Разработка системы анализа сетевого трафика
ВВЕДЕНИЕ
Стремительная популяризация и, соответственно, развитие сетей значительно усложнили вычислительные системы и сделали их связанными относительно друг друга, следовательно, менее защищенными от вредоносной деятельности. Рост уровня автоматизации процессов обработки, хранения и передачи информации также сказывается на возникновении проблем по обеспечению безопасности, а расходы на покрытие убытков от деятельности злоумышленников постоянно увеличиваются [10].
Стоит отметить, что складывается устойчивая тенденция к увеличению количества атак на вычислительные системы и сети [5]: способы и методики удаленного воздействия постоянно совершенствуются, а существующие системы защиты не позволяют своевременно реагировать на изменения в этой сфере, потому что сначала нужно обнаружить, а затем и изучить сетевую атаку. Из-за этого нет возможности полностью исключить вредоносный трафик. Эти обстоятельства придают большое значение вопросам выработки эффективных методик обнаружения несанк
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 4
1 Исследование существующих систем мониторинга и анализа сетевого трафика 6
1.1 Классификация средств мониторинга и анализа 6
1.2 Системы обнаружения и предотвращения вторжений 9
1.2.1 Методики обнаружения аномального и злоумышленного поведения пользователей 11
1.2.2 Технологии обнаружения аномальной деятельности 12
1.2.3 Статистический анализ компьютерных атак 14
1.3 Анализ недостатков современных систем обнаружения вторжений 16
1.4 Вывод по главе 1 19
2 Проектирование системы 21
2.1 Задача перехвата трафика 21
2.2 Задача анализа трафика 23
2.3 Задача хранения трафика 25
2.4 Вывод по главе 2 26
3 Разработка прототипа системы анализа сетевого трафика 27
3.1 Модуль преобразования дампа сетевого трафика 28
3.1.1 Обоснование выбора программных средств 28
3.2 Модуль хранения сетевого трафика 31
3.2.1 Обоснование выбора программных средств 32
3.3 Модуль анализа и отображения 35
3.3.1 Аналитика сетевого трафика 36
3.3.1.1 Анализ временных интервалов между пакетами 36
3.3.1.2 Анализ частоты запросов по ip-адресам 38
3.3.2 Обоснование выбора программных средств 39
3.4 Вывод по главе 3 40
ЗАКЛЮЧЕНИЕ 41
СПИСОК СОКРАЩЕНИЙ 42
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 43
ПРИЛОЖЕНИЕ А 46
ПРИЛОЖЕНИЕ Б 52
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Cecil Alisha. A Summary of Network Traffic Monitoring and Analysis Techniques [Электронный ресурс] : статья / Alisha Cecil // сайт Вашингтонского университета в Сент-Луисе. – Режим доступа: http://www.cse.wustl.edu/~jain/cse567-06/ftp/net_monitoring/index.html
2. IDS/IPS — Системы обнаружения и предотвращения вторжений [Электронный ресурс]: статья. Режим доступа: http://netconfig.ru/server/ids-ips/.
3. IDS/IPS - системы обнаружения и предотвращения вторжений и хакерских атак [Электронный ресурс]: статья // сайт компании «АльтЭль». – Режим доступа: http://www.altell.ru/solutions/by_technologies/ids/.
4. WinPcap Documentation [Электронный ресурс]: документация. – Режим доступа: http://www.winpcap.org/docs/docs_412/html/main.html
5. Анализ угроз сетевой безопасности [Электронный ресурс]: статья // Лаборатория Сетевой Безопасности. – 2016. – Режим доступа: http://ypn.ru/138/analysis-of-threats-to-network-security/.
6. Басараб, М. А. Анализ сетевого трафика корпоративной сети университета методами нелинейной динамики [Электронный ресурс]: статья / М. А. Басараб, А. В. Колесников, И. П. Иванов // Наука и образование: научное издание / МГТУ им. Н. Э. Баумана. – 2013. – Режим доступа: http://technomag.bmstu.ru/doc/587054.html.
7. Лукацкий, А. Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: статья / А. Лукацкий // IT-портал. – 2006. – Режим доступа: http://citforum.ru/security/articles/ips/.
8. Маркин, Ю. В. Обзор современных инструментов анализа сетевого трафика [Электронный ресурс]: статья / Ю. В. Маркин, А. С Санаров // сборники трудов Института системного программирования Роcсийской академии наук. – 2014. – Режим доступа: http://www.ispras.ru/preprints/docs/prep_27_2014.pdf.
9. Михеев, А. В. Исследование методов сбора статистических данных о трафике в ip-сетях передачи данных [Электронный ресурс]: статья / А. В. Михеев // электронный научный архив Уральского федерального университета им. Б. Н. Ельцина. – 2016. – Режим доступа: http://elar.urfu.ru/bitstream/10995/36237/1/ittsm-2016-16.pdf.
10. Мустафаев, А. Г. Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика [Электронный ресурс]: статья / А. Г, Мустафаев. – 2016. – Режим доступа: http://e-notabene.ru/nb/article_18834.html.
11. Новый подход к защите информации – системы обнаружения компьютерных угроз [Электронный ресурс]: статья // Jet Info : ежемесячное деловое ИТ издание. – Инфосистемы Джет ; Москва, 2007. – № 4. – Режим доступа: http://www.jetinfo.ru/jetinfo_arhiv/novyj-podkhod-k-zaschite-informatsii- sistemy-obnaruzheniya-kompyuternykh
Желательно, чтобы при всем этом программное средство имело возможность генерировать атаки распределенного характера.
Например, архитектура некоторых типов имитаторов СОА состоит из набора агентов различных типов, специализированных для решения подзадач обнаружения вторжений. Агенты размещаются на отдельных компьютерах системы. В этой архитектуре в явном виде отсутствует «центр управления» семейством агентов, потому что в зависимости от ситуации ведущим может становиться любой из агентов, который инициирует функции кооперации и управления. В случае необходимости они могут скопироваться в сетевой и локальной среде, либо прекратить свое функционирование. В зависимости от ситуации (вида и количества атак на компьютерные сети, наличия вычислительных ресурсов для выполнения функций защиты), может потребоваться генерация нескольких экземпляров агентов каждого класса. Предполагается, что архитектура системы может адаптироваться к реконфигурации сети, изменению трафика и новым в