автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Анализ уязвимостей в системе мультиплексирования разнесенных данных и ее модификациях

На правах рукописи

ООЗОБЖ^э

ЕФИМОВ Владимир Игоревич

АНАЛИЗ УЯЗВИМОСТЕЙ В СИСТЕМЕ МУЛЬТИПЛЕКСИРОВАНИЯ РАЗНЕСЕННЫХ ДАННЫХ И ЕЕ МОДИФИКАЦИЯХ

Специальность 05 13 01 - системный анализ, управление и обработка информации (в научных исследованиях) по техническим наукам

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Омск - 2007

003062625

Работа выполнена на кафедре информационной безопасности факультета компьютерных наук ГОУ ВПО "Омский государственный университет им Ф М Достоевского"

Научный руководитель

доктор технических наук, доцент Файзуллин Рашит Тагирович

Официальные оппоненты

доктор физико-математических наук Хачай Михаил Юрьевич кандидат технических наук, доцент Малютин Андрей Геннадьевич

Ведущая организация

Институт систем обработки изображений РАН, г Самара

Защита состоится 17 мая 2007г в 16-30 на заседании диссертационного совета ДМ 212 179 03 при Омском государственном университете им Ф М Достоевского по адресу 644077, Омск, ул Нефтезаводская, 11

С диссертацией можно ознакомиться в библиотеке Омского государственного университета им ФМ Достоевского

Автореферат разослан <М[> 2007 года

Ученый секретарь диссертационного совета, кандидат

физико-математических наук, доцент

Семенов А М

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность

В современном мире все большее значение приобретают распределенные информационные вычислительные сети и технологии их создания Развитие технологий требует постоянного повышения эффективности функционирования таких систем и ставит задачи, для решения которых требуется научный подход Одним из видов таких задач считаются исследования различных сетевых архитектур, выработка решений по их использованию и оптимизации

В диссертации разработана система разделения и передачи данных с использованием имеющейся сетевой архитектуры и ее физической избыточности, проведен анализ этой системы при внешних воздействиях, выявлены различного рода зависимости в ней Это в свою очередь позволяет использовать ее как инструмент для дальнейших исследований, а так же в качестве базы для построения самостоятельных вариантов применения

Можно сказать, что проблема повышения эффективности компьютерных сетей и приложений является актуальной и приоритетность этой проблемы непрерывно растет с развитием глобальных сетей, а исследование, проведенное в работе, включая разработанные в ней алгоритмы, предлагают новые варианты использования системы в сфере информационных технологий

Целыо диссертационной работы является разработка и исследование алгоритмов, которые повышают эффективность функционирования компьютерных сетей и приложений

Задачи работы

1 Разработка системы разделения данных и ее модификаций, анализ системы при внешних воздействиях, выработка решений по оптимизации системы, обеспечению ее устойчивости

1 1 Исследование возможности системы при ее реализации с использованием протокола TCP 1 2 Разработка усовершенствованного алгоритма работы системы с использованием протокола UDP, лишенного недостатков алгоритма на основе протокола TCP Исследование функциональных зависимостей между компонентами системы 1 3 Разработка алгоритма обеспечения надежности UDP системы Обоснование взаимосвязи между надежностью и устойчивостью системы к внешним воздействиям 1 4 Разработка способа интегрирования компонентов системы в распределенные IP-сети, такие как Интернет Реализация метода выбора наиболее предпочтительных участков прохождения трафика Определение соответствующих критериев выбора

2 Исследование возможности нахождения потоков, принадлежащих общему источнику, с использованием анализа корреляции скоростей потоков данных, а так же на основе анализа последовательной корреляции данных в потоках

Методы исследования

Для решения поставленных задач были использованы методы математической статистики, комбинаторики, декомпозиции систем При разработке программного обеспечения был использован объектно-ориентированный подход

Научная новизна работы

Заключается в том, что

- реализована система разделения данных для сетей IP с использованием имеющейся сетевой архитектуры и ее физической избыточности,

- описаны варианты реализации воздействия на систему, целью которого является нахождение потоков, принадлежащих общему источнику с использованием анализа корреляции скоростей потоков данных, а так же способ нахождения таких потоков с использованием анализа последовательной корреляции данных,

- выработаны модификации системы, где предложены варианты повышения устойчивости системы при целенаправленных воздействиях и иного рода внешних факторах, выработаны алгоритмы повышения надежности системы и алгоритмы интегрирования, обеспечивающие дополнительную сложность нахождения потоков с использованием анализа последовательной корреляции данных

Практическая ценность данной работы обусловлена практикой эксплуатации Предлагаемая в диссертации реализация системы и полученные результаты так же представляют интерес для различных применений в области информационных технологий и могут использоваться в качестве базы для дальнейших исследований Разработанные в работе алгоритмы и программы бы ли использованы в ЗАО "Компания "Коммед" при разработке проекта системы передачи данных

Достоверность результатов работы подтверждена экспериментами и практикой эксплуатации

Основные результаты, выносимые на защиту

1 Разработанный способ исследования возможности нахождения потоков, принадлежащих общему источнику, с использованием анализа корреляции скоростей потоков данных в TCP системе

2 Усовершенствованный алгоритм работы системы с использованием протокола UDP Исследование модифицированной системы, на предмет внешних воздействий

3 Алгоритм обеспечения надежности UDP системы

4 Способ интегрирования компонентов системы, принцип инкапсуляции компонентов системы

5 Исследование возможности нахождения потоков принадлежащих общему источнику с использованием анализа последовательной корреляции данных в потоках

Апробация работы

Основные положения диссертационной работы докладывались и обсуждались на Конференции-конкурсе работ студентов, аспирантов и молодых ученых, работающих и/или обучающихся в Сибирском и Уральском регионах РФ «Технологии Microsoft в информатике и программировании», (Новосибирск, 2005) На IV Сибирской школе-семинаре с международным участием "SIBECRYPT'05", (Томск, 2005) На семинаре института математики им С JI Соболева СО РАН (Омск, 2007)

Публикации.

По теме диссертации опубликовано 6 печатных работ

Структура и объем работы.

Диссертация состоит из введения, трех глав и заключения Диссертация содержит 92 страниц, 38 рисунков и 3 таблицы Список литературы насчитывает 70 наименований

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследуемой в диссертации проблемы, формулируются основные цели и задачи исследования

Первая глава имеет обзорный характер

Исследуются существующие принципы реализации внешних воздействий на компьютерные сети и методы обеспечения устойчивости к ним Проводится анализ существующих способов ограничения физического доступа к каналу связи таких как, технология виртуальных локальных сетей (vlan), технология коммутации по меткам (vlan-mpls), в сетях с групповым вещанием - технология присоединения в групповую рассылку (îgmp) и др

Рассматривается подход, при котором видоизменяется передаваемая информация, т е происходит ее логическое преобразование перед отправкой по каналу передачи данных Сюда можно отнести такие технологии как стеганография, архивация, шифрование и другие, призванные противостоять доступу к передаваемой информации

Предлагаемая система, разрабатывается при условии сочетания в себе первого и второго подхода, и представляет собой аналог телефонного шифратора Д X Роджерса для сетей IP Таким образом, с одной стороны она осуществляет логическое преобразование исходной последовательности и, в какой то степени, сокрытие самого факта передачи информации, с другой, ограничение физического доступа к каналам связи, по которым эта информация передается В заключение главы, раскрываются цели и задачи диссертационной работы

Вторая глава

Дано обшее описание исследуемой системы, механизмов ее функционирования, описана реализация отдельных компонентов, даются определения основных терминов и понятий

Основное назначение исследуемой системы в осуществлении передачи информации с одного компьютера на другой (с демультиплексора на мультиплексор) При этом выполняется разделение данных по нескольким разнесенным каналам передачи так, что с физической точки зрения, перехват всех частей текста затруднителен и сложность восстановления исходной последовательности без какой-либо ее отдельной части максимальна

Всего имеется три основных типа компонент системы демультиплексор, передатчики и мультиплексор (см рис 1)

демульмпле'.сор

. передатчик

гередатчик

передатчик

пуяьтиплексср

Рис 1 Общая структура системы

Основная роль демультиплексора — разделение поступающих на него данных Роль мультиплексора — сбор исходной последовательности из полученных после демультиплексирования частей

Показано, что после обработки данных на уровне приложений стека TCP/IP, пакеты передаются сетевому уровню IP В заголовке полученного IP - пакета в поле отправитель стоит IP-адрес демультиплексора, а в поле получатель IP-адрес передатчика Благодаря такой реализации происходит сокрытие «глобальных адресов», т е адреса конечного пункта назначения и адреса устройства, изначально отправившего данные Можно сказать, что глобальные адреса маскируются адресами передатчиков системы (см рис 2)

ГЫ от *Р

¡Г',«гг-1Гд> '1 'Рн-г-Г'п.-р

| Р<)И>Т 'Р

\ 1[\ЧГ-|ГГНЧ Г'н,|5~1Рм П

! Д"!Г It \\ грг»Д1т !

Hi'-m ri„fi Ч.Ч Г

< *

М intTl" пг> 11 М|>

Рис 2 Заголовки IP-пакета на различных участках

Учитывая тот факт, что адреса источника и пункта назначения скрыты, и прямым образом, при анализе пакетов данных, невозможно определить их принадлежность общему источнику, в работе, тем не менее, показаны косвенные способы детекции таких потоков, реализуемые в виде соответствующих воздействий на систему, анализа ее состояний и передаваемых данных Проводится подробное описание возможных влияний, а так же способов повышения стойкости системы, реализованных в соответствующих модификациях, показана реакция системы в каждом конкретном случае

Нужно отметить, что основной целью умышленного воздействия на систему является выявление соответствующих потоков, порожденных общим источником

! ^ ЮТ 1 |

! * к' ют !

\ т-т. J |

1 Физическии канал »

1 * к ют1 4

Рис 3 Представление потоков в физическом канале

Так на рис 3, знаком (#) обозначены коррелированные логические потоки, находящиеся в одном физическом канале Что бы определить их, можно использовать описываемые способы

К таким способам относятся

1) Анализ последовательной корреляции внутри потоков данных

2) Реализация внешних воздействий с последующим анализом корреляции скоростей потоков данных (воздействия на протоколы межсетевого взаимодействия)

Результатом анализа последовательной корреляции данных является принцип восстановления по биграммам перехваченной последовательности, представляющей собой часть исходного текста

Например, в случае анализа англоязычного текста и получения по одному из каналов символа "<3", можно с уверенностью говорить, что следующим переданным символом будег символ "и" Это один из возможных примеров, когда достаточно части информации для попытки восстановления всей исходной последовательности

Анализ и детекция таких потоков могут быть произведены с использованием вычисления величины последовательной корреляции символов в них Формула для определения последовательной корреляции данных имеет вид

с "'(0001+ +6.-,0.-,+6-10о)-(6о+ + 6-.)2 [,]

где т - число анализируемых объектов, ()1 - I -й элемент последовательности

Данная формула показывает меру зависимости (2т+1 от С)т При незначительной корреляции значение коэффициента должно лежать в интервале

Се [//„, -2а-,„,//„, +2<т„,], [2]

где

/'» ="

т-1

, <7„,

1 т(т- 3) m - IV т + 1

[3]

В работе так же предлагается способ, направленный на повышение сложности проведения анализа последовательной корреляции, который основан на использовании вложенного разделения данных или инкапсуляции систем

Инкапсуляция представляет собой внедрение одной системы в другую с целью обеспечения разделения данных в потоках, уже подвергшихся мультиплексированию

Основным условием при реализации данной функции является то, что инкапсуляция не должна нарушать логическую целостность всей системы Иными словами, нельзя разделив данные на несколько частей, беспорядочно подвергнуть некоторые из них повторному делению Основная проблема, возникающая в этом случае в том, что разделенные данные необходимо в итоге мультиплексировать на приемной стороне в исходную последовательность Таким образом, целостность системы являет собой строгий принцип соблюдения иерархии при инкапсуляции систем

Гг

11

Т'ГИн» !"•{

~1 Й Й Г-

0-

т-р^Дл

Рис 4 Инкапсуляция системы

Результат инкапсуляции может быть представлен следующим выражением

М = Ц(й0(Х)), [4]

где Di — функция мультиплексирования вложенной системы, D0 — функция мультиплексирования внешней системы, М — данные, передаваемые во вложенной системе X - исходные данные внешней системы

Другими способами определения потоков, принадлежащих общему источнику, рассматриваемыми в работе, являются способы реализации внешних воздействий совместно с анализом корреляции скоростей потоков данных Показано, что данный тип воздействий может быть направлен на систему, реализованную с использованием протокола TCP

Демультиплексор в такой системе передает побайтно информацию на ПЕР1 и ПЕР2 Предположим, что точка внешнего воздействия находится на участке

ДЕМ-ПЕР1 и ПЕР2-М Что бы понять, какие потоки взаимосвязаны между собой, достаточно уменьшать полосу пропускания для каждого из потоков и анализировать реакцию потоков в другой ветке на данное воздействие (см рис 5)

"i

>

i *18 1

-И £Г

IF 'л>*.1.">М.

Рис 5 Переполнение буферов TCP/IP

Так как исходная информация передается поочередно, разделяясь побайтно демультиплексором на ПЕР1 и ПЕР2, то скорости передачи информации Удем-nepl и Удем-пер2 равны Предположим что, заблокировано соединение на участке ПЕР2-М На логическом уровне это можно сделать случайным образом удаляя пакеты идущие от ПЕР2 к мультиплексору (т е TCP-пакеты с адресами 1Рпер2-1Рм) с помощью моста, где имеется фильтрация и функции управления качеством для уровня IP После удаления пакета, протокол TCP запускает таймер, и если по истечении тайм-аута на передающую сторону не приходит подтверждение о приеме, пакет ретранслируется Таким образом, скорость передачи TCP-соединения падает Демультиплексор не имеет информации о том, что происходит на участке ПЕР2-М и побайтно продолжает передавать данные, вследствие чего буфер - БУФ1 ПЕР2 переполняется, т к скорость канала ДЕМ-ПЕР2 больше скорости ПЕР2-М

Вследствие переполнения БУФ1, ПЕР2 не дает подтверждения ДЕМ и последний, в свою очередь, продолжает ретранслировать эту часть данных до тех пор, пока не освободится БУФ2 ПЕР2 а после этого и БУФ1 Только после освобождения БУФ1 ПЕР2 будет давать подтверждение ДЕМ и тот продолжит передавать данные При возникновении задержек при передаче от ДЕМ к ПЕР2 ничего не будет передаваться и по каналу ДЕМ-ПЕР1, т к соблюдается побайтная очередность Таким образом, через некоторое время после падения скорости на участке ПЕР2-М, упадет скорость и на участке ДЕМ-ПЕР1, хотя напрямую они никак не связаны

В качестве критерия оценки взаимосвязи потоков в данном случае можно использовать формулу для вычисления линейной корреляции Пирсона

г =

[5]

На рис. 6. приведены графики загрузки каналов работающей системы на основе протокола TCP.

Рис. 6. Графики коррелированных потоков

На данных графиках заметна корреляция между скоростями трафика, идущего по разным физическим каналам. Это обусловлено тем, что по данным физическим каналам передаются коррелированные логические потоки, причем они, занимают значительную часть полосы пропускания.

В данном случае значение корреляции, рассчитанной по формуле [5] = 0.7 (при величине выборки = 34).

К способам противодействия внешним воздействиям и анализу скоростей потоков можно отнести:

1) Использование нежесткого мультиплексирования. В этом случае можно разделять последовательность произвольно, выбирая каналы. Нежесткое мультиплексирование сочетает в себе не только передачу символа данных, но и вместе с ним ссылку на канал, по которому мультиплексору следует принимать следующий символ.

2) Использование передачи данных с отсутствием служебного трафика в обратном направлении, поскольку при внешнем воздействии, появление обратного трафика является явным проявлением реакции системы, что позволит обнаружить коррелированные потоки,

3} Функцию обнаружения сбоя в канале и алгоритм вычисления объема потерянных данных в буферах передатчиков реализованные на демультиплексоре, поскольку, в системе на основе протокола TCP, при длительной блокировке канала данные остаются заблокированными в буферах передатчиков, которые в итоге, после разрыва TCP-соединений, теряются, что недопустимо.

В реализации UDP, демультиплексор имеет кэш-память в виде очереди (fifo) и в случае сбоя в канале производит регенерацию данных по свободным от внешнего воздействия каналам. Иными словами, система не дает себя обнаружить, а данные, посланные по каналу, на который происходит воздействие, регенерируются и посылаются другими путями, что обеспечивает повышенную надежность.

Глава 3 посвящена проведению исследования и анализу полученных результатов таких как:

- исследование поведения системы при внешних воздействиях, анализ реакции потоков на это воздействие

- выявление потоков, принадлежащих общему источнику данных при помощи вычисления последовательной корреляции данных

- оценка вычислительных затрат при использовании каждого из способов Рассмотрим пример раскрытия системы жесткого мультиплексирования при

длительной блокировке канала на схеме на рис 7

Показана точка внешнего воздействия (передатчик 1), и точка, в которой происходит анализ других потоков на данное внешнее воздействие (АП)

Г!

I I „Г

ЛГ ill к <• -<

1 - „I

Рис 7 Анализ коррелированных потоков в различных ветках

Как было отмечено, в системе на основе протокола TCP происходит потеря данных в компонентах по ветке воздействия в случае, если связь в канале передачи данных от передатчика1 в сторону мультиплексора прервана Данные остаются заблокированными на компонентах системы в буферах TCP (см рис 8), до тех пор, пока протокол TCP автоматически не разорвет сеанс связи по истечении тайм аута между компонентами

пи - чнни

"LlliiLL. ]

f ССеД1 - нич

п..

Рис 8 Заблокированные в буферах данные

После разрыва ТСР-соединений заблокированные в буферах данные не достигнут мультиплексора Это говорит о нестойкости системы не только к внешним воздействиям, но и к другим факторам, которые могут влиять на стабильность связи

Проанализируем графики скоростей потоков передачи данных в различных точках системы в этом случае

Рис 9 График скорости передачи данных на передатчиках 1 и 2

На рисунке 9 показаны скорости потоков при внешнем воздействии Синий график — поток на передатчике 1, красный - поток на передатчике 2 (см рис 7) При помощи внешнего воздействия скорость передачи по каналу снижена до нулевого значения, что вызвало переполнение буферов передатчика 1 (падение скорости в точке 07 40), а затем передатчика 2 (падение скорости в точке 08 20)

В данном случае можно определить потоки, находящиеся на одной ветке и приблизится к мультиплексору или демультиплексору, после чего проводить дальнейшие исследования по их обнаружению Таким образом, возрастает вероятность определения этих критически важных компонентов системы а, следовательно, и всех потоков в системе которые они инициируют или терминируют

Рис 10 Падение скорости на соседней ветке при зажа гни канала

Анализируя параллельную ветвь можно видеть, что в данном случае произошло изменение состояния системы в точке АП, на передатчикеЗ Можно констатировать возможность раскрытия параллельного потока, и в случае разделения трафика на две части, это означает факт раскрытия исходной последовательности

После данного исследования становится очевидным, что система на основе протокола TCP крайне уязвима в отношении внешних воздействий и анализа скоростей потоков данных

Система на основе протокола UDP призвана противостоять внешним воздействиям и анализу корреляции скоростей потоков данных Так же она обеспечивает большую надежность передачи данных за счет реализованного в ней механизма детекции сбоя в канале и принципа нежест^го мультиплексиования

Рассмотрим вариант воздействия на UDP — систему нежесткого мультиплексирования, основным свойством которой является отсутствие корреляции между скоростями потоков на параллельных ветках при длительной блокировке канала

Данная система в отличие от системы на протоколе TCP имеет механизм регенерации заблокированных данных и их отправки по соседним, свободным от внешнего воздействия каналам

. сГфГГзТ

■poç nui

! C^-I'l

l'V'î -fil.

Рис 11 Механизм регенерации данных в системе UDP

Необходимо отметить, что эта функция целиком реализована на конечных компонентах системы — демультиплексоре и мультиплексоре

Основной принцип работы демультиплексора при определении объема потерянных данных — реализация механизма повторного заполнения буферов компонентов системы Только после определения объема заблокированных данных демультиплексор приступает к регенерации буфера fifo по свободным каналам, как показано на рис 11

В связи с тем, что в отличие от TCP системы демультиплекор на основе протокола UDP не блокирует передачу и разделение данных - бесперебойная передача по параллельной ветке в случае внешнего воздействия продолжается

Еще одним важным свойством системы является то, что чем ближе к де-мультиплексору производится анализ системы по ветке воздействия, тем сложнее демультиплексор обнаружить

дем/.ль-

типшсор

Рис 12 Анализ коррелированных потоков в одной ветке

13

Это связано с тем что в точке р1, время между заполнением буфера передатчика ГО и подачей служебных данных демультиплексором больше, чем в точке р2 (см рис 12) Точки р1 и р2 - точки проведения возможного анализа потока по данной ветке

На рис 13 эти интервалы времени наглядно показаны разницей во времени между падением скорости на красном графике (точка 07 05) и возрастанием скорости на зеленом (точка 07 40), и падением скорости на синем графике (точка 07 40) и возрастанием скорости на зеленом (точка 07 40) соответственно

ГХо^з

1« к

1 ь

2 Ь

■ First Flav ■ Second Flov В Third FU*

Рис 13 График скорости передачи данных на передатчиках 1 и 2 и график скорости служебных данных

Рассмотрим подробнее этот процесс

В системе на рис 7 в реализации UDP, после заполнения обоих буферов передатчиков, на стороне демультиплексора происходит определение заблокированного канала После нескольких попыток отправить данные на ближайший передатчик 2, демультиплексор принимает решение об определении объема данных, заблокированных в передатчиках После заполнения буфера передатчика 2 (синий график на рис 13), демультиплексор передает маркер очистки буферов и начинает передачу заполняющих данных (зеленый график на рис 13) Перед началом передачи заполняющих данных, буферы передатчиков 1 и 2 будут обнулены с помощью маркера очистки буферов Данный маркер будет передан демультиплексором на передатчик 2 После этого передатчик 2 очищает собственный буфер и транслирует маркер передатчику 1

После заполнения буферов заполняющими данными, демультиплексор определяет объем потерянных данных и начинает передавать данные шума после подачи маркера шума в канал Это происходит с отметки 08 50 на рис 13 и так же показано зеленым графиком На рис 14 показан процесс заполнения буферов у передатчика 1 (красный график) и передатчика 2 (зеленый график)

BUÍ Í*L

Рис. 14. Состояние буферов передатчиков при очистке буферов и приеме заполняющих данных

Наглядно представлено как вначале (точка 6:20} происходит заполнение буфера передатчика 1 (см. рис. 7), после этого (точка 7:00) начинается заполнение буфера передатчика 2. Демультиплексор обнаружив переполнение буферов передатчиков (точка 7:40) посылает маркер очистки буферов и происходит повторное заполнение буфера передатчика 1 (красный график) и далее (точка 8:20) заполнение буфера передатчика 2 (зеленый г рафик). После этого, траизитно (при заполненных буферах передатчиков) начинают передаваться данные шума.

n&Vfl

г -1 ГЦ*

Рис. 15. График скорости передачи данных на передатчике 3 и скорость обработки входящих данных демультиплексор ом

Работа демультиллексора в данном режиме, показана на рис. 15: Красный график отображает скорость обработки входящих данных демуль-типлексором, синий (прямая линия), скорость потока на соседней ветке системы. Красный график до отметки 7:40 показывает, что демультиплексор обрабатывал входящие данные для двух потоков, следовательно, скорость обработки входящих данных была равной сумме скоростей по отдельным веткам. С отметки 7:40 по 9:00 скорость упала в два раза, поскольку демультиплексор обнаружил сбой одного из каналов и в этот момент начал передавать заполняющие данные, уменьшив скорость обработки входящих данных в два раза. С отметки 9:00 по 10:20 демультиплексор приостановил прием входящих данных, поскольку он

уже определил объем потерянных данных в одном из каналов и ему необходимо передать эти данные по оставшемуся свободному каналу С отметки 10 00 вся передача потерянных данных завершена, и демультиплексор приступает к приему данных и посылу их в один канал С этого момента скорость разделения становится равной скорости передачи одного канала

Следует отметить, что в данном случае (при использовании двух веток разделения данных) система крайне уязвима с точки зрения безопасности, т к при внешнем воздействии весь текст будет передаваться по одному каналу Данная реализация призвана показать потенциальную надежность системы, но в реальных ситуациях разделение трафика на две ветки недопустимо

В главе 3 так же приводятся результаты экспериментов по детекции потоков, принадлежащих общему источнику, с использованием анализа последовательной корреляции данных внутри отдельного канала

В качестве исходных данных был использован англоязычный текст объемом 60000 символов

Были выполнены измерения последовательной корреляции в следующих последовательностях

— исходной последовательности (60000 символов)

- двух последовательностях (30000 символов каждая) при демультиплексировании исходной последовательности на 2

- трех последовательностях (20000 символов каждая) при демультиплексировании исходной последовательности на 3

— двух последовательностях (10000 символов каждая) при демультиплексировании на 2 одной из трех последовательностей, полученной в предыдущем случае

Результаты вычислений последовательной корреляции сведены в таблицу 1

Таблица 1

Коэфф Му чып Объем текста (симв ) Диапазон слабой корреляции Значение корреляции 1 Значение корреляции 2 Значение коррепяции 3

Исходный текст 60000 -0,008181496 0,008148163 0,275 -II- -II-

Дем на 2 части 30000 -0,011579954 0,011513287 0,186 0,185 -II-

Дем на 3 части 20000 -0,014191428 0,014091428 0,158 0,161 0,160

Дем на 3 и на 2 части 10000 -0,020098 0,019898 0,172 0,175 -//-

Что бы наглядно показать, насколько результаты при одинаковом коэффициенте демультиплексирования близки друг к другу и различны от результатов

полученных при другом коэффициенте, отобразим их графически на диаграмме (см Рис 16)

№

i „ ,

Рис 16 Результаты анализа последовательной корреляции

Из рисунка видно, что сформированы определенные группы значений, пронумерованные в соответствии со строками в таблице 1, где значения внутри одной группы не пересекаются со значениями в другой

Для оценки того, на сколько явно группы отделены друг от друга, используем отношение между максимальным разбросом значений внутри группы (ширине группы) к минимальному расстоянию между группами Максимальный разброс значений внутри группы равен 0,161-0,158 = 0,003 — это расстояние между крайними значениями в группе 3 Минимальный разброс между крайними значениями групп равен 0,185-0,175=0,01 - это расстояние между минимальным значением во 2-й группе и максимальным в 4-й, то есть расстояние между 4-й и 2-й группой

Таким образом, ширина максимальной группы составляет 33,3% от минимального расстояния между группами, следовательно, действуя подобным образом, можно безошибочно определить потоки по данному критерию как демультиплексированные с определенным коэффициентом и принадлежащие общему источнику

При использовании архивации с помощью алгоритма LZ (Лемпеля-Зива) корреляция слабая во всех случаях, что так же позволяет выделить данные потоки и обозначить их как принадлежащие общему источнику

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В процессе исследований, выполненных в диссертационной работе, получены следующие результаты

1 Разработана система мультиплексирования разнесенных данных Выработаны основные компоненты необходимые для функционирования системы

2 Исследованы возможности полученной системы при реализации с помощью протокола TCP, определены уязвимости

3 Разработан усовершенствованный алгоритм работы системы с использованием протокола UDP Исследовано поведение модифицированной системы, на предмет внешних воздействий

4 Разработаны алгоритмы обеспечения надежности системы Обоснована взаимосвязь между надежностью и безопасностью передачи данных

5 Разработан способ интегрирования компонентов системы в распределенные сети IP, такие как Интернет Показан метод выбора наиболее

безопасных участков прохождения трафика Определены соответствующие критерии выбора

6 Проведены модельные эксперименты системы на основе протоколов TCP, UDP, получены графики загрузки каналов связи при внешнем воздействии - зажатии полосы пропускания одного из каналов передачи, сделаны заключения в пользу надежности и устойчивости системы на основе протокола UDP

7 Проведена серия опытов по исследованию последовательной корреляции в раздельных потоках на различных типах передаваемых данных Получены результаты, показывающие, что анализ последовательной корреляции является эффективным методом поиска потоков принадлежащих общему источнику

Основные положения диссертации изложены в следующих работах:

1 Ефимов В И, Файзучлии Р Т Система мультиплексирования разнесенного TCP/IP-трафика // Математические структуры и моделирование — Омск Ом-ГУ, 2002 -Вып 10 - С 170-172

2 Ефимов В И Система контроля разграничения доступа на основе исследования корреляций потоков данных // Математические структуры и моделирование -Омск ОмГУ, 2004 - Вып 13 -С 135-139

3 Ефимов В И, Файзуллин Р Т Система мультиплексирования разнесенного TCP/IP-трафика // Вестник Томского государственного университета - 2005 - № 14 -С 115-118

4 Ефимов В И, Файзуччин Р Т Система мультиплексирования разнесенного TCP/IP-трафика // Технологии Microsoft в информатике и программировании Материалы конференции-конкурса Новосибирск 22—24 февраля 2005 - Новосибирск 2005 -С 73-74

5 Ефимов В И, Щерба ЕВ Атака на систему разнесенного TCP/IP трафика на основе анализа корреляции потоков // Информационные технологии моделирования и управления - 2005 - № 6(24) - С 859-863

6 Ефимов В И Нахождение потоков с общим источником методом вычисления последовательной корреляции // Системы управления и информационные технологии -2007 -№1 1(27) -С 148-151

Подписано в печать 10 04 07 Формат бумаги 60x84 1/16 Печ л 1,25 Уч-изд л 1,2 Тираж 100 экз Заказ 076

Издательство Омского государственного университета 644077, Омск-77, пр Мира, 55а, госуниверситет

ВВЕДЕНИЕ.

Глава 1. АНАЛИЗ СОСТОЯНИЯ ПРОБЛЕМЫ И ПОСТАНОВКА

ЗАДАЧИ ИССЛЕДОВАНИЯ.

1.1. Возможные применения методов мультиплексирования данных.

1.2. Виды уязвимостей компьютерных сетей.

1.3. Атаки на протоколы информационного обмена.

1.4. Противодействия атакам на протоколы сетевого обмена. Логические способы защиты информации.

1.5. Логическая изоляция каналов передачи данных. Создание виртуальных сетей (VPI/VCI, VLAN). Технология - MPLS.

1.5.1. Разделение данных в сетях Ethernet. Технология Vlan.

1.5.2. Технологии многопротокольной коммутации по меткам на основе передачи пакетов, архитектура, MPLS-VPN.

1.6. Системы создания надежных, недоступных для других каналов передачи данных

1.7. Требования, предъявляемые к разрабатываемой системе.

1.8. Задачи диссертационного исследования.

1.9. Выводы.

Глава 2. РАЗРАБОТКА СИСТЕМЫ МУЛЬТИПЛЕКСИРОВАНИЯ ТРАФИКА. ВОЗМОЖНЫЕ МЕТОДЫ ВОЗДЕЙСТВИЯ И АНАЛИЗА. СПОСОБЫ ОБЕСПЕЧЕНИЯ УСТОЙЧИВОСТИ СИСТЕМЫ.

2.1. Описание системы мультиплексирования трафика.

2.1.1. Использование промежуточных передатчиков.

2.2. Реализация системы с помощью протокола TCP.

2.2.1. Воздействие на систему побайтного демультиплексирования, реализованной на основе протокола TCP с использованием зажатия полосы пропускания одного из каналов.

2.2.2. Использование дополнительных буферов передатчиков в системе основанной на протоколе TCP.

2.3. Выбор безопасных путей прохождения трафика в сети Интернет.

2.4. Модификация алгоритма разделения данных с целью обеспечения стойкости системы к раскрытию при длительных воздействиях. Нежесткая схема работы демультиплексора.

2.5. Потеря данных в буферах компонент в системе на основе протокола TCP. Предпосылки к реализации системы на протоколе UDP.

2.5.1. Разработка алгоритмов надежной доставки данных с использованием протокола UDP.

2.5.2. Повышение надежности системы. Детекция сбоя в канале при помощи контроля буферов на демультиплексоре и мультиплексоре.

2.6. Инкапсуляция компонентов системы. Обеспечение безопасности системы в топологии сети Интернет.

2.6.1. Инкапсуляция одной зоны в другую. Сохранение структурной целостности системы.

2.6.2. Инкапсуляция зон в автономные системы, привязка к топологии сети Интернет.

2.6.3. Использование маркеров для экранирования служебных символов.

2.7. Исследование возможности нахождения потоков, принадлежащих общему источнику, с использованием анализа последовательной корреляции данных.

2.8. Выводы.

Глава 3. ПРОВЕДЕНИЕ ИССЛЕДОВАНИЯ. АНАЛИЗ ПОЛУЧЕННЫХ

РЕЗУЛЬТАТОВ.

3.1. Нахождение коррелированных потоков по скоростям.

3.1.1. Корреляция скоростей потоков в системе TCP с жестким побайтным мультиплексированием, находящихся на одной ветке при внешнем воздействии на систему.

3.1.2. Корреляция скоростей потоков в системе TCP с жестким побайтным мультиплексированием, находящихся на одной ветке при зажатии канала.

3.1.3. Корреляция скоростей потоков в системе TCP с жестким побайтным мультиплексированием, находящихся на разных ветках при зажатии канала.

3.1.4. Корреляция скоростей потоков в системе UDP с гибким мультиплексированием, находящихся на одной ветке при зажатии канала. Определение объема потерянных данных.

3.1.5. Выводы по анализу корреляции скоростей потоков в системах.

3.2. Обнаружение последовательной корреляции данных внутри отдельного канала.

3.2.1. Выводы по анализу последовательной корреляции.

3.3. Оценка вычислительных затрат при обнаружении корреляции потоков данных и вычислении последовательной корреляции данных в потоке.

3.4. Выводы.

Сегодня все большее значение приобретают распределенные информационные вычислительные сети и технологии их создания. Развитие технологий требует постоянного повышения эффективности функционирования таких систем и ставит задачи, для решения которых требуется научный подход. Одной из таких проблем можно считать разработку новых методов для усовершенствования таких систем, обеспечения эффективности их функционирования и т.п. Вследствие того, что каналы связи имеют большую протяженность, в настоящее время их длины исчисляются сотнями тысяч километров, можно осуществить подключение к каналу, реализовать внешнее воздействие на систему, нарушив тем самым ее функциональность. В качестве заинтересованных лиц такой деятельности могут выступать: иностранные разведывательные службы, преступные сообщества, группы, формирования и отдельные лица. Кроме того, существует масса субъективных внешних факторов, способных оказать влияние на систему.

В диссертации разработан подход, используемый для повышения стойкости передачи информации, повышении эффективности систем на основе имеющейся сетевой инфраструктуры и использовании ее физической избыточности. Для этого оказалось необходимым выработать решения реализации системы, определить положительные и отрицательные стороны используемых при этом алгоритмов и технологий, решить ряд задач, направленных на повышение надежности. Как и для многих систем межсетевого взаимодействия, рассматриваются два основных класса воздействий: непосредственно физические воздействия на протоколы и анализ самих передаваемых данных, принимаются соответствующие меры обеспечения стойкости системы.

В целом можно сказать, что проблема повышения эффективности функционирования компьютерных сетей и приложений является актуальной и приоритетность этой проблемы непрерывно возрастает с развитием информационных технологий. Исследование, проведенное в работе, включая разработанные в ней алгоритмы, повышают эффективность функционирования компьютерных сетей, обеспечивают их устойчивость к внешним воздействиям, повышают защиту, а так же могут явиться инструментом для построения подобных систем и нахождения закономерностей их функционирования.

3.4. Выводы:

Из опытов видно, что система на основе 1ЮР устойчива к атакам на анализ скоростей потоков данных. Основной сложностью при анализе будет то, что чем ближе к источнику данных производится воздействие на канал, тем меньше время реакции системы, следовательно, сложнее определить коррелированные потоки и обнаружить демультиплексор. Самой эффективной атакой на систему можно считать анализ последовательной корреляции данных в потоках, однако он требует большего количества вычислительных ресурсов.

ЗАКЛЮЧЕНИЕ

В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:

1. Разработана система мультиплексирования разнесенных данных. Выработаны основные компоненты необходимые для функционирования системы.

2. Исследованы возможности полученной системы при реализации с помощью протокола TCP, определены уязвимости.

3. Разработан усовершенствованный алгоритм работы системы с использованием протокола UDP. Исследовано поведение модифицированной системы, на предмет внешних воздействий.

4. Разработаны алгоритмы обеспечения надежности системы. Обоснована взаимосвязь между надежностью и безопасностью передачи данных.

5. Разработан способ интегрирования компонентов системы в распределенные сети IP такие как Интернет. Показан метод выбора наиболее безопасных участков прохождения трафика. Определены соответствующие критерии выбора.

6. Проведены модельные эксперименты системы на основе протоколов TCP, UDP, получены графики загрузки каналов связи при внешнем воздействии - зажатии полосы пропускания одного из каналов передачи, сделаны заключения в пользу надежности и устойчивости системы на основе протокола UDP.

7. Проведена серия опытов по исследованию последовательной корреляции в раздельных потоках на различных типах передаваемых данных. Получены результаты, показывающие, что анализ последовательной корреляции является эффективным методом поиска потоков принадлежащих общему источнику.

1. Kahn D. The story of secret writings. Macmillan. N.Y. 1967.

2. Колемаев B.A., Староверов O.B., Турундаевский В.Б. Теория вероятностей и математическая статистика. М.: Наука, 1991.

3. L.P.Schmid,CACM,8(1965),115

4. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. М.: КУДИЦ-ОБРАЗ, 2001.

5. Зима В.М., Молдовян A.A., Молдовян H.A. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000.

6. Снейдер И. Эффективное программирование TCP/IP. Библиотека программиста. СПб: Питер, 2001.

7. Шнайер Б. Прикладная криптография. М.: Триумф, 2002.

8. Хелеби С., Мак-Ферсон Д., Принципы маршрутизации в Интернет. М. Вилиамс, 2001.

9. Clark, D.D., Window and Acknowledgement Strategy in TCP. RFC 813.

10. Ефимов В.И., Файзуллин P.T. Система мультиплексирования разнесенного TCP/IP трафика. Математические структуры и моделирование. №10 . 2002.

11. Лавров Д.Н. Схема разделения секрета для потоков данных маршрутизируемой сети. Математические структуры и моделирование. №10. 2002.

12. Алферов А.П., Зубов А.Ю., Кузьмин A.C., Черемушкин A.B. Основы криптографии: Учебное пособие. М. Гелиос АРВ, 2001.

13. Wayner P. Digital Cash: Commerce on the Net. Academic Press, 1997.

14. Бланк-Эдельман Д.Н., Perl для системного администрирования. СПб: Символ-плюс, 2001. С. 211.

15. Microsoft Corporation. Microsoft TCP/IP. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки. М.: Издательско-торговый дом "Русская редакция", 1999.

16. Кларк К., Гамильтон К. Принципы коммутации в локальных сетях Cisco. M.: Издательский дом "Вилиамс".

17. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика; Электронинформ. 1997.

18. Ященко В.В., Введение в криптографию. СПб.: Питер, 2001.

19. Corner D.E. 1995. Internetworking with TCP/IP Volume I: Principles, Protocols, and Architecture, Third Edition. Prentice Hall, Englewood Cliffs, N.J.

20. International Standards Organization 1984. "OSI-Basic Reference Model", ISO 7498, International Standards Organization, Geneva.

21. J.Ziv and A.Lempel. A universal algorithm for sequential data compression. IEEE Transactions on Information Theory. Vol. IT-23, N.3, May 1977, pp. 337-343.

22. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1 : Введение и общая модель: ГОСТ Р ИСО/МЭК 15408-1-2002. Введ. 04.04.2002. - М, ИПК Издательство стандартов, 2002.

23. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.Часть 3: Требования доверия к безопасности: ГОСТ Р ИСО/МЭК 15408-3-2002. Введ. 04.04.2002. - М.,

24. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. М.: ЮНИТИ-ДАНА, 2001. - 586 с.

25. Технологии защиты информации в Интернете. Специальный справочник / Мамаев М., Петренко С. СПб.: Питер, 2002. - 848 с.

26. Касперский К. Техника сетевых атак М.: Издательства "COJIOH-Р", 2001. - 396 с.

27. Jl. Козленко, Информационная безопасность в современных системах управления базами данных, http://www.citforum.ru/security/articles/safedb/

28. Баутов А. Экономический взгляд на проблемы информационной безопасности, 2002.http://www.osp.ru/os/2002/02/034.htm

29. Коблиц Н. Курс теории чисел и криптографии. М,: ТВП, 2001. -254 с.

30. Саломаа А. Криптография с открытым ключом: Пер. с англ. М.: Мир, 1995.-318 с.

31. Гольдштейн А.Б., Гольдштейн Б.С. Технология и протоколы MPLS -СПб.: БХВ-Санкт-Петербург, 2005. 304 с.

32. Олвейн В. Структура и реализация современной технологии MPLS.: Пер. с англ. М.: Издательский дом "Вильяме", 2004. - 480 с.

33. Олифер Н., Олифер В. Виртуальные частные сети, 2002. http://www.osp.ru/lan/2002/01 /05 8.htm

34. RFC 3035. MPLS using LDP and ATM VC Switching. Davie В., Lawrence J., McCloghrie K., Rosen E., Swallow G., Rekhter Y., Doolan P., 2001

35. RFC 3107. Carrying Label Information in BGP-4.

36. Rekhter Y., Rosen E., 2001

37. Оглтри T. Firewalls. Практическое применение межсетевых экранов: Пер. с англ. М.: ДМК Пресс, 2001. - 400 с.

38. Ефимов В.И. Система контроля разграничения доступа на основе исследования корреляций потоков данных. // Математические структуры и моделирование. Омск: ОмГУ, 2004. - Вып. 13. - С. 135-139.

39. Ефимов В.И. Файзуллин Р.Т. Система мультиплексирования разнесенного TCP/IP-трафика.// Вестник Томского государственного университета. -2005. -№14. -С. 115-118.

40. Ефимов В.И. Файзуллин Р.Т. Система мультиплексирования разнесенного TCP/IP-трафика. // Материалы конференции- конкурса «Технологии

41. Microsoft в информатике и программировании», Новосибирск 22-24 февраля 2005. Новосибирск 2005. - С. 73-74.

42. Ефимов В.И. Щерба Е.В. Атака на систему разнесенного TCP/IP трафика на основе анализа корреляции потоков. // Информационные технологии моделирования и управления 2005 - №6(24) - С. 859 - 863.

43. Ефимов В.И. Нахождение потоков с общим источником методом вычисления последовательной корреляции. // Системы управления и информационные технологии, 2007, №1.1 (27). С. 148-151.

44. RFC 2637 Point-to-Point Tunneling Protocol (РРТР). К. Hamzeh, G. Pall, W. Verthein, J. Taarud, W. Little, G. Zorn, 1999

45. RFC 2341 Cisco Layer Two Forwarding (L2F). A. Valencia, M. Littlewood, T. Kolar, 1998

46. RFC 2661 Layer Two Tunneling Protocol "L2TP". W. Townsley, A. Valencia, A. Rubens, G. Pall, G. Zorn, B. Palter, 1999

47. NetBEUI (NetBIOS Extended User Interface). http://www.protocolbase.net/protocols/protocolNetBEUI.php

48. RFC3078 Microsoft Point-To-Point Encryption (MPPE). G. Pall, G. Zorn, 2001

49. RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV. C. Madson, N. Doraswamy, 1998

50. RFC 2437 PKCS #1: RSA Cryptography Specifications Version 2.0, B. Kaliski, J. Staddon, 1998

51. Cisco Inc, Cisco IOS Software,http://www.cisco.com/en/US/products/sw/iosswrel/productsiosciscoiosso ftwarecategoryhome.html

52. RFC 3585 IPsec Configuration Policy Information Model, J. Jason, L. Rafalow, E. Vyncke, 2003

53. RFC 2356 Sun's SKIP Firewall Traversal for Mobile IP, G. Montenegro, V. Gupta, 1998

54. RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP), D. Maughan, M. Schertler, M. Schneider, J. Turner, 1998

55. RFC 2460 Internet Protocol, Version 6 (IPv6) Specification, S. Deering, R. Hinden, 1998

56. Kipp E.B. Hickman, The SSL Protocol, 1994, http://www.webstart.com/jed/papers/HRM/references/ssl.html

57. RFC 2246 The TLS Protocol Version 1.0, T. Dierks, C. Allen, 1999

58. RFC 2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile, R. Housley, W. Ford, W. Polk, D. Solo, 1999

59. RFC 3069 VLAN Aggregation for Efficient IP Address Allocation, D. McPherson, B. Dykes, 2001

60. MAC address, http://en.wikipedia.org/wiki/MACaddress

61. IEEE 802.1Q, http://en.wikipedia.org/wiki/IEEE802.lQ

62. BiLiM Systems Ltd, ATM, 1998, http://www.citforum.ru/nets/articles/atm.shtml

63. RFC 1954 Transmission of Flow Labelled IPv4 on ATM Data Links Ipsilon Version 1.0, P. Newman, W. L. Edwards, R. Hinden, E. Hoffman, F. Ching Liaw, T. Lyon, G. Minshall, 1996

64. RFC 3031 Multiprotocol Label Switching Architecture, E. Rosen, A. Viswanathan, R. Callón, 2001

65. RFC 1293 Inverse Address Resolution Protocol,

66. T. Bradley, C. Brown, 1992

67. RFC 2328 OSPF Version 2, J. Moy, 1998

68. RFC 1142 OSIIS-IS Intra-domain Routing Protocol, D. Oran, 1990

69. RFC 2236 Internet Group Management Protocol, Version 2,1. W. Fenner, 1997

70. MPLS FAQ For Beginners, http://www.cisco.com/warp/public/105/mplsfaq4649.shtml#qa4

71. Miller S.S. Wi-Fi security, McGraw-Hill, 2003. 332 c.

72. Уфимцев Ю.С., Буянов В.П., Ерофеев E.A., Жогла H.J1., Зайцев О.А., Курбатов Г.Л., Петренко А.И., Федотов Н.В., Методика информационной безопасности. М.: Издательство "Экзамен", 2004. - 544с.