Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика.pdf

Компьютерные сети играют значительную роль в нашей жизни. Различные организации (частные или государственные), школы, учебные учреждения, университеты, обычные пользователи посредством сетей обмениваются информацией, обрабатывают различными способами, хранят её на множестве сетевых ресурсов.

Но в то же время, злоумышленники стараются разными способами исказить обрабатываемую в этих сетях информацию. Цели, преследуемые данными людьми, разнятся (от простого доказательства собственного превосходства до хищения информации с целью получения выгоды). Взломщики осуществляют свои планы с помощью различных вторжений в компьютерные сети. Поэтому понимание того, что есть вторжение в компьютерную сеть, что такое аномалии, вызываемые этими вторжениями, является на сегодняшний день актуальной задачей. Решение данной задачи позволяет нам не "разбирать" последствия вторжения, а использовать превентивные меры его ещё на подходах к системе, что существенно сокращает расход экономические, технологические и психологические затрат.

Целью данной курсовой работы является дать характеристику аномального состояния для автоматизированный системы и аномального сетевого трафика, привести классификацию аномалий. Провести обзор существующих методов регистрации сетевого трафика. Выполнить обзор средств анализа сетевого трафика. Научиться выполнять анализ трафика, с использованием инструментов анализа сетевого трафика.

Глава 1. Характеристика аномалий в автоматизированной системе и сетевом трафике

1.1 Сетевой мониторинг

Сетевой мониторинг (мониторинг сети) — это сложная задача, требующая больших затрат ресурсов, которая является жизненно важной частью работы сетевых администраторов. Администраторы постоянно стараются поддержать бесперебойную работу подчиненной сети. Если работа сети нарушится хотя бы на небольшой период времени, производительность в организации сократится и в случае организаций предоставляющих государственные услуги, сама возможность предоставления основных услуг будет поставлена под угрозу. В связи с этим администраторам необходимо следить за потоками сетевого трафика и производительностью на всей сети и проверять, анализируя ее на бреши в безопасности.

1.2 Понятие и виды аномалий.

Для того чтобы дать понятие аномального состояния, в начале необходимо дать определение состояния и нормального состояния. Под состоянием будем понимать набор параметров, которые характеризуют любую систему, к примеру, компьютерную. Под нормальным состоянием будем понимать такое состояние системы, при котором она корректно реализует все возложенные на неё функции.

Исходи из вышеизложенного, под аномальным состоянием будем понимать состояние, при котором поведение системы отличается от нормального.

Аномальное состояния для автоматизированной системы. Согласно ГОСТ, под автоматизированной системой понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Нас будут интересовать средства автоматизации деятельности, поскольку действия персонала в автоматизированной системе относятся к вопросам организационного обеспечения информационной безопасности и, в рамках данной работы, не будут рассматриваться.

К средствам автоматизации можно отнести всевозможные аппаратно-программные средства, осуществляющие автоматический сбор, хранение и обработку информации.

Таким образом аномальное состояние автоматизированной системы - это такое состояние автоматизированной системы, при котором она перестает обрабатывать информацию штатным образом. К примеру система перестает корректно осуществлять ввод/вывод информации, или в системе наблюдается резкое падение/повышение производительности.

Аномальное состояние в сетевом трафике. Под сетевым трафиком понимается поток информации, проходящей через канал связи или приходящий на сайт/сервер. Трафик измеряется в битах и зависит от времени.

Следовательно аномальное состояние в сетевом трафике – это состояние, при котором значение функции f(t) в любой момент времени t отличается от нормального, то есть выше или ниже нормального значения. К примеру, работая в сети, мы наблюдаем увеличение или уменьшение потока информации, никак не связанное с нашей работой в сети. Это может говорить о том, что осуществляется несанкционированная передача данных, то есть вторжение.

Известные сетевые аномалии настолько разнообразны, что единой ее классификации нет. Поэтому предлагается классификация сетевых аномалий с точки зрения объекта воздействия – информационной системы, включающей программно-аппаратный комплекс и сетевую инфраструктуру.[1],[10]

Классификация представлена на рисунке 1.

Рисунок 1. Классификация аномалий.

Программно-аппаратные аномалии. Ошибки программного обеспечения компонентов информационной системы могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления доступа к сервисам.

Ошибки конфигурирования переводят функциональные возможности компонентов информационной системы в несоответствие штатным проектным параметрам, что приводит к нарушению общую работоспособность.

Нарушения производительности влекут за собой выход параметров информационной системы за пределы расчетных значений, что приводит к нарушениям обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов информационной системы, так и деградирующее влияние отдельной подсистемы на весь ее комплекс.

Сетевые аномалии. Данные аномалии зависят от конкретного типа вторжения в сеть, следовательно, они достаточно разнообразны и сложны в описании, к тому же они не имеют четко выраженного проявления, что еще больше затрудняет задачу их выявления[6].

Типы сетевых аномалий:

DoS-, DDoS-атака – распределённая атака типа отказ в обслуживании на одну жертву Выброс в представлении трафика пакеты/с, потоки/с, от множества источников к одному адресу назначения.
Перегрузка – необычно высокий спрос на один сетевой ресурс или сервис. Скачёк в трафике по потокам/с к одному доминирующему ИБ-адресу и доминирующему порту. Обычно кратковременная аномалия.
Сканирование сети/портов – сканирование сети по определённым открытым портам или сканирование одного хоста по всем портам с целью поиска уязвимостей. Скачёк в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего 1Р-адреса
Деятельность червей – вредоносная программа, которая самостоятельно распространяется по сети и использует уязвимости ОС. Выброс в трафике без доминирующего адреса назначения, но всегда с одним или несколькими доминирующими портами назначения.
Точка-мультиточка – распространение контента от одного сервера многим пользователям. Выброс в пакетах, байтах от доминирующего источника к нескольким назначениям, все к одному хорошо известному порту.
Отключения – сетевые неполадки, которые вызывают падение в трафике между одной парой источник-назначение. Падение трафика по пакетам, потокам и байтам обычно до нуля. Может быть долговременным и включать все потоки источник-назначение от или к одному маршрутизатору.
Переключения потока – необычное переключение потоков трафика с одного входящего маршрутизатора на другой. Падение в байтах или пакетах в одном потоке трафика и выброс в другом. Может затрагивать несколько потоков трафика.

В качестве примера можно привести сетевую вирусную активность, поскольку аномалии вызванные данным типом вторжения вторжениями относительно легко обнаруживают себя.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы и критические уязвимости в сетевых службах. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.

Из нашумевших атак последнего времени можно привести атаки сетевых вымогателей WannaCry[8] и Petya, эксплуатирующих уязвимость EternalBlue[7] в SMB операционных систем Microsoft Windows, хотя к уязвимости EternalBlue оказались подвержены и машины под управлением ОС Linux с запущенной службой Samba[3].

Датчики-сенсоры аномалий определяют необычное поведение, аномалии в функционировании отдельного объекта — трудности их применения на практике связаны с нестабильностью самих защищаемых объектов и взаимодействующих с ними внешних объектов. В качестве объекта наблюдения может выступать сеть в целом, определенный компьютер, сетевая служба (например, файловый сервер FTP или Web сервер), пользователь и т.д.

Датчики срабатывают при условии, что параметры нападения отличаются от параметров нормальной деятельности. Здесь появляется еще одно слабое место, присущее в большей степени для определенных реализаций, заключающееся в некорректности определения разброса отклонения наблюдаемого поведения от штатного, принятого в системе, и определении порога срабатывания сенсора наблюдения.[2]

Меры и методы, обычно используемые в обнаружении аномалии, включают в себя следующие:

статистические меры: решение о наличии вторжения принимается по большому количеству собранных данных путем их статистической предобработки;
пороговые значения: наблюдения за объектом выражаются в виде числовых интервалов. Выход за пределы этих интервалов принимается за аномальное поведение. В качестве наблюдаемых параметров могут быть, например, такие: количество обращений пользователя к файлам, в данный временной промежуток, количество неудачных попыток авторизации в системе, загрузка центрального процессора и т.п. Пороги могут быть как статическими, так и динамическими, то есть изменяться, подстраиваясь под конкретную систему;
непараметрические: здесь уже профиль строится на основе наблюдения за объектом в период обучения системы;
параметрические: для выявления вторжения строится специальный профиль нормальной системы на основе шаблонов, то есть некоторой политики, которой обычно должен придерживаться данный объект;
меры на основе правил (сигнатур): они очень похожи на непараметрические статистические меры. В период обучения составляется представление о нормальном поведении объекта, записываемое в виде специальных правил. Получаются сигнатуры нормального поведения объекта;
другие меры: генетические алгоритмы, нейронные сети, позволяющие классифицировать определенный набор видимых сенсору-датчику признаков.
В современных системах обнаружения вторжений в основном используют первые два метода. Следует заметить, что существуют две крайности при использовании данной технологии:
пропуск вторжения, которое не подпадает под определение аномального поведения. Данный вариант гораздо более опасен, чем ложноположительное причисление аномального поведения к классу вторжений.
обнаружение аномального поведения, не являющегося вторжением, и отнесение его к классу атак;

Поэтому при инсталляции и эксплуатации систем такой категории обычные пользователи и специалисты сталкиваются с двумя довольно нетривиальными задачами:

определение граничных значений характеристик поведения субъекта с целью снижения вероятности появления одного из двух вышеназванных крайностей.
построение профиля объекта — это трудно формализуемая и затратная по времени задача, требующая от специалиста по безопасности большой предварительной работы, высокой квалификации, знаний и опыта;

Чаще всего системы обнаружения аномальной активности используют журналы регистрации и текущую деятельность пользователя в качестве источника данных для анализа[4]. Плюсы систем обнаружения атак на основе технологии выявления аномального поведения можно оценить следующими критериями:

они не нуждаются в обновлении сигнатур и правил для обнаружения атак;
обнаружения аномалий генерируют информацию, которая может быть использована в системах обнаружения злоумышленного поведения пользователей.
системы обнаружения аномалий способны обнаруживать новые типы вторжений, сигнатуры для которых еще не разработаны;

Недостатками систем на основе технологии обнаружения аномального поведения являются следующие:

для качественной работы системы требуется длительное обучение;
системы генерируют много ошибок на поведение, не являющееся вторжением;
системы обычно слишком медленны в работе и требуют больших вычислительных ресурсов.

Глава 2. Обзор методов регистрации сетевого трафика

2.1 Методы мониторинга основанные на маршрутизаторе

Методы мониторинга основанные на маршрутизаторе — жёстко заданы (прошиты) в маршрутизаторах и, следовательно, имеют низкую гибкость. Краткое описание наиболее часто используемых методов такого мониторинга приведены ниже. Каждый метод развивался много лет, прежде чем стать стандартизованным способом мониторинга.

2.1.1 Протокол простого сетевого мониторинга (SNMP)

SNMP. Данная аббревиатура расшифровывается как Simple Network Management Protocol, и означает «Простой протокол сетевого управления». Данный стандарт относится к числу самых распространенных, что задействуются в целях управления различными девайсами в IP-сетях, функционирующих на базе архитектуры TCP/IP. Например, роутерами, коммутаторами, рабочими станциями, сетевыми принтерами.