум по изучению систем обнаружения вторжений на базе нейронной сети // Актуальные вопросы информационной безопасности и защиты информации. – СПб., 2021.?– С. 40–48.
10.?Installing Zeek. – URL: https://docs.zeek.org/en/current/install.html#id2 (accessed: 03.05.2022).
11.?Shcherba E.V. Boolean-valued models of telecommunication systems in some problems of network security // 2015 International Siberian Conference on Control and Communications (SIBCON). – Omsk, Russia, 2015. – P. 1–5.
12.?Xiang Z., Seeling P. Mininet: an instant virtual network on your computer // Computing in Communication Networks. – London: Academic Press, an imprint of Elsevier, 2020. – P. 219–230.
13.?Щерба Е.В., Щерба М.В. Разработка архитектуры системы обнаружения распределенных сетевых атак типа «отказ в обслуживании» // Омский научный вестник. – 2012. – № 3 (113). – С. 280–283.
14.?Fadhlillah A., Karna N., Irawan A. IDS performance analysis using anomaly-based detection method for DOS attack // 2020 IEEE International Conference on Internet of Things and Intelligence System (IoTaIS). – Bali, Indonesia, 2021. – P. 18–22.
15.?Litvinov A.G., Shcherba E.V. Modeling message spoofing attacks on the OLSR routing protocol // 2019 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT). – Yekaterinburg, Russia, 2019. – P. 299–302.
Ситник В.А., Вишняков Д.Д., Щерба М.В. Организация мониторинга сетевых втор-жений на основе свободно распространяемого программного обеспечения // Безопасность цифровых технологий. – 2022. – № 2 (105). – С. 63–73. – DOI: 10.17212/2782-2230-2022-2-63-73.
Sitnik V.A., Vishnyakov D.D., Shcherba M.V. Organizatsiya monitoringa setevykh vtorzhenii na osnove svobodno rasprostranyaemogo programmnogo obespecheniya [Organization of monitoring of network intrusions on the basis of freely distributable software].
Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2022, no. 2 (105), pp. 63–73. DOI: 10.17212/2782-2230-2022-2-63-73.