Система для моніторингу, аналізу та контролю подій безпеки мережі

Реферат: Винахід належить до систем оброблення цифрових даних за допомогою електричних пристроїв та систем контролю подій безпеки мережі і може бути використаний для моніторингу та контролю за внутрішньою мережею, збору даних подій безпеки мережі, їх аналізу за допомогою фільтрації та використання методів кореляції, формування сигналів тривоги та складання звітів про події безпеки мережі. Система для моніторингу, аналізу та контролю подій безпеки мережі, що складається з блока мережевого інтерфейсу, вхід якого з'єднаний з контрольованою мережею, а вихід з блоком програмного управління, який зв'язаний з блоком користувацького інтерфейсу, блоком обробки та аналізу інформації та блоком збереження інформації, вказані блоки встановлені на електронно-обчислювальний пристрій, яка включає блок мережевого інтерфейсу, що виконано з можливістю роботи у режимі promiscuous mode на канальному рівні у мережі по моделі OSI та з можливістю надсилання отриманих пакетів даних через блок програмного управління до блока обробки та аналізу інформації, який виконано з можливістю фільтрації, кореляційної обробки інформації, створення правил для роботи системи на основі аналізу даних після їх обробки та передачі даних до блока збереження інформації у вигляді оригінальних TCP/IP сесій. Технічним результатом, що досягається даним винаходом є забезпечення високої точності визначення подій безпеки мережі, підвищення надійності та оперативності. UA 112536 C2 (12) UA 112536 C2 UA 112536 C2 5 10 15 20 25 30 35 40 45 50 55 60 Винахід стосується систем обробляння цифрових даних за допомогою електричних пристроїв та систем контролю подій безпеки мережі і може бути використаний для моніторингу та контролю за внутрішньою мережею, збору даних подій безпеки мережі, їх аналізу за допомогою фільтрації та використання методів кореляції, формування сигналів тривоги та складання звітів про події безпеки мережі. Найбільш близькою до системи для моніторингу, аналізу та контролю подій безпеки мережі, що заявляється є система моніторингу, аналізу та зворотної реакції Cisco MARS (Monitoring, Analysis, and Response System), що складається з блока мережевого інтерфейсу, вхід якого з'єднаний з контрольованою мережею, а вихід з блоком програмного управління, що встановлено на електронно-обчислювальному пристрої, блок програмного управління зв'язаний з блоком користувацького інтерфейсу, блоком обробки та аналізу інформації та блоком збереження інформації (Інтернет ресурс http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5739/ps6241/data_sheet_c78-458671.html). Відома система моніторингу, аналізу та зворотної реакції Cisco MARS збирає дані про події, що реєструються більшістю розповсюджених мережевих пристроїв (наприклад: маршрутизаторів, комутаторів), пристроїв захисту і програм (наприклад: міжмережеві екрани, системи виявлення вторгнень, сканери вразливості та антивірусні програми) та дозволяє створити топологічну схему мережі, яка містить інформацію про конфігурацію пристроїв та діючих політик безпеки, що дозволяє моделювати потоки пакетів в мережі, здійснити впорядкування отриманих даних з мережі відповідно до топологічної схеми, їх аналізу за допомогою фільтрації та використання методів кореляції. Також система дозволяє блокувати небажані події безпеки мережі та проводити збереження отриманих даних і результатів носії інформації. Недоліком відомої системи моніторингу, аналізу та зворотної реакції Cisco MARS є недостатня точність визначення подій безпеки мережі, що знижує надійність та оперативність моніторингу, аналізу та контролю подій безпеки мережі. Крім того, така система моніторингу, аналізу та зворотної реакції не дозволяє здійснити аналіз всіх даних на канальному рівні у мережі по моделі OSI. Задачею винаходу, що заявляється, є удосконалення системи для моніторингу, аналізу та контролю подій безпеки мережі, в якій за рахунок запропонованого конструктивного виконання елементів забезпечується висока точність визначення подій безпеки мережі при підвищені надійності та оперативності моніторингу, аналізу та контролю подій безпеки мережі. Крім того, запропоноване виконання системи забезпечує можливість здійснювати аналіз всіх даних на канальному рівні у мережі по моделі OSI. Поставлена задача вирішується запропонованою системою для моніторингу, аналізу та контролю подій безпеки мережі, що складається з блока мережевого інтерфейсу, вхід якого з'єднаний з контрольованою мережею, а вихід з блоком програмного управління, який зв'язаний з блоком користувацького інтерфейсу, блоком обробки та аналізу інформації та блоком збереження інформації, вказані блоки встановлені на електронно-обчислювальний пристрій, яка включає блок мережевого інтерфейсу, що виконано з можливістю роботи у режимі promiscuous mode на канальному рівні у мережі по моделі OSI та з можливістю надсилання отриманих пакетів даних через блок програмного управління до блока обробки та аналізу інформації, який виконано з можливістю фільтрації, кореляційної обробки інформації, створення правил для роботи системи на основі аналізу даних після їх обробки та передачі даних до блока збереження інформації у вигляді оригінальних TCP/IP сесій. Для роботи з безпровідними мережами система додатково обладнується блоком для роботи з безпровідними мережами, який виконано з можливістю створення емульованих клієнтів, які під'єднується до бездротової точки доступу використовуючи декілька наборів характеристик: МАС-адресу, рівень потужності сигналу, час запиту, діапазон таймінгів. У разі, коли система виконує контроль ділянки мережі, до якої обмежено доступ, блок мережевого інтерфейсу виконаний з можливістю перемикання мережевого інтерфейсу, який підключено до мережі, що контролюється, в розширений promiscuous mode, що здійснюють на канальному рівні моделі OSI, за допомогою сконфігурованого керуючого сигналу, глибина доступності мережевого інтерфейсу, який контролюється та до якого здійснюють підключення і його перемикання, складає від одного до трьох хопів. Замість власного електронно-обчислювального пристрою система може бути встановлена на електронно-обчислювальний пристрій, наприклад комп'ютер або сервер, який підключено до мережі, що контролюється системою. Винахід пояснюється але не обмежується рисунком, на якому зображено схематичне зображення системи для моніторингу, аналізу та контролю подій безпеки мережі. 1 UA 112536 C2 5 10 15 20 25 30 35 40 45 50 Система для моніторингу, аналізу та контролю подій безпеки мережі включає блок мережевого інтерфейсу 1, блоком програмного управління 2, електронно-обчислювального пристрою 3, блок користувацького інтерфейсу 4, блок обробки та аналізу інформації 5, блок збереження інформації 6 та може додатково включати блок для роботи з безпровідними мережами 7. Вхід блока мережевого інтерфейсу 1, що складається з програми управління та мережевого адаптера, який виконано з можливістю роботи у режимі promiscuous mode на канальному рівні у мережі по моделі OSI, з'єднано з контрольованою мережею, а вихід з'єднано з блоком програмного управління 2. Також блок мережевого інтерфейсу 1 виконано з можливістю надсилання отриманих пакетів даних до блока обробки та аналізу інформації 5. Блок програмного управління 2 з'єднаний з блоком користувацького інтерфейсу 4, блоком обробки та аналізу інформації 5, який виконано з можливістю фільтрації, кореляційної обробки інформації, створення правил на основі аналізу даних після їх обробки та передачі даних до блока збереження інформації 6, утвореного носієм інформації, у вигляді оригінальних TCP/IP сесій. Вказані блоки встановлені на електронно-обчислювальний пристрій 3. Додатково система може бути обладнана блоком для роботи з безпровідними мережами 7, що складається з програми управління та безпровідного мережевого адаптера. Блок для роботи з безпровідними мережами 7 з'єднаний з блоком програмного управління 2. Блок програмного управління 2 керує роботою всіх блоків та системи в цілому. Система для моніторингу, аналізу та контролю подій безпеки мережі працює наступним чином. Систему, у вигляді електронно-обчислювального пристрою 3, підключають до мережі, що контролюється, під'єднуючи мережевий кабель до входу блока мережевого інтерфейсу 1, який працює в режимі promiscuous mode та виконує надсилання всіх пакетів даних, що передаються на канальному рівні у мережі по моделі OSI до блока програмного управління 2. Блок програмного управління 2 виконує перенаправлення даних до блока обробки та аналізу інформації 5, який виконує фільтрацію, кореляційну обробку інформації, створює правила для роботи системи на основі аналізу даних після їх обробки, та виконує реставрацію даних у їх оригінальному вигляді TCP/IP сесій, які далі передаються до блока збереження інформації 6. Після проведення аналізу інформації блоком обробки та аналізу інформації 5 правила, що були створені для роботи системи передаються до блока програмного управління 2. Контроль за подіями безпеки системи відбувається на основі вказаних правил блоком програмного управління 2. Також, блок програмного управління 2, може передавати отримані дані з блоку мережевого інтерфейсу 1 до блоку збереження інформації 6 для їх архівування та подальшої обробки за допомогою блоку обробки та аналізу інформації 5. У разі, коли система працює з мережею, доступ до якої може бути здійснено тільки через бездротову точку доступу, до блока програмного управління додатково приєднується блок для роботи з безпровідними мережами 7, що створює емульованих клієнтів, які під'єднуються до бездротової точки доступу використовуючи декілька наборів характеристик: МАС-адресу, рівень потужності сигналу, час запиту, діапазон таймінгів доти, поки не почнеться взаємодія клієнта та бездротової точки доступу, що видає сервісне повідомлення, необхідне для з'єднання на апаратному рівні, після чого, запускається процедура обміну технічною інформацією, що містить дані, необхідні для підключення клієнта, та відбувається обробка інформації контролюючим пристроєм потрібної для аудиту мережі. Результатом роботи системи є структуровані дані збережені на носій інформації, що можуть бути виведені на екран електронно-обчислювального пристрою за допомогою блока користувацького інтерфейсу у їх оригінальному вигляді або використані як матеріал для аналізу блоком обробки та аналізу інформації 5. Таким чином, запропонована система для моніторингу, аналізу та контролю подій безпеки мережі забезпечує високу точність визначення подій безпеки мережі при підвищені надійності та оперативності моніторингу, аналізу та контролю подій безпеки мережі. Крім того, система забезпечує можливість здійснювати аналіз всіх даних на канальному рівні у мережі по моделі OSI. ФОРМУЛА ВИНАХОДУ 55 60 1. Система для моніторингу, аналізу та контролю подій безпеки мережі, що складається з блока мережевого інтерфейсу, вхід якого з'єднаний з контрольованою мережею, а вихід з блоком програмного управління, який зв'язаний з блоком користувацького інтерфейсу, блоком обробки та аналізу інформації та блоком збереження інформації, вказані блоки встановлені на електронно-обчислювальний пристрій, яка відрізняється тим, що блок мережевого інтерфейсу 2 UA 112536 C2 5 10 15 виконано з можливістю роботи у режимі promiscuous mode на канальному рівні у мережі по моделі OSI та з можливістю надсилання отриманих пакетів даних через блок програмного управління до блока обробки та аналізу інформації, який виконано з можливістю фільтрації, кореляційної обробки інформації, створення правил для роботи системи на основі аналізу даних після їх обробки та передачі даних до блока збереження інформації у вигляді оригінальних TCP/IP сесій, при цьому блок мережевого інтерфейсу додатково виконано з можливістю перемикання мережевого інтерфейсу, який підключено до мережі, що контролюється, в розширений promiscuous mode, що влаштований на канальному рівні моделі OSI, за допомогою сконфігурованого керуючого сигналу, причому глибина доступності мережевого інтерфейсу, який контролюється, та до якого виконане підключення і його перемикання, складає від одного до трьох хопів. 2. Система за п. 1, яка відрізняється тим, що блок програмного управління додатково обладнано блоком для роботи з безпровідними мережами, який виконано з можливістю створення емульованих клієнтів, які під'єднується до бездротової точки доступу використовуючи декілька наборів характеристик: МАС-адресу, рівень потужності сигналу, час запиту, діапазон таймінгів. 3. Система за п. 1, яка відрізняється тим, що як електронно-обчислювальний пристрій використовують електронно-обчислювальний пристрій, який підключено до мережі, що контролюється системою. Комп’ютерна верстка О. Гергіль Державна служба інтелектуальної власності України, вул. Василя Липківського, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут інтелектуальної власності”, вул. Глазунова, 1, м. Київ – 42, 01601 3