Исследования и Разработки в области защиты информации - Л.К. Бабенко, Ю.А. Брюхомицкий, О.Б. Макаревич, О.Ю. Пескова

Для анализа трафика использована архитектура захвата пакетов PCAP, которая, кроме того, обеспечивает совместимость разработки с другими операционными системами. Разработаны методы анализа заголовков и данных пакетов с помощью аппарата нейросетей и алгоритмы нечёткого поиска. Это позволяет определять новые, ранее неизвестные атаки, не включённые в базу сигнатур, а также устраняет недостаток, присущий методу анализа трафика на основе сигнатур, связанный с худшей способностью определять атаки на нестандартные сервисы.

Для защиты от атак на уровне узла разработаны методы и средства блокирования поведения. Разработана своя уникальная архитектура, которая при полноценной реализации, способна обогнать конкурентов по производительности, гибкости, расширяемости и стоимости. В основу данной архитектуры была положена дискреционная модель управления изолированным доступом, определяющая отношения между процессами и ресурсами. Эта система расширяет модель безопасности Windows 2000, в которой реализована дискреционная модель управления избирательным доступом. Преимущества перед стандартной моделью очевидны: в стандартной модели безопасности Windows, любое приложение, запущенное под правами администратора, получает полный доступ к ресурсам системы, а в модели управления изолированным доступом, права любого приложения можно ограничить. Разработана база правил для наиболее распространенных угроз и приложений.

Для дополнительной защиты от атак на уровне узла спроектированы методы и алгоритмы аномального поведения пользователей и процессов. Данный метод позволяет достаточно эффективно сигнализировать о нестандартном поведении пользователей при работе с компьютерами на базе Windows. Такое нестандартное поведение нельзя однозначно ассоциировать с вторжением, однако при проявлении других признаков атаки, соответствующая информация может ускорить поиск источника атаки или получить о ней дополнительную информацию.

Для предотвращения атак СОА содержит  в себе средства анализа защищенности системы, как на уровне сети, так и на уровне узла, на основе сканирования портов, проверки обновлений ОС и настроек системы безопасности.

При обнаружении попытки проведения атаки СОА предлагает достаточно широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. В качестве «уведомления» используется информирование администратора по электронной почте и SMS, в качестве «сохранения» - ведение журналов аудита событий, связанных с атаками, в качестве «активного реагирования» - блокировка работы атакующего и завершение сессии с атакующим узлом.

·       На основе результатов, полученных в НИР «Мониторинг-Т», выполнена часть опытно-конструкторской работы «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создание программного макета системы тестирования СОА» по заказу одного из управлений Генерального штаба ВС РФ.

·       Выполнена НИР по заказу РНТ (г. Москва) «Изыскание путей и разработка инженерно-технических решений построения перспективного ряда защищенного цифрового абонентского оборудования для  использования его в интеллектуальных сетях связи».

Средствами разработанного по этой работе специального программного обеспечения (СПО) в среде операционной системы ОС МСВС 3.0 на уровне ядра ОС, в частности, обеспечивается:

-       шифрование/расшифрование файлов пользователей, хранимых на жестком диске, а также - файлов, передаваемых в канал связи и принимаемых из канала;

-       создание, ведение и уничтожение на жестком диске разделов (папок) для хранения зашифрованных файлов пользователя, общей папки зашифрованных файлов и папки входящих зашифрованных файлов, принятых от абонентов;

-       шифрование файла при помещении его в папку с автоматическим шифрованием файла на ключе пользователя, просмотр файла, хранящегося в папке, с автоматическим расшифрованием файла на ключе пользователя.