Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика..pdf
Добавлен: 26.05.2023
Просмотров: 83
Скачиваний: 4
Подозрительными характеристиками, которые идентифицируют атаки, могут быть:
• Подозрительный трафик от определенного адресата или к определенному адресату. Есть случаи, когда некоторые типы трафика или его содержимого могут вызвать подозрение. Это может быть обнаружение сообщений электронной почты с ключевыми словами "резюме" или "поиск работы", доступ к серверам www.job.ru, www.recruitment.com, www.vacation.com или работа по протоколу, который не ожидается от заданного адреса.
• Подозрительный трафик независимо от адресата. Есть конкретные типы трафика, которые являются подозрительными независимо от адресата. Классическим примером является - появление в сети незафиксированных ранее протоколов или присутствие во внутренней сети трафика от адресов, которые не принадлежат к данной сети. Самый простой пример – это передача какой-либо информации за пределы сети фирмы, обнаружить которую возможно путем слежения за возникновением в сетевом трафике соответствующих ключевых слов (например, "конфиденциально", "ДСП" и т. д.).
Непредвиденные атрибуты
Запросы любой системы, сети или пользователя характеризуются некоторыми атрибутами, которые описывают так называемый профиль системы, сети или пользователя. Профили системы употребляются для наблюдения и анализа контролируемого субъекта. Наиболее часто встречающиеся параметры, которые помогают обнаружить потенциальную атаку, рассмотрим далее.
Время и дата
Время и дата – это один из характерных атрибутов, которые применяют при обнаружении нарушений политики безопасности. Предположим, что зафиксирован вход в систему после 19.30. Исходя из времени когда имело место подключение, оно может быть либо санкционированный вход пользователя, который работает в неурочные часы. То есть, сотрудник работает вне рабочее время, и здесь могут возникнуть вопросы: почему. Работник не справляется со своими обязанностями, или он пишет квартальный отчет. Или это не сотрудник фирмы, а какое-то третье лицо пытается реализовать атаку от имени сотрудника. Такая ситуация может иметь место когда регистрируется вход в систему или доступ к важным данным, осуществляемый в выходные дни или праздники.
Или другой достаточно популярный и часто встречаемый на практике пример. Во многих банках все платежи, которые поступают по истечении определенного часа (например, 15.00), откладываются на следующий день. Если платеж пришел в пятницу после установленного времени, тогда этот платеж переносится на понедельник. В американских банках такая ситуация наступает в полдень пятницы. Факт перечисления денег после указанных моментов времени может привести к подаче сигнала системе обнаружения финансовых мошенничеств, что происходит несанкционированная транзакция.
Местоположение
Как правило пользователь выполняет вход в систему с одного и того же компьютера или обращается к ресурсам Internet через коммутируемое соединение с одного и того же номера телефона. Следовательно, если тот же пользователь входит в систему с другого компьютера или с компьютера, который имеет другой номер это можно рассматривать как аномалия. То есть, можно сказать, что данное действие влечет за собой определенную работу по разбору этой нештатной ситуации. Такая ситуация может иметь место в крупных корпорациях, филиалы которой разбросаны по всему миру, может также контролироваться и географическое расположение точки входа в сеть. Можно заключить, если имело место изменение постоянного места входа в систему, то можно делать вывод об атаке. Классическим примером является атаки в финансовой сфере. Например, во многих странах, операции ввода и подтверждения платежного поручения с одного и того же рабочего места запрещены во многих банках, так разделение этих процедур необходимо для того, чтобы сотрудники не могли злоупотреблять своим положением.
Системные ресурсы
Характеристики многих системных ресурсов также могут выступать в качестве индикатора атаки. Классический пример - это усиленная загрузка центрального процессора, которая отличается от среднестатистической величины. Как правило такая нагрузка может скрывать под собой самые разные действия, которые выходят за рамки нормальных. Такая ситуация может иметь место при неправильной работе операционной системы или какого-либо приложения, так и, например, при атаке типа "подбор пароля" ("brute force"). Из других характеристик ресурсов, которые часто применяются для идентификации атаки, можно выделить интенсивное обращение к оперативной и дисковой памяти, файлам, телекоммуникационным портам и т. д.[15]
Можно так же сказать, что без использования сложных и нередко дорогостоящих аппаратно-программных комплексов выявить подозрительный трафик практически невозможно.
ЗАКЛЮЧЕНИЕ
В данной курсовой работе по информационной безопасности по теме: «Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика» в первой главе раскрыты основные понятия по данной теме. То есть, было раскрыто определение понятия сетевой трафик или просто интернет-трафик.
Так же в первой главе было дано определение мобильного трафика, и выполнено сравнение между, обычным и мобильным интернет-трафиком.
Во второй главе работы описаны методы мониторинга основанные на маршрутизаторе – это методы, которые жёстко заданы в маршрутизаторах и, поэтому имеют низкую гибкость.
Так же во второй главе описаны комплексные методы мониторинга и описан аномалии сетевого трафика.
Можно так же сказать, что без использования сложных и нередко дорогостоящих аппаратно-программных комплексов выявить подозрительный трафик практически невозможно.
В результате проведенного теоретического изучения материала можно сказать, что слежение и анализ сети — жизненно необходимы в работе системного администратора. Администраторы должны стараться содержать свою сеть в порядке, как для не разрозненной производительности внутри компании, так и для связи с любыми существующими публичными сервисами.
СПИСОК ЛИТЕРАТУРЫ
- Виницкий Д. Персональный компьютер — проще простого! — СПб.: Питер,2014.— 240 с: ил. ISBN 978-5-496-01118-1
- МЕТОД ОБНАРУЖЕНИЯ АНОМАЛИЙ ПОТОКОВ ДАННЫХ В СЕТЯХ .Максименко, Г.А.
- Таненбаум Э. Современные операционные системы 3-е изд. — СПб.: Питер, 2011. — 1120 с.
- NetFlow. Учет трафика на маршрутизаторах cisco. [онлайн] – URL: http://wolandblog.com/347-netflow-uchet-trafika-na-marshrutizatorax-cisco/ (дата обращения 25.01.2017)
- Аномалии сетевого трафика. // Алексей Лукацкий [онлайн] – URL: http://megaobuchalka.ru/6/8448.html (дата обращения 01.02.2017)
- Мониторинг персонала [онлайн] – URL: 360°http://www.hr.prolan.ru/concept/monitoring.htm (дата обращения 01.02.2017)
- Мониторинг сети. Документация к обучающему курсу. [онлайн] – URL: http://utils.kaspersky.com/special/ksos2/17_ksos2_network_monitor_ru.pdf (дата обращения 27.01.2017)
- Обзор методов анализа и мониторинга сетевого трафика //Alisha Cecil. Пер.И. П. Манакова. [онлайн] – URL: http://it-bloknot.ru/?
- Официальный сайт компани «Тритфейс». Элементы систем сетевого мониторинга на базе пакетов. [онлайн] – URL: http://www.treatface.ru/brands/netoptics/elementy_sistem_monitoringa_na_baze_paketov/ (дата обращения 27.01.2017)
- Сетевой трафик. [онлайн] – URL: https://ru.wikipedia.org/wiki/
- Что такое мониторинг и где он применяется? [онлайн] – URL: http://www.mnogo-otvetov.ru/prochie/chto-takoe-monitoring-i-gde-on-primenyaetsya/ (дата обращения 27.01.2017)
- Что такое трафик в интернете, виды, типы и классификация. [онлайн] – URL: http://seoslim.ru/voprosy-i-otvety/chto-takoe-internet-trafik-vidy-tipy-i-klassifikaciya.html (дата обращения 24.01.2017)
- Что такое трафик в интернете. [онлайн] – URL: http://vorabota.ru/faq/chto-takoe-trafik-v-internete.html (дата обращения 20.01.2017)
- Что такое трафик в компьютерной сети? [онлайн] – URL: http://www.mnogo-otvetov.ru/computery/chto-takoe-trafik-v-kompyuternoj-seti/ (дата обращения 24.01.2017)
- Что такое трафик? [онлайн] – URL: https://elhow.ru/ucheba/opredelenija/t/chto-takoe-trafik?utm_source=users&utm_medium=ct&utm_campaign=ct (дата обращения 20.01.2017)
Что это — SNMP? Простой протокол сетевого управления. [онлайн] – URL: http://computerologia.ru/chto-eto-snmp-prostoj-protokol-setevogo-upravleniya/ (дата обращения 25.01.2017)
ПРИЛОЖЕНИЯ
Рисунок 1. Комбинированный мониторинг
-
Сетевой трафик. [онлайн] – URL: https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA (дата обращения 20.01.2017) ↑
-
Что такое трафик? [онлайн] – URL: https://elhow.ru/ucheba/opredelenija/t/chto-takoe-trafik?utm_source=users&utm_medium=ct&utm_campaign=ct (дата обращения 20.01.2017) ↑
-
Таненбаум Э. Современные операционные системы 3-е изд. — СПб.: Питер, 2011. — 1120 с. ↑
-
Виницкий Д. Персональный компьютер — проще простого! — СПб.: Питер,2014.— с.127 ↑
-
Что такое трафик в интернете. [онлайн] – URL: http://vorabota.ru/faq/chto-takoe-trafik-v-internete.html (дата обращения 20.01.2017) ↑
-
Что такое трафик в компьютерной сети? [онлайн] – URL: http://www.mnogo-otvetov.ru/computery/chto-takoe-trafik-v-kompyuternoj-seti/ (дата обращения 24.01.2017) ↑
-
Что такое трафик в интернете, виды, типы и классификация. [онлайн] – URL: http://seoslim.ru/voprosy-i-otvety/chto-takoe-internet-trafik-vidy-tipy-i-klassifikaciya.html (дата обращения 24.01.2017) ↑
-
Что это — SNMP? Простой протокол сетевого управления. [онлайн] – URL: http://computerologia.ru/chto-eto-snmp-prostoj-protokol-setevogo-upravleniya/ (дата обращения 25.01.2017) ↑
-
Обзор методов анализа и мониторинга сетевого трафика //Alisha Cecil. Пер.И. П. Манакова. [онлайн] – URL: http://it-bloknot.ru/?q=content/%D0%BE%D0%B1%D0%B7%D0%BE%D1%80-%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%BE%D0%B2-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0-%D0%B8-%D0%BC%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3%D0%B0-%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE-%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0 (дата обращения 25.01.2017) ↑
-
NetFlow. Учет трафика на маршрутизаторах cisco. [онлайн] – URL: http://wolandblog.com/347-netflow-uchet-trafika-na-marshrutizatorax-cisco/ (дата обращения 25.01.2017) ↑
-
Что такое мониторинг и где он применяется? [онлайн] – URL: http://www.mnogo-otvetov.ru/prochie/chto-takoe-monitoring-i-gde-on-primenyaetsya/ (дата обращения 27.01.2017) ↑
-
Мониторинг сети. Документация к обучающему курсу. [онлайн] – URL: http://utils.kaspersky.com/special/ksos2/17_ksos2_network_monitor_ru.pdf (дата обращения 27.01.2017) ↑
-
Мониторинг персонала [онлайн] – URL: 360°http://www.hr.prolan.ru/concept/monitoring.html (дата обращения 01.02.2017) ↑
-
МЕТОД ОБНАРУЖЕНИЯ АНОМАЛИЙ ПОТОКОВ ДАННЫХ В СЕТЯХ .Максименко, Г.А. ↑
-
Аномалии сетевого трафика. // Алексей Лукацкий [онлайн] – URL: http://megaobuchalka.ru/6/8448.html (дата обращения 01.02.2017) ↑