Анализ на трафика за засичане на прониквания в телекомуникационните мрежи



страница1/5
Дата05.02.2018
Размер1.07 Mb.
#54488
ТипАнализ
  1   2   3   4   5
ДИПЛОМНА РАБОТА

на тема:

Анализ на трафика за засичане на прониквания в телекомуникационните мрежи
Глава 1. Засичане на проникването в телекомуникационните мрежи

1.1. Телекомуникационни мрежи

1.1.1. Инфраструктура на телекомуникационните мрежи

1.1.2. Заплахи за телекомуникационните мрежи

1.2 Системи за откриване на проникване

1.2.1. Прониквания и аномалии

1.2.2. Структура на IDS

1.2.3. IDS в стратегията за отбрана

1.2.4. Фалшиви позитивни и фалшиви негативни резултати

1.2.5. Засичане на злоупотреба

1.2.6. Засичане на аномалии

1.2.7. Предварително изследване на детекцията за проникване

1.2.8. Лабораторна база данни Lincoln

1.3 IDS в телекомуникационната мрежа

1.3.1. IDS разположение: Предизвикателства

1.3.2. Централизиран модел

1.3.3. Разпределителен модел

Глава 2. Функции на IDS

2.1. Извличане на функции.

2.1.1. Избор на функции

2.1.2. Намаляване на функции

2.1.3. Предизвикателства пред извличането на функции

2.2. Проверявани източници на данни

2.2.1. Мрежови данни

2.2.2. Хост-базирани логаритми за сигурност

2.3. Използвани функции в предшестващото ниво на техниката

2.3.1. Функции, базирани на потоци от данни

2.3.2. Пакетно-базирани функции (packet-based features)

2.3.3. SNMP-базирани функции

2.3.4. Функции, използвани от мониторинга на потребителското оборудване

2.3.5. Използвани функции при временния мрежови мониторинг

Глава 3. Избор на функции

3.1. Анализ на функциите

3.1.1. Сценарии за атака

3.1.2. Предшестващо състояние на техниката

3.2. Подмножество от функции

3.3. Откриване на аномалии и оценка на подмножеството от функции.

3.3.1. Тренировъчни и тестови данни

3.3.2. Инструмент за откриване на аномалии

3.3.3. Метод за откриване на аномалии

3.4 Подготовка на данните.

3.4.1. Преди обработката на данните

3.4.2. Пакетни данни в потока от данни

3.4.3. Извличане на функции

3.5. Резултати

3.5.1. Скорост на откриване на атаки

3.5.2. Процент на откриване на атаки, които са по-дълги от 60 секунди

3.5.3. Процент на откриване на избрани атаки

3.5.4. Процент на откриване на избрани атаки, по-дълги от 60 секунди

3.5.5. Пробни атаки (Probe Attacks)

3.5.6. DoS атаки

3.5.7. Атаки срещу мейл сървър

3.6. Верни положителни и неверни положителни резултати

Заключениe

Използвана литература

Приложение 1 Имена на полетата на мрежовия трафик

Приложение 2 Атаки на база данни Lincoln

Приложение 3 Сравнение на изследванията на KDD Cup 99

Приложение 4 TCPDUMP2SOM.SH

Приложение 5 PARSER.PY

Приложение 6 Таблици на подмножеството от функции

Приложение 7 Термини и абревиатури

Въведение

През 21в. развитието на телекомуникационните мрежи е направило гигантски скок от верижните и пакетни мрежи към изцяло IP базираните мрежи. Това развитие е създало единна среда, в която комуникацията от приложения и услуги е прехвърлена до върха на IP протокола. В същото време скоростите за обмен на информация са се увеличили значително от 2G радио мрежи за достъп до 3G. Също така, устройствата, които абонатите на телекомуникационни мрежи използват, са се развили до такава степен, че границата между мобилни телефони и компютри вече е доста неясна. С модерните мобилни устройства, познати още като смарт телефони, потребителят може да прави почти всичко, което може да бъде направено с един обикновен персонален компютър. Това означава, че цялото съдържание на интернет днес се побира в джоба на всеки притежател на смарт телефон.

Въпреки, че развитието на комуникационните мрежи води до по-добра устойчивост на технологиите, то води със себе си и редица нови и нежелани възможности. Заплахи, които са били приложими само във фиксирани мрежи, днес са осъществими и в достъпа на радио мрежите. Имайки предвид, че заплахите стават все повече и по-сложни, това означава, че и системите за сигурност трябва да станат по-интелигентни. Основните мерки за сигурност като „защитни стени“ и „антивирусни скенери“ са в техните граници за справяне с нарастващия брой интелигентни атаки през интернет. Решение за повишаване на общите мерки за сигурност на мрежите е повишаването на нивата на сигурност със системи за откриване и проникване.

За да разберем каква роля играе детекторът за проникване в телекомуникационните мрежи, трябва да погледнем един прост пример. Помислете за детектора за проникване като за охранител, който пази входната врата на фабрика. Помещенията на фабриката представляват мрежата на мобилния оператор, а оградата на фабриката е защитната стена на оператора. В този пример, служителите на фабриката ще са трафикът в мрежата на оператора.

Известно е, че фабриките са добре защитени и няма да допуснат вътре в помещенията хора, които не притежават нужните пропуски. Оградата или в този случай защитната стена, има отговорността да държи всички нежелани посетители извън помещенията на фабриката. Точно както защитната стена, оградата има дупки(вратички), което позволява на служителите да влизат и излизат от фабриката. Тези дупки в оградата правят фабриката уязвима за нежелани посетители, което налага и необходимостта от охранител, който да пази главния вход.

В зависимост от ролята, която изпълнява охранителят, докато наблюдава хората, които влизат и излизат от фабриката, той уведомява началника на сигурността, когато открие подозрителен обект, който се мъчи да премине през главния вход. Основната функция на системата за проникване е, че тя е първият пример за защита. Тази система генерира аларма, когато открие нещо подозрително, след което персонала по сигурността в мрежата на оператора допълнително разследва причината за алармата.

За да може защита да върши успешно своята работа, са необходими набор от правила и инструкции. В контекста на тази защита по отношение на телекомуникационните мрежи, правилата и инструкциите са алгоритми, които самата защита използва, за да анализира мрежовия трафик. Въпросът е : „Как трябва да бъдат дефинирани тези правила и инструкции и по-специално какви са критериите, по които се решава какви функции трябва да се следят?“ Именно отговорът на този въпрос е основната цел, която си поставя авторът на настоящата дипломна работа.

Този труд използват няколко подхода, за да отговорят на въпроса, кои функции трябва да бъдат избрани от мрежовия трафик, така че системата за детекция на проникване да може ефективно да отчита заплахи в средата на телекомуникационните мрежи.

За изпълнението на поставената цел, авторът си поставя следните основни задачи:


  1. Дефиниране на основите на системата за засичане на проникване и как тя се вписва в средата на телекомуникационните мрежи. В допълнение, е представена дискусия на предшестващото състояние на изследване полето на засичане на проникването.

  2. Извършване на преглед на мерките за извличане на функции в системата за отчитане на проникването. В допълнение се разглеждат и характеристиките, използвани в областта на изследванията на мрежовите системи за откриване на проникване.

  3. Обсъждане на подходи за извличане на характеристики, използвани в този труд. Освен функциите, използвани в областта на изследванията на мрежови системи за откриване на проникване, в края на тази глава се обсъждат и резултатите от тези подходи.

  4. Описание и анализ на оценъчния процес на функциите и групата данни, използвани като основа за оценка в този труд.


Глава 1. Засичане на проникването в телекомуникационните мрежи
Въведението в телекомуникационните мрежи и ролята на системите за засичане на проникване в тях, са основните моменти, дискутирани в тази глава. В допълнение, е представен кратък преглед на функциите, използвани в предварителното проучване на тези системи.
1.1. Телекомуникационни мрежи
Развитието в телекомуникационните мрежи се насочва към мобилност в радио мрежите за достъп. Например, във Финландия, много от операторите изтеглят медните проводници в селските райони и подменят цифровите абонатни линии за връзка с 3G. Според новинарските статии, докладвани в HS.fi1 и Tietokone.fi2, компанията обявява своите планове за изтегляне на медните проводници и тяхната замяна.

В известен смисъл развитието, или както някои биха се изразили неразвитието на мрежите, е преминало от локални мрежи за достъп до радио мрежи за достъп, което е по-лесно и евтино за извънградските райони, където гъстотата на мрежовата инфраструктура е незадоволителна. Независимо, че във Финландия е налице дискусия3 относно развитието на широката оптична мрежа в страната, за момента единственият вариант за множество хора е все още да използват RAN връзки.




1.1.1. Инфраструктура на телекомуникационните мрежи

От гледна точка на абоната може да изглежда, че инфраструктурата на телекомуникационните мрежи се състои само от група радио кули, пръснати из селските и градски райони. В действителност обаче, основната инфраструктура на мрежата е доста по-сложна от базови станции и радио интерфейси.

Телекомуникационните мрежи имат много общо с корпоративните мрежи. В корпоративните мрежи има стотици компютри и потребители, свързани помежду си чрез рутери, суичове и взаимосвързани мрежи.. В телекомуникационните мрежи има същите елементи, както и в корпоративните мрежи, но в допълнение има и няколко мрежи за радио достъп (RAN) от GSM към LTE и огромен брой стационарни и мобилни потребители. Инфраструктурата на телекомуникационните мрежи може да разделена на три под-мрежи: мрежа за достъп; основна мрежа и сервизна мрежа. Това е илюстрирано на фигура 2.1


  • Мрежи за достъп

Частта от мрежата, която осигурява връзка и достъп на потребителите до услугите на техния доставчик, се нарича мрежа за достъп (фиг.2.1) Мрежата за достъп може да се раздели на фиксирани мрежи за онлайн достъп(Ethernet, xDSL, WLAN) и радио мрежи за достъп (2G, 3G, LTE, CDMA, WLAN). Друго понятие, използвано в телекомуникационните мрежи, е потребителската мрежа. Тази мрежа е комбинация от мрежовия достъп едновременно на потребителските съоръжения на абоната, като мобилни телефони, лаптопи и пр.4

Радио мрежите за достъп са ориентирани към всички IP базирани мрежи, но същевременно трябва да поддържат и по-старите радио техники. Относно пазарния анализ на глобалния GSM пазар 5, направен от ZTE, през 2010г. GSM-те и 2G са все още най-често използваната техника за телефониране и информационни услуги на световно равнище. Над 80% от световните мобилни абонати използват само GSM акаунти, докато 3G и CDMA делят останалите 20%. Ето защо, в радио мрежите за достъп все още има различни базови станции: базова приемно-предавателна станция за 2G (BTS),Node B за 3G и Node B за LTE. Различните радио техники изискват различни контролери: контролер на базова станция(BTS) за 2G и контролер на радио мрежа (RNC) за 3G. В LTE и CDMA всички операции за управление на мобилността се обработват от формата за мобилно управление в централната мрежа.3(стр.44-48)



  • Развиваща се пакетна централна мрежа

Междинната мрежа, която свързва мрежите за достъп със сервизните мрежи, се нарича развиваща се пакетна централна мрежа.(фиг.2.1) В допълнение към опериращата междинна мрежа, централната мрежа е отговорна за операциите по цикличното и пакетно превключване, абонатното таксуване, ААА услугите и абонатните услуги за управление на мобилността. 3(стр.44-48)

Поради голямото разнообразие от мрежи за достъп, централната мрежа се развива в сложна среда. Основната мрежа трябва да поддържа по-стари техники за радио достъп, където глас и данни се разделят между мрежите на пакетното и циклично превключване (2G,3G) и същевременно трябва да осигури услуги за новите радио мрежи за достъп(LTE), където глас и данни не се делят. 3(стр.44-48)

В 2G мрежата операциите по пакетно превключване за прехвърляне на данни и цикличните превключвания за обаждания, се предоставят от обслужващ GPRS възел. В развиващата се основна мрежа, 3G използва SGSN само за операциите по верижните превключвания. Прехвърлянето на данни през 3G се обработва от обслужващ портал(S-GW)заедно с портал на информационната мрежа(P-GW). В LTE глас и информация не се делят повече, и затова всички операции за пакетни данни се обработват от S-GW и P-GW. Портал с висок процент на обслужване на пакетни данни(HSGW) предоставя гласови и информационни данни за радио мрежи CDMA.6(стр.156). Развитият портал за пакетни данни предоставя пакетно информационни операции за WLAN. 5(стр.156).

В допълнение на по-горе споменатите елементи, в основната мрежа има и домашни и посетителски локализирани регистри за управление мобилността на абоната(HLR/VLR), ААА за удостоверяване на абоната, функции за уторизация и таксуване(PCRF), политика и правила за таксуване, за качеството на обслужване и политиката на таксуване. 3(стр.44-48)



  • Сервизна мрежа

Сервизната мрежа предлага допълнителни услуги като връзка с интернет. Сервизната мрежа е отговорна и за осигуряването на достъп до фирмения интранет и специфичните операторски услуги. В допълнение към това, тя осигурява и достъп до IP мултимедийна субсистема (IMS) за мултимедийни и гласови приложения като Voip.3(стр.48)5(стр.17, стр. 156).
Фигура 1.1. Инфраструктура на телекомуникационните мрежи

.


1.1.2. Заплахи за телекомуникационните мрежи.

Според CERT7 изтънчените атаки са нараснали през последните 30 години, докато в същото време познанието за тях е намаляло. Това развитие е показано на фиг.1.2. Причината за увеличаването на сложността на атаките може да се обясни с факта, че използването на интернет е станало по-често, а решенията за защита на потребителите в интернет са станали по-интелигентни. Разбира се, компютрите и операционните системи също са станали по-сигурни. За да се прокарат интелигентни мерки за сигурност, атаките също трябва да бъдат интелигентни. Тенденцията на спад в познанието за нарушенията може да се обясни с широката достъпност на свободно разпределените приложения, които могат да бъдат използвани за извършване на атаки. В повечето случаи потребителите на този вид приложения дори не знаят, това което правят.



Фигура 1.2 Изтънчена атака срещу знанията на нарушителя според университета Carnegie Mellon8

Друго притеснение по отношение на сигурността в модерните телекомуникационни мрежи е това, че мрежите са уязвими за заплахи, въпреки факта, че дори не могат да се свържат с интернет. Пример за подобно притеснение е потвърден през юли 2009г., когато е открит интернет червей Stuxnet. Stuxnet се прицелва в практическите процеси на контролната система, особено на промишлени инсталации, като тези за обогатяване на уран. Това което прави Stuxnet толкова успешен, е неговата самовъзпроизвеждаща се функционалност. Той може да се възпроизвежда в USB устройства и в самата мрежа, след което се разпространява в мрежи, които не са директно или изобщо свързани с интернет.9

Тъй като развитието на телекомуникационните мрежи е насочено към всички IP-базирани мрежи и услуги, това създава и нови възможности за злонамерените лица да извършват нелегални дейности. В допълнение, атаки, които са били приложими само за фиксирани връзки, сега могат да се използват и срещу мобилните връзки. В следващите параграфи са обсъдени и някои от най-честите видове заплахи.


  • Разузнаване

Разузнавателните атаки, това са атаките, чиято цел е да очертаят услугите на мрежата, отворените и използвани портове, използвани операционни системи и т.н. Те могат да се разделят на две групи: такива които идват от външната страна на мрежата и такива, които идват вътре от самата мрежа.

Във външните разузнавателни атаки, нападателят се опитва да получи информация за инфраструктурата на операторската мрежа и да намери уязвимости в сигурността, които биха могли да се използват като средство за проникване в мрежата. Във вътрешно разузнавателните атаки, нападателя има достъп до вътрешната мрежова структура, без значение легално или не. Нападателят може да използва същите методи, както при външната атака, за да очертае инфраструктурата на мрежата от вътрешността на мрежата. В допълнение, нападателят може да получи достъп до елементите на мрежата и компютрите с привилегировани права и да открадне поверителна информация от базата данни и информационните банки, които съдържат информация за мрежовата структура.




  • Отказ на услуги

Този тип атаки целта е да се откаже или ограничи достъпът на потребителите или операторите до ползването на услуги. Това може да се постигне чрез използване на всички ресурси (CPU, памет или пропускателна способност) на потребителското оборудване на абоната, за да предотврати използването на устройството. Това може да стане чрез публикуване телефонния номер на набелязаната цел или на IP адреса й в публичните форуми или в друга медия, което може да доведе до опит на огромен брой хора да опитат да получат достъп едновременно до набелязаната цел (потребител).

Според Cisco мобилният пренос на данни ще се удвоява всяка година до 2014г. Това ще създаде огромен натиск върху работата на операционната мрежа CPS и на качеството на услугата, като в същото време обема на трафика и броят на мобилните потребители ще продължи да расте10. Нарастващият обем на мрежовия трафик може да предизвика подобни ситуации, като при атака отказ на услуги от претоварване на мрежовата инфраструктура.




  • Злонамерено съдържание

Броят на злонамерените сайтове представлява сериозна заплаха за мобилните потребители, особено когато характеристиките на телефоните стават все по-сходни с тези на настолните компютри. Например, настоящите Linux телефони имат дисплей с компютърно изпълнение и подобни приложения към него. В същото време, мобилните уеб браузъри са съвместими с java, flash и други медия плеъри, които показват съдържанието на уеб страниците, точно като при настолните компютри. Това означава също така, че същите атаки могат да причинят вреда както на компютрите, така и на мобилните устройства.

Според доклада на лабораторията McAfee за третото тримесечие на 2010г., броят на нови злонамерени интернет сайтове постоянно се увеличава 7. Например, през септември 2010г. броят на новите злонамерени сайтове варира от няколко стотин до повече от 4000 на ден. Същите стойности са валидни и за новите „фишинг“ сайтове. 7




  • Вирусни атаки

При този сценарий, инфраструктурата на телекомуникационните мрежи е цел на прецизен червей, който има самостоятелно възпроизвеждаща се функционалност, за да се разпространи още по-добре сред мрежовите елементи.

Пример за такъв червей е Stuxnet7 ,който се разпространява чрез USB устройства и интернет. Специално при Stuxnet атаката, червеят се насочва към определени цели и по-конкретно към индустриално контролни машини, особено в определени страни.

Нападателят може да модифицира Stuxnet по определен начин, така че вместо червеят да се прицелва в процесно контролните системи, може да атакува управленските мрежови елементи. В най-лошия случай, този вид заплаха може да доведе до критичен отказа на една или всички операторски мрежи. В най-лошия вариант, това би означавало отказ на всички комуникации в локален или дори световен мащаб.

С подобен червей е възможно да се саботира цялата комуникационна мрежа на една страна. Както се вижда на фигура в 1.3 целенасочената атака може да бъде много прецизна и същевременно да се разпространява широко. Фигура 1.3 е представяне на картата McAfee Global Threat Intelligence Stuxnet11. Кръговете илюстрират броя поражения от вируса в една област. Колкото по-голям е кръгът, толкова повече са пораженията в областта. В случая на Stuxnet се смята, че основната му цел е била Иран, но днес най-големите последствия от вируса са за Индия. 12



Фигура 1.3 Заразявания със Stuxnet според McAfee Global Threat Intelligence13



1.2. Системи за откриване на проникване

Системата за откриване на проникване IDS може да бъде софтуер или хардуер, който следи за проникване и аномалии от външната среда и охранява срещу злонамерения деяния. Като цяло, IDS е инструмент за наблюдение на сигурността подобен на защитна стена, която се опитва да открие и предотврати злонамерените активности.

Има две основни техники за откриване на проникване въз основа на това, което могат да открият. Тези две техники са засичане на злоупотреби и на аномалии. От своя страна те могат да се разделят на 2 групи, въз основа на метода на засичане: IDS система на база поведение и на база познание. IDS, базирана на поведението, наблюдава поведенческите изменения на системата с цел засичане на аномалии и проникване. 14

Основната функционалност на IDS е да действа като пасивна алармена система. Това означава, че веднъж засякла проникване, IDS генерира аларма и осигурява цялата необходима информация (време,IP пакети), задействала алармата. Когато IDS оперира в активен режим, тя реагира на засечените прониквания чрез използване на контрамерки за предотвратяване достъпа на проникващите данни до системата (IPS). Активната IDS се нарича система за предотвратяване на проникването. Например, IPS може да промени правилата на защитната стена, да промени маршрута на таблиците, да ограничи честотната лента на мрежата или просто да прекъсне връзката. IDS може да бъде разделена на две системи в зависимост от мястото, на което се поставя. IDS може да бъде също и интернет базирана (NIDS) или хост базирана (HIDS). Мрежовата система за откриване на проникване наблюдава за проникване в мрежовия трафик, а хост базираната система за детекция на проникването наблюдава поведението на локалната машина. 15


1.2.1. Прониквания и аномалии

В същия контекст на IDS, словесните прониквания и аномалии са често използвани. Терминът проникване е малко объркващ, тъй като системата, която се опитва да засече проникванията, е главно понятие за система, откриваща аномалии. От гледна точка на сигурността, проникването е злонамерено действие срещу конфиденциалността, цялостта и наличността на информация. Аномалията е отклонение от онова, което се смята за нормално.16 Разликата между аномалия и проникване, до известна степен зависи от околната среда. Например, проникването винаги е повече или по-малко отклонение от нормалното поведение. Но от друга страна, аномалия не винаги означава проникване в системата. Например, грешка на един мрежови елемент може да доведе до необичайна активност в мрежата, но това не значи проникване в системата. Тук понятието IDS се използва за описание на системата, която може да се използва за откриване и на необичайна активност и на проникване.


1.2.2. Структура на IDS

Системите за откриване на проникване са изградени от 3 компонента: сензори, анализатор и потребителски интерфейс. Сензорите събират данни като мрежови трафик, регистрационни файлове и системни следствени файлове. След като данните са събрани, те се изпращат на анализатора. Анализаторът или детекторът са отговорни за откриване на евентуално проникване сред данните. След като е открито проникване, анализаторът може да действа като аларма или да задейства такава. Сензорът и анализаторът могат да бъдат две отделни системи или могат да бъдат разделени като отделни компоненти, в зависимост от начина, по който е конструирана IDS системата. Например един анализатор може да получи трафика от данни от множество сензори или сензорът може да бъде вграден в анализатора. Потребителският интерфейс осигурява на администратора следенето на дейността на анализатора и конфигурира сензорните и аналитични процеси. Общата структура на системата за откриване на проникване е илюстрирана на фиг.1.4. Ако IDS е от реактивен тип, то елементите могат да извършват действие за предотвратяване на по-нататъшно увреждане на системата, когато вече е засечено проникване в нея. Тези превенции са илюстрирани като действащи стрелки на фигура 1.4.



Фигура 1.4.Архитектура на IDS


1.2.3. IDS в стратегията за отбрана

Обикновено IDS работи зад защитните стени, с цел да открие проникване, което защитната стена е пропуснала. IDS или IDS сензорът могат да бъдат разположени също така и пред защитната стена, за да събират трафика от незаконни данни, които иначе биха били отхвърлени от защитната стена. В някои случаи е полезно да се събира такава информация, за да може да се разпознае и разбере, кога мрежата е под прицел. Като цяло, IDS дава допълнителна защита на стратегията за отбрана.17 Пример за такава стратегия е показан на фигура 1.5, където в ляво са илюстрирани някои възможни заплахи от интернет, застрашаващи общата сигурност на операциите на телекомуникационните мрежи.



Фигура 1.5 Многопластова защита при дълбочинната стратегия


Основната идея на многопластовата защитна стратегия е да се подобри общата сигурност на защитната система. Това може да се постигне чрез добавяне на няколко мерки за сигурност и подобряване на защитната осведоменост на всички нива, на които хората оперират. Във всеки един от тези пластове, където част от трафика може да бъде вреден, заплахата е открита и достъпът й до целевата мрежа е ограничен.18

В контекста на телекомуникационните мрежи, това означава, че общата сигурност може да се подобри чрез добавяне на IDS и евентуално IPS функционалност на стратегически места, като например във външните входове на мрежата. Ролята на IDS в тази защита е да се засекат възможните заплахи, които са пробили защитната стена и антивирусните скенери.


1.2.4. Фалшиви позитивни и фалшиви негативни резултати

За да се оцени изпълнението на IDS и точността й на засичане на заплахи, има четири възможни събития, чието съотношение бива наблюдавано. Тези събития са илюстрирани на фигура 1.6.



Фигура 1.6 Фалшиви позитивни, истински позитивни, фалшиви негативни, истински негативни резултати

Фалшивите позитивни резултати са юридически събития, които неправилно са отбелязани като аномалии. Истинските позитивни резултати са събития, правилно отбелязани като аномалии. Фалшивите негативни резултати са аномалии, пропуснати от детектора и съответно не са отчетени като аномалии. Истинските негативни резултати са правилно отчетени легални действия и събития. За да разберем дали аномалията или проникването е фалшив позитивен резултат или фалшив негативен, действието или събитието трябва да бъде разследвано от оператора на мрежата19. Както споменахме, тези случаи са илюстрирани на фиг.1.6, където вертикалните стрелки представят как дейността е засечена от IDS системата, а хоризонталните стрелки показват каква в действителност е активността.

От гледна точка на оператора на мрежата, най-рисковани са фалшивите негативни резултати. Възможната дейност на проникване, преминала през IDS като нормална и легитимна дейност, би могла да навреди на цялата мрежа и следователно да засегне всеки абонат, използващ тази мрежа. Фалшивите позитивни резултати не са толкова вредни в сравнение с фалшивите негативни, защото ще афектират само един абонат. Разбира се, от гледна точка на абонатите, това би изглеждало като лоша услуга, когато достъпът на абоната до мрежата е отказан. В повечето случаи, обаче, достъпът на потребителя до мрежата не е напълно отказан.20
1.2.5. Засичане на злоупотреба

Смята се, че погрешното засичане или злоупотребата действат като вирусен скенер. Вирусните скенери търсят познати модели и варианти на вирусите, като същевременно откриването на злоупотребяващо засичане се базира също на вече известни модели на проникване. Те могат да бъдат например някои вериги от знаци и символи в IP пакетните съдържания. На кратко казано, погрешното засичане се справя с вече познати атаки. Като такава, тази атака може да се използва ефективно за анализ на мрежовия трафик за познати атаки и прониквания.21

Недостатъкът на погрешното засичане е, че може да бъде избегнато при лека промяна на модела на атака, така че засичането няма да открива повече този модел.22 Също така, е трудно да се напишат изключително точни варианти, които да съвпаднат с всички възможни вариации на проникващи дейности и в същото време да се избегне съвпадението с погрешни такива. Точно като вирусен скенер, IDS системите, които са базирани на засичане на злоупотреба, трябва да бъдат обновявани регулярно за най-новите модели и варианти на вирусни атаки.23

Повечето от наличните IDS-и използват засичането на злоупотреби, тъй като е изучено най-добре и по начин, по който е по-лесно да съвпадне с дейности, базирани на познати модели атаки, а не откриването на каквато и да е активност зловредна или не, само чрез анализ на дейността, без да е изучена. Именно тук най-много се различават откриването на злоупотреба и засичането на аномалия.24


1.2.6 Засичане на аномалии

Ако откриването на злоупотреби се основава на известни преди това модели атаки, то засичането на аномалии може да отчете и такива , които са все още непознати и неоткрити. Важно е да отбележим, че докато системата за засичане на проникване свежда всички съвпадения в дейностите, като зловредни, то системата за засичане на аномалии не свежда всички аномалии задължително като зловредни.25 Дали засечената аномалия е зловредна или не, зависи от средата, правилата и регулациите. Системата за засичане на аномалии в мрежовия трафик се основава на две предположения. Първото е, че при нормални условия, мрежовият трафик има различими характеристики. Може да се създаде такъв образец с параметри на тези условия.

Втората вероятност е, че отклоненията от този нормален модел са редки и потенциално могат да бъдат резултат от проникване в системата. Тези две предположения обаче са в съответствие с това, което е представено в областта на литературата. 26 27


  • Засичането на аномалии като процес

Като процес, засичането на аномалии може да се раздели на две фази. В първата фаза се създава модел на нормален мрежови трафик. Този модел може да се добие от тренировъчната информация, използвайки модел на алгоритми или математически модели. Във втората фаза, трафикът се наблюдава за отклонения от нормалния модел.28 Този модел на нормален мрежови трафик се създава посредством използването на функции от самия трафик. Функцията в контекста на откриване на аномалии, означава стойност или символ, описващ мрежовия трафик. Тези характеристики следва да представляват поведението на трафика и неговите характеристики, но в същото време не трябва да съдържат съкратена информация, с цел да го олекотят. В литературата думата функция има много синоними като променлива, параметър и дискриптор.

За да се създаде модел на нормален мрежови трафик, е необходимо се изчистят всички злонамерени действия и същевременно е нужно да се наблюдават всички вариации на средата. Генерирането на такъв трафик от данни е трудно и готови комплекти от данни, каквито са базата данни Lincoln, са редки. Трудно е да се симулира нормален трафик в лабораторна среда, тъй като трафикът никога не е разпределен равномерно между мрежовите протоколи. Освен това, е трудно в лабораторна среда да се симулират грешки в мрежовите елементи, които варират изключително много в нормални условия. 12



След като се създаде модел на нормален мрежови трафик, то трафикът започва да се наблюдава за отклонения от този модел Необходими са някои анализа, за да се прецени дали дадено отклонение е обезпокоително или зловредно. Обичайно, този анализ се осъществява чрез мрежова защита. Тъй като засечените аномалии могат да бъдат непознати, всъщност е трудно да се разбере, какво точно причинява аномалиите и дали те са обезпокояващи или не. 12 Този процес на анализ на аномалиите, трябва да бъде подпомогнат от възможно най-много информация, така че системната защита да работи ефективно. При откриването на аномалии има голямо разнообразие от подходи и в следващите редове, ще разгледаме някои от тях.


  • Статистически базирано засичане на аномалии

В статистически базирания метод аномалиите биват засичани чрез статистически методи. Статистическите методи създават модели, базирани на историята и в последствие същите биват сравнявани с настоящата ситуация и отклоненията между тях се считат за аномалии. След като започне да се наблюдава отклонението и развитието му, то бива оценявано. Колкото по-тежка е една аномалия, толкова по-висока оценка получава тя.29 Например, средният брой пъти, в които един потребител има достъп до мрежата дневно, се сравнява с настоящата сума. Ако тя превишава средната сума с едно или две, това може да не се счита за сериозна аномалия. Но ако настоящата сума е например 10 пъти или дори 100 пъти по-висока от средната, това може да е тежка аномалия. Това разбира се, зависи от това как са зададени правилата за класифициране.


  • Засичането на аномалии, базирани на методичен модел

Тук правилата са определени за системата и веднъж нарушени, те се отчитат за аномалии.30 Реално, защитните стени работят на същия принцип. Защитните стени са предварително определени правила, които се борят с мрежовия трафик. Ако трафикът не е в конфликт с правилата, то той получава разрешение да премине. Всяко действие обаче, което е противно на правилата се прекратява. За откриването на аномалии, би означавало, че всичко в разрез с правилата ще се смята за отклонение или аномалия.


  • Прагово базирано засичане на анималии

При този метод са зададени определени прагове за мониторинг на отклонение в данните. След като прагът е надхвърлен, конкретният случай се маркира като аномалия.31 Този прагов метод за засичане на аномалии е комбинация от статистически базирания и методично базирания модел. Прагът сам по себе си е правило, създадено на база статистика. Мрежовият администратор например знае, колко високо е натоварването на процесора от един мрежови елемент. Затова, той може да определи праг , който създава правило, казващо, че използването на процесора не може да бъде повече от 80%. Когато този праг е надхвърлен, алармата се задейства.

  • Метод на засичане на аномалии, базиран на машинно познание

При този метод, моделите за засичане са изградени на база минало поведение. Например анализът на учебния алгоритъм досега е записвал данни за мрежовия трафик и е създал модел на нормално поведение. След обучителния период детекторът наблюдава отклоненията от вече създадения модел. Детекторът, базиран на машинното познание, може да се адаптира към промените в мрежовия трафик, когато например някое приложение се разпространява към всички машини в мрежата и това приложение генерира неизвестен до сега трафик към мрежата.32


  • Метод на засичане на аномалии на база „полезен товар”

При този метод, моделите за засичане на аномалии са създадени на база данни за полезен товар от определен хост и порт. В допълнение към това, стандартното отклонение се изчислява въз основа на дължината на полезния товар. След като моделът е създаден, целият трафик идва до определен порт и се анализира, а дължината на полезния товар се съпоставя със средната дължина на модела. Ако разликата е твърде голяма се задейства аларма.33


  • Засичане на аномалии на база протокол

Този модел наблюдава протоколите за отклонение от стандартния протокол за спецификации. Детекторът създава модел, базиран на TCP/IP протокол за спецификации, като след това този протокол се сравнява с мрежовия трафик. Ако наблюдаваният трафик оперира с протокол, който е в конфликт със спецификациите, то той бива маркиран като аномалия. Повечето от детекторите за аномалии, базирани на протоколи, са създадени като стадийни машини. Това е разбираемо, тъй като всички мрежови протоколи имат стадии. Следователно, детекторът наблюдава прехода от един стадий в друг, и ако очакваният преход е различен от възникналия, алармата отново се задейства.34

  • Засичане на аномалии на база диаграми

Този модел създава активни диаграми на хостовете и дейността в мрежата. Тези активни диаграми описват как дейността се разпространява в мрежата. Например, ако диаграмата на активността се превърне в огромна дървовидна графика , то дейността започва да се счита за аномалия или по-точно за разпространяваща се като червей.35




  • Засичане на аномалии на база техники за обработка на сигнала

Методите, базирани на техники за обработка на сигнала, също са широко проучени. Например Fontugne и др. използват подход за обработка на изображения при системата за отчитане на аномалии. Тяхната система се базира на разпознаване на образи, където аномалния трафик се засича чрез сигнатури, базирани на поведението на тези потоци. Най-общ е интересът към използване на методи за сигнална обработка за подобряване на общата ефективност и в същото време намаляване на количеството фалшиви позитивни резултати.36


  • Засичане на аномалии на база извличане на данни

Този метод се опитва автоматично да открие последователни модели на функции от големите складове на информация, описващи поведението на мрежовия трафик, потребителя или програмите. Класификаторите са изградени въз основа на тези функции, които се използват за класифициране на наблюдаваните характеристики като аномалии и познати прониквания. Извличането на информация е пример за метод, който комбинира алгоритми, използвани при различни методи като машинното познание, статистическия метод, методите, базирани на сигнална обработка.37
Всички тези методи имат своите плюсове и минуси, в зависимост от това, каква е целта на наблюдение. Методът за засичане на аномалии, базиран на протоколи е ефикасен при анализиране на мрежовите протоколи, но не е подходящ за отчитане на зловреден „полезен товар“. И обратно, методът на засичане на база „полезен товар“ е ефикасен при отчитане на зловредна информация в „полезния товар“, но не е ефикасен при засичане използването на зловредни протоколи. В някои случаи комбинацията на различни методи е по-подходяща. Средата и нейните функции трябва да бъдат оценени, за да се избере най-ефективната настройка за засичане на проникване в тази конкретна специфична среда.
1.2.7. Предварително изследване на детекцията за проникване

Детекцията за проникване е широко изследвана от Андерсън, който представя своята концепция по въпроса през 1980г.38 Въпреки първоначалния тласък в областта на IDS, изследването е направено по-късно през 1987г., когато Денинг представя модел на детектор за проникване, известен още като модел на Денениг.13




  • Модел на Денинг

Денинг представя идеята, че зловредното поведение може да се възприеме от системата чрез сравнение с нормалното й състояние и използване. Моделът описва операцията на хост позиционирана IDS, която се използва за наблюдение на използването на машината. Проникващите атаки при този модел се засичат първо чрез създаването на профили на нормално системно използване, след което използването на системата се наблюдава и сравнява с тези предварително дефинирани профили. Идеята на Денинг е, че това зловредно използване на системата, може да бъде засечено като отклонение от нормалния профил.13

Моделът на Денинг е широко използван като основа на различни системи за засичане на проникване и нейното влияние може да се види от предварителни проучвания на засичането, където фокусът е главно върху хост базираните IDS системи. Акселсон 39публикува проучване за системите за засичане на проникване през 2000 година, в което изброява 20 изследователски проекта от 1988г. до 1998г. От 20-те проучвания на IDS, 14 от които са хост базирани , 3 работят както в хоста, така и в мрежата, а 2 са напълно мрежово базирани.40

Гейтс и други негови колеги оспорват използването на модела на Денинг като всеобхватен модел за всички типове IDS системи (NIDS и HIDS). Техният аргумент е, че моделът на Денинг е проектиран като хост базиран модел на IDS. Като такъв без изменения, би бил неподходящ за IDS, базирани на мрежата. Вторият им аргумент е, че моделът на Денинг е създаден през 1987г., когато поведението на системите за засичане на местните машини е било по-важно от анализирането на мрежовия трафик, което прави самия модел по-стар, за да отговори на изискванията на съвременните условия.


  • Проучвания на мрежовите системи за засичане на проникване

От 21-ви век насам мрежите са се развивали бързо, а мрежово базираната IDS система е получила много по-голямо внимание. Промяната на фокуса при IDS проучванията от HIDS към NIDS, може да се обясни със стойността на научните изследвания. HIDS е широко изследван и е много трудно да бъдат направени нови открития в тази област. За сметка на това, NIDS е доста по-интересна тема, защото мрежово базираните прониквания непрекъснато нарастват. Това дава нови възможности за изследване на това поле и за откриване на нови методи, които са в състояние да засекат предишни непознати заплахи и да публикуват тези проучвания на хартия.

Друга причина за популярността на NIDS като поле за проучване е, че защитните стени не се развиват толкова бързо, колкото NIDS системите. Защитните стени са в състояние да осигурят базова защита, но не са способни да се справят с непрекъснато развиващите се атаки и прониквания. В момента, реален стандарт в мрежовото засичане на прониквания е Snort41, която би могла лесно и неправдоподобно да бъде определена като мрежова защитна стена.



Snort е IDS/IPS система, която съчетава сигнатура, протокол и аномални методи за ефективно засичане и предотвратяване на прониквания, базирани на детекцията за проникване. Snort е разработен от Sourcefire, който също регулярно осигурява водещи обновления за Snort.42 В допълнение към Snort, някои мрежово базирани IDS проучвания са дискутирани в следващите параграфи.


  • Автономни агенти на детекцията за проникване (AAFID

AAFID е проект в рамките на центъра за обучение и научни изследвания в информационното обслужване на сигурността. Проектната група се състои от студенти и преподаватели, заинтересовани от разработването на нов тип система за откриване на проникване. Техният подход предлага използване на разпространената архитектура на IDS средствата, за покриване работата на цялата мрежа.43


  • Обща рамка на IDS (CIDF)

CIDF е проект, в който се разработва обща рамка за протокол и приложни програмни интерфейси. Проектът в момента се координира от Schnackenberg и Tung. Целта на проекта е да улеснят изследователските проекти за откриване на проникване за обмяна на информация и ресурси.44 На база литературните трудове изглежда, че CIDF не е широко използван.


  • Разпределителна компютърна IDS (D-SCIDS)

D-SCIDS се състои от множество разпределителни IDS сензори над една голяма мрежа. IDS комуникират помежду си пряко или чрез централизиран сървър, който също предлага предварителен мониторинг на мрежата. В своето изследване Abraham45 и колеги оценяват три класификатора, базирани на определени правила, за засичане на проникване в мрежата и, където, след това, се сравняват с други техники за машинно обучение.27


  • Следващо поколение IDS (NIDES)

NIDES е IDS система в реално време, която следи активността на потребителя на множество целеви системи. NIDES е позициониран на единичен хост, който анализира одитни данни, събрани от взаимно свързани системи. NIDES е хибрид между детектор на злоупотреби и аномалии, сигнатурен анализ, базиран на определени правила и статистически, профилно базиран детектор на аномалии. NIDES разполага с експертна система за означаване, което показва интелигентна обработка на алармите за проникване и преценка, нужно ли е или не по нататъшно разследване. По-нататъшното развитие на NIDES еволюира в проект, наречен ESMERALD.46


  • EMERALD

EMERALD е средство за проследяване на проникваща активност през и в големи мрежи. EMERALD се състои от множество полиморфично разпределени детектори, които могат да бъдат настроени независимо един от друг. Тези детектори биват EMERALD eXpert и eBayes. eXpert е сигнатурно базиран детектор за проникване, а eBayes е регулируем детектор за аномалии. CIDF 25 се използва като основа за обмен на информация между детекторите. 28


  • Графично базирана система за засичане на проникването (GrIDF)

Станфиорд – Чен презентират 18 графично базираната IDS , която събира данни за дейността на компютрите и мрежовия трафик помежду им, след което преобразуват събраните данни в активни графики. Те показват причинно-следствената структура на мрежовата активност и позволяват откриването на широко мащабни атаки. Проникванията се засичат чрез анализ на характеристиките на активните графики.


  • Spitfire

Spitfire е разработен за подобряване работата на NIDS операторите. Може да се използва и като заместител или добавка към Cisco Net Ranger или към реалната защита ISS. Spitfire може да се използва и при операции в реално време или за анализ на историческа информация. Oсигурява стабилна историческа база данни от проникваща активност, която може да се използва за откриване на нови разновидности на прониквания.47
1.2.8. Лабораторна база данни Lincoln

Lincoln са „първите стандартни корпуси за оценка на развитието на системите за откриване на проникване“,48 създадени под егидата на DARPA и AFRL.30

Лабораторията на Lincoln е събрала два набора от данни за периода 1998 и 1999г. Наборът от данни от 1998г. съдържа 7 седмици тренировъчна информация и 2 седмици тестова информация за мрежовия трафик и за логаритмите на операционните системни. Тези база данни съдържат белязани аномалии и мрежови атаки, смесени с нормалния мрежови трафик. Подобно на базата данни от 1998г, наборът от данни от 1999г. съдържа 5 седмици обучителни и тестови данни, но в допълнение от предната година, съдържа и тренировъчна информация, лишена от атаки. Тази информация може да се използва при IDS за създаване на модел на нормален мрежови трафик.
1.3. IDS в телекомуникационната мрежа

Ролята на IDS в телекомуникационните мрежи е да подобри цялостната сигурност на мрежата, заедно със съществуващите мерки за сигурност като защитните стени и антивирусните програми. (виж точка 1.2) Мястото на IDS в телекомуникациите зависи от какво ще се наблюдава и пази. Например IDS могат да бъдат прониквания, наблюдавани отвън или отвътре на мрежовото ядро.


1.3.1. IDS разположение: Предизвикателства

Поставянето на IDS зависи от вида й. Хост базираните IDS, обикновено са разположени на елементи, които предоставят важни услуги в мрежата. Интернет базираните IDS са доста по-трудни. NIDS разположението трябва да бъде балансирано между мрежовото покритие и отпуснатите ресурси.

В мрежите за достъп (виж фигура 1.2) IDS наблюдават товари със зловредно съдържание, които преминават през мрежата, чиито действия могат да навредят на дейността и на други абонати. Освен това, те наблюдават и за проникващи атаки, чиято цел е в рамките на основната мрежа.
1.3.2. Централизиран модел
Най-често срещаната настройка за IDS е да използва специализиран IDS, познат като централизиран, който наблюдава всички влизащи и излизащи от мрежата линкове.

Централизираната IDS система осигурява по-лесна работа и управленска функционалност в сравнение с разпределителния модел, където размерът на мрежата и сумата на трафика са малки. Варирането може да се превърне в проблем, когато размерът на мрежата започне да нараства.


1.3.3. Разпределителен модел

Този модел IDS в телекомуникационните мрежи е представен на фигура 1.8, където цялата намеса за откриване на проникваща и аномална дейност, се разпределя между агенти на IDS, познати като сензори, и централната IDS.27

IDS агентите могат да се използват като сензори за деанализиране на мрежовия трафик и генериране на аларми при засичане на проникване. Тези IDS агенти могат също да прекъснат заловените пакети за повишаване ефективността на централната IDS. Могат, например, да изхвърлят ненужната информация от полетата на компютрите.27

Например Handley49 нормализира тези полета, за да засече опитни нападатели, които се опитват да избегнат засичане, използвайки неяснотите в мрежовия поток. В допълнение на тази модификация, IDS агентите могат да генерират допълнителна информация като добавят класове на алармите, което ще ги категоризира в три групи, според нивото и степента на сериозност на засечената заплаха.

Централните IDS ще отговарят за събирането на информацията от агентите. CIDS ще има по-широк поглед над мрежата и състоянието й, поради което може да засече координирана широка мрежа от атаки. 27

Фигура 1.8 Възможни локации на IDS в телекомуникационните мрежи


Разпределителните IDS модели са в състояние да прераснат в големи по размери мрежи, особено когато сумата на наблюдаваните линкове е огромна. Варирането е най-релевантната функция в сравнение с централизирания модел.


Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт


Сподели с приятели:
  1   2   3   4   5




©obuch.info 2024
отнасят до администрацията

    Начална страница