сист_обнар вторж - Высшая школа экономики

Правительство Российской Федерации
Федеральное государственное автономное образовательное учреждение
высшего профессионального образования
"Национальный исследовательский университет
"Высшая школа экономики"
Московский институт электроники и математики
Факультет прикладной математики и кибернетики.
Программа дисциплины
Системы обнаружения вторжений
для специальности 090102 Компьютерная безопасность
Автор программы:
Морозова Татьяна Юрьевна, д.т.н., профессор, e-mail: tmorozova@hse.ru
Одобрена на заседании кафедры Компьютерная безопасность
26 июня 2012 г. протокол № 5
Заведующий кафедрой А.Б. Лось
______________________
Утверждена УС МИЭМ НИУ ВШЭ
Ученый секретарь В.П.Симонов
«___»_____________20 г.
________________________
Москва, 2012
Настоящая программа не может быть использована другими подразделениями
университета и другими вузами без разрешения кафедры-разработчика программы
1. ЦЕЛИ И ЗАДАЧИ ДИСЦИПЛИНЫ.
1.1 Целью данного курса является знакомство студентов с технологиями
обнаружения атак, а также понимание ими причин недостаточности традиционных
средств защиты и способов повышения защищённость сетей и систем.
1.2. Студенты, начавшие слушать данный курс, должны понимать принципы
работы локальных вычислительных сетей, иметь представление о криптографических
средствах защиты. Необходимы знания о традиционных средствах защиты, таких как
межсетевые экраны, аутентификация и авторизация. Студенты должны быть знакомы с
работой операционных систем Windows и unix-подобными системами
.
2. ТРЕБОВАНИЯ К УРОВНЮ ОСВОЕНИЯ СОДЕРЖАНИЯ ДИСЦИПЛИНЫ.
В результате изучения курса студенты должны уметь использовать знания и
навыки для работы с системами обнаружения вторжений и для участия в разработке
подобных систем.
3. ОБЪЕМ ДИСЦИПЛИНЫ И ВИДЫ УЧЕБНОЙ РАБОТЫ.
Вид учебной работы
Общая трудоемкость дисциплины
Аудиторные занятия
Лекции (Л)
Практические занятия (ПЗ)
Семинары (С)
Самостоятельная работа
Курсовой проект (работа)
Расчетно-графические работы
Реферат
И (или) другие виды самостоятельной
работы
Вид итогового контроля
(зачет, экзамен)
Всего
часов
210
85
68
17
Семестры
9
34
34
10
51
34
17
125
60
65
Зачёт,
экзамен
зачет
экзамен
4. СОДЕРЖАНИЕ ДИСЦИПЛИНЫ
4.1. Разделы дисциплины и виды занятий
№п/п
1
2
3
4
5
6
7
8
9
10
11
12
Раздел дисциплины
Уязвимости традиционных средств защиты
Анатомия атаки. Этапы осуществления атаки
Введение в проблему обнаружения атак
Основные принципы обнаружения атак
Классификация систем обнаружения
Обнаружение следов атак
Выбор системы обнаружения
Размещение системы обнаружения атак
Проблемы развёртывания систем
Аспекты создания системы обнаружения атак
Введение в ОС типа Unix
Реализация простейшей системы обнаружения
атак
Аудиторные занятия
Лекции
ПЗ (или С)
ЛР
2
4
4
10
6
6
2
2
2
6
4
6
2
4
2
12
6
5
4.2. Содержание разделов дисциплины
Наименование тем, их содержание
Тема 1. Уязвимости традиционных средств защиты
1. Уязвимости TCP/IP протокола. 2. Слабости МЭ, и способы его обхода. 3.
Уязвимость аутентификации и авторизации
Тема 2. Анатомия атаки. Этапы осуществления атаки
1. Классификация уязвимостей. 2. Модель атаки. 3. Этапы реализации атак. 4.
Классификация атак
Тема 3. Введение в проблему обнаружения атак.
1. Что такое система обнаружения атак. 2. Реальные ожидания. 3. Схема работы
системы обнаружения атак
Тема 4. Основные принципы обнаружения атак
1. Признаки атак. 2. Источники информации об атаках. 3. Технологии и подходы к
обнаружению
Тема 5. Обнаружение следов атак
1. Контроль изменений файлов. 2. Анализ журналов регистрации. 3. Анализ сетевого
трафика.
4. Анализ сервисов и портов
Тема 6. Классификация систем обнаружения
1. Системы анализа защищённости. 2. Анализаторы журналов регистрации. 3.
Обманные системы
4. Системы контроля целостности
Тема 7. Выбор системы обнаружения атак
1. Предварительный анализ.2. Критерии оценки. 3. Тестирование. 4. Обоснование для
руководства
Тема 8. Размещение системы обнаружения атак
1. Размещение сенсоров. 2. Использование сетевых сенсоров в коммутируемых сетях.
3. Размещение системы анализа защищённости. 4. Размещение системы контроля
целостности
5. Размещение обманной системы
Тема 9. Проблемы развёртывания и эксплуатации систем обнаружения атак
1. Общие проблемы. 2. Сетевые системы. 3. Узловые системы.
Тема 10. Некоторые аспекты создания своей собственной системы обнаружения атак
Тема 11. Введение в ОС типа Unix
1. История развития. 2. Основные характеристики различных ОС семейства Unix. 3.
Файловая система. Доступ к файлам. 4. Работа с процессами. 5. Работа с сокетами.
Тема 12. Реализация простейшей системы обнаружения атак
1. Общая концепция. 2. Сенсорный блок. 3. Блок анализа. 4. Блок реагирования
4.3 понедельный план проведения занятий лекционных и практических.
№
Вид
Раздел дисциплины
Часы
Вид
недели занятий
контроля
1
лекция
2
Уязвимости
традиционных
средств
защиты
1. Уязвимости TCP/IP протокола
2. Слабости МЭ, и способы его обхода
3.
Уязвимость
аутентификации
и
авторизации
2,3
лекция
4
Анатомия атаки. Этапы осуществления
4,5
лекция
6-10
лекция
11-13
лекция
14-16
лекция
17
лекция
1-3
Лекция
ПЗ
4-6
Лекция
ПЗ
7,8
Лекция
ПЗ
лекция
атаки
1. Классификация уязвимостей
2. Модель атаки
3. Этапы реализации атак
4. Классификация атак
Введение в проблему обнаружения атак.
1. Что такое система обнаружения атак
2. Реальные ожидания
3. Схема работы системы обнаружения
Основные принципы обнаружения атак
1. Признаки атак
2. Источники информации об атаках
3. Технологии и подходы к обнаружению
Обнаружение следов атак
1. Контроль изменений файлов
2. Анализ журналов регистрации
3. Анализ сетевого трафика
4. Анализ сервисов и портов
Классификация систем обнаружения
1. Системы анализа защищённости
2. Анализаторы журналов регистрации
3. Обманные системы
4. Системы контроля целостности
Выбор системы обнаружения атак
1. Предварительный анализ
2. Критерии оценки
3. Тестирование
4. Обоснование для руководства
4
10
6
6
2
зачет
9-14
Размещение системы обнаружения атак
1. Размещение сенсоров
2.Использование сетевых сенсоров в
коммутируемых сетях
3.
Размещение
системы
анализа
защищённости
4.
Размещение
системы
контроля
целостности
5. Размещение обманной системы
Проблемы развёртывания и эксплуатации
систем обнаружения атак
1. Общие проблемы
2. Сетевые системы
3. Узловые системы
Некоторые аспекты создания собственной
системы обнаружения атак
Введение в ОС типа Unix
1. История развития
2. Основные характеристики различных
ОС семейства Unix
3. Файловая система. Доступ к файлам.
4. Работа с процессами
5. Работа с сокетами
6
4
6
4
4
4
12
15-17
Лекция
ПЗ
Реализация
простейшей
обнаружения атак
1. Общая концепция
2. Сенсорный блок
3. Блок анализа
4. Блок реагирования
системы
6
5
экзамен
5.ПРАКТИКУМ.
Наименование лабораторных работ
№ № раздела
п/п (темы) дисциплины
Размещение системы обнаружения атак
1
8
2
9
Методы развёртывания и эксплуатации систем
обнаружения атак
3
12
Разработка собственной системы обнаружения атак
4
12
Исследование эффективности систем обнаружения атак
Трудоемкость
(час.)
2
6
5
4
5. УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ.
6.1. Основная литература
1. Шелухин О.И., Сакалема Д.Ж., А.С. Филинова, Обнаружение вторжений в
компьютерные сети, М., Горячая линия – Телеком, 2013, 220 с.
2. Лукацкий А.В. Обнаружение атак.  СПб: БХВ-Петербург, 2003.  596 с.
3. Лукацкий А. В. Атака из Internet.  М.: Издательство СОЛОН - Р, 2002.  368 стр.
4. Польман Н., Кразерс Т. Архитектура брандмауэров для сетей предприятия.  М.:
Издательство: Вильямс, 2003.  432 стр.
5. Столингс В. Компьютерные сети, протоколы и технологии Интернета.  СПб: Издательство: БХВ-Петербург, 2005.  832 стр.
6. Таненбаум Э. Компьютерные сети.  СПб: Издательство: Питер, 2003.  992 стр.
6.2. Дополнительная литература
1. Галатенко В. А. Стандарты информационной безопасности. Курс лекций.  М.: Издательство: Интернет-университет информационных технологий, 2004.  328 стр.
2. Норткатт С., Новак Дж., Маклахлен Д. Обнаружение вторжений в сеть. Настольная
книга специалиста по системному анализу.  М: Издательство “Лори”, 2001.  384 с.
3. Рихтер Дж., Кларк Дж. Д. Программирование серверных приложений для Microsoft
Windows 2000.  СПб: Питер; М.: Издательско-торговый дом “Русская редакция”,
2001.  592 с.
6. МАТЕРИАЛЬНО-ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ.
Для занятий необходимо наличие компьютерного класса, объединенного в локальную вычислительную сеть. На компьютерах должны быть установлены серверные
версии ОС Linux (в качестве альтернативы предусматривается развертывание ОС в
рамках виртуальных машин). В качестве коммуникационного оборудования могут использоваться коммутаторы, позволяющие организовать VLAN. Желательно наличие
маршрутизатора, а также доступа в глобальную вычислительную сеть Интернет. В целях сохранения результатов работы желательно, чтобы студенты имели при себе носители информации (flash-накопители).
Программное обеспечение:
Свободно распространяемая система виртуализации Virtual Box.
Операционные системы Windows и Linux.
Свободно распространяемый пакетный фильтр iptables.
Системы обнаружения атак Snort и Форпост.
8. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ ИЗУЧЕНИЯ
ДИСЦИПЛИНЫ.
Учебным планом на изучение дисциплины отводится два семестра. В качестве
итогового контроля предусмотрены в первом семестре зачет, во втором - экзамен. Целесообразно осуществлять проведение экзамена в форме устного опроса по билетам.
При проведении лекционных занятий целесообразно широко применять такую
форму как лекция-визуализация, сопровождая изложение теоретического материала презентациями, при этом желательно заблаговременно обеспечить студентов раздаточным
материалом.
Основной упор в методике проведения занятий должен быть сделан на отработке
и закреплении учебного материала в процессе выполнения заданий с применением
средств вычислительной техники в компьютерном классе. Особое внимание при этом
должно быть уделено применению элементов проблемного и контекстного обучения, опережающей самостоятельной работе студентов. Для упрощения подготовки тестовых стендов на практических и лабораторных занятиях целесообразно использовать технологии
виртуализации.
Текущий контроль усвоения знаний осуществляется путем выполнения контрольной работы, подготовки и сдачи отчетов по итогам выполнения лабораторных работ, а
также курсовых работ.
Примерный перечень курсовых работ.
1. Создание средств автоматизированного обновления баз сигнатур СОВ по открытым
источникам.
2. Разработка предложений по конфигурированию сетевого компонента СОВ на основе
технологии pf-ring.
3. Создание средств автоматического оповещения оператора СОВ о вторжениях на базе
технологий мобильной связи.
4. Разработка предложений по созданию систем фиксации сетевого трафика для его
использования в качестве вещественных доказательств.
5. Разработка предложений по повышению достоверности в определении источника
компьютерных атак.
Перечень курсовых работ обновляется в начале каждого семестра, в котором
предусмотрено выполнение работы.
Рабочая программа составлена в соответствии с Государственным образовательным
стандартом высшего профессионального образования по специальности 090102 –
Компьютерная безопасность.
Срок действия программы продлен на:
200___/200___ уч.год_______________________________________.
(подпись зав. кафедрой)
200___/200___ уч.год_______________________________________.
(подпись зав. кафедрой)
200___/200___ уч.год_______________________________________.
(подпись зав. кафедрой)
200___/200___ уч.год_______________________________________.
(подпись зав. кафедрой)