СИСТЕМЫ ТЕЛЕКОММУНИКАЦИЙ И СЕТЕВЫЕ ТЕХНОЛОГИИ
УДК 004.056
И. М. Ажмухамедов, А. Н. Марьенков
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ АНАЛИЗА СЕТЕВОГО ТРАФИКА
Введение
Информация в современном мире стала одним из самых ценных товаров, и ее роль в обществе продолжает увеличиваться. Автоматизация процессов обработки, хранения и передачи информации привела к возникновению новых проблем, связанных с ее безопасностью. В последнее время сложилась устойчивая тенденция к увеличению количества атак на компьютерные системы и сети. Механизмы и способы взлома постоянно совершенствуются, и существующие средства защиты их полностью «не перекрывают». Все это делает разработку и внедрение новых методов и средств защиты информации в компьютерных сетях весьма актуальными.
Постановка и решение задачи
Согласно [1], можно выделить два основных принципа обнаружения атак:
Сигнатурный: каждая атака описывается определенной сигнатурой, которая может являться строкой символов, семантическим выражением на специальном языке, формальной математической моделью и т. д.
Поведенческий (обнаружение аномалий): принцип заключается в обнаружении несоответствия между текущим режимом работы информационной системы и ее штатным режимом работы.
Все основанные на данных принципах методы имеют свои достоинства и недостатки [1, 2].
Сигнатурные методы:
1. Методы контекстного поиска основаны на обнаружении в исходной информации определенного множества символов.
Достоинством данных методов является возможность точно задать параметры сигнатуры.
Недостатки методов: невозможность выявления атак, не описанных в экспертной системе (невозможно выявить атаки, отличающиеся от сигнатурного описания, либо атаки, не имеющие описания).
2. Методы анализа состояний основаны на формировании сигнатуры атак в виде последовательности переходов в информационной системе из одного состояния в другое.
Достоинство - высокая чувствительность к изменениям состояний информационной системы.
Недостатки методов: чувствительность зависит от точности модели информационной системы; невозможность выявления атак, не описанных в экспертной системе.
Поведенческие методы (методы обнаружения аномалий).
Эти методы на основе статистических моделей определяют показатели, характеризующие параметры штатного поведения системы.
Достоинства методов: позволяют определять распределенные атаки, в том числе и распределенные во времени; определяют взаимосвязи между различными событиями; корреляция событий позволяет определить значимые события.
Недостатки методов: чувствительность зависит от заданной величины отклонений и от точности модели информационной системы.
Кроме перечисленных выше, используются также методы продукционных правил, которые позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Эти методы также не выявляют атаки, не описанные в экспертной системе.
Методы имитации поведения биологических систем используют алгоритмы моделей, основанных на биологических объектах, например генетические алгоритмы или искусственные нейронные сети.
К положительным сторонам данных методик можно отнести следующее: возможность определять распределенные атаки, в том числе и во времени, высокий уровень адаптации; возможность определять неизвестные атаки; работа с зашумленными данными; сохранение работоспособности при неполных или искаженных данных; массированная параллельность обработки данных.
Недостатки методов: сложность создания адекватной обучающей выборки; зависимость точности обнаружения от качества обучения; невозможность извлечения знаний, накопленных искусственными нейронными сетями.
Как видно из приведенного краткого обзора, одним из методов борьбы с сетевыми атаками может служить отслеживание аномального поведения сетевого трафика, поскольку резкое увеличение количества передаваемой или принимаемой информации обычно является признаком начала атаки на сетевой ресурс.
Анализ трафика, в силу ряда особенностей эксплуатации компьютерных сетей, является новой и еще не до конца проработанной в методическом плане задачей.
В этом направлении в настоящее время существует несколько разработок.
Так, например, в [3], при разработке статистического анализатора, была выбрана модель, основанная на среднем значении и среднеквадратичном отклонении параметров сетевого трафика. Данный метод основан на сравнении локальных (текущих) характеристик потока пакетов с усредненными за некоторый промежуток времени (глобальными характеристиками).
В качестве статистических характеристик используются выборочное среднее значение, выборочная дисперсия и критерий согласия %2.
Если локальные характеристики значительно отличаются от глобальных, то делается вывод об аномальном поведении потока пакетов, которое вполне вероятно может привести к сбоям в работе оборудования, программного обеспечения или нарушениям политики безопасности.
В [4] рассмотрен подход, который опирается на минимальную информацию о трафике и не учитывает статистику поступления заявок на обслуживание, длину очереди и прочие показатели, характерные для систем массового обслуживания.
В рамках указанного подхода в первую очередь целесообразен анализ среднечасовых и среднесуточных показателей трафика. Эти показатели, с одной стороны, довольно полно отражают состояние работы сети, а с другой - более устойчивы, чем исходные данные, съем которых обычно осуществляется с частотой один раз в несколько минут.
На основе данных, приведенных в [5-7], было выявлено, что задача анализа сетевого трафика обладает следующими специфическими особенностями:
— отсутствует общепризнанная модель сетевого трафика;
— информативность трафика зависит от загруженности каналов: в слабозагруженных каналах информативность падает из-за неустойчивого поведения трафика, в сильнозагруженных -из-за их максимальной загруженности;
— проявляется свойство «самоподобия» трафика вычислительной сети;
— при анализе резких всплесков сетевого трафика необходимо учитывать сезонные колебания, а также другие нарушения стационарности.
На основе анализа этих особенностей был разработан алгоритм управления сетевым трафиком, общая схема которого приведена на рисунке.
Весь исходящий и входящий поток информации перехватывается блоком «Сетевой монитор». Данный блок, выполняя функции снифера, производит захват данных на втором уровне коммуникационной модели обмена 081.
В перехваченных кадрах осуществляется поиск заголовков 1Р-пакетов, из которых извлекается вся необходимая для дальнейшей работы информация. Полученные таким образом данные сохраняются в блоке «База данных сетевой статистики» вместе с датой и временем прихода кадра. На основе накопленной статистики проводится моделирование поведения сети и прогнозирование объема сетевого трафика. Для этой цели применяются метод циклического анализа и метод Хольта. Эти методы позволяют надежно описать загрузку компьютерной сети и выдают приемлемый результат даже при небольшом объеме исходных данных.
Схема управления сетевым трафиком: СППР - система поддержки принятия решений
Поскольку для слабозагруженных каналов характерны эффекты неустойчивого поведения трафика [4], прогнозирование загрузки необходимо проводить для всей сети, а не для каждого отдельного адреса. Однако для статических адресов (обычно это внутренние адреса локальной вычислительной сети) имеется возможность учитывать в общем прогнозе «вклад» от каждого сетевого адреса. Для динамических (внешних) адресов целесообразно учитывать только общий объем.
Полученный прогноз в дальнейшем сравнивается с данными, поступающими с сетевого устройства в реальном времени, и в случае их значительного расхождения делается вывод об обнаружении сетевой аномалии.
Сетевые аномалии [8] могут быть вызваны такими явлениями, как:
— нештатные ситуации в работе сети (сбои в работе или выход из строя сетевых устройств; изменения конфигурации сетевых устройств или сети в целом);
— перегрузки (так называемые flash crowds; широковещательные штормы в локальных вычислительных сетях);
— атаки (типа «Отказ в обслуживании» (Denial of Service - DoS); сканирование портов; другие типы атак).
Для автоматизации процесса обнаружения аномалий необходимо разработать алгоритм принятия решения с использованием математического аппарата нечеткой логики, а также составить базу знаний для этого алгоритма.
Величину аномалии F, а также частоту ее возникновения m, можно представить нечеткими лингвистическими переменными, определенными на соответствующих терм-множествах. Например, F = (Низкое, Ниже среднего, Среднее, Выше среднего, Высокое), m = (Редко, Часто, Постоянно).
На основе значений данных параметров формируются рабочие правила. Например:
ЕСЛИ (F = Высокое) И (m = Очень часто) ТО Действие 1,
ИНАЧЕ ЕСЛИ (F = Низкое) И (m = Часто) ТО Действие 2,
Поскольку прогноз данных для внешних и внутренних адресов имеет разную информативность, то правила должны это учитывать.
Во внутренней сети можно проводить сравнительный анализ для каждого сетевого адреса отдельно и на основании величины аномального отклонения и частоты ее возникновения принимать решение об активизации мер защиты.
Для внешней сети задача определения аномалии усложняется, т. к. количество компьютеров в сети может быть очень большим и эти компьютеры могут иметь динамическую адресацию, что не позволит проводить сравнение для каждого сетевого адреса.
Поскольку нет возможности отслеживать каждый адрес отдельно, можно попытаться вычислять адреса, наиболее интенсивно загружающие сети. Сильная загрузка с одного или нескольких внешних адресов может служить признаком несанкционированного скачивания/закачивания информации или Бо8-атаки. Если таких адресов не обнаружено, можно предположить, что началась ББо8-атака. В этом случай поступающие пакеты можно начать проверять на наличие специфических признаков, которые позволят определить тип атаки и принять ответные меры.
Так как система позволяет отслеживать отдельно входящий и исходящий трафик, необходимо сформулировать базу правил отдельно для каждого из потоков.
Значительное влияние на работу системы оказывает разброс значений в поступающем трафике. Часто возникающие всплески будут вызывать большое количество ложных аномалий, поскольку прогнозные данные имеют сглаженную структуру (это связано с алгоритмом циклического анализа временных рядов). Для предотвращения данного эффекта необходимо перед сравнением проводить сглаживание реальных параметров сетевого трафика, например методом скользящей средней.
Обучение системы происходит как при формировании базы правил, так и при адаптации системы к конкретным условиям. При этом необходимо проводить анализ правил на такие показатели, как полнота, однозначность, дублирование, избыточность и противоречивость [9]. Данные показатели характеризуют качество правил и, как следствие, качество всей СППР.
Выводы
Предложенная схема может быть использована для автоматизации обнаружения аномалий объема сетевого трафика как внутренней, так и внешней сети. Входные параметры могут быть описаны качественными значениями, что позволяет разработать базу правил для выработки ответной реакции на возникшую ситуацию. Система может быть масштабирована на различное количество сетей и их комбинации.
Программа, основанная на данном алгоритме, может применяться в сочетании с традиционными, более сфокусированными на сигнатурном анализе, антивирусными пакетами. Она самостоятельно собирает статистику, анализирует собранную информацию и реагирует на внештатные ситуации, генерируя предупреждения о возможном начале атаки или вирусной эпидемии и давая техническому персоналу возможность принять меры по минимизации ущерба от вредоносного трафика.
СПИСОК ЛИТЕРАТУРЫ
1. Камаев В. А., Натров В. В. Методология обнаружения вторжений // Изв. Волгоград. гос. техн. ун-та. Сер.: Концептуальное проектирование в образовании, технике и технологии: межвуз. сб. науч. ст. -Волгоград, 2006. - С. 148-153.
2. Лукацкий А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2003. - 608 с.
3. Кучер А. В. Интеллектуальная система поддержки принятия решения на основе нечеткой логики для диагностики состояния сети передачи данных: дис. ... канд. техн. наук. - Краснодар, КГТУ, 2007. - 221 с.
4. Васенин В. А., Макаров А. А. Проблемы и методики анализа трафика телекоммуникационных компьютерных сетей // Междунар. науч.-практ. конф. «Новые информационные технологии в университетском образовании», Новосибирск, 25-27 марта 1997 г. - Новосибирск, 1997. - С. 173.
5. Петров В. В. Структура телетрафика и алгоритм обеспечения обслуживания при влиянии эффекта самоподобия: автореф. дис. ... канд. техн. наук. - М.: МЭИ, 2005. - 20 с.
6. Треногин Н. Г., Соколов Д. Е. Фрактальные свойства сетевого трафика в клиент-серверной информационной системе // Вестн. НИИ Сибир. гос. ун-та телекоммуникаций и информатики. - Новосибирск: Изд-во СибГУТИ, 2003. - С. 163-172.
7. Стешенко В. В. Исследование Интернет-трафика пользователей корпоративной вычислительной сети Астраханского государственного технического университета // Вестн. Астрахан. гос. техн. ун-та. -2008. - № 1. - С. 130-132.
8. Гирик А. В. Обнаружение информационных угроз безопасности передачи данных в телекоммуникационных сетях: тез. докл. XV Всерос. науч.-метод. конф. «Телематика-2008», Санкт-Петербург, 23-26 июня 2008 г. - СПб., 2008. - С. 178.
9. Проталинский О. М. Применение методов искусственного интеллекта при автоматизации технологических процессов. - Астрахань: Изд-во АГТУ, 2004. - 184 с.
Статья поступила в редакцию 17.05.2010
SECURITY OF COMPUTER NETWORKS ON THE BASIS OF THE ANALYSIS OF NETWORK TRAFFIC
I. M. Azhmukhamedov, A. N. Marienkov
A scheme increasing the safety of computer networks on the basis of the analysis of network traffic is offered in the paper. Its advantages are the following: response speed to threats, minimum use of computational resources of the system, lack of the necessity to develop packets and, as a result, independence from the signatures of harmful programs. The proposed scheme can be used to automate the detection of anomalies in the amount of network traffic, both internal and external network. Input parameters can be described with quality values, allowing you to develop a framework of rules for the formulation of responses to a specific situation.
Key words: computer networks, security, analysis and forecasting of network traffic.