РАЗРАБОТКА И ПРИМЕНЕНИЕ МЕТОДА ОПЕРАТИВНОГО ВЫЯВЛЕНИЯ HTTP-ТУННЕЛИРОВАНИЯ В СЕТЕВОМ ТРАФИКЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ Текст научной статьи по специальности «Компьютерные и информационные науки»

СИСТЕМНЫЙ АНАЛИЗ, УПРАВЛЕНИЕ И ОБРАБОТКА ИНФОРМАЦИИ

УДК 004.771:004.056.52

DOI: 10.24412/2071-6168-2024-10-217-218

РАЗРАБОТКА И ПРИМЕНЕНИЕ МЕТОДА ОПЕРАТИВНОГО ВЫЯВЛЕНИЯ НТТР-ТУННЕЛИРОВАНИЯ В СЕТЕВОМ ТРАФИКЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

А.С. Подшибякин, О.М. Степанюк

Данная научная статья посвящена разработке и реализации метода оперативного выявления использования технологии HTTP-туннелирования в сетевом трафике информационно-телекоммуникационных систем (ИТКС). В исследовании рассматриваются особенности, связанные с HTTP-туннелированием, проводится сравнительный анализ существующих методов обнаружения и предлагается новый подход, основанный на комплексном анализе сетевого трафика. Представлена практическая реализация технологии HTTP-туннелирования с использованием разработанного клиент-серверного программного комплекса, а также предложено собственное средство детектирования туннелирования с применением библиотеки Scapy. Результаты исследования демонстрируют эффективность представленного подхода в выявлении подозрительной активности и потенциальных угроз безопасности, связанных с HTTP-туннелированием.

Ключевые слова: HTTP-туннелирование, информационная безопасность, сетевой трафик, анализ пакетов, Scapy, обнаружение угроз, кибербезопасность, сетевой мониторинг, скрытые каналы передачи данных.

Среди широкого спектра угроз информационной безопасности (ИБ), таких как вирусы, фишинговые атаки и DDoS-атаки, особое место занимает проблема скрытного проникновения нарушителями ИБ в целевые ИТКС через HTTP-туннели. Техника создания и использования таких соединений позволяет скрыто передавать данные, обходя стандартные средства контроля и фильтрации сетевого трафика, что делает их популярным инструментом среди нарушителей ИБ для реализации кибератак. Более того, использование ими широко распространенных протоколов прикладного уровня, таких как HTTP (Hypertext Transfer Protocol - протокол передачи гипертекста), представляет собой серьезную угрозу для безопасности корпоративных сетей, так как позволяет не только извлекать конфиденциальную информацию, но и осуществлять неконтролируемый доступ к ресурсам сети. Проблема усугубляется еще тем, что традиционные средства защиты, такие как сетевые экраны и антивирусные программы, часто оказываются неэффективными против этого типа атак из-за их скрытного характера и способности маскироваться под обычный трафик.

В свете этих обстоятельств, оперативное выявление HTTP-туннелей в информационном потоке корпоративной сети приобретает актуальность и необходимость. Цель данной статьи - разработка эффективного метода, позволяющего в реальном времени обнаруживать и блокировать попытки использования HTTP-туннелирования в сетевом трафике, что повысит общий уровень защиты ИТКС. Для достижения этой цели требуется комплексный анализ существующих методов обнаружения использования HTTP-туннелирования, определение их недостатков и разработка новых, более эффективных технологических решений. Это включает в себя применение перспективных алгоритмов машинного обучения, методов глубокого анализа потоков данных и разработку специализированного программного обеспечения, способного оперативно реагировать на угрозы, основанные на использовании технологии HTTP-туннелирования.

Обзор технологии и особенности использования HTTP-туннелирования. HTTP-туннелирование представляет собой многофункциональную технологию, позволяющую передавать данные через корпоративные сетевые порты 80 и 443, которые обычно остаются открытыми для веб-трафика.

Основной составляющей технологии HTTP-туннелирования является использование прокси-сервера, действующего в качестве посредника между клиентом и сервером. Клиент отправляет HTTP-запросы прокси-серверу, который, в свою очередь, преобразовывает эти запросы в нужный тип трафика и передает их на целевой сервер. Ответы от сервера принимаются прокси-сервером, преобразуются обратно в формат HTTP и пересылаются клиенту. Технология HTTP-туннелирования может использоваться для различных целей, включая обеспечение конфиденциальности передачи данных с помощью шифрования. Однако такая технология может быть использована нарушителями ИБ для маскировки вредоносного потока данных и значительно усложнить процесс анализа и фильтрации трафика сетевыми мониторинговыми инструментами. Это связано с тем, что HTTP-туннелирование представляет собой механизм, который позволяет инкапсулировать протоколы и типы трафика, которые обычно не используют HTTP, в допустимые HTTP-запросы и ответы. Это достигается за счет передачи данных, которые не являются частью стан-

дартного HTTP-трафика, через HTTP-сессии, что может оказаться полезным для обхода межсетевых экранов (firewall) или промежуточных серверов (proxy, прокси-сервер), реализующих политики фильтрации сетевого трафика.

Исходя из вышесказанного, использование HTTP-туннелирования порождает ряд проблем, значительно усложняющих процесс оперативного выявления применения данной технологии нарушителями ИБ в сетевом трафике ИТКС. Следует заметить, что одной из важных проблем является маскировка сетевого трафика. Так, используя стандартные HTTP-запросы и ответы для туннелирования, малозаметные данные могут без труда скрываться среди легитимного веб-трафика, что делает их обнаружение сложной задачей. Нарушители ИБ могут применять эти возможности для проникновения в сетевую инфраструктуру или передачи чувствительных данных [1].

Кроме того, функционирование HTTP-туннелирования может привести к увеличению нагрузки на сетевые ресурсы. Интенсивное использование туннелей для передачи больших объемов данных может вызвать замедление работы сети, тем самым уменьшая её эффективность и производительность. Выявление таких активностей требует отслеживания и анализа большого объема передаваемых данных, что, в свою очередь, может потребовать дополнительных ресурсов для транспортировки и обработки информации. Например, системы глубокого анализа пакетов (Deep Packet Inspection, DPI) могут быть неэффективны из-за шифрования данных внутри HTTP-сессий. На рис. 1 представлен процесс атаки на корпоративную сеть с обходом средств защиты, используя HTTP-туннелирование.

Лйкалькля сеть орги ниаации

Глоййпьпйл сеть

ПОТОК ДАННЫХ В САГАВОН трафике

Исходящие внутренний трафик к средствам защиты нттр-тунне:

Исходящий фильтрованный трафик SO внешнюю сеть

Входящий фильтрованный трафик в локальную сеть

Входящий внешний трафик к средствам защиты

Целевой ПК

Комплекс средств защиты сети (Firewall, IDS/IPS, VPN-шлюз и т.д.)

Нарушитель ИБ

»»о- □

Сервер командовании и контроля

Рис. 1. Процесс атаки на корпоративную сеть с обходом средств защиты, используя НТТР-туннелпрование

Безопасность является еще одной существенной проблемой при использовании HTTP-туннелирования. Хотя протокол HTTP и предполагает передачу данных по открытым каналам, наличие дополнительных слоев шифрования и обфускации в рамках туннелирования может усложнить процесс верификации и аутентификации пользователей и узлов. Таким образом, HTTP-туннелирование, несмотря на его полезность и удобство, представляет собой технологию, имеющую ряд значительных сложностей, которые необходимо учитывать при разработке методов оперативного обнаружения и нейтрализации воздействий, связанных с данным видом трафика в ИТКС.

В связи с этим, разработка метода оперативного выявления HTTP-туннелей в сетевом трафике становится необходимой и важной актуальной задачей. Это включает в себя создание эффективных алгоритмов и методов детектирования аномалий, способных распознавать нестандартные паттерны использования протокола HTTP.

Сравнительный анализ существующих методов обнаружения использования технологий HTTP-туннелирования. В рамках проведения сравнительного анализа рассмотрим основные существующие подходы и методы обнаружения использования технологий HTTP-туннелирования, их преимущества и недостатки по сравнению с предлагаемым методом оперативного выявления.

Одним из традиционных подходов является использование систем обнаружения вторжений (IDS), которые анализируют трафик на предмет аномалий или известных сигнатур атак. Эти системы, хотя и эффективны в некоторых случаях, часто не могут корректно идентифицировать HTTP-туннели, поскольку в них используются легитимные HTTP-запросы и ответы для передачи данных.

Сравнительный анализ методов обнаружения использования HTTP-туннелирования

Таблица 1

№ п/п Метод Преимущества Недостатки

1 Системы обнаружения вторжений (IDS) Способны выявлять известные сигнатуры атак. Широко распространены и интегрируются в существующие инфраструктуры. Низкая эффективность выявления применения НТТР-туннелирования из-за использования легитимных запросов. Высокий уровень ложноположительных срабатываний

2 Глубокий анализ пакетов (DPI) Детальный анализ содержимого трафика. Возможность выявления аномалий в поведении протоколов. Высокие требования к вычислительным ресурсам. Возможное нарушение конфиденциальности данных пользователей

3 Методы машинного обучения Адаптивность к новым типам атак. Возможность выявления скрытых закономерностей в трафике. Сложность сбора и обработки большого объема обучающих данных. Чувствительность к изменениям в типах трафика

Другой подход связан с анализом глубины пакетов (DPI), который позволяет более детально изучать содержимое трафика. DPI может отличать HTTP-туннели от других видов трафика на основе анализа заголовков, временных характеристик и типичных паттернов поведения. Однако такие системы требовательны к ресурсам и могут нарушать конфиденциальность пользовательских данных.

Кроме того, применяются методы машинного обучения для классификации трафика, которые обучаются на больших объемах исторических данных для выявления потенциального использования туннелирования.

Недостатком таких подходов является сложность в сборе и обработке необходимого объема обучающих данных, а также возможные ошибки в работе обученной модели из-за изменения характеристик трафика или новых типов туннелирования.

В табл. 1 представлен сравнительный анализ основных существующих методов обнаружения использования HTTP-туннелирования с указанием их преимуществ и недостатков.

Следует отметить, что независимо от выбранного метода, комплексный подход, включающий не только технологические решения, но и постоянное обновление знаний об актуальных угрозах и инструментах, обеспечит наиболее эффективную защиту ИТКС от использования технологий HTTP-туннелирования нарушителями ИБ.

Практическая реализация технологии HTTP-туннелирования. В связи с тем, что в открытом доступе существует множество инструментов для создания HTTP-туннеля [2-4], проверка работоспособности каждого из них затруднительна и нецелесообразна. Кроме того, их функциональность может не соответствовать необходимым требованиям. Поэтому авторами было принято решение разработать собственный программный комплекс на языке программирования Python, реализующий технологию HTTP-туннелирования между клиентом и сервером, что позволит провести целенаправленное исследование и анализ сетевого трафика, а также обеспечить гибкость и адаптивность инструмента под конкретные задачи исследования.

Программный комплекс, разработанный на основе анализа современных систем мониторинга компьютерных сетей, состоит из двух взаимосвязанных программ: серверной и клиентской [5]. Несмотря на их раздельную реализацию, эти программы образуют целостную систему, предназначенную для сбора, передачи и централизованного хранения информации о состоянии множества компьютерных систем в режиме реального времени.

Серверная часть программы, реализованная в файле server-http-tunneling.py, представляет собой веб-приложение на базе фреймворка Flask и обеспечивает выполнение двух ключевых задач: регистрации клиентов и приема данных. Процесс регистрации клиентов осуществляется путем сохранения уникального идентификатора клиента и его IP-адреса в оперативной памяти сервера. Механизм приема данных реализован таким образом, что программа асинхронно обрабатывает входящие POST-запросы, содержащие информацию о состоянии клиентских систем в формате JSON.

Полученные данные сервер сохраняет в файловой системе, формируя для каждого клиента отдельный JSON-файл, который пополняется при каждом новом поступлении данных. Важной особенностью серверной части программы является ее многопоточность, что обеспечивает эффективную обработку параллельных запросов от множества клиентов. На рис. 2 показан процесс работы и вывод на экран серверной части программы.

* Serving Flask app 'server-http-tunneling'

* Debug mode: off

INFO:werkzeug¡WARNING: This is a development server. Do not use it in a production deployment. Jse a production WSGI server instead.

* Running on all addresses (9.0.0.0)

* Running on http://127.9.9.1:3030

* Running on http://192.16S.26.122:8089

INFO:werkzeug:Press CTRL+C to quit_

Рис. 2. Процесс работы серверной части программы

Клиентская часть программы, представленная в файле client-http-tunneling.py, реализует функционал сбора системной информации и ее периодической передачи на сервер. Клиент инициирует свою работу процедурой регистрации на сервере, отправляя ему свой уникальный идентификатор. Затем в отдельном потоке запускается циклический процесс сбора и отправки данных. Сбор информации осуществляется посредством системных вызовов и использования библиотеки psutil, что позволяет получить широкий спектр данных о состоянии системы, включая загрузку CPU, использование памяти и дискового пространства, сетевую активность, список запущенных процессов и информацию о пользователях. Дополнительно клиент собирает данные о файловой системе и выполняет команду uname для получения расширенной информации об операционной системе. Собранные данные сохраняются в формате JSON и отправляются на сервер посредством HTTP POST-запроса с заданной периодичностью. На рис. 3 показан процесс работы и вывод на экран клиентской части программы.

Рис. 3. Процесс работы клиентской части программы

В результате взаимодействия программ клиентской и серверной частей формируется комплексная система сбора и передачи данных, способная осуществлять непрерывный сбор, передачу и хранение детализированной информации о состоянии множества клиентских систем. На рис. 4 показано уведомление от системы о том, что клиент успешно подключён к серверу и передал информацию, которая была записана в файл (рис. 5).

INFO: root ¡Клиент зарегистрирован: cltentl с IP 217. IMFO:Werkzeug:217._193 - - Г 16/0

нш<н BfrniHiia I

INFO:root(Данные от clientl сохранены 8 файл clientl_data.json INF0:werkï

Рис. 4 Уведомление о корректном подключении клиента к серверу

219

egister НТТР/1.1" 20Э -ata/cHentl HTTP/1.1" 2G0 -

"timestamp": "2024-10-16 14:30:42",

"hostname": "ubuntuvm",

"system": "Linux",

"release": "6.8.0-40-generic",

"version": "#40-22.04.3-Ubuntu SMP PREEMPT_DYlinMIC Tue Jul 30 17:30:19 nrc 2",

"architecture": "x36_64",

"processor": "x86_64n,

"cpu_usa-ge_percent": 0.4,

"memory_info": {

"total": 8270142376, "available": 3362859776, "percent": 53.3, "used": 4079595520, "free": 33316454-, "active": 2707954688, "inactive": 3672940544, "buffers":

"cached": 3B09157120, "shared": 22876160, "slab": 533729280

Рис. 5. ^ОК-файл, содержащий информацию о клиенте

Такая архитектура системы сбора и передачи данных обеспечивает их централизованное накопление, что потенциально может быть использовано нарушителем ИБ для проведения комплексного анализа уязвимостей целевых систем. Получив доступ к серверу или перехватив передаваемые данные, атакующий может выявить паттерны в работе системы, идентифицировать слабые места в безопасности и потенциальные векторы атак на клиентские машины. Более того, нарушитель ИБ может модифицировать клиентскую программу, расширив спектр собираемой информации, включив в него, например, сбор конфиденциальных данных, ключей шифрования или учетных данных пользователей [6]. Это позволит в дальнейшем не только скомпрометировать клиентские системы, но и получить доступ к целевой инфраструктуре, потенциально используя собранную информацию для проведения направленных атак, социальной инженерии или масштабного взлома сети.

На рис. 6 представлена схема взаимодействия клиента и сервера для сбора и хранения системной информации.

Рис. 6. Схема взаимодействия клиента и сервера для сбора и хранения системной информации

220

На приведенной схеме (рис.5) отображены следующие этапы взаимодействия Клиент-Сервер:

1. Клиент регистрируется на сервере.

2. Сервер подтверждает регистрацию клиента.

3. Взаимодействие Клиент-Сервер входит в цикл, который повторяется каждые 60 секунд:

- клиент собирает системную информацию;

- клиент отправляет собранные данные на сервер;

- сервер обрабатывает полученные данные;

- сервер сохраняет данные в JSON файл;

- сервер отправляет подтверждение клиенту о получении данных.

4. Конечным результатом взаимодействия клиента и сервера является собранный JSON-файл, названный в соответствии с ID клиента.

Использование HTTP-протокола для коммуникации между клиентом и сервером предоставляет нарушителю ИБ возможность легко маскировать вредоносный трафик под легитимный веб-трафик, что затрудняет его обнаружение стандартными средствами защиты. Периодичность отправки данных и асинхронность их обработки сервером позволяют атакующему осуществлять постепенное и незаметное извлечение конфиденциальной информации, минимизируя риск обнаружения. Данная реализация взаимодействия Клиент-Сервер представляет собой гибкую основу для создания масштабируемой системы удаленного доступа и контроля, которая может быть дополнена нарушителем ИБ функциями удаленного выполнения команд, кейлоггерами, средствами перехвата сетевого трафика и другими вредоносными модулями. Это позволит атакующему не только собирать чувствительные данные, но и осуществлять полный контроль над скомпрометированными системами, создавая обширную и трудно обнаруживаемую ботнет-сеть для дальнейших кибератак или кражи данных в промышленных масштабах.

Учитывая вышеизложенные угрозы и потенциальные риски, связанные с использованием HTTP-туннелирования для нелегитимных целей, становится очевидной необходимость разработки специализированного инструментария для оперативного обнаружения и анализа подозрительного HTTP-трафика.

Представление инструмента, реализующего метод выявления использования HTTP-туннелирования. Разработанный авторами инструмент [5] реализует единый метод обнаружения использования HTTP-туннелирования посредством анализа HTTP-трафика. Этот метод объединяет несколько взаимосвязанных функциональных компонентов, которые совместно обеспечивают эффективное выявление скрытой передачи данных и попыток обхода систем безопасности.

Инструмент осуществляет перехват сетевого трафика с помощью функции sniff из библиотеки Scapy [7], позволяя захватывать сетевые пакеты на заданном сетевом интерфейсе. Использование TCPSession при перехвате обеспечивает реконструкцию полных TCP-сессий, что предоставляет более глубокий уровень анализа взаимодействий между сетевыми узлами.

Каждый перехваченный сетевой пакет анализируется функцией analyze_packet, которая проверяет наличие слоя HTTPRequest, что позволяет сосредоточиться на HTTP-запросах, выделяя их из общего потока трафика. Инструмент ведет статистику по HTTP-пакетам, отслеживая общее количество обработанных запросов и распределение по методам, таким как GET и POST. Это способствует детальному пониманию характера трафика и выявлению аномалий в использовании различных методов HTTP.

Особое внимание уделяется POST-запросам на нестандартные порты, отличные от общепринятых 80 и 443. Такие запросы могут служить индикатором попыток обхода стандартных механизмов безопасности через HTTP-туннелирование. При обнаружении подобных POST-запросов инструмент пытается декодировать их содержимое и проверить наличие данных в формате JSON, который часто используется для структурированной передачи информации в туннелях.

Если выявляется содержащий полезную нагрузку POST-запрос на нестандартный порт и обнаруживается JSON-содержимое, инструмент регистрирует это событие как потенциальный HTTP-туннель. Кроме того, дополнительно, он отслеживает частоту таких запросов от каждого источника. Если количество запросов превышает установленный порог за определенный интервал времени (например, более пяти запросов в течение минуты), это классифицируется как подозрительная активность.

Все значимые события, включая обнаружение потенциальных туннелей и случаев повышенной активности, записываются в лог-файл http_tunnel_detection.log, что обеспечивает возможность последующего ретроспективного анализа и принятия мер по усилению безопасности сети.

Таким образом, представленный инструмент реализует комплексный метод глубокого анализа HTTP-трафика для обнаружения HTTP-туннелирования. Объединяя перехват, анализ содержимого запросов, мониторинг частоты и логирование событий, инструмент эффективно выявляет аномальные паттерны и способствует предотвращению скрытой передачи данных, а также обхода систем безопасности.

На рис. 7 представлена схема, отображающая следующую последовательность действий в функционале инструмента:

1. Sniffer-модуль перехвата сетевых пакетов, реализует функцию sniff, которая отвечает за отслеживание сетевого трафика. При перехвате сетевого пакета функция sniff вызывает функцию analyze_packet из модуля Analyzer для детального анализа каждого перехваченного сетевого пакета.

2. Analyzer-модуль анализа сетевых пакетов, содержит функцию analyze_packet, которая проводит детальную обработку и анализ каждого пакета, выполняя следующие действия:

а) проверка типа пакета, определяющая, является ли пакет HTTP-запросом;

б) обработка HTTP-запросов (если пакет является HTTP-запросом), включающая:

- обновление статистики (обновляет счетчики HTTP-пакетов для последующего анализа трафика);

- анализ нестандартных запросов (если метод запроса - POST и порт назначения не является стандартным для HTTP/HTTPS (не 80 и не 443)) с выполнением проверки содержимого (анализирует тело запроса на наличие JSON-данных) и обнаружением возможного использования туннелирования. При обнаружении JSON-данных в нестандартном POST-запросе: логирует сообщение о возможном использовании HTTP-туннелирования; обновляет счетчики подобных запросов; фиксирует время последнего запроса; если запросы от одного IP-адреса поступают с высокой частотой, то логирует предупреждение о подозрительной активности;

в) регулярное логирование статистики (каждые 100 пакетов функция логирует информационные сообщения о количестве обработанных пакетов и предоставляет статистику по используемым ШГР-методам).

Рис. 7. Схема, отображающая последовательность действий инструмента анализа сетевого трафика

3. Ь(^ег-модуль логирования, выполняет запись результатов анализа и другой важной информации:

а) фиксация сообщений об обнаружении подозрительной активности;

б) сохранение статистических данных обработки;

в) логирование других важных событий в работе программы.

aUxghttptunriel sudo python3 server http-tunneling.py

* Serving Flask app server-htip-tunneling « Debug iwde: off

INFO :werkzeug: WARNING.: This is a develop«« server. Do not use it i roduction VfSGI -server instead. » Running on all addresses (O.Q.B.O)

- Running on IHjRlxa^I,J-Q.J-

- Running on http://192.153.26.122:8639

a pre duct i СШпГи^ШОЙ)

werkzeug: Press CTRl+C to quit

werkzeug:'.2S. г.] - - [ie/Oct/2024 09:04:55] 'CP- / HTTP/1.0" 404 -

root:Клиент зарегистрирован: clientl с IP' .1

werkzeug:.— . I [18/0ct/2B2* 09:05:82] "POST /register HTTP/1.1" 266

root:Данные от clientl сохранены в файл cl\entl_data.json

verkzeug:;'• -J: - - [18/Oct/2024 09:05:93] "POST /data/clientI HTTP/1.1" 200 -

гоот:Дэиные от clientl сохранены в оайл clientl_data.json

nerk?eug:r'T ; r - - [»/oct/202« 09:86:04] "post /data/elientl http/1.1" 200 -

гоо^Дамные от clientl сохранены в Файл cltentl_data.json

ыегkzeug:. J. - [»/Qet/2024 09:07:05] "POST /data/elient1 HTTP/1.Г 200 -

root ;Данные от clientl сохранены в файл cltentl_data.jsen

werkzeug: /J4 - [ia/0ct/2024 09:68:06] "POST /data/сIient1 HTTP/1.1" 200 -

3 клиент успешно »регистрирован. ] Отправляем данные... ] Статус ответа сервера: 700 J Данные успешно отравлены. ] Отправляем данные... ] Статус отве<а сервера: 200 ) Санные успешно отправлены. ] отправляем данные... ) Статус ответа сервера; 200 3 Даниые успешно отправлены. ) Отправляем данные... ) Статус ответа сервера: 200 ) Печные успешно отправлены.

02.360 - 1NF0 -03,367 - INFO -04,530 - INFO -

Подозрительный нттр-туннель обнаружен: 192 163 79. 132 BOBO

Подозрительный Hi IP-туннель обнаружен; 192 - 163 79. ■ 1 132 8080

Подозрительный HTTP-Туннель обнаружен: 192 163 79. 1 132 8080

Подозрительный HTTP-туннель обнаружен: 192 163 79. 8080

Подозрительный нтТР-туннель обнаружен; 192 163 79. 132 80 ВО

Рис. 8. Демонстрация взаимодействия между клиентом и сервером с мониторингом процессов

4. SignalHandler-модуль реализует функцию signal_handler для обработки системных сигналов:

а) обрабатывает сигнал SIGINT, генерируемый при нажатии пользователем сочетания клавиш СМ+С;

б) обеспечивает корректную остановку программы при получении соответствующего сигнала (позволяет безопасно завершить все процессы и сохраняет текущие данные перед завершением работы).

5. System-модуль, реализующий следующие функции:

а) обеспечение корректного завершения работы программы;

б) использование вызова sys.exit(0) для завершения;

в) освобождение всех ресурсов;

г) завершение работы всех модулей при остановке программы;

д) предотвращение возможных утечек памяти и других системных ошибок.

На рис. 8 продемонстрирован процесс взаимодействия между клиентом и сервером, а также показаны результаты работы представленного инструмента по мониторингу и выявлению скрытой передачи данных (использование HTTP-туннелирования).

Таким образом, разработанный авторами инструмент позволяет эффективно обнаруживать и анализировать попытки использования HTTP-туннелирования и является полезным средством для специалистов по информационной безопасности. Его внедрение может значительно повысить уровень защищенности сетевой инфраструктуры и содействовать предотвращению утечек данных, а также других многочисленных киберугроз, связанных с использованием скрытых каналов передачи информации.

Заключение. В процессе исследования подчеркнута важность увеличения эффективности обнаружения несанкционированного доступа и нелегитимной передачи данных через сетевые коммуникации. Авторами был разработан и успешно апробирован метод оперативного выявления технологии HTTP-туннелирования в сетевом трафике ИТКС. Результаты экспериментов показали, что разработанный на основе представленного метода инструмент анализа сетевого трафика обладает высокой чувствительностью и специфичностью, что делает его весьма перспективным для дальнейшего развития и интеграции в существующие системы обеспечения сетевой безопасности.

Однако, несмотря на достигнутые успехи, работа по совершенствованию подходов к детектированию HTTP-туннелей требует продолжения. Использование статистического анализа и алгоритмов машинного обучения способствует повышению точности выявления HTTP-туннелей, что доказывает важность применения современных технологических подходов в области информационной безопасности. Необходимо сосредоточить усилия на дальнейшем улучшении внедряемых методов и алгоритмов, а также повышении скорости обработки данных в реальном времени. Это особенно важно в контексте постоянно эволюционирующих киберугроз и увеличения объема сетевого трафика.

Список литературы

1. SecurityLab. Sensitive Information. [Электронный ресурс] URL: https://www.securitvlab.ru/glossary/sensitive information (дата обращения: 14.10.2024).

2. GitHub - anderspitman/awesome-tunneling: List of ngrok/Cloudflare Tunnel alternatives and other tunneling software and services. Focus on self-hosting. [Электронный ресурс] URL: https://github.com/anderspitman/awesome-tunneling (дата обращения: 15. 10.2024).

3. 12 Best Ngrok Alternatives for Tunneling (Free & Paid). [Электронный ресурс] URL: https://www.regendus.com/best-ngrok-alternatives (дата обращения: 16.10.2024).

4. Top 10 Ngrok alternatives in 2024. [Электронный ресурс] URL: https://pinggy.io/blog/best ngrok alternatives (дата обращения: 16.10.2024).

5. GitLab. Alexander / HTTP Tunneling Detection System GitLab. [Электронный ресурс] URL: https://gitlab.uno/alex/http-tunneling-detection-system (дата обращения: 16.10.2024).

6. Степанюк О.М., Подшибякин А.С., Соловьева М.В. Особенности функционирования PAM-модулей в операционной системе Linux и обнаружение вредоносного программного обеспечения при использовании технологии eBPF // Технологии, алгоритмы и программы решения прикладных задач кибербезопасности, помехозащищенности и информационного обеспечения. Выпуск 6 (40). СПб.: ВКА имени А. Ф. Можайского, 2023. С. 9-17.

7. Scapy. Manipulate packets. [Электронный ресурс] URL: https://scapy.net (дата обращения: 17.10.2024).

Степанюк Орест Михайлович, канд. техн. наук, доцент, старший научный сотрудник научно-исследовательской лаборатории, [email protected], Россия, Санкт-Петербург, Военно-космическая академия имени А.Ф. Можайского,

Подшибякин Александр Сергеевич, научный сотрудник научно-исследовательской лаборатории, [email protected], Россия, Санкт-Петербург, Военно-космическая академия имени А. ФМожайского

DEVELOPMENT AND APPLICATION OF A METHOD FOR THE RAPID DETECTION OF HTTP TUNNELING IN THE NETWORK TRAFFIC OF INFORMATION AND TELECOMMUNICATION SYSTEMS

O.M. Stepanyuk, A.S. Podshibyakin

This scientific article focuses on the development and implementation of a method for the operational identification of HTTP tunneling technology used in the network traffic of information and telecommunication systems. The study examines the characteristics of HTTP tunneling and conducts a comparative analysis of existing detection methods. A new approach based on the comprehensive analysis of network traffic is proposed, which can be used to detect suspicious activity and potential security threats. The practical implementation of the developed client-server software package for HTTP tunneling is presented, along with a proprietary tunneling detection tool based on the Scapy library. The results of the research demonstrate the effectiveness of this approach in identifying potential security risks associated with HTTP tunneling.

Key words: HTTP tunneling, information security, network traffic analysis, packet analysis, Scapy, threat detection, cybersecurity, network monitoring, hidden data transmission channels.

Stepanyuk Orest Mikhailovich, candidate of technical sciences, docent, senior research associate of the research laboratory, [email protected], Russia, St. Petersburg, A.F. Mozhaisky Military Space Academy,

Podshibyakin Alexander Sergeevich, researcher at the research laboratory, Russia, St. Petersburg, A.F. Mozhaisky Military Space Academy