автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Повышение эффективности средств сетевой защиты на основе метода синтаксического анализа трафика

На правах рукописи

Рудина Екатерина Александровна

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ СЕТЕВОЙ ЗАЩИТЫ НА ОСНОВЕ МЕТОДА СИНТАКСИЧЕСКОГО АНАЛИЗА ТРАФИКА

Специальность 05.13.19

Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2012

005049211

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет».

Научный руководитель: Зегжда Дмитрий Петрович

доктор технических наук, профессор

Официальные оппоненты: Макаров Сергей Борисович,

доктор технических наук, профессор, заведующий кафедрой ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Томилин Василий Николаевич, кандидат технических наук, системный инженер ООО "Сиско Системе"

Ведущая организация: ФГБОУ ВПО «Санкт-Петербургский

государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича»

Защита состоится декабря 2012 г. в ^ ^ часов

на заседании диссертационного совета Д212.229.27 при ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет» (по адресу 195251, Санкт-Петербург, ул. Политехническая, д.29/1 ауд. 175 главного здания.)

С диссертационной работой можно ознакомиться в Фундаментальной библиотеке ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет».

Автореферат разослан « ноября 2012 г.

Ученый секретарь диссертационного совета

Платонов Владимир Владимирович

Общая характеристика работы

Актуальность темы исследования

Неуклонное развитие сетевых технологий, стандартов и протоколов, в совокупности с разнообразием и многочисленностью функционирующих в глобальной сети Интернет систем и сервисов порождает сложную и динамичную среду сетевого взаимодействия, в которой реализуются современные угрозы безопасности. Противодействие нарушителя средствам сетевой защиты носит характер постоянной борьбы, методы которой непрерывно совершенствуются - средства защиты стремятся полностью контролировать сетевые потоки, а нарушители задействуют все новые способы обхода этого контроля.

Обход сетевой защиты признается серьезной проблемой как работающими в этой области учеными, так и экспертами из ведущих ИТ компаний и разработчиками средств защиты. Сложные методы обхода сетевого контроля и противодействие им обсуждаются на авторитетных отечественных и международных форумах по информационной безопасности. В настоящее время, согласно исследованиям компании БитезоА, известно не менее двух сотен различных методов для обхода средств сетевой защиты, и это число продолжает расти.

Другая наблюдаемая в последние годы тенденция состоит в значительном смещении вектора сетевых атак в направлении пользователей Интернет-сервисов, в то время как раньше атакам в большей мере подвергались сами сервисы. При этом конечной целью атаки может быть как включение пользовательской системы в состав бот-сети, так и распространение вторжения в локальной подсети. Таким образом, успешная атака, проведенная в обход сетевой защиты, влияет не только на безопасность атакованной системы, но и на безопасность всей сети в целом.

Наиболее часто применяемым методом обхода средств сетевой защиты является туннелирование протоколов, представляющее собой инкапсуляцию сообщений протокола некоторого уровня модели ОЯГ в сообщения протокола того же уровня или более высокого. При этом средства защиты обрабатывают только внешний протокол, игнорируя вложенный, что приводит к потере эффективности средств защиты.

Следовательно, задача "повышения эффективности средств сетевой защиты за счет предотвращения туннелирования протоколов является актуальной.

Степень разработанности темы исследования

Основанием для диссертации служат исследования в области обеспечения сетевой безопасности отечественных и зарубежных ученых В.А.Галатенко, В.И.Городецкого, П.Д.Зегжды, И.В.Котенко, И.Б.Саенко, М.ВакН, У.Рахвоп, Р.Г^яяо, У.Якоптпп, в работах которых описываются основы обеспечения сетевой безопасности, но не в полной мере раскрыты методы фильтрации трафика и обнаружения атак в условиях использования нарушителем инкапсуляции протоколов.

Представленная работа посвящена повышению эффективности существующих методов защиты от сетевых атак путем обнаружения туннелирования потенциально опасного трафика с помощью методов синтаксического анализа, не зависящих от типов протоколов, используемых при построении туннелей.

Целью диссертационной работы является повышение эффективности существующих средств сетевой защиты посредством применения метода синтаксического анализа трафика с использованием контекстно-свободных грамматик.

В соответствии с поставленной целью сформулированы основные задачи:

1. Исследование методов обхода средств сетевой защиты путем туннелирования прикладных протоколов и разработка подхода к оценке повышения эффективности средств сетевой защиты.

2. Создание универсальной лексикографической модели Интернет-протоколов.

3. Создание аналитической модели и распознающей грамматики сетевого взаимодействия.

4. Разработка специализированного языка описания сетевого взаимодействия.

5. Разработка алгоритма синтаксического анализа трафика на основе описания взаимодействия с использованием специализированного языка и создание методики повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработка прототипа программного средства, реализующего синтаксический анализ трафика с целью повышения эффективности средств сетевой защиты.

Научная новизна диссертационной работы заключается в следующем:

1. Предложена универсальная лексикографическая модель Интернет-протоколов, описывающая параметры отдельных сообщений и сеансов взаимодействия в целом и определяющая алфавит языка взаимодействия по Интернет-протоколам.

2. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, позволяющая распознавать взаимодействие по Интернет-протоколам в сетевом трафике.

3. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам.

4. Предложен алгоритм синтаксического анализа трафика, основанный на аналитической модели и использующий описания взаимодействия по протоколам на специализированном языке.

Теоретическую значимость работы составляет разработка аналитической модели, применимой для синтаксического распознавания сетевого взаимодействия по протоколам, описанным с использованием специализированного формального языка.

Практическую ценность работы составляет созданное программное средство синтаксического анализа трафика, интегрируемое с межсетевым экраном (МЭ) для распространения функций МЭ на взаимодействие по туннелированным протоколам.

Методы и методология исследования. Для исследования предметной области проведен анализ основанных на туннелировании протоколов способов обхода средств сетевой защиты. При решении поставленной задачи использовался аппарат аналитических грамматик теории формальных языков. Предлагаемый в работе метод анализа трафика обоснован с использованием элементов теории автоматов, языков и вычислений, а повышение эффективности средств сетевой защиты с применением этого метода подтверждено проведенными экспериментами.

Основные положения, выносимые на защиту:

1. Универсальная лексикографическая модель, определяющая параметры протоколов, анализируемые средствами защиты в Интернет.

2. Аналитическая модель сетевого взаимодействия, применяемая для обнаружения туннелирования протоколов.

3. Специализированный контекстно-свободный язык формального описания взаимодействия по сетевым протоколам.

4. Алгоритм синтаксического анализа сетевого трафика согласно описаниям на специализированном языке, и методика распознавания туннелирования протоколов с целью повышения эффективности средств защиты.

Степень достоверности и апробация результатов

Основные теоретические и практические результаты работы обсуждались на XVII общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008), на четвертой общероссийской конференции «Математика и безопасность информационных технологий» (МаБИТ, Москва, 2008) и на Международной молодежной конференции «Информационные системы и технологии» (Москва, 2012).

Достоверность работы подтверждается публикацией ее результатов в рецензируемых научных изданиях. По теме диссертации опубликовано 9 работ, в их числе 3 научные статьи, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 3, 1 учебно-методическое пособие, 5 докладов на конференциях.

Метод синтаксического анализа сетевого трафика был применен в НИР «Разработка методики идентификации прикладных Интернет протоколов на основе вариативно-сигнатурного анализа взаимодействия клиент-серверных компонент» (шифр 2011-1.4-514-065-025) по государственному контракту № 07.514.11.4107 от 26.10.2011.

Результаты работы применены в части обеспечения защиты информации от Интернет-угроз, связанных с туннелированием протоколов, на малом

инновационном предприятии ООО "Инфоком"; а также в части подготовки специалистов, обучающихся по специальности 090105.65 на кафедре Информационная безопасность компьютерных систем ФГБОУ СПбГПУ, при проведении практических занятий по дисциплине «Безопасность вычислительных сетей», что подтверждается соответствующими Актами об использовании.

Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 88 наименований.

Основное содержание работы

Первая глава содержит описание способов обхода средств сетевой защиты путем туннелирования протоколов, причин сопутствующего снижения эффективности этих средств, а также подхода к оценке повышения эффективности средств сетевой защиты при обнаружении туннелирования.

Основным средством сетевой защиты от удаленных атак является межсетевой экран, осуществляющий контроль и фильтрацию трафика в соответствии с заданными правилами.

Однако реализуемый МЭ контроль взаимодействия может быть обойден за счет применения разрешенных правилами МЭ протоколов для организации туннелей, внутри которых используются запрещенные протоколы. Туннелирование протоколов может осуществляться сетевыми сервисами-посредниками (например, GNUhttptunnel, iodine) или непосредственно протоколом сервиса, к которому обращается пользователь (например, BOSH); при этом атака через туннель не будет отражена МЭ (см. рисунок 1).

в обход МЭ

Трафик, запрещенный правилами МЭ port ¿86,443 или 53 /Jjj| Ив

Трафик, разрешенный правилами МЭ; _port=80,443 или S3 f ^ >

п , - I HTTP, HTTPS, DNS Полезная нагрузка трафика разрешенного взаимодеиствияг ------- ——

т „ I httptunnel, iodine...

Туннелированное взаимодеиствие с запрещенными сервисами - -—

Рисунок 1 - Обход средств защиты при помощи туннелирования протоколов

Эффективность МЭ принимается равной 100%, если фильтрация трафика согласно правилам МЭ позволяет отразить сетевые атаки при использовании запрещенных этими правилами протоколов или Интернет-сервисов. Туннелирование протоколов приводит к снижению эффективности МЭ вследствие несрабатывания правил. Для повышения эффективности МЭ необходимо обнаруживать туннелирование и применять правила фильтрации к инкапсулированным протоколам. Полученное за счет этого повышение эффективности работы МЭ ДЕ оценивается через отношение доли отраженных атак по туннелируемым протоколам к общей доле отражаемых МЭ атак (без учета инкапсулированных протоколов):

АЕ = * 100%, где

К

• К - общее количество атак, отражаемых МЭ;

• п - количество запрещенных протоколов или Интернет-сервисов, используемых посредством туннелирования;

• /<,",( £ 1:п - число известных атак по каждому из протоколов, которые могут быть подвергнуты туннелированию.

Задачу настоящей работы составляет обнаружение скрытых с использованием техники туннелирования протоколов путем синтаксического анализа сетевого трафика на основе грамматик протоколов взаимодействия. Протокол сетевого взаимодействия Т рассматривается как грамматика Су языка взаимодействия сетевых компонент, продукционные цепочки (фразы) этого языка представлены сетевым трафиком в каналах связи. Решение задачи

синтаксического распознавания продукционных цепочек с помощью двойственной Gp аналитической грамматики Сл (или эквивалентной GM аналитической модели сЯ) дает решение задачи идентификации протокола Т в трафике. Для описания грамматики протокола, используемой при синтаксическом анализе трафика, необходим специализированныйязык описания протоколов.

Сравнительный анализ распространенных языков и способов формального описания сетевых протоколов не выявил существующей нотации, которая могла бы быть эффективно применена для спецификации сетевого протокола с целью синтаксического анализа трафика.

Вторая глава посвящена разработке формальных моделей, применяемых в решении поставленной задачи.

Целью лексикографической модели протокола сетевого взаимодействия является формальное описание параметров протокола на основе его функциональной спецификации.

Лексикографическая модель протокола сетевого взаимодействия описывается кортежем M = (Р,А С, NC), в котором:

- Р = {prop} - множество параметров сообщения, (значения которых из множества V = {Kj| = {vXi}x,gl,к }i6i:|p| определяются только текущим

сообщением в сеансе взаимодействия);

- А = {aprop}, А £ Р - подмножество атомарных параметров (значения которых вычисляются непосредственно из сообщения);

- С = {ctx} - множество параметров контекста;

- U = {Uj\Uj = };'ei:|c| ~ множество значений параметров контекста;

- NC £ С - подмножество параметров контекста, от текущих значений которых зависят значения других параметров.

Множества V и i/представляют лексемы языка взаимодействия. Экземпляр контекста, описывающий состояние взаимодействия Сиг = {cur_ctXj} ,Vj 6 1: |С| curjotXj 6 Ui

задается множеством значений параметров контекста в каждый момент времени для каждого текущего сеанса взаимодействия.

Для каждого протокола необходимо определить набор функций со следующими прототипами:

- get(x),x £ Р U С - функция получения текущего значения параметра или параметра контекста;

- calc(x),x Е Р U С - функция вычисления параметра сообщения (параметра контекста) с учетом текущих значений прочих параметров;

- initjctxÇz, init_val), z € С - функция инициализации текущего значения параметра контекста;

- update_ctx(z),z EC- функция обновления текущего значения параметра контекста.

Эти функции задают отношение Dep_prop(x,y) зависимости параметров сообщения и отношение Dep_ctx(x,y) зависимости параметров контекста:

Depjprop: (Р\Л) х (Р U С) {true, false] Dep_ctx\ С х (Р и С) -> {true, false)

В свою очередь, отношения зависимости определяют множество А с р атомарных параметров сообщения и множество /VC £ С параметров контекста, требующих инициализации перед созданием сеанса.

Целью аналитической модели сетевого взаимодействия является распознавание значений параметров протокола (заданных лексикографической моделью) в сетевом трафике при таком взаимодействии.

Аналитическая модель сетевого взаимодействия построена на базе лексикографической модели протокола с добавлением обобщенного алгоритма сетевого взаимодействия и описана в виде

Л = (M¡( /, F, C¡, Г), где

- Af¡ - описание протокола, уточняющее лексикографическую модель;

- / = {init_valz]zeNC — множество начальных значений параметров контекста/VC при создании сеанса взаимодействия;

- F с U - множество значений, при достижении которых заданным параметром контекста Zf взаимодействие завершается;

-С i = {Cale} - множество функций, реализующих вычисление параметров сообщений и параметров контекста исходя из значений полей сетевых сообщений и текущих значений параметров контекста;

- Т = xchg_trigger - триггер цикла обработки, представляющий собой логическое выражение, при выполнении которого обновляются параметры контекста. Триггер цикла обработки включается при поступлении нового сетевого пакета, если соблюдаются ограничения на параметры сообщения и параметры контекста сеанса взаимодействия.

Обобщенный алгоритм сетевого взаимодействия с использованием псевдокода можно описать следующим образом: begin

foreach z 6 NC init_ctx{z, init_valz) while get(zf) g F if xchgjtrigger foreach z e С update_ctx(z) end while

end

Для оценки универсальности аналитической модели доказана следующая теорема.

Теорема 1 Аналитическая модель сетевого взаимодействия на базе лексикографической модели протокола обладает, по крайней мере, такой же выразительной мощностью, какой обладает линейно-ограниченный автомат (ЛОА).

Доказательство теоремы выполняется путем интерпретации аппарата ЛОА с помощью предложенного обобщенного алгоритма сетевого взаимодействия.

На основании теоремы 1 предложенная аналитическая модель применима для анализа произвольного останавливающегося протокола сетевого взаимодействия.

В работе описана аналитическая грамматика языка сетевого взаимодействия, эквивалентная созданной аналитической модели. Недостаток это грамматики состоит в том, что она является контекстно-зависимой. Для этого типа грамматик не существует простых алгоритмов распознавания, а известные алгоритмы очень медленны. Для использования лишенной данного недостатка контекстно-свободной грамматики доказана теорема 2.

Теорема 2. Грамматика, формируемая аналитической моделью сетевого взаимодействия на базе лексикографической модели, может быть преобразована к контекстно-свободной грамматике при выполнении следующих ограничений па лексикографическую модель протокола сетевого взаимодействия:

1) отсутствуют циклические зависимости между параметрами сообщений

Ух, у е Р\А: DepT(x,y~) — true -> DepT(y,x) ~ false;

2) параметры сообщения (ациклически) зависят только от других параметров сообщения и параметров контекста из множества NC

Vp £ Р\А:у 6 C,Dep_prop{p,y) = true => у е NC.

Доказательство теоремы выполняется для каждого правила контекстно-зависимой грамматики путем индукционного преобразования его во множество правил, в левой части которых стоит нетерминальный символ.

Следствие из теоремы 2: при выполнении условий теоремы синтаксический анализ сетевого трафика на основе грамматик протоколов взаимодействия имеет сложность не выше полиномиальной.

Третья глава посвящена реализации синтаксического анализа сетевого трафика на основе созданной аналитической модели.

Специализированный язык описания сетевого взаимодействия по протоколу реализует основные концепции лексикографической модели протоколов и аналитической модели сетевого взаимодействия. Параметры сообщения и параметры контекста задаются как типизированные переменные. Формат сетевого сообщения задается в виде декларативного описания альтернативных последовательностей полей, транслируемого в бинарную структуру данных (дерево анализа сообщения). Взаимодействие по протоколу задается правилами инициализации/обновления и предикатами.

Правила описывают:

• инициализацию параметров контекста при создании сеанса взаимодействия(/ш7);

• обновление параметров контекста при обработке каждого последующего сообщения (Renew).

Предикаты, определенные на параметрах сообщения и параметрах контекста, описывают условия:

• отнесения сообщения к некоторому сеансу взаимодействия (This)\

• корректности сообщения в сеансе взаимодействияпо значениям параметров (.Proper);

• готовности данных для передачи инкапсулируемым протоколам (Ready)-,

• закрытия сеанса взаимодействия, после чего экземпляр контекста ун ичтожается (Destructible).

Алгоритм синтаксического анализа сетевого трафика осуществляет распознавание значений параметров используемого протокола, путем последовательно применяемых к сообщению синтаксического разбора и обработки контекста.

Алгоритм синтаксического разбора сообщения, основан на применении бинарной структуры данных - дерева анализа сообщения (ДАС), представляющего собой иерархическое описание формата сообщения сетевого протокола. Рекурсивный алгоритм, показанный на рисунке 2, выполняет обход дерева с тремя типами вершин (последовательность, альтернатива и атом) в двух режимах - обычном (позволяющем выделить поля с фиксированной длиной) и режиме «плавающего начала» (для выделения полей, ограниченных служебными полями или разделителями).

Рисунок 2 - Алгоритм синтаксического разбора сообщения

В работе описаны также вспомогательные алгоритмы, связанные с представлением формата сообщения в виде ДАС: алгоритм трансляции описания в ДАС и алгоритм нормализации ДАС для ускорения анализа трафика.

Алгоритм обработки контекста на основе декларативно заданных правил инициализации/обновления и предикатов, регулирующих условные переходы обобщенного алгоритма на каждой итерации обработки сообщений (рисунок 3). Кроме того, реализация алгоритма предусматривает возможность введения дополнительных правил и предикатов для упрощения подаваемой на вход спецификации протокола.

Рисунок 3 - Ал1 ори I м обработки контекста

Четвертая глава диссертационной работы содержит методику повышения эффективности средств сетевой защиты с применением синтаксического анализа трафика, описание разработанного прототипа программного средства и результаты проведенного экспериментального исследования.

Методика повышения эффективности средств защиты содержит рекомендации по использованию синтаксического анализа трафика для распознавания и блокировки туннелированного взаимодействия. Для реализации этих возможностей следует осуществить действия:

1. Организовать перенаправление потоков сетевого трафика на вход синтаксического анализатора туннелированных протоколов.

2. Настроить синтаксический анализатор туннелированных протоколов.

2.1.Специфицировать типовые виды туннелей с использованием языка описания протоколов.

2.2.Специфицировать протоколы, которые могут быть использованы как несущие протоколы туннелей (для обнаружения нетиповых туннелей).

2.3.Специфицировать протоколы, запрещенные наМЭ.

3. Настроить МЭ для блокировки туннелированного трафика.

3.1. Блокировать взаимодействие при синтаксическом распознавании типовых туннелей в сетевом трафике.

3.2. Блокировать взаимодействие при синтаксическом распознавании запрещенных протоколов, инкапсулированных в туннели.

Предложенная методика реализована с использованием разработанного прототипа программного средства синтаксического анализа трафика.

Разработанный прототип программного средства обеспечивает интерактивное взаимодействие с пользователем, в том числе в части составления описания протоколов, проверки этого описания и трансляции в бинарное представление. Сбор, синтаксический анализ и перенаправление сетевого трафика осуществляются до выполнения его фильтрации на МЭ. Правила МЭ корректируются в соответствии с результатами обнаружения туннелирования протоколов на основе синтаксического анализа трафика. Это позволяет интегрировать разработанный прототип с МЭ для повышения эффективности МЭ при отражении сетевых атак в условиях туннелирования протоколов (рисунок 4).

2. правила фш,ьтраЦи^\ Синтаксический снорректировашЦ ^ анализатор трафика

т , . . .J port *80,443 или 53 Трафик, запрещенный правилами МЭ-—.....~----

Трафик, разрешенный правилами МЭ

Полезная нагрузка трафика разрешенного взаимодействия Туннелированное взаимодействие с запрещенными сервисами

_ port=80.443 или 53

HTTP, HTTPS, DNS__

httptunnel, iodine...

Рисунок 4 — Интеграция синтаксического анализатора графика с межсетевым экраном для повышения эффективности защиты

Проведен ряд экспериментов по обнаружению туннелирования с использованием разработанного средства синтаксического анализа для протоколов HTTP, FTP, Telnet, SMTP, РОРЗ и др., сервисов AIM, ICQ (протокол OSCAR) и оценке повышения эффективности МЭ за счет применения этого средства.

Например, при разрешенном МЭ использовании Интернет сервисов по протоколам HTTP, HTTPS, DNS с помощью ПО туннелирования взаимодействия в сообщения протокола HTTP был организован сеанс FTP в обход ограничений МЭ.

При этом перед передачей трафика на МЭ с помощью разработанного средства был выполнен синтаксический анализ трафика, распознавший передаваемые на прикладном уровне сообщения как фразы, соответствующие языковой спецификации сеанса взаимодействия по протоколу HTTP. Для этого выполнен разбор фрагментов трафика путем рекурсивного разбиения каждого фрагмента на составные блоки (соответствующие узлам дерева синтаксического анализа сообщения) и установления соответствия этих блоков лексическим конструкциям протокола HTTP (методам запроса, идентификаторам ресурсов и пр.), описанным в его спецификации. По значениям лексических параметров в соответствии с алгоритмом обработки контекста восстановлен сеанс взаимодействия и передаваемые по протоколу объекты полезной нагрузки (обычно - файлы HTML, графические файлы и т.п.). К объектам, выделенным при анализе взаимодействия по HTTP, был рекурсивным образом применен синтаксический анализ, распознавший в них языковые конструкции протокола FTP (команды входа, просмотра каталога, передачи файлов и т.д.). Результаты анализа были переданы на МЭ, где было принято решение о запрете этого трафика.

Для оценки повышения эффективности МЭ в приведенном примере использовались данные о числе сетевых атак по каждому протоколу в действующей базе правил системы обнаружения сетевых атак Snort.

Рассчитано повышение эффективности МЭ при обнаружении и предотвращении взаимодействия с использованием туннелирования протоколов для описанного примера:

дЕ = кртр + krelnet + кр0рз + ksMTP + k°SCAR * 100% ^ 9,5%

К

где ki - количество атак по протоколу ¿, К - общее число отражаемых МЭ атак.

Оценка повышения эффективности МЭ при предотвращении НТТР-туннелирования каждого из рассмотренных протоколов приведена на рисунке 5.

m ш 2

1 ?

Ф U

i i л а

S s

о н с: *

m

-е-■е-

3,5 В 2,5 2 1,5 1 0,5 0

2,9

FTP

1,5

РОРЗ

OSCAR Telnet (AIM, ICQ)

Тип туннелируемого протокола

SMTP

Рисунок 5 - Оценка повышения эффективности МЭ при обнаружении и предотвращении НТТР-туннелирования различных протоколов

Представленный пример характеризует типичную ситуацию применения туннелирования для обхода МЭ, разрешающего HTTP, когда 1ITTP-туннелирование используется для доступа к почтовым службам, сервисам мгновенных сообщений и т.д. При запрете протокола HTTP для организации туннеля может использоваться другой протокол. Чем слабее ограничения МЭ, тем разнообразнее могут быть туннели и больше повышение эффективности МЭ при применении методов обнаружения скрытого использования протоколов. Эта зависимость представлена на рисунке 6. 60

0,2 0,4 0,6

Доля атак по несущему протоколу

Доля атак по инкапсулированным в туннель

протоколам

-10%

~ 20%

30%

Рисунок 6 - Зависимость повышения эффективности МЭ от вида туннелирования

Полученные результаты свидетельствуют о повышении эффективности средств сетевой защиты при применении для выявления туннелирования протоколов предложенного в работе метода синтаксического анализа трафика.

Заключение

Итоги диссертационного исследования

1. Исследованы методы обхода средств сетевой защиты, основанные на туннелировании протоколов; предложен подход к оценке повышения эффективности средств сетевой защиты при обнаружении туннелирования.

2. Создана универсальная лексикографическая модель, определяющая параметры Интернет-протоколов, анализируемые средствами защиты в компьютерных сетях.

3. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, предназначенная для обнаружения туннелирования протоколов.

4. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам, предназначенный для параметризации аналитической модели.

5. Предложен алгоритм синтаксического анализа трафика согласно описаниям протоколов на специализированном языке и методика повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработан прототип программного средства, реализующего синтаксический анализ трафика для распознавания туннелирования протоколов, и проведены экспериментальные исследования, подтверждающие повышение эффективности средств сетевой защиты при его использовании.

Рекомендации и перспективы дальнейшей разработки темы

Перспективы дальнейшей разработки темы лежат в области разработки методов анализа протоколов взаимодействия на предмет их корректности и безопасности. Поскольку предложенный язык описания взаимодействия является декларативным, он может быть использован для автоматизации разработки спецификаций Интернет-протоколов.

Список работ, опубликованных автором по теме диссертации

1. Рудина Е.А. Спецификация сетевых протоколов с использованием декларативного языка описания / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». - СПб.: Изд-во Политехи, ун-та, 2012 г. - № 2, С.69-75.

2. Рудина Е.А. Подход к анализу клиент-серверного взаимодействия на основе декларативного описания сетевого протокола / С.С.Корт, Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». - СПб.: Изд-во Политехи, уп-та, 2011 г.,-№ 4, С.27-39.

3. Рудина Е.А. Обобщенное представление сетевых протоколов / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». - СПб.: Изд-во Политехи, ун-та, 2008 г. - №

4. С.56-60.

4. Рудина Е.А. Контекстно-детерминированная идентификация прикладных протоколов в дампах сетевого трафика / Е.А.Рудина // Сб.материалов Международной молодежной конференции «Информационные системы и технологии». -М., 2012. -С.94-96.

5. Рудина Е.А. Вычислительные сети: лабораторный практикум / С.С. Корт, Е.А. Рудина. - СПб.: Изд-во Политехи, ун-та, 2011. - 188 с.

6. РудинаЕ.А. Формальное представление сетевого протокола / П.Д.Зегжда, Е.А.Рудина // Материалы Седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008). - М., Издательство МЦНМО, 2009. - Т.2, с. 232-241.

7. Рудина Е.А. Поиск вариаций в полях сетевых пакетов по декларативному описанию протоколов / A.B. Шумов,Е.А.Рудина // Сб.Материалов «XXXVIII Недели науки СПбГПУ», СПб.: Изд-во Политехи, ун-та, 2009 г. - С.171-172.

8. Рудина Е.А. Подход к решению задачи восстановления значений параметров сообщений произвольных сетевых протоколов / Е.А.Рудина // СПб: Сб.Материалов XI международной конференции «Региональная информатика-2008 (РИ-2008)». - СПб.: Изд-во СПИИРАН, 2008 г.

9. Рудина Е.А. Обобщенное представление сетевых протоколов / Е.А.Рудина // Сб.Материалов XVII общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации». - СПб.: Изд-во Политехи, ун-та, 2008 г. - С. 108.

Подписано в печать 16.11.2012. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Тираж 100. Заказ 9962Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.: (812) 550-40-14 Тел./факс: (812)297-57-76

ВВЕДЕНИЕ.

ГЛАВА 1. ОБХОД СРЕДСТВ СЕТЕВОЙ ЗАЩИТЫ ПОСРЕДСТВОМ ТУННЕЛИРОВАНИЯ ПРОТОКОЛОВ.

1.1 Обход сетевой защиты путем туннелирования протоколов.

1.2 Повышение эффективности средств сетевой защиты путем предотвращения туннелирования.

1.3 Выводы к главе.

ГЛАВА 2. АНАЛИТИЧЕСКАЯ МОДЕЛЬ ВЗАИМОДЕЙСТВИЯ В КОМПЬЮТЕРНЫХ

СЕТЯХ

2.1 Цель и задачи моделирования протокола сетевого взаимодействия.

2.2 Лексикографическая модель протокола сетевого взаимодействия .Г.

2.3 Аналитическая модель сетевого взаимодействия.

2.4 Грамматика протокола сетевого взаимодействия.

2.5 Выводы к главе.

ГЛАВА 3. СРЕДСТВА СИНТАКСИЧЕСКОГО АНАЛИЗА ТРАФИКА И ИХ ПРИМЕНЕНИЕ ДЛЯ ОБНАРУЖЕНИЯ ТУННЕЛИРОВАНИЯ ПРОТОКОЛОВ В КОМПЬЮТЕРНЫХ СЕТЯХ.

3.1 Реализация аналитической модели сетевого взаимодействия с учетом ограничений, установленных требованиями к эффективности.

3.2 Специализированный язык описания сетевого взаимодействия по протоколу.

3.3 Алгоритм синтаксического анализа дампов трафика при сетевом взаимодействии по прикладным протоколам.

3.4 Выводы к главе.

ГЛАВА 4. ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ПОСРЕДСТВОМ СИНТАКСИЧЕСКОГО АНАЛИЗА ТРАФИКА.

4.1 Методика повышения эффективности средств сетевой защиты на основе синтаксического анализа трафика.

4.2 Прототип программного средства, реализующий метод синтаксического анализа трафика для повышения эффективности межсетевого экрана.

4.3 Результаты экспериментальных исследований.

4.4 Выводы к главе.

Актуальность темы исследования

Неуклонное развитие сетевых технологий, стандартов и протоколов, в совокупности с разнообразием и многочисленностью функционирующих в глобальной сети Интернет систем и сервисов порождает сложную и динамичную среду сетевого взаимодействия, в которой реализуются современные угрозы безопасности. Противодействие нарушителя средствам сетевой защиты носит характер постоянной борьбы, методы которой непрерывно совершенствуются - средства защиты стремятся полностью контролировать сетевые потоки, а нарушители задействуют все новые способы обхода этого контроля.

Обход сетевой защиты признается серьезной проблемой как работающими в этой области учеными, так и экспертами из ведущих ИТ компаний и разработчиками средств защиты. Сложные методы обхода сетевого контроля и противодействие им обсуждаются на авторитетных отечественных и международных форумах по информационной безопасности. В настоящее время, согласно исследованиям компании 81опезой, известно не менее двух сотен различных методов для обхода средств сетевой защиты, и это число продолжает расти.

Другая наблюдаемая в последние годы тенденция состоит в значительном смещении вектора сетевых атак в направлении пользователей Интернет-сервисов, в то время как раньше атакам в большей мере подвергались сами сервисы. При этом конечной целью атаки может быть как включение пользовательской системы в состав бот-сети, так и распространение вторжения в локальной подсети. Таким образом, успешная атака, проведенная в обход сетевой защиты, влияет не только на безопасность атакованной системы, но и на безопасность всей сети в целом.

Наиболее часто применяемым методом обхода средств сетевой защиты является туннелирование протоколов, представляющее собой инкапсуляцию сообщений протокола некоторого уровня модели ОБ1 в сообщения протокола того же уровня или более высокого. При этом средства защиты обрабатывают только внешний протокол, игнорируя вложенный, что приводит к потере эффективности средств защиты.

Следовательно, задача повышения эффективности средств сетевой защиты за счет предотвращения туннелирования протоколов является актуальной.

Степень разработанности темы исследования

Основанием для диссертации служат исследования в области обеспечения сетевой безопасности отечественных и зарубежных ученых В.А.Галатенко, В.И.Городецкого, П.Д.Зегжды, И.В.Котенко, И.Б.Саенко, М.Ва1сИ, У.РахБоп, Р.Шзбо, У.Зкопшп, в работах которых описываются основы обеспечения сетевой безопасности, но не в полной мере раскрыты методы фильтрации трафика и обнаружения атак в условиях использования нарушителем нестандартной инкапсуляции протоколов.

Представленная работа посвящена повышению эффективности существующих методов защиты от сетевых атак путем обнаружения туннелирования потенциально опасного трафика с помощью методов синтаксического анализа, не зависящих от типов протоколов, используемых при построении туннелей.

Целью диссертационной работы является повышение эффективности существующих средств сетевой защиты посредством применения метода синтаксического анализа трафика с использованием контекстно-свободных грамматик.

В соответствии с поставленной целью сформулированы основные задачи:

1. Исследование методов обхода средств сетевой защиты путем туннелирования прикладных протоколов и разработка подхода к оценке повышения эффективности средств сетевой защиты.

2. Создание универсальной лексикографической модели Интернет-протоколов.

3. Создание аналитической модели и распознающей грамматики сетевого взаимодействия.

4. Разработка специализированного языка описания сетевого взаимодействия.

5. Разработка алгоритма синтаксического анализа трафика на основе описания взаимодействия с использованием специализированного языка и создание методики повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработка прототипа программного средства, реализующего синтаксический анализ трафика с целью повышения эффективности средств сетевой защиты.

Научная новизна диссертационной работы заключается в следующем:

1. Предложена универсальная лексикографическая модель Интернет-протоколов, описывающая параметры отдельных сообщений и сеансов взаимодействия в целом и определяющая алфавит языка взаимодействия по Интернет-протоколам.

2. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, позволяющая распознавать взаимодействие по Интернет-протоколам в сетевом трафике.

3. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам.

4. Предложен алгоритм синтаксического анализа трафика, основанный на аналитической модели и использующий описания взаимодействия по протоколам на специализированном языке.

Теоретическую значимость работы составляет разработка аналитической модели, применимой для синтаксического распознавания сетевого взаимодействия по протоколам, описанным с использованием специализированного формального языка.

Практическую ценность работы составляет созданное программное средство синтаксического анализа трафика, интегрируемое с межсетевым экраном (МЭ) для распространения функций МЭ на взаимодействие по туннелированным протоколам.

Методы и методология исследования. Для исследования предметной области проведен анализ основанных на туннелировании протоколов способов обхода средств сетевой защиты. При решении поставленной задачи использовался аппарат аналитических грамматик теории формальных языков. Предлагаемый в работе метод анализа трафика обоснован с использованием элементов теории автоматов, языков и вычислений, а повышение эффективности средств сетевой защиты с применением этого метода подтверждено проведенными экспериментами.

Основные положения, выносимые на защиту:

1. Универсальная лексикографическая модель, определяющая параметры протоколов, анализируемые средствами защиты в Интернет.

2. Аналитическая модель сетевого взаимодействия, применяемая для обнаружения туннелирования протоколов.

3. Специализированный контекстно-свободный язык формального описания взаимодействия по сетевым протоколам.

4. Алгоритм синтаксического анализа сетевого трафика согласно описаниям на специализированном языке, и методика распознавания туннелирования протоколов с целью повышения эффективности средств защиты.

Степень достоверности и апробация результатов

Основные теоретические и практические результаты работы обсуждались на XVII общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008), на четвертой общероссийской конференции «Математика и безопасность информационных технологий» (МаБИТ, Москва, 2008) и на Международной молодежной конференции «Информационные системы и технологии» (Москва, 2012).

Достоверность работы подтверждается публикацией ее результатов в рецензируемых научных изданиях. По теме диссертации опубликовано 9 работ, в их числе 3 научные статьи, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 3 [1-3], 1 учебно-методическое пособие [4] , 5 докладов на конференциях [5-9].

Метод синтаксического анализа сетевого трафика был применен в НИР «Разработка методики идентификации прикладных Интернет протоколов на основе вариативно-сигнатурного анализа взаимодействия клиент-серверных компонент» (шифр 2011-1.4-514-065025) по государственному контракту № 07.514.11.4107 от 26.10.2011.

Результаты работы применены в части обеспечения защиты информации от Интернет-угроз, связанных с туннелированием протоколов, на малом инновационном предприятии ООО "Инфоком"; а также в части подготовки специалистов, обучающихся по специальности 090105.65 на кафедре Информационная безопасность компьютерных систем ФГБОУ СПбГПУ, при проведении практических занятий по дисциплине «Безопасность вычислительных сетей», что подтверждается соответствующими Актами об использовании.

Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 88 наименований.

4.4 Выводы к главе

1. Методика обнаружения туннелирования протоколов на основе синтаксического анализа трафика реализует детерминированные и эвристические подходы к идентификации туннелей в сетевом трафике.

2. Разработанный прототип программного средства, реализующий синтаксический анализ трафика для обнаружения туннелирования протоколов и управления МЭ состоит из четырех модулей: графический интерфейс, модуль сбора трафика, модуль синтаксического анализа трафика, модуль управления МЭ.

3. Экспериментально подтверждено, что при выполнении туннелирования протоколов действительно снижается эффективность МЭ и становятся успешными атаки, которые в отсутствие туннелирования не допускались.

Показано что применение синтаксического анализа сетевого трафика на основе грамматик сетевых протоколов позволяет повысить эффективность МЭ до номинальной.

Заключение

Итоги диссертационного исследования

1. Исследованы методы обхода средств сетевой защиты, основанные на туннелировании протоколов; предложен подход к оценке повышения эффективности средств сетевой защиты при обнаружении туннелирования.

2. Создана универсальная лексикографическая модель, определяющая параметры Интернет-протоколов, анализируемые средствами защиты в компьютерных сетях.

3. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, предназначенная для обнаружения туннелирования протоколов.

4. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам, предназначенный для параметризации аналитической модели.

5. Предложен алгоритм синтаксического анализа трафика согласно описаниям протоколов на специализированном языке и методика повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработан прототип программного средства, реализующего синтаксический анализ трафика для распознавания туннелирования протоколов, и проведены экспериментальные исследования, подтверждающие повышение эффективности средств сетевой защиты при его использовании.

Рекомендации и перспективы дальнейшей разработки темы

Перспективы дальнейшей разработки темы лежат в области разработки методов анализа протоколов взаимодействия на предмет их корректности и безопасности. Поскольку предложенный язык описания взаимодействия является декларативным, он может быть использован для автоматизации разработки спецификаций Интернет-протоколов.

Список сокращений и условных обозначений

ДАС Дерево анализа сообщения

ЛОА Линейно-ограниченный автомат

МЭ Межсетевой экран

ОС Операционная система

ПО Программное обеспечение

СПВ Система предотвращения вторжений

AIM America OnLine Instant Messenger

ASCII American Standard Code for Information Interchange

BOSH Bidirectional-streams Over Synchronous HTTP с vi: Common Vulnerabilities and Exposure

DNS Domain Name System

ECFSM Extended Communicating Finite State Machine

FTP File Transfer Protocol

HTTP Hypertext Transfer Protocol

12 P Invisible Internet Project

ICMP Internet Control Message Protocol

IMAP Internet Message Access Protocol

IP Internet Protocol

IPC Interprocess Communication

IRC Internet Relay Chat

LOTOS Language Of Temporal Ordering Specifications мое Meta Object Compiler

MSC Message Sequence Chart

NAT Network Address Translation

NNTP Network News Transfer Protocol

OSI Open Systems Interconnection

PDU Protocol Data Unit

POP3 Post Office Protocol Version 3

PPP Point-to-Point Protocol

ProMeLa Process Meta Language

RFC Request For Comments

SDL Specification and Description Language

SMTP Simple Mail Transfer Protocol

Spin Simple ProMeLa Interpreter

TCP Transmission Control Protocol

UML Unified Modeling Language

UTM Unified Threat Management

VPN Virtual Private Network

XML Extensible Markup Language

XMPP Extensible Messaging and Presence Protocol

Словарь терминов

1. Протокол передачи данных (протокол): стандартизованный набор соглашений интерфейса логического уровня распределенной системы, которые определяют обмен данными между компонентами этой системы.

2. Туннелирование протоколов: инкапсуляция в сообщения одного протокола некоторого уровня коммуникационной модели 081. сообщений другого протокола, относящегося к тому же уровню, либо к уровню ниже.

3. Лексикографическая модель: абстрактное описание составных частей и правил формирования лексического аппарата некоторого формального или естественного языка.

4. Аналитическая модель: математическая модель, предлагающая замкнутое относительно формального описания системы решение некоторой задачи в этой системе.

5. Аналитическая грамматика (распознающая грамматика): аналитическая модель для задачи распознавания цепочек языка, обычно представляемая в виде набора решающих правил.

6. Выразительная мощность аналитической модели: сравнительная характеристика аналитических моделей, описывающая возможность некоторой аналитической модели быть примененной для решения задачи распознавания вместо другой модели, мощность которой известна.

7. Потеря эффективности средств защиты: частичная или полная невозможность средств защиты выполнить в полной мере функции по противодействию сетевым атакам.

1. Рудина Е.А. Спецификация сетевых протоколов с использованием декларативного языка описания. / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». СПб.: Изд-во Политехи, ун-та, 2012 г. - № 2, С.69-75.

2. Рудина Е.А. Обобщенное представление сетевых протоколов. / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». СПб.: Изд-во Политехи, ун-та, 2008 г. - № 4, С.56-60.

3. Рудина Е.А. Контекстно-детерминированная идентификация прикладных протоколов в дампах сетевого трафика. / Е.А.Рудина // Сб.материалов Международной молодежной конференции «Информационные системы и технологии». М., 2012. - С.94-96.

4. Рудина Е.А. Вычислительные сети: лабораторный практикум / С.С. Корт, Е.А. Рудина. -СПб.: Изд-во Политехи, ун-та, 2011. 188 с.

5. Рудина Е.А. Поиск вариаций в полях сетевых пакетов по декларативному описанию протоколов. / A.B. Шумов, Е.А.Рудина // Сб.Материалов «XXXVIII Недели науки СПбГПУ», СПб.: Изд-во Политехи, ун-та, 2009 г. С. 171-172.

6. Рудина Е.А. Подход к решению задачи восстановления значений параметров сообщений произвольных сетевых протоколов. / Е.А.Рудина // СПб: Сб.Материалов XI международной конференции «Региональная информатика-2008 (РИ-2008)». СПб.: Изд-во СПИИРАН, 2008 г.

7. Тель Ж. Введение в распределенные алгоритмы // Пер.с анг.В.А.Захарова. М.: МЦНМО, 2009. - 616 с.:ил.

8. Таненбаум Э. Компьютерные сети. СПб.: Питер, 2002. - 848 е.: ил.

9. Free On-line Dictionary of Computing (FOLCDOC) Электронный ресурс. URL:http://foldoc.org/ (дата обращения 27.10.2012).

10. ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. / М., Госстандарт России. -М.: Стандартинформ, 2006.

11. Davidson J. An Introduction to TCP/IP. Springer-Verlag, 1988.

12. Олифер В., Олифер Н. Транспортная подсистема неоднородных сетей. Учебное пособие Электронный ресурс. URL: http://citforum.ru/nets/tpns/contents.shtml (дата обращения 27.10.2012).

13. Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей: серия «Мастер». -СПб.: «БХВ Санкт-Петербург», 2000.

14. Таненбаум Э, Стеен М. Распределенные системы. Принципы и парадигмы. СПб: Питер, 2003.-877 с.:ил.

15. I2P // Официальный сайт I2P ANONYMOUS NETWORK / URL: http://www.i2p2.de/.

16. KaZaa // Официальный сайт KaZaa / URL: http://kazaa.com (дата обращения 27.10.2012).

17. The-gdf.org: сайт. URL:http://www.the-gdf.org/ (дата обращения 27.10.2012).

18. Bitcoin Р2Р Digital Currency // Официальный сайт Bitcoin / URL: http://bitcoin.org/ (дата обращения 27.10.2012).

19. Brinkhoff L. GNU httptunnel: сайт. URL: http://www.nocrew.org/software/httptunnel.html^aTa обращения 27.10.2012).

20. Mills R. The Linux Academy HTTP Tunnel: сайт. URL: http://the-linux-academy.co.uk/downloads.htm^aTa обращения 27.10.2012).

21. Fire-drill.com Сайт. URL: http://www.fire-drill.com/ (дата обращения 27.10.2012).25. iodine by Kryo Сайт. URL: http://code.kryo.se/iodine/ (дата обращения 27.10.2012).

22. NSTX tunneling network-packets over DNS - Summary: сайт. URL: http://savannah.nongnu.org/projects/nstx/ (дата обращения 30.10.2012).

23. Dnstunnel.de: сайт. URL: http://dnstunnel.de/ (дата обращения 30.10.2012).

24. Daniel S. Ping Tunnel: сайт. URL: http://www.cs.uit.no/~daniels/PingTunnel/ (дата обращения 30.10.2012).

25. Hans IP over ICMP: сайт. URL: http://code.gerade.org/hans/ (дата обращения 30.10.2012).

26. P. Saint-Andre. Extensible Messaging and Presence Protocol (XMPP): Core. Электронный документ. Internet Engineering Task Force (IETF), 2011 r. URL: http://xmpp.org/rfcs/rfc6120.html (дата обращения 30.10.2012).

27. XMPP-related RFCs: сайт.URL: http://xmpp.org/xmpp-protocols/rfcs/ (дата обращения 30.10.2012).

28. XMPP Extensions: сайт. URL: http://xmpp.org/xmpp-protocols/xmpp-extensions/ (дата обращения 30.10.2012).

29. Google Play: сайт. URL: https://play.google.com/intl/ru/about/ (дата обращения 30.10.2012).

30. VNCVIAXMPP. XMPP tunnel between VNC client and VNC server in Java: сайт. URL: http://c0de.g00gle.c0m/p/vncviaxmpp/ (дата обращения 30.10.2012).

31. Github. jahrome / xmpp-tunnel: сайт. URL: https://github.com/jahrome/xmpp-tunnel/ (дата обращения 30.10.2012).

32. XMPP Standards Foundation: сайт. URL: http://xmpp.org/about-xmpp/ (дата обращения 30.10.2012).

33. Paterson I., Saint-Andre P. XEP-0206: XMPP Over BOSH. Draft standard. Version 1.3: Электронный документ. XMPP Standards Foundation, 2010. URL: http://xmpp.org/extensions/xep-0206.html (дата обращения 30.10.2012).

34. Paxson V. Empirically derived analytic models of wide-area TCP connections. //IEEE/ACM Transactions on Networking, vol. 2, no. 4, pp. 316-336, 1994.

35. Dewes C., Wichmann A., Feldmann A. An analysis of Internet chat systems. //ACM/SIGCOMM Internet Measurement Conference 2003, Miami, Florida, USA, October 2003.

36. Lang Т., Armitage G., Branch P., Choo H.-Y. A synthetic traffic model for Half-life. //Proceedings of Australian Telecommunications Networks and Applications Conference 2003 ATNAC2003, Melbourne, Australia, December 2003.

37. Lang Т., Branch P., Armitage G. A synthetic traffic model for Quake 3. //Proceedings of ACM SIGCHI International Conference on Advances in computer entertainment technology (ACE2004). Singapore, 2004.

38. Dusi М., Crotti М., Gringoli F., Salgarelli L. Detection of Encrypted Tunnels across Network Boundaries // In Proceedings of the 43 th IEEE International Conference on Communications (ICC 2008). Beijing (China), May 2008. - pp. 1738-1744.

39. Dusi M., Crotti M., Este A., Gringoli F., Salgarelli L. Statistical Mechanisms Applied to the Classification of Tunneled and Encrypted Network Traffic. Fridericiana Editrice Universitaria, Italy, 2009. - pp. 87-103

40. Dusi M., Crotti M., Gringoli F., Salgarelli L. Tunnel Hunter: Detecting Application-Layer Tunnels with Statistical Fingerprinting. Elsevier Computer Networks (COMNET), 2009. -No 1, Vol.53, pp. 81-97.

41. Mujtaba.J, Parish D.J. Detection of Tunnelled Applications Using Packet Size Distributions. ISBN: 978-1-902560-22-9 PGNet, 2009.

42. Borders K., Prakash A., Web tap: detecting covert web traffic // in: CCS'04: Proceedings of the 11th ACM conference on Computer and Communications Security, Washington DC, USA, 2004.-pp. 110-120.

43. Bissias G., Liberatore M., Jensen D., Levine B. N. Privacy Vulnerabilities in Encrypted HTTP Streams // Proc. Privacy Enhancing Technologies Workshop (PET 2005). -Dubrovnik, Croatia, 2005.

44. Risso F., Baldi M., Morandi O., Baldini A., Monclus P. Lightweight, Payload-Based Traffic Classification: An Experimental Evaluation / Risso F., Baldi M., Morandi O., Baldini A., Monclus P. //IEEE International Conference on Communications. 2008.

45. Котенко И.В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам / Котенко И.В. // Искусственный интеллект-2002. Материалы научно-технической конференции. Том.1. Таганрог: Изд-во ТРТУ, 2002.

46. Котенко И.В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам / Котенко И.В. // Международный научно-теоретический журнал "Искусственный интеллект". № 3, 2002.

47. Стивене Р. Протоколы TCP/IP. Практическое руководство. СПб: BHV, 2003.

48. The Point-to-Point Protocol (РРР). Request for Comments 1661: электронный документ. URL: http://www.ietf.org/rfc/rfcl661.txt (дата обращения 01.11.2011).

49. РРР LCP Extensions. Request for Comments 1570: электронный документ. URL: http://www.ietf.org/rfc/rfcl570.txt (дата обращения 01.11.2011).

50. Transmission control protocol. Request for Comments 793: электронный документ. URL: http://tools.ietf.org/html/rfc793 (дата обращения 01.11.2011).

51. Simple Mail Transfer Protocol. Request for Comments 5321: электронный документ. URL: http://tools.ietf.org/html/rfc5321/ (дата обращения 01.11.2011).

52. Джеймс Питерсон Теория сетей Петри и моделирование систем: Пер. с англ. М.:Мир, 1984.-264 е., ил.

53. David Н. Message Sequence Charts. Faculty of Mathematics and Computer Science, The Weizmann Institute of Science, 2003.

54. Documents associated with UML Version 2.4.1: сайт. URL: http://www.0mg.0rg/spec/UML/2.4.l/ (дата обращения 01.11.2011).

55. UML® Resource Page: сайт. URL: http://www.uml.org/ (дата обращения 01.11.2011).

56. JADE SDL Editor: сайт. URL: http://homepages.dcc.ufmg.br/~coelho/jade.html (дата обращения 01.11.2011).

57. SDL Integrated Tool Environment (SITE): сайт. URL: http://www2.informatik.hu-berlin.de/SITE/site.html.en (дата обращения 01.11.2011).

58. On-the-fly, ltl model checking with Spin): сайт. URL: http://spinroot.com/spin/whatispin.html (дата обращения 01.11.2011).

59. Chung-Ming Huang et al. An Estelle interpreter for incremental protocol verification // International Conference on Network Protocols Proceedings. IEEE CONFERENCE PUBLICATIONS, 1993.

60. Burgy L., Reveiller L., Lawall J., Muller G. Zebu: A Language-Based Approach for Network Protocol Message Processing // IEEE Transactions on Software Engineering. IEEE Computer Society, 2011.

61. LOTOS A formal description technique based on the temporal ordering of observational behavior // ISO 8807:1989. Information processing systems. Open Systems Interconnection, 1989.

62. A.Axo, Дж.Ульман. Теория синтаксического анализа, перевода и компиляции. Пер. с англ.-М.:Мир, 1978. Т.1, 612 е., ил.

63. Белоусов С.Б., Ткачев А.И. Дискретная математика. Под ред. д.т.н., проф. Зарубина B.C., д.ф.-м.н. Крищенко А.П. М: Издательство МГТУ им. Баумана, 2004.

64. Карпов Ю.Г. Теория и технология программирования. Основы построения трансляторов. СПб: БХВПетербург, 2005.

65. XML RPC. Simple cross-platform distributed computing, based on the standards of the Internet: сайт. URL: http://xmlrpc.scripfing.com/default.html (дата обращения 30.10.2012).

66. Simple Object Access Protocol (SOAP) 1.2: электронный документ.World Wide Web Consortium (W3C), 2004 r. URL: http://www.w3.org/TR/soap/ (дата обращения 30.10.2012).

67. Cohen В. The BitTorrent Protocol Specification.: электронный документ.2009. URL: http://www.bittorrent.org/beps/bep0003.html (дата обращения 30.10.2012).

68. QT Online Reference Documentation. Nokia, 2012: сайт. URL: http://doc.qt.nokia.com/ (дата обращения 05.07.2012).

69. Tcpdump&libpcap: сайт. URL: http://www.tcpdump.org/ (дата обращения 30.10.2012).

70. Bison GNU parser generator: сайт. URL: http://www.gnu.org/software/bison/ (дата обращения 30.10.2012).84. flex: The Fast Lexical Analyzer: сайт. URL: http://flex.sourceforge.net/ (дата обращения 30.10.2012).

71. The netfilter.org project: сайт. URL: http://www.netfilter.org/ (дата обращения 30.10.2012).

72. Common Vulnerabilities and Exposures. The Standard for Information Security Vulnerabilities Names. CVE-2008-4321 (under review): сайт. URL:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4321 (дата обращения 30.10.2012).

73. FlashGet 1.9 (FTP PWD Response) Remote BOF Exploit PoC Oday: сайт. URL: http://cxsecurity.com/issue/WLB-2008100094 (дата обращения 30.10.2012).

74. Snort::snort.rules: сайт. Sourcefire, Inc. 2010 r. URL: http://www.snort.org/snort-rules/? (дата обращения 30.10.2012).

75. Список иллюстративного материала

76. Рисунок 1 Обход средств защиты при помощи туннелирования протоколов.6

77. Рисунок 2 Алгоритм синтаксического разбора сообщения.10

78. Рисунок 3 Алгоритм обработки контекста.11

79. Рисунок 4 Интеграция синтаксического анализатора трафика с межсетевымэкраном для повышения эффективности защиты.12

80. Рисунок 5 Оценка повышения эффективности МЭ при обнаружении ипредотвращении НТТР-туннелирования различных протоколов.13

81. Рисунок 6 Зависимость повышения эффективности МЭ от вида туннелирования. 14

82. Рисунок 7 -Общая схема взаимодействия через туннель.16

83. Рисунок 8 Автомат состояний протокола SMTP.27