Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика (Классификация средств мониторинга и анализа).pdf

ВВЕДЕНИЕ

Стремительная популяризация и, соответственно, развитие сетей значительно усложнили вычислительные системы и сделали их связанными относительно друг друга, следовательно, менее защищенными от вредоносной деятельности. Рост уровня автоматизации процессов обработки, хранения и передачи информации также сказывается на возникновении проблем по обеспечению безопасности, а расходы на покрытие убытков от деятельности злоумышленников постоянно увеличиваются [10].

Стоит отметить, что складывается устойчивая тенденция к увеличению количества атак на вычислительные системы и сети [5]: способы и методики удаленного воздействия постоянно совершенствуются, а существующие системы защиты не позволяют своевременно реагировать на изменения в этой сфере, потому что сначала нужно обнаружить, а затем и изучить сетевую атаку. Из-за этого нет возможности полностью исключить вредоносный трафик. Эти обстоятельства придают большое значение вопросам выработки эффективных методик обнаружения несанкционированного трафика и разработки актуальных средств защиты информации.

Актуальность выбранной темы обусловлена тем, что на текущий момент активно разрабатываются и применяются различные методы по обнаружению и предотвращению вторжений, но они не всегда являются эффективными на практике. Вследствие этого все технологии защиты постоянно изучаются и улучшаются.

Существующие системы объединяет общая черта – защита локальной сети от злоумышленного воздействия извне. В моей работе рассматривается построение аналитики внутреннего трафика таким образом, чтобы на основе нее администратор мог принять решение о принятии своевременных действий и тем самым защитить внешнюю сеть от воздействия из локальной сети. Если распространить такую схему в работе большинства подсетей, то обеспечение безопасности сетевой инфраструктуры выйдет на новый уровень.

В связи с этим целью курсовой работы является разработка прототипа системы сбора сетевого трафика для анализа и выявления несанкционированной активности.

В рамках работы будут решены следующие задачи:

1. изучение проблемы обеспечения безопасности сети и исследование современных методик анализа сетевого трафика;
2. разработка оптимальной архитектуры системы;
3. создание алгоритмов статистической обработки полученных данных;
4. реализация прототипа программной системы обнаружения вредоносного трафика на основе разработанной архитектуры и алгоритмов.

Глава 1. Исследование существующих систем мониторинга и анализа сетевого трафика

1.1 Классификация средств мониторинга и анализа

В процессе обработки и хранения информации неизбежно возникает необходимость в обмене данными между участниками этого процесса. С конца 70-х годов началось бурное развитие компьютерных сетей и сопутствующего сетевого оборудования. Локальные и глобальные сети продолжают развиваться, возникают новые протоколы передачи данных, расширяются аппаратные возможности сетевого оборудования, растет число подключенных абонентов и суммарный объем трафика.

Такое интенсивное развитие области влечет за собой ряд проблем. Одна из них заключается в том, что при растущем числе потребителей информационных услуг увеличиваются требования к сетевому и серверному оборудованию, которое используется для поддержания надлежащего уровня качества обслуживания. Вторая основывается на необходимости защиты информации, которая циркулирует внутри сети [6].

Для решения этих проблем используют мониторинг и анализ трафика, помогающие эффективно диагностировать и решать проблемы при их возникновении, не позволяя сетевому оборудованию простаивать долго [1]. Так как информация по сети передается почти непрерывно, то становится понятно, что прекращение работы оборудования или иные причины отказа в обслуживания приводят к убыткам организаций или компаний предоставляющих услуги. В связи с этим администраторам необходимо следить за движением сетевого трафика и производительностью всей сети, а также проверять ее на бреши в политике безопасности.

Инструменты, которые предлагают для мониторинга и анализа вычислительных сетей, можно разделить на несколько групп [12]:

Системы управления сетью (Network Management Systems) - централизованные программные системы, которые собирают данные о состоянии сетевых устройств и информацию о трафике в сети. Функционал данных программ не ограничен мониторингом и анализом сети. Дополнительно, в полуавтоматическом или автоматическом (в зависимости от реализации) режиме, осуществляются действия по управлению сетью: настройка и изменение адресных таблиц коммутаторов и прочего оборудования, включение и отключение портов устройств. К системам в этой категории относятся HPOpenView, SunNetManager, IBMNetView.

Встроенные системы диагностики и управления (Embedded systems). Системы данного типа выполнены в виде программно-аппаратных модулей, которые устанавливаются в коммуникационное оборудование, либо – в операционную систему в виде программных модулей. Они позволяют управлять и диагностировать только тем устройством, на котором находятся. Примером таких систем является модуль управления концентратором Distributed 5000, который выполняет функции автосегментации портов после обнаружения неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Обычно, встроенные модули управления также выполняют роль SNMP-агентов, передавая данные о состоянии устройства в систему управления.

Средства управления системой (System Management). Инструменты из этой группы выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. При этом часть функций этих двух видов систем могут дублироваться (например, средства управления системой могут проводить простейший анализ трафика).

Анализаторы протоколов (Protocol analyzers) – это программные или аппаратно-программные системы, используемые только для мониторинга и анализа трафика в сетях. Хорошим анализатором считается тот, который может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - примерно нескольких десятков. Эта группа систем может устанавливать некоторые логические условия для захвата отдельных пакетов и выполнять полное декодирование пакетов, то есть отображать в удобной для пользователя форме вложенность пакетов протоколов разных уровней с расшифровкой содержания каждого полей пакета.

Когда начинают проектировать или модернизировать сеть, часто возникает потребность в количественном измерении характеристик сети: например, возникающие на различных этапах задержки, частота возникновения выборочных событий, интенсивность потоков данных по линиям связи, время реакции на запросы.

Оборудование для диагностики и сертификации кабельных систем. Из названия становится ясно предназначение этой группы. Условно можно выделить четыре подтипа подобного оборудования: кабельные сканеры, сетевые мониторы, мультиметры и приборы для сертификации кабельных систем.

Экспертные системы соединяют человеческие знания о выявлении причин аномальной работы сетей и возможных способах возвращения сети в рабочее состояние. Чаще всего они представлены в виде отдельных подсистем других средств мониторинга и анализа сетей, рассмотренных ранее.

К простому варианту экспертной системы относится контекстно- зависимая help-система, а более сложные представляют собой так называемые базы знаний, которые обладают элементами искусственного интеллекта. Примером данной группы является система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. Из-за широкого распространения локальных сетей появилась потребность в разработке недорогих портативных приборов с функционалом нескольких устройств: кабельных сканеров, программ сетевого управления и анализаторов протоколов. В качестве примера можно привести Compas компании MicrotestInc или 675 LANMeter компании FlukeCorp.

Также стоит отметить еще два способа мониторинга сети. Первый – это маршрутизаторо-ориентированный. Он представляет собой мониторинг, встроенный непосредственно в маршрутизатор и не требующий дополнительной установки другого обеспечения. Второй способ, соответственно, – это не ориентированный на маршрутизаторы, то есть это подобранное самим специалистом необходимое аппаратное и программное обеспечение для текущих нужд.

Системы обнаружения и предотвращения вторжений

Внедрение подобных систем для защиты информации является необходимостью для всех серьезных сетевых инфраструктур, так как существуют программы, которые постоянно выискивают уязвимости в любом оборудовании, подключенном к глобальной сети. К примеру, поисковый движок Shodan [17] в автоматическом режиме собирает информацию о подключенных устройствах, которые не имеют какой-либо части системы безопасности. Пользователи Shodan находят системы управления крематорием, газовой станцией и тому подобное, которые не имеют реквизитов доступа, либо они настроены по умолчанию. Следовательно, к ним можно легко проникнуть и уменьшить работоспособность.

Против такого воздействия и направлены системы обнаружения и предотвращения вторжений, поэтому они являются часто используемым инструментом в политике безопасности [2].

Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

Система предотвращения вторжений (СПВ) (англ. Intrusion Prevention System (IPS)) – программное или аппаратное средство, осуществляющее мониторинг сети или системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

Системы предотвращения вторжений можно считать расширением систем обнаружения вторжений, так как задача отслеживания атак остается одинаковой. Но СПВ должна отслеживать вторжения в реальном времени и сразу осуществлять действия по предотвращению атак. Для этого они используют: сброс соединений, блокировку потоков трафика в сети, выдачу сигналов оператору. Помимо этого такие системы могут дефрагментировать пакеты, изменять порядок TCP пакетов для защиты от пакетов с измененными SEQ и ACK номерами и тому подобное [3].

Данные системы используются для автоматизации процесса контроля над событиями, которые протекают в компьютерной системе или сети, и анализа этих событий с целью поиска признаков проблем безопасности. Так как количество различных способов и видов организации несанкционированных вторжений в сети за последнее время значительно увеличилось, то системы обнаружения вторжений стали обязательной частью инфраструктуры безопасности для большинства организаций. Этому способствуют как большое количество литературы по данному вопросу, которую потенциальные злоумышленники внимательно изучают, так и все более изощренные подходы к обнаружению попыток проникновения в информационные системы.

Современные системы обнаружения вторжений имеют различную архитектуру, основными из которых являются: сетевая и локальная. Сетевые системы устанавливают на выделенных для этих целей компьютерах так, чтобы они могли анализировать трафик, протекающий по локальной вычислительной сети. Локальные же системы размещаются на тех компьютерах, которые нуждаются в защите, и изучают определенные события (программные вызовы или действия пользователя).

Кроме архитектуры СОВ также могут различать по методике обнаружения: часть систем ищет аномальное поведения, другая – злоумышленное [7].

Методики обнаружения аномального и злоумышленного поведения пользователей

Системы обнаружения аномального поведения (от англ. anomaly detection) основаны на том, что СОВ известны признаки, характеризующие правильное или допустимое поведение объекта наблюдения. Под «нормальным» или «правильным» поведением понимаются действия, выполняемые объектом и не противоречащие политике безопасности [3].

Системы обнаружения злоумышленного поведения (misuse detection) основаны на том, что заранее известны признаки, характеризующие поведение злоумышленника. Наиболее распространенной реализацией технологии обнаружения злоумышленного поведения являются экспертные системы (например, системы Snort, RealSecure IDS, Enterasys Advanced Dragon IDS).