автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Системный анализ трафика для выявления аномальных состояний сети

кандидата технических наук
Гальцев, Алексей Анатольевич
город
Самара
год
2013
специальность ВАК РФ
05.13.01
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Системный анализ трафика для выявления аномальных состояний сети»

Автореферат диссертации по теме "Системный анализ трафика для выявления аномальных состояний сети"

На правах рукописи -.

Гальцев Алексей Анатольевич

СИСТЕМНЫЙ АНАЛИЗ ТРАФИКА ДЛЯ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ СЕТИ

05.13.01 - Системный анализ, управление и обработка информации (технические системы и связь)

Автореферат диссертации на соискание ученой степени кандидата технических наук

1 4 МАР 2013

Самара-2013

005050603

005050603

Работа выполнена в ФГБОУ ВПО «Самарский государственный аэрокосмический университет имени академика С.П.Королёва (национальный исследовательский университет)».

Научный руководитель:

доктор технических наук Сухов Андрей Михайлович

Официальные оппоненты:

Елизаров Александр Михайлович, доктор физико-математических наук, профессор, Институт математики и механики имени Н.И.Лобачевского ФГАОУ ВПО «Казанский (Приволжский) федеральный университет», заместитель директора по научной деятельности;

Лихтциндер Борис Яковлевич, доктор технических наук, профессор, ФГБОУ ВПО «Поволжский государственный университет телекоммуникаций и информатики», кафедра мультисервисных систем и информационной безопасности, профессор.

Ведущая организация - ФГАУ «Государственный научно-исследовательский институт информационных технологий и телекоммуникаций» (г. Москва)

Защита диссертации состоится 5 апреля 2013 г. в 10-00 часов на заседании диссертационного совета Д 212.215.07, созданного на базе ФГБОУ ВПО «Самарский государственный аэрокосмический университет имени академика С.П.Королёва (национальный исследовательский университет)», по адресу: 443086, г. Самара, Московское шоссе, д. 34.

С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «Самарский государственный аэрокосмический университет имени академика С.П.Королёва (национальный исследовательский университет)».

Автореферат разослан 4 марта 2013 г.

Ученый секретарь диссертационного совета, доктор технических наук профессор

Белоконов И.В.

Общая характеристика работы

Актуальность темы

Задача анализа трафика магистральных Интернет-каналов с каждым годом становится все более востребованной. На данный момент всемирная сеть Интернет используется не только для обмена информацией, но и для предоставления различных услуг, в том числе государственных. Тем самым остро встает вопрос об обеспечении отказоустойчивой, бесперебойной работы серверов организаций, предоставляющих такие услуги.

Анализ трафика магистральных Интернет-каналов является сложной задачей, зависящей от множества параметров, которая с трудом поддается декомпозиции и моделированию. Одной из причин этого является постоянное усложнение структуры глобальной сети, которая характеризуется взаимодействием большого количества устройств самых разных типов, которые не имеют единого центра управления.

Для организации взаимодействия в неоднородной сетевой среде применяется стек протоколов TCP/IP, который обеспечивает совместимость между компьютерами и сетевыми компонентами разных архитектур. Данный стек протоколов приобрел популярность благодаря универсальности предоставления доступа к сети Интернет, в результате чего стал стандартом для межсетевого взаимодействия. Вместе с тем широкое распространение набора протоколов TCP/IP выявило и его недостатки.

Интернет-протоколы изначально были разработаны таким образом, что в них не была включена защита от непредвиденных сбоев и неправильных сетевых настроек, а также умышленных вторжений в инфраструктуру сетей. По этой причине сетевым атакам подвержены распределённые системы на базе глобальной сети, так как компоненты таких систем, как правило, применяют открытые каналы передачи данных. В результате нарушитель получает возможность проводить пассивное прослушивание передаваемых данных, но и модифицировать пересылаемый трафик. С другой стороны, безупречно работающие сервисы с негарантированной доставкой данных, как было предусмотрено при создании Интернет, не являются ни достаточным для многих из современных интерактивных приложений реального времени, ни приемлемым для все более требовательных пользователей. Как следствие, операторы должны осуществлять мониторинг и контроль состояния сети на постоянной основе в целях обеспечения надлежащего функционирования, выявления и устранения сетевых аномалий, а также повышения качества обслуживания.

Несанкционированные вторжения в сетевую инфраструктуру являются сегодня одной из основных угроз для современной сети Интернет. Трудность выявления несанкционированных вторжений и относительная простота их реализации выводит данный вид неправомерных действий на одно из первых мест по степени опасности. Несвоевременное обнаружение препятствует оперативному

реагированию на проводимое вторжение, вследствие чего у нарушителя увеличиваются шансы успешного осуществления атаки.

В настоящей работе основное внимание сосредоточено на вопросе разработки модели трафика для выявления аномальных состояний сети и противодействия сетевым вторжениям. Наиболее актуальной задачей является поиск методов защиты от DDoS-атак, поскольку до сих пор не разработано средств, позволяющих полностью защитить удаленные ресурсы от данного' вида деструктивного вмешательства в работу компьютерной сети и ее отдельных узлов. DDoS-атаки являются простыми в реализации, что делает их наиболее распространенным видом сетевых вторжений. В течение 2011 года были зафиксированы масштабные атаки на такие крупные ресурсы, как блог-платформа LiveJournal, платежная система PayPal, сайт радиостанции «Эхо Москвы» и другие организации, в результате которых сервисы на долгое время оказались неработоспособными. Эти события говорят о необходимости разработки новых методов своевременного обнаружения и предотвращения несанкционированных вторжений.

Вопросы моделирования трафика магистральных Интернет-каналов, а также обнаружения и предотвращения несанкционированных вторжений, в разное время исследовали С. Barakat, С. Fraleigh, М. Fullmer, A.A. Долгин, ЕЛ. Дружинин и др.

В связи с этим актуальной представляется разработка моделей трафика, методов и алгоритмов, позволяющих в течение короткого времени обнаруживать аномальные состояния сети и принять меры по их устранению.

Результаты исследования соответствуют пунктам 4 - «Разработка методов и алгоритмов решения задач системного анализа, оптимизации, управления, принятия решений и обработки информации», 5 - «Разработка специального математического и программного обеспечения систем анализа, оптимизации, управления, принятия решений и обработки информацию) паспорта научной специальности 05.13.01 - Системный анализ, управление и обработка информации (технические системы и связь).

Объект исследования - трафик магистральных Интернет-каналов.

Предмет исследования - процесс выявления аномальных состояний сети на магистральных Интернет-каналах.

Цель и задачи исследований.

Целью работы является разработка модели, методов, позволяющих выявить системные связи и закономерности Интернет трафика для выявления аномальных состояний сети и предотвращения несанкционированных вторжений.

В соответствии с поставленной целью в рамках диссертационной работы решаются следующие задачи исследования.

1. Провести обзор существующих моделей трафика и методов по выявлению аномальных состояний сети.

2. Провести исследование системных связей трафика на уровне агрегированных состояний сети (потоков) и разработать модель трафика.

3. Разработать метод обнаружения аномальных состояний сети путем обработки информации о потоках по критериям предложенной модели трафика.

4. Разработать методику отбора внешних 1Р-адресов, с которых может происходить несанкционированное вторжение.

5. Разработать комплекс программно-аппаратных средств, блокирующий несанкционированный доступ к защищаемой сети.

Научная новизна работы

В диссертации получены следующие новые научные результаты.

1. Предложена модель Интернет-трафика на уровне потоков, которая впервые предлагает описывать текущее состояние сети двумя переменными: загрузкой сети и числом активных потоков, - в отличие от других моделей, использующих только один параметр (загрузка сети).

2. Получено уравнение для рабочей области на плоскости сетевых состояний, последовательный выход за пределы которой двух или более состояний свидетельствует об аномальном функционировании сети.

3. Экспериментально доказано, что разработанная модель трафика позволяет регистрировать аномальные состояния сети в течение нескольких минут после начала внешнего воздействия.

4. Разработана новая методика определения 1Р-адресов, с которых производится несанкционированное вторжение, которая заключается в многократном росте активных потоков, генерируемых 1Р-адресом.

Реализация результатов работы

Результаты диссертационной работы внедрены и используются для защиты от сетевых вторжений компьютерной сети Самарского государственного аэрокосмического университета имени С.П. Королева, хостинга ООО НПЦ «Интернет-ТВ» и сайта региональной службы новостей www.samara.ru.

Основные результаты получены в рамках следующих проектов.

1. «Разработка сетевых информационных технологий параллельной и распределенной обработки данных, электронного обучения и интернет-телевещания», выполняемый в рамках Федеральной целевой программа «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы» (ГК П2234 от 11 ноября 2009 г.).

2. «Разработка и реализация в учебном процессе и научных исследованиях инновационных информационных - технологий и подготовка методических материалов по использованию суперкомпьютерной и инфокоммуникащюнной грид-среды СГАУ» (ГК ОК 07/11).

По теме диссертации опубликованы 8 работ, в том числе 3 в изданиях, рекомендованных ВАК.

Апробация работы

Основные результаты, связанные с разработкой модели трафика на уровне потоков и программно-аппаратного комплекса, докладывались на следующих конференциях: XVI конференции представителей региональных научно-образовательных сетей «RELARN-2009» (2-7 июня 2009, Москва - Санкт-Петербург, Теплоход «Александр Суворов»); XVI Всероссийская научно-методическая конференция «Телематика 2009» (22 - 25 июня 2009, Санкт-Петербург); Всероссийская молодежная научная конференция с международным участием «Королёвские чтения» (6-8 октября 2009, Самара); The 1 Ith International Conference on Next Generation Wired/Wireless Networking NEW2AN 2011 (23 - 25 August 2011, St. Petersburg).

Основные положения диссертации, выносимые на защиту

1. Модель трафика на уровне потоков, содержащая сетевые переменные, измеряемые на маршрутизаторах.

2. Метод обнаружения аномальных состояний сети.

3. Методика обнаружения IP-адресов, с которых ведется несанкционированное вторжение двух типов: DDoS и сканирование портов.

4. Алгоритмы поиска и блокирования источников несанкционированного вторжения.

Структура и объем работы

Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложения. Общий объем работы составляет 116 страниц, 26 рисунков, 5 таблиц. Библиографический список насчитывает 102 наименования.

Содержание работы

Во введении обоснована актуальность работы, сформулированы ее цель и задачи. Проведен обзор известных методов решения задач обнаружения и предотвращения сетевых атак. Приводятся перечень научных результатов и положения, выносимые на защиту.

В первой главе проводится анализ современного состояния решения проблемы выявления аномальных состояний компьютерных сетей.

Рассмотрены особенности существующих решений и результаты проводимых исследований, приводится классификация наиболее распространенных, сетевых аномалий. Особое внимание уделяется классификации аномалий и описанию их возможных проявлений по характеристикам сетевого трафика. Наибольшее внимание уделяется сетевым вторжениям и их характеристикам. Изучение данных атак относительно деструктивного воздействия на компьютерные сети и системы,

позволило Еыделить следующие основные группы: сканирование, вирусная активность, отказ в обслуживании, сетевые модификаторы, анализаторы трафика, эксплуатация уязвимостей.

На основе проведенного анализа исследованы основные методические подходы и системы обнаружения сетевых вторжений. В частности, рассмотрены системы обнаружения и предотвращения сетевых вторжений и их основные особенности. Данные системы в совокупности позволяют обнаружить многие типы сетевых атак. Кроме того, функциональность систем обнаружения и предотвращения вторжений частично перекрывается. Но, к сожалению, даже все они вместе взятые не позволяют полностью решить проблему целиком. Например, подавляющее большинство таких систем, как IDS (Intrusion Detection Systems - системы предотвращения вторжений), способны обнаруживать только известные типы аномалий. Реализованные в некоторых из них алгоритмы выявления неизвестных аномалий дают высокий процент ложных срабатываний.

Основными результатами исследования, проведенного в первой главе, являются сформированная классификация основных типов сетевых аномалий и анализ основных методических подходов и систем обнаружения и предотвращения сетевых вторжений. На основе проведенного анализа делается вывод о целесообразности разработки новой модели трафика, методов и алгоритмов выявления аномальных состояний сети. Сформулирована постановка задачи и частные задачи исследования.

Во второй главе приводится обзор существующих подходов к описанию магистрального Интернет трафика. Проводится анализ существующих моделей на предмет их применения к задачам обнаружения сетевых аномалий, и в частности сетевых вторжений. Рассмотрены два подхода к моделированию трафика: основанные на представлении трафика в виде пакетов и потоков. Показано, что потоковые модели трафика оказываются более производительными и масштабируемыми, требуя при этом намного меньших затрат по обработке данных по сравнению с пакетными моделями. Потоковые технологии (NetFlow) были созданы компанией Cisco для учета сетевого трафика и оперируют с агрегированными состояниями сети, называемыми потоками (flow), характеризующимися семью неизменными сетевыми параметрами, среди которых основными являются IP-адреса и порты отправителя и получателя данных.

Предлагаемая модель Интернет-трафика описывает текущее состояние сети двумя переменными: загрузкой канала B(t) и числом активных потоков N(t). Данная модель основана на модели магистрального трафика, построенной Чади Баракатом и др. в 2002 г. с использованием методов теории массового обслуживания. Его модель позволяет предсказывать поведение средней величины загрузки канала и ее дисперсии за короткие промежутки времени с помощью трех параметров:

- X - постоянная прибытия потоков (поток/с), описывает поведение пользователей сети и не зависит от состояния сети или ее загрузки;

- М[5П] - среднее значение размера потока Sn (бит);

- M[Sn/Vn] - среднее значение отношения квадрата размера потока Sn к его длительности Vn (бит^/с).

Используя данные параметры были найдены значения следующих величин:

- среднее значение суммарной скорости В (бит/с):

М[В] = Я • M[5n]; (1>

- дисперсия суммарной скорости В (поток бит7с2):

D[B] = А ■ M[S*/Vnl (2)

Поскольку суммарная нагрузка исследуемого канала есть результат мультиплексирования большого количества потоков, независимых друг от друга, распределение суммарной нагрузки стремится к нормальному (Гауссову) распределению. Теоретическая модель позволяет оценить : пределы, в которых будет лежать величина суммарного трафика:

M[B(t)] - А(е) ■ yjD[B(t)] <B(t)< M[B{t)] + А(е) ■ VZ)[B(i)], (3)

где А (с) - нормальная квантильная функция.

При повседневной эксплуатации сетей измерить значения параметров, входящих в уравнение (1) и (2) достаточно проблематично. Поэтому для обнаружения сетевых аномалий с помощью модели Бараката она должна быть модернизирована, новые переменные (загрузка B(t), число активных потоков N(t)) модели должны легко измеряться при помощи сетевого оборудования.

Для того, чтобы в уравнении (3) перейти к новым переменным модели, воспользуемся уравнением Литтла:

N = A-M[Vn], (4)

а также теоремами о моментах. Тогда получим:

D[B] = А ■ (M[Sn2] + D[Sn]) ■ М = Я • M[Sn] ■ М g] • (l + (5)

где M[Sn/Vn] — b - средняя скорость потока. Обозначим выражение Jl =

а. Величина а является постоянной для конкретной сети и не зависит от ее текущего состояния.

В итоге уравнение для границ рабочей области на плоскости сетевых состояний может быть представлено как:

B(.t) = b-(N(t)±a-A(e-)-Jrm), (6)

Значения величин а и b находится из анализа экспериментальных данных.

Таким образом, предлагается рассматривать число активных потоков N(t) в качестве второй характеристики сетевого состояния. Две переменные, число активных потоков N(t) и загрузка канала B(t), наиболее полно описывают текущее сетевое состояние. Данные о сетевых состояниях представлены отдельными точками на координатной плоскости, где по осям отложены число активных потоков и загрузка канала (рисунок 1). На рисунке 1 кроме отдельных состояний

сети изображены еще 2 объекта: рабочая область сети и кривая усредненных значений состояний сети для исследуемой конфигурации сети.

Для построения кривой усредненных значений необходимо разбить на небольшие интервалы область значений для числа активных потоков в канале. Первая часть такой кривой представляет собой прямолинейный отрезок. Он соответствует эксплуатационному участку сети и характеризуется минимальными потерями IP-пакетов, менее 0,5%. Этот отрезок описывается первым членом уравнения (6). Уравнение (6) говорит о том, что реальные состояния сети будут находиться вне пределов рабочей области в (1-е)-100% от общего времени наблюдения. Рабочая область определена только для эксплуатационного участка и ограничена ветвями параболы на рисунке 1.

Вторая, изогнутая часть кривой усредненных состояний соответствует перегруженной сети и характеризуется более существенными потерями пакетов до 5%, что приводит к снижению эффективного размера передаваемого сегмента TCP/IP. В этой области эксплуатировать сеть не рекомендуется, требуется расширение внешнего канала. Третий, почти горизонтальный, участок кривой соответствует полностью неработоспособной сети со значительной потерей пакетов свыше 5%.

------- границы рабочего участка сети 1 -сеть работоспособна

— — границы области применимости II - сеть перегружена

III - сеть неработоспособна

Рисунок 1 - Область состояний сети

На рисунке 2 изображены аномальные состояния сети, зафиксированные во время проведения мониторинга сети РЯЕЕпе1. Полученные данные сразу вышли за

пределы доверительного интервала и образовали отдельный кластер значений, как это показано на рисунке 2.

При осуществлении сетевого вторжения состояние сети окажется вне рабочей области. Сетевые вторжения типа DDoS и сканирование портов характеризуются тем, что каждая атакующая машина создает одновременно множество соединений к атакуемому узлу. Таким образом, во время атаки происходит резкое увеличение числа активных потоков. При этом состояние сети, которое описывает предлагаемая модель, окажется вне рабочей области сетевых состояний.

Bit), Мбит/с

н-■-,-,-,-,-,-Ж дщ ПОТОК

о 20000 40000 60000

Рисунок 2 — График состояний сети

Третья глава посвящена экспериментальной проверке разработанной модели трафика на применимость для задач обнаружения аномальных состояний сети и сетевых атак различных типов. Данная проверка состоит из следующих этапов:

1) проверка модели трафика на уровне потоков с целью подтверждения зависимости формы рабочей области от переменных модели;

2) тестирование модели на возможность выявления сетевых вторжений двух типов: сканирование портов и DDoS-атаки.

Для того чтобы проверить высказанные предположения о структуре трафика и его свойствах были проведены эксперименты на граничных маршрутизаторах. Сбор данных о загрузке сети и количестве активных потоков проводился при помощи протокола NetFiow. Эксперименты были проведены на маршрутизаторах обслуживающих внешние каналы крупных сетей - академической научно-образовательной сети FREEnet, ирландской научно-образовательной сети HEAnet, а также ЗАО «СамараТелеком». Скорости данных подключений составляли 1 Гбит/с для FREEnet, 622 и 155 Мбит/с для HEAnet и 8 Мбит/с для СамараТелеком. Загрузка каналов варьировалась от 5% до 60% от емкости канала.

Полученные сетевые характеристики были разведены по интервалам, внутри

На следующем этапе проведения экспериментальной проверки трафика было выяснено, можно ли применить данную модель для обнаружения сетевых вторжений. Были проведены эксперименты, имитирующие попытки атак. Они проводились на сети Самарского государственного аэрокосмического университета (СГАУ). В качестве источника атаки использовались удаленные компьютеры, подключенные к сети Интернет. Целью атаки являлся один из внутренних серверов сети СГАУ. В качестве NetFlow-сенсора был выбран пограничный маршрутизатор сети СГАУ Cisco 6509, NetFlow-коллектор — тот же сервер, который подвергался атаке.

В результате анализа данных, собранных во время сканирования сети, было выявлено резкое увеличение числа активных потоков при практически неизменном количестве переданного трафика. Каждый компьютер, осуществляющий сканирование сети, создавал в течение 5 минут порядка 10-20 тысяч потоков минимального размера (44 байт).

B(t), Мбит/с

40

30

20

10

Состояния сети во время сканирования портов

0

20000

40000

60000 80000

100000

N(t), поток

Рисунок 5 — График состояний сети во время проведения сканирования портов

Анализ эксперимента по моделированию DDoS-атаки утилитой LOIC также показал резкое увеличение числа активных потоков наряду с увеличением передаваемого трафика. Утилита параллельно отсылает данные на разные порты цели, создавая тем самым большое количество коротких потоков длительностью до минуты.

В результате стало очевидным, что предлагаемая потоковая модель трафика позволяет выявить не только момент начала атаки, но и определить ее тип.

Таким образом, рост числа активных потоков является главным признаком несанкционированного вторжения. Этот принцип можно применить и к идентификации IP-адресов, с которых проводится атака. Для поиска критериев по

3) брандмауэр iptables, блокирующий IP-адреса атакующих компьютеров, обнаруженные в результате анализа NetFlow-данных;

4) база данных MySQL, в которую заносятся IP-адреса атакующих компьютеров. -

поток

700

■I

600 500 400300 200 100

0 1000 2000 3000 4000 5000 6000 7000 Рисунок 7 - Максимальное количество потоков с одного ІР-адреса

Основой данного комплекса является скрипт на языке Perl, который инсталлирован на защищаемом сервере. Каждую минуту скрипт получает с граничного маршрутизатора сети СГАУ файл с данными о потоках. Эти данные обрабатываются в соответствии с алгоритмами обнаружения атаки, описанными в предыдущей главе. На выходе скрипт выдает список подозрительных IP-адресов, с которых предположительно осуществляется атака. Структурная схема программно-аппаратного комплекса представлена на рисунке 8.

Подозрительные ІР-адреса заносятся в базу данных и весь трафик с этих адресов блокируются бранмауэром -iptables. При необходимости защиту можно распространить до масштабов всей сети СГАУ, блокируя подозрительные ІР-адреса на граничном маршрутизаторе. В ближайшее время планируется исследовать возможности протокола NetFlow по обнаружению DDoS-атак, при проведении которых используется комбинация из нескольких базовых видов атак.

Для проверки работоспособности разработанного программно-аппаратного комплекса по обнаружению 1Р-адр§сов компьютеров, с которых производится DDoS-атаки, и их последующему блокированию было проведено тестирование в виде пробных DDoS-атак, максимально приближенных к реальным.

Кроме того, данные по NetFlow хранятся, что позволяет провести анализ инцидентов и найти источники и механизмы атак.

Важным параметром разработанного программно-аппаратного комплекса является предельное число потоков, генерируемое единичным IP-адресом, т.к. данный параметр определяет уровень отсечения. В работе делается попытка определить требования к веб-хостингу, предъявляемые с точки зрения устойчивости к наиболее распространенным типам DDoS-атак. Для двух таких типов DDoS-атак ниже приведены формулы по расчету числа компьютеров К, необходимых для вывода из строя веб-сервера.

1. Вторжения, направленные на перегрузку информационных ресурсов сервера:

где Z - число одновременно обслуживаемых веб-сервером запросов, / - частота, с которой один атакующий компьютер отправляет запросы веб-серверу, Ts - время формирования одной веб-страницы.

2. Вторжения, направленные на переполнение канала связи.

к- —

К * d sn

где С - суммарная емкость канала, d- уровень обнаружения, измеряемый в потоках в минуту, и Sf - средний размер одного потока, равный среднему размеру файла. Коэффициент 3 выбран для того, чтобы сгладить суточные пиковые нагрузки.

Разработанный программно-аппаратный комплекс по защите от сетевых вторжений был внедрен в сети СГАУ в начале 2011 года и функционирует до сих пор. За этот период было отражено несколько DDoS-атак на сайты, размещенные на защищаемом хостинге.

Основные результаты диссертации

Предложена модель Интернет-трафика на уровне потоков, которая описывает текущее состояние сети двумя переменными: загрузкой сети и числом активных потоков в ней.

Получено уравнение для рабочей области на плоскости сетевых состояний, последовательный выход за пределы которой двух или более значений свидетельствует об аномальном состоянии сети.

Проведена экспериментальная проверка модели на различных научно-образовательных сетях, которая подтвердила зависимость формы рабочей области от переменных модели (загрузки канала и числа активных потоков).

Проведена экспериментальная проверка модели на возможность обнаружения различных аномальных состояний, и в частности, сетевых вторжений двух типов: сканирование портов и DDoS-атаки. Данная проверка подтвердила работоспособность предложенной модели.

Разработан метод обнаружения IP-адресов, осуществляющих несанкционированное вторжение двух типов: сканирование портов и DDoS-атаки, - который заключается в многократном росте активных потоков, генерируемых атакующими IP-адресами.

Разработана методика определения уровня отсечения подозрительных IP-адресов по числу генерируемых потоков.

Разработан комплекс программно-аппаратных средств, который реализует защищенное информационное пространство для размещения Интернет-ресурсов.

Разработанный комплекс программно-аппаратных средств установлен и запущен в эксплуатацию в одном из сегментов сети СГАУ.

Проведены успешные испытания разработанного программно-аппаратного комплекса в процессе работы веб-хостинга в сети СГАУ.

Основные результаты опубликованы

В журналах, рекомендованных ВАК:

1. Sukhov, A.M. Active flows in diagnostic of troubleshooting on backbone links [Text] / A.A. Galtsev, A.M.Sukhov, D.I. Sidelnikov, A.P. Platonov, M.V. Strizhov // Journal of High Speed Networks . - 2011. - Vol. 18. - №. 1. - P. 69-81.

2. Гальцев, A.A. Обнаружение сетевых атак на потоковом уровне [Текст] / A.A. Гальцев, А. М. Сухов // Телекоммуникации - М., №12, 2011. - С. 21-26.

3. Сухов, A.M. Функция распределения задержки пакетов в глобальной сети для задач теории управления [Текст] / A.A. Гальцев, A.M. Сухов, Н.Ю. Кузнецова, А.К. Первицкий // Телекоммуникации - М., №12, 2010. - С. 10-16.

В рецензируемых периодических изданиях, реферируемых Web of Science:

4. Galtsev, A.A. Network attack detection at flow level [Text] / A.A. Galtsev, A.M.Sukhov // Proceedings of the 11th International Conference on Next Generation Wired/Wireless Networking NEW2AN/ruSMART 2011, Lecture Notes in Computer Science. - Springer-Verlag, Berlin, 2011. -Vol. 6869. - P. 326-334.

В других изданиях:

5. Гальцев, A.A. Обнаружение DDoS-атак на оснЬве потоковых моделей трафика [Текст] / A.A. Гальцев // Всероссийская молодёжная научная конференция с международным участием "X Королёвские чтения", сборник тезисов, Самара, 2009. - С. 283-284.

6. Гальцев, A.A. Сравнительные характеристики научно-образовательных сетей [Текст] / A.A. Гальцев // Труды XIII Всероссийской научно-методической конференции "Телематика 2009", СПб, 2009.- С. 302-305.

7. Гальцев, A.A. Сравнительные характеристики научно-образовательных сетей [Текст] / Гальцев A.A. // Конференция представителей региональных научно-

образовательных сетей "RELARN-2009", сборник тезисов докладов, М.-СПб, 2009. - С. 45-49.

8. Гальцев, A.A. Технология администрирования учетных записей пользователей в компьютерной сети ТФ СГАУ [Текст] / Гальцев A.A., Сагатов Е.С., Султанов Т.Г. // Городская научная студенческая конференция "Молодежь. Наука. Общество." - сборник тезисов, Часть II, Тольятти, 2009. - С. 77.

Гальцев Алексей Анатольевич

СИСТЕМНЫЙ АНАЛИЗ ТРАФИКА

ДЛЯ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ СЕТИ

Автореф. дисс. на соискание учёной степени кандидата техн. наук Подписано в печать 28.02.2013. Заказ № 0753 Формат 60x84/16. Усл. печ. л. 1. Тираж 100 экз. Отпечатано с готового оригинал-макета 445010, Тольятти, Советская, 78, Типография Ника

Текст работы Гальцев, Алексей Анатольевич, диссертация по теме Системный анализ, управление и обработка информации (по отраслям)

Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «САМАРСКИЙ ГОСУДАРСТВЕННЫЙ АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ имени академика С.П. КОРОЛЕВА

(национальный исследовательский университет)»

На правах рукописи

Гальцев Алексей Анатольевич

Системный анализ трафика для выявления аномальных состояний сети

05.13.01 - Системный анализ, управление и обработка информации

(технические системы и связь) ,

о ю

Ю g

СО см Диссертация на соискание учёной степени кандидата технических наук

LO

о °

см £

^ Научный руководитель:

О

д.т.н. Сухов A.M.

Самара-2013

ОГЛАВЛЕНИЕ

Введение...........................................................................................................................4

ГЛАВА 1. ВЫЯВЛЕНИЕ АНОМАЛЬНЫХ СОСТОЯНИЙ СЕТИ..........................10

1.1. Классификация сетевых аномалий...................................................................10

1.2. Существующие методы по обнаружению и противодействию сетевым атакам..........................................................................................................................25

1.3. Выводы по первой главе....................................................................................35

ГЛАВА 2. МОДЕЛИРОВАНИЕ ТРАФИКА ВЫСОКОСКОРОСТНЫХ КАНАЛОВ ГЛОБАЛЬНОЙ СЕТИ...................................................................................................36

2.1. Обзор существующих моделей трафика..........................................................36

2.2. Определение основных переменных, используемых для моделирования трафика.......................................................................................................................41

2.3. Модель трафика на уровне потоков..................................................................45

2.4. Выявление аномальных состояний сети..........................................................48

2.5. Адаптация модели трафика для задач сетевой безопасности........................51

2.6. Выводы по второй главе....................................................................................53

ГЛАВА 3. ЭКСПЕРИМЕНТАЛЬНОЕ ПОДТВЕРЖДЕНИЕ МОДЕЛИ ТРАФИКА И ПОИСК КВАЛИФИКАЦИОННЫХ ПРИЗНАКОВ СЕТЕВЫХ АТАК...................55

3.1. Планирование и проведение экспериментов по подтверждению модели трафика на уровне потоков.......................................................................................55

3.2. Планирование и проведение экспериментов по определению параметров сетевых атак...............................................................................................................70

3.3. Распределение количества потоков, генерируемых одиночным 1Р-адресом........................................................................................................................75

3.4. Алгоритм выявления сетевых вторжений двух типов: ББо8 и сканирование портов..........................................................................................................................77

3.5. Выводы по третьей главе...................................................................................79

ГЛАВА 4. СОЗДАНИЕ ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА ДЛЯ

БЕЗОПАСНОГО РАЗМЕЩЕНИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ...............81

4.1. Состав программно-аппаратного комплекса, реализующего принцип защищенного хостинга..............................................................................................81

4.2. Анализ кода модуля обнаружения....................................................................84

4.3. Тестирование и выявление ББоБ-атак.............................................................88

4.4. Требования к веб-хостингу................................................................................91

4.5. Выводы по четвертой главе...............................................................................96

Заключение...................................................................................................................97

Список сокращений....................................................................................................99

Список литературы...................................................................................................101

Приложение А.............................................................................................................112

Введение

Актуальность

Задача анализа трафика магистральных Интернет-каналов с каждым годом становится все более востребованной. На данный момент всемирная сеть Интернет используется не только для обмена информацией, но и для предоставления различных услуг, в том числе государственных. Тем самым остро встает вопрос об обеспечении отказоустойчивой, бесперебойной работы серверов организаций, предоставляющих такие услуги.

Анализ трафика магистральных Интернет-каналов является сложной задачей, зависящей от множества параметров, которая с трудом поддается декомпозиции и моделированию. Одной из причин этого является постоянное усложнение структуры глобальной сети, которая характеризуется взаимодействием большого количества устройств самых разных типов, которые не имеют единого центра управления.

Несанкционированные вторжения в сетевую инфраструктуру являются сегодня одной из основных угроз для современной сети Интернет. Трудность выявления несанкционированных вторжений и относительная простота их реализации выводит данный вид неправомерных действий на одно из первых мест по степени опасности. Несвоевременное обнаружение препятствует оперативному реагированию на проводимое вторжение, вследствие чего у нарушителя увеличиваются шансы успешного осуществления атаки.

В настоящей работе основное внимание сосредоточено на вопросе разработки модели трафика для выявления аномальных состояний сети и противодействия сетевым вторжениям. Наиболее актуальной задачей является поиск методов защиты от БВоЭ-атак, поскольку до сих пор не разработано средств, позволяющих полностью защитить удаленные ресурсы от данного вида деструктивного вмешательства в работу компьютерной сети и ее отдельных узлов. ОЭоБ-атаки являются простыми в реализации, что делает их наиболее распространенным видом сетевых вторжений. В течение 2011 года были

зафиксированы масштабные атаки на такие крупные ресурсы, как блог-платформа LiveJournal, платежная система PayPal, сайт радиостанции «Эхо Москвы» и другие организации, в результате которых сервисы на долгое время оказались неработоспособными. Эти события говорят о необходимости разработки новых методов своевременного обнаружения и предотвращения несанкционированных вторжений.

Вопросы моделирования трафика магистральных Интернет-каналов, а также обнаружения аномальных сетевых состояний в разное время исследовали С. Barakat, С. Fraleigh, М. Fullmer, A.A. Долгин, E.JI. Дружинин и др.

В связи с этим актуальной представляется разработка моделей трафика, методов и алгоритмов, позволяющих в течение короткого времени обнаруживать аномальные состояния сети и принять меры по их устранению.

Результаты исследования соответствуют пунктам 4 - «Разработка методов и алгоритмов решения задач системного анализа, оптимизации, управления, принятия решений и обработки информации», 5 - «Разработка специального математического и программного обеспечения систем анализа, оптимизации, управления, принятия решений и обработки информации» паспорта научной специальности 05.13.01 - Системный анализ, управление и обработка информации (технические системы и связь).

Объект исследования - трафик магистральных Интернет-каналов.

Цель и задачи исследований.

Целью работы является разработка модели, методов, позволяющих провести системный анализ Интернет-трафика для выявления аномальных состояний сети и предотвращения несанкционированных вторжений.

В соответствии с поставленной целью в рамках диссертационной работы решаются следующие задачи исследования.

1. Провести обзор существующих моделей трафика и методов по выявлению аномальных состояний сети.

2. Провести исследование системных связей трафика на уровне агрегированных состояний сети (потоков) и разработать модель трафика.

3. Разработать метод обнаружения аномальных состояний сети путем обработки информации о потоках по критериям предложенной модели трафика.

4. Разработать методику отбора внешних 1Р-адресов, с которых может происходить несанкционированное вторжение.

5. Разработать комплекс программно-аппаратных средств, блокирующий несанкционированный доступ к защищаемой сети.

Разработать комплекс программно-аппаратных средств, блокирующий несанкционированный доступ к защищаемой сети.

Научная новизна работы.

В диссертации получены следующие новые научные результаты.

1. Предложена модель Интернет-трафика на уровне потоков, которая впервые предлагает описывать текущее состояние сети двумя переменными: загрузкой сети и числом активных потоков, - в отличие от других моделей, использующих только один параметр (загрузка сети).

2. Получено уравнение для рабочей области на плоскости сетевых состояний, последовательный выход за пределы которой двух или более состояний свидетельствует об аномальном функционировании сети.

3. Экспериментально доказано, что разработанная модель трафика позволяет регистрировать аномальные состояния сети в течение нескольких минут после начала внешнего воздействия.

4. Разработана новая методика определения 1Р-адресов, с которых производится несанкционированное вторжение, которая заключается в многократном росте активных потоков, генерируемых 1Р-адресом.

Основные положения диссертации, выносимые на защиту.

1. Модель трафика на уровне потоков, содержащая сетевые переменные, измеряемые на маршрутизаторах.

2. Метод обнаружения аномальных состояний сети.

3. Методика обнаружения 1Р-адресов, с которых ведется несанкционированное вторжение двух типов: ОЭоЗ и сканирование портов.

4. Алгоритмы поиска и блокирования источников несанкционированного вторжения.

Практическая ценность работы.

Результаты, полученные в ходе выполнения настоящей диссертационной работы, могут быть использованы в системах анализа трафика магистральных сетевых каналов, обнаружения сетевых аномалий, системах обнаружения вторжений (СОВ), а также в системах предотвращения вторжений (СПВ), используемых для защиты сетевых ресурсов от сетевых вторжений.

Реализация результатов работы.

Результаты диссертационной работы внедрены и используются для обнаружения сетевых аномалий и защиты от сетевых вторжений компьютерной сети Самарского государственного аэрокосмического университета им. С.П. Королева и Губернского портала Самара.ру.

Основные результаты получены в рамках следующих проектов.

1. «Разработка сетевых информационных технологий параллельной и распределенной обработки данных, электронного обучения и интернет-телевещания», выполняемый в рамках Федеральной целевой программа «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы» (ГК П2234 от 11 ноября 2009 г.).

2. «Разработка и реализация в учебном процессе и научных исследованиях инновационных информационных технологий и подготовка методических материалов по использованию суперкомпьютерной и инфокоммуникационной грид-среды СГАУ» (ГК ОК 07/11).

Апробация работы.

Основные результаты, связанные с разработкой методов и алгоритмов обнаружения и предотвращения аномальных состояний сети, а также программно-

аппаратного комплекса обнаружения и предотвращения сетевых атака типа DDoS и сканирование портов докладывались на следующих конференциях: XVI конференции представителей региональных научно-образовательных сетей «RELARN-2009» (2-7 июня 2009, Москва - Санкт-Петербург, Теплоход «Александр Суворов»); XVI Всероссийская научно-методическая конференция «Телематика 2009» (22 - 25 июня 2009, Санкт-Петербург); Всероссийская молодежная научная конференция с международным участием «Королёвские чтения» (6-8 октября 2009, Самара); The 11th International Conference on Next Generation Wired/Wireless Networking «NEW2AN 2011» (23 - 25 August 2011, St. Petersburg).

Публикации. По теме диссертации опубликованы 8 печатных работ, в том числе 3 - в изданиях, рекомендованных ВАК Минобрнауки России.

Структура и объем работы.

Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложения. Общий объем работы составляет 116 страниц, 26 рисунков, 5 таблиц. Библиографический список насчитывает 102 наименования.

Во введении обоснована актуальность работы, сформулированы ее цель и задачи. Проведен обзор известных методов решения задач обнаружения и предотвращения сетевых атак. Приводятся перечень научных результатов и положения, выносимые на защиту.

В первой главе проводится анализ современного состояния решения проблемы выявления аномальных состояний компьютерных сетей. Описаны особенности существующих решений и результаты проводимых исследований, приводится классификация наиболее распространенных сетевых аномалий. Рассмотрены общие подходы к решению проблем выявления аномальных состояний сети и в частности, сетевых атак.

Во второй главе рассматриваются вопросы построения моделей трафика на основе двух концепций: описания трафика в виде пакетов и потоков. Развивается потоковая модель трафика, основанная на представлении состояния сети как

сочетания двух параметров: загрузка канала и число активных потоков в нем. Показывается, что данная модель может быть использована для обнаружения аномальных состояний сети.

Третья глава посвящена проектированию и проведению экспериментов по подтверждению модели трафика, а также ее применимости для задач обнаружения аномальных состояний сети.

В четвертой главе описывается разработанный программно-аппаратный комплекс по обнаружению и предотвращению сетевых вторжений двух типов: сканирование портов и ОБоЗ-атаки. Приведены результаты экспериментальных исследований, проведенных на одном из серверов сегмента сети СГАУ. В заключении обсуждаются результаты и делаются выводы.

ГЛАВА 1. ВЫЯВЛЕНИЕ АНОМАЛЬНЫХ СОСТОЯНИЙ СЕТИ

В данной главе проводится анализ современных подходов к решению проблемы выявления аномальных состояний компьютерных сетей. Особое внимание уделяется классификации аномалий, а также описанию их возможных проявлений с точки зрения характеристик сетевого трафика.

Рассматриваются особенности существующих решений и результаты проводимых исследований. Рассматриваются типы систем обнаружения и предотвращения вторжений, которые в совокупности позволяют обнаружить многие типы сетевых вторжений.

Показывается высокая степень заинтересованности в решении проблемы как со стороны коммерческих компаний, так и со стороны научно-исследовательских центров всего мира.

1.1. Классификация сетевых аномалий В процессе обслуживания компьютерных сетей специалисты, администрирующие их, сталкиваются с аномальными состояниями различных типов. К таким состояниям относятся аномалии вызванные непреднамеренными причинами (программно-аппаратные сбои, ошибки, допущенные при проектировании, разработке и настройке), а также аномальные состояния, которые являются следствием преднамеренных действий. Ко вторым относятся сетевые вторжения, такие как удаленное сканирование сетевых ресурсов, вторжение «отказ в обслуживании» (БоБ) сетевых служб и устройств, несанкционированный доступ к ресурсам сети, компьютерные вирусы.

Множество сетевых аномалий можно классифицировать по степени значимости. Наибольшую угрозу представляют собой аномалии, носящие умышленный характер, поскольку их последствия бывают самыми разнообразными: утечка конфиденциальных данных, приведение системы в неработоспособное состояние, уничтожение критически важной информации.

Существуют большое количество работ, в которых проводятся исследования классификации сетевых аномалий данного типа [59, 60].

Известные на сегодняшний день сетевые аномалии очень разнообразны, поэтому они не поддаются единой классификации. Существует разделение по различным признакам: по характеру воздействия (активные и пассивные), по цели воздействия, по расположению объекта воздействия (внешние и внутренние), а также другие классификации [26, 79, 83, 93]. Недостаток данных подходов заключается в том, что они не отражают всех особенностей изучаемого явления, вследствие чего являются ограниченными. Поэтому в данной работе предлагается классифицировать сетевые аномалии с точки зрения преднамеренного характера возникновения аномалий.

Согласно предлагаемому подходу можно выделить две группы сетевых аномалий: программно-аппаратные отклонения и нарушения безопасности. Схема классификации показана на рисунке 1.1.

Рисунок 1.1 — Классификация сетевых аномалий Программно-аппаратные отклонения (непреднамеренный характер воздействия) включают в себя следующие виды аномалий: ошибки программного

обеспечения (ПО), аппаратные неисправности, ошибки конфигурирования и нарушения производительности оборудования.

К нарушениям сетевой безопасности (преднамеренный характер воздействия) относятся следующие аномалии: сканирование сети, атаки «отказ в обслуживании», вирусы, эксплуатация уязвимостей, анализаторы трафика (снифферы) и сетевые модификаторы. Наибольшие убытки операторам связи наносят сетевые аномалии данной группы, поскольку являются преднамеренными действиями, влекущими за собой сбои в работе информационной системы (ИС) и потерю конфиденциальной информации.

Аппаратные неисправности. Аппаратные неисправности сетевых устройств могут проявляться в различных формах. К таким аномалиям относятся неисправности в электросетях, выход из строя а�