Файл: 2015.05.26 - Матеріали ХVІ Міжнародної науково-практичної конференції «Безпека інформації в інформаційно-телекомунікаційних системах».pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.04.2019
Просмотров: 3597
Скачиваний: 5
УДК 004.056.5
ВИЯВЛЕННЯ АНОМАЛІЙ У TCP/IP ТРАФІКУ МЕТОДОМ СТАТИСТИЧНОГО
АНАЛІЗУ
А.Ю. Головін; Ю.О. Головін, к.т.н., доцент.
Інститут спеціального зв’язку та захисту інформації НТУУ «КПІ»,
Постановка проблеми. Для ефективної протидії несанкціонованій прихованій
передачі інформації через комп’ютерні мережі необхідно її ідентифікувати у трафіку
мережевого середовища.
Аналіз останніх досліджень і публікацій. Методи виявлення прихованої передачі
інформації, а також методи ідентифікації вторгнень у комп’ютерні мережі вже було
детально розглянуто [1-5]. До основних методів ідентифікації прихованої передачі
інформації відносять: аналіз сигнатури, статистичний та поведінковий аналіз, системи
«процес-подія», метод опорних векторів [1,3,4]. Розглянуті методи можна поділити на 2
типи: аналіз сигнатур та виявлення аномалій. Основний недолік сигнатурних методів
аналізу мережевого трафіку у задачах, які пов'язані із відсутністю можливості
ідентифікувати невідомі типи прихованої передачі інформації, можна усунути шляхом
застосування методів виявлення аномалій у мережевій активності.
Виклад основного матеріалу. Процес виявлення аномалій ґрунтується на
спостереженні статистичних характеристик мережевого трафіку з метою реєстрації
відхилень поведінки мережевого середовища від певного профілю (шаблону). Визначення
профілю нормальної поведінки мережевого середовища дає змогу виявляти аномалії
незалежно від наявності складової конкретної аномалії в моделі загроз. Для побудови
базового профілю використовується набір даних, що не містить аномалій (наявності
прихованої передачі інформації). Особливістю виявлення аномалій є необхідність аналізу
множини спостережень, а не реєстрація певної дискретної характеристики.
В експерименті досліджувався мережевий трафік, що не містить аномалій, а також
зразки трафіку із наявністю прихованої передачі інформації використовуючи поле
Identification (IP ID) в IP-протоколі.
Слід зазначити що згідно специфікації RFC 4413 Поведінка полів TCP/IP (TCP/IP
Field Behavior)
[2] поле Identification в заголовку IPv4 містить номер фрагменту
дейтаграми і використовується для складання фрагментів пакета. У специфікації не
описано порядок присвоєння значень поля ідентифікатора, вказано лише, що кожному
пакету слід присвоювати унікальне значення IP ID для пари відправник-одержувач,
враховуючи протокол. Унікальність має забезпечуватися протягом інтервалу часу, який
дейтаграма (або будь-який з її фрагментів) може перебувати в мережі. Це означає, що
присвоєння значень IP ID може виконуватися різними шляхами, які можна поділити на
три класи: зростання (Sequential jump), випадкове значення (Random) та рівномірне
зростання (Sequential). Основна різниця між класом зростання та рівномірне зростання
полягає у використанні лічильника IP ID. В класі зростання використовується один
лічильник для всіх пакетів, на противагу в класі рівномірне зростання використовуються
окремі лічильники для кожного потоку пакетів. На практиці присвоєння значень IP ID
відбувається у такий спосіб: для кожного нового потоку (характеризується парою
відправник-одержувач і протокол) генерується псевдовипадкове значення (Random) IP ID,
після чого використовується клас присвоєння рівномірне зростання.
Функція генерації псевдовипадкових значень IP ID є відмінною для різних реалізацій
стеку протоколів TCP/IP. На приклад, після фільтрації значень IP ID, що рівномірно
зростають досліджено, що поле IP ID дійсно є випадковою величиною із рівномірним
розподілом, проте параметри генерації значень величини різняться в залежності від
реалізації конкретного стеку протоколів TCP/IP. Слід зазначити, що значення поля IP ID
106
для процесу прихованої передачі інформації (аномальна поведінка) та нормальної
поведінки є випадковими величинами із рівномірним розподілом, проте характеристики
значень випадкової величини IP ID є різними.
Для виявлення аномалій у мережевому трафіку доцільно використати
непараметричні методи виявлення змін, в яких замість спостереження параметрів моделі
розглядаються статистичні характеристики спостережень: середнє значення, дисперсія,
кореляція та ін. У рамках множини спостережень виявляється миттєва або дуже швидка
зміна статистичних характеристик.
Перед та після реєстрації зміни статистичні характеристики не змінюються, або
змінюються несуттєво. Тобто основні статистичні характеристики мають постійний
характер, а миттєве відхилення значення дисперсії та математичного очікування свідчить
про аномалію [3]. За таких умов із високою імовірністю можна виявити навіть незначні
відхилення, якщо вони спостерігаються протягом тривалого часу.
Важливим етапом є побудова профілю нормальної поведінки мережевого
середовища. Основні вимоги до профілю: мінімальний розмір та швидке оновлення.
Загальна схема ідентифікації прихованої передачі інформації на основі виявлення
аномалій передбачає наявність таких етапів: обчислення статистичних характеристик
мережевого середовища, побудова прогнозу та безпосередньо виявлення аномалій [4]. Для
того щоб виключити із множини спостережень випадкові коливання та підвищити якість
роботи критеріїв реєстрації аномальної поведінки необхідно провести згладжування даних
(метод короткострокового центрованого ковзного середнього) та видалити тренди (метод
відхилення від ковзного середнього) [4].
Висновки. Отже, на практиці доведено, що процес виявлення аномалій методом
статистичного аналізу характеристик TCP/IP трафіку є дієвим для випадку використання
поля Identification IP-протоколу в якості носія прихованої передачі інформації. Проте у
більш складних випадках (наприклад, використання прикладного рівня моделі OSI для
прихованої передачі інформації) для виявлення аномалій треба застосовувати методи
інтелектуального аналізу.
Список використаних джерел:
1.
Головін А.Ю., Методи виявлення прихованих каналів передачі інформації у
комп’ютерних мережах / Збірник наукових праць ІПМЕ. вип.71, 2014. – 9 с.
2. Mark A. West, Stephen McCann, TCP/IP Field Behavior RFC 4413
3.
Бобров А. В., Масич Г. Ф., Подходы к реализации сетевой системы обнаружения
вторжений на основе выявления аномального поведения / Проблемы теоретической и
прикладной математики: Труды 36-й Региональной молодёжной конференции.
Екатеринбург: УрО РАН, 2005. – 3 с.
4.
Шелухин О. И., Обнаружение вторжений в компьютерные сети (сетевые аномалии)
/ Горячая линия – Телеком, Москва, 2015. – 220 с.
5.
Новиков Е. А., Краснопевцев А. А., Сравнительный анализ методов обнаружения
вторжений / Безопасность информационных технологий. – 2012. – № 1. – С. 47-50
6.
Брюховецкий А. А., Скатков А. В., Адаптивная модель обнаружения вторжений в
компьютерных сетях на основе искусственных иммунных систем / Журнал
Электротехнические и компьютерные системы № 12 (88), 2013. – 10 с.
Анотація. Розглянуто процес аналізу статистичних характеристик TCP/IP
трафіку, особливості роботи TCP/IP стеку операційних систем Windows та Linux, а
також вплив процесу прихованої передачі інформації на статистичні характеристики
TCP/IP трафіку.
Abstract. The article describesthe process of analysis the statistical characteristics of TCP /
IP traffic and the TCP / IP stack realization features of the OS Windows and Linux, as well as the
impact of covert data transmission on the statistical characteristics of TCP / IP traffic.
107
УДК 004.75
ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ ОТ ВЛИЯНИЯ РАСПРЕДЕЛЕННЫХ
СЕТЕВЫХ АТАК НА ОТКАЗ В ОБСЛУЖИВАНИИ
Тихий Владислав Игоревич
ИССЗИ НТУУ “КПИ”
Эффективность деятельности органов государственной власти и средств массовой
информации в значительной степени определяется полнотой и качеством их
информационного обеспечения, применение которого позволяет сократить материальные,
финансовые и временные затраты. Потеря доступа пользователей к информационным
ресурсам таких организаций ведет к возможности своевременно доносить официальную
информацию. В качестве примера приведем российско-грузинскую войну 2008 года[1].
Тогда движение танков РФ было облегчено кибератаками на военное управление Тбилиси,
вследствие чего танки РФ продвинулись на 75 км.
«Атака на отказ в обслуживании, распределенная атака на отказ в обслуживании»
(англ. DDoS attack, (Distributed) Denial-of-service attack) [2] – нападение на компьютерную
систему с намерением сделать ее ресурсы недоступными пользователям, для которых данная
система была предназначена. Одним из самых распространенных методов нападения
является насыщение атакованного компьютера или сетевого оборудования большим
количеством
внешних
запросов
(часто
бессмысленных
или
неправильно
сформулированных), таким образом атакованное оборудование не может ответить
пользователям, или ответы столь медленные, что ресурс становится фактически
недоступным. Отказ сервиса возникает в следующих случаях [3]:
-
принуждением атакованного оборудования к задержки работы программного
обеспечения / оборудования или к расходам имеющихся ресурсов, в результате чего
оборудование не может продолжать работу;
-
занятием коммуникационных каналов между пользователями и атакованным
оборудованием, в результате чего качество сообщения перестает отвечать требованиям.
В докладе изложена система противодействия распределенным сетевым атакам,
описано предназначение и задачи модулей. Определено поведение пакетов легитимных
пользователей в процессе фильтрации трафика [4] и представляется визуальный набор
работы веб-сервера во время атаки. Приведены разъяснения возможных причин появления
подобных эффектов.
Литература
1. Cyberwar is coming! -
http://www.foreignpolicy.com/articles/2012/02/27/cyberwar_is_already_upon_us
2.
Denial of Service Attacks – Qijun Gu, PhD. Assistant Professor Department of Computer
Science Texas State University – San Marcos
3.
DDoS
-
виртуальный
терроризм.
http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/
4.
Сетевая модель OSI - https://ru.wikipedia.org/wiki/Сетевая_модель_OSI
Аннотация: в процессе анализа поведенческой модели работы атакующей стороны,
предлагается система защиты от распределенных сетевых атак типа отказ в обслуживание,
результат работы которой приводит к отражению действий атакующей стороны.
Ключевые слова: информационная война, распределенные сетевые атаки типа отказ
в обслуживание, уровни системы защиты, анализ трафика, DDoS.
108
УДК 354.42
ПРОБЛЕМИ БЕЗПЕКИ НАЦІОНАЛЬНОГО КІБЕРПРОСТОРУ
Белас О.М., д-р техн. наук, с.н.с.; Косогов О.М., канд. військ. наук, с.н.с.
Інститут спеціального зв’язку та захисту інформації НТУУ «КПІ»,
Військова частина А 1906
e-mail:
Україна потребує створення адекватної системи безпеки у світі, що трансформується,
де виклики національній безпеці все частіше набувають рис, відмінних від традиційних
загроз. Активність з боку провідних держав світу у кіберпросторі, глибинні зміни
відношення до внутрішньої інформаційної політики та формування потужних
транснаціональних злочинних груп, що спеціалізуються на злочинах в кіберпросторі, – все
це обумовлює необхідність виробленні рекомендацій щодо короткострокових та
довгострокових пріоритетів трансформації вітчизняного безпекового сектору з урахуванням
вищезазначених трендів.
Проведений аналіз тенденцій у політиці провідних держав щодо протидії загрозам в
кіберпросторі та зміні внутрішньої інформаційної політики цих держав, зважаючи на
посилення кібербезпекової компоненти, дозволив зробити наступні висновки:
1.
Більшість держав світу активно модернізує власні сектори безпеки у відповідності
до викликів сучасності, і особливо – зважаючи на потенціал використання мережі Інтернет у
військових цілях. Цей процес відбувається із: активним реформуванням систем управління
відповідним сектором безпеки (створення спеціалізованих підрозділів, управлінських
структур); впорядкуванням нормативного поля, що має забезпечити цілісність державної
політики в даній сфері; активною роз’яснювальною роботою серед населення щодо небезпек
кіберзагроз; збільшенням чисельності підрозділів, зайнятих у системі кіберзахисту;
розробкою кіберозброєнь та проведення пробних військово-розвідувальних акцій у
кіберпросторі; посилення контролю за національним інформаційним простором (способами
доступу, контентом тощо).
2.
З огляду на заяви експертів, що задіяні в підготовці нової „Стратегічної концепції
НАТО” щодо необхідності розглядати кібернапади на критично-важливу інфраструктуру як
„акт війни", варто очікувати можливості закріплення відповідних змін в міжнародно-
правових актах та статутних документах провідних міжнародних безпекових організацій, що
дозволять ідентифікувати кібератаки або їх сукупність як збройні напади.
3.
Тенденція посилення контролю з боку правоохоронних органів провідних країн
світу за контентом національного інформаційного простору свідчить, що панівний до
останнього часу неоліберальний підхід до розуміння мережі Інтернет (так звана
„Каліфорнійська ідеологія”) зазнає кардинальних змін, а на зміну їй приходить
„технореалізм” з його відношенням до ІКТ як „технологій подвійного призначення” та
ключовою роллю держави у розвитку мережі Інтернет.
4.
Незважаючи на декларовані бажання основних геополітичних суб’єктів протидіяти
мілітаризації кіберпростору, можна констатувати збільшення ролі суто військових структур
у забезпеченні безпеки національної критичної інфраструктури (національного
кіберпростору). У таких умовах Україна має бути готова не лише до ведення оборонних
заходів, однак активно створювати власні наступальні засоби для активних дій у
кіберпросторі.
5.
Вітчизняні реалії кібербезпекової сфери свідчать про низку важливих проблем, що
заважають створити ефективно діючу систему протидії загрозам в кіберпросторі. До таких
проблем в першу чергу відносяться: термінологічна невизначеність, відсутність належної
координації діяльності відповідних відомств, залежність України від програмних та
технічних продуктів іноземного виробництва, складнощі із кадровим наповненням
відповідних структурних підрозділів.
109
О.М. Белас, О.М. Косогов. Проблеми безпеки національного кіберпростору
Здійснено аналіз заходів із забезпечення кібербезпеки провідних держав, виділені
основні тренди трансформації внутрішньої політики держав з урахуванням зростання
кіберзагроз. Запропоновані шляхи покращення кібербезпекової політики України з метою
приведення її до вимог сучасності.
Ключові слова: національна безпека, кібербезпека, кіберзагроза.
O.N. Belas, A.N. Kosogov. National Cyberspace Security Issues
The analysis of measures to ensure cyber security leading states, highlighted the major
trends transforming domestic policy with the increase cyber threats. The ways to improve cyber
security policy Ukraine to bring it to modern requirements.
Keywords: national security, cyber security, cyber threats.
110