Анализ на трафика за засичане на прониквания в телекомуникационните мрежи



Изтегляне 1.07 Mb.
страница2/5
Дата05.02.2018
Размер1.07 Mb.
#54488
ТипАнализ
1   2   3   4   5
Глава 2. Функции на IDS
Преди да е възможно IDS да функционира като алармираща система при откриване на някакви аномалии, тя трябва да разполага с някакъв модел, идентифициращ нормалния трафик. Също така, IDS трябва да има предварително определени методи, чрез които се филтрира и евентуално се променя трафикът, за да се справя с огромното количество данни, което преминава през мрежата ежедневно. Ето защо, е необходимо да се избира измежду данните това, което е от значение за наблюдение и това, което не е от интерес. Извличането на функциите играе важна роля при избора на съответните характеристики на IDS.

Основният принцип при извличането на функции е, че колкото по-малко функции са обект на наблюдение, толкова по-бърза е IDS. И обратно, колкото повече функции за наблюдение има IDS, толкова по-малко точна е тя. Разбира се, това не е абсолютна истина, тъй като има случаи, в точността при откриване на аномалии се е увеличила след прибавяне на допълнителни функции в мониторинга.

Тези случаи са разгледани по-подробно в точка 2.3. Анализът на функциите е от значение при оценката на изпълнението и разкриваемостта на IDS. Например, мрежовият трафик съдържа функции, които са съкратени, или техният принос към процеса на откриване е малък. Чрез намаляване на броя на функциите, изчислителната скорост на IDS се подобрява и цялостната ефективност се увеличава. Тези принципи са в съответствие с това, което е представено в литературата в тази област. 50 51 52 53
2.1. Извличане на функции

Системите за откриване на проникване могат да прилагат както едновариантов подход, така също и многовариантов подход за откриване на прониквания в зависимост от използвания алгоритъм. При едновариантния подход се анализира една променлива на системата. Това може да бъде, например, номер на порта (port number), използването на процесора на локална машина и др. При многовариантния подход се анализира комбинация от няколко характеристики/функции и тяхната взаимна корелация.9 В зависимост от метода, по който се избират функциите за IDS, те могат да бъдат разделени на две групи: „функции за избор” и „функции за намаляване”.


2.1.1. Избор на функции

При метода „избор на функции”, функциите се качват или ръчно от наблюдаваните данни или чрез използване на специфичен инструмент – избор на функции. Най-подходящите функции се избират чрез ръчно качване от функцията за радиочестоти въз основа на предварителни познания за околната среда, която IDS наблюдава. Например, функции, които могат да разграничат определен вид трафик от транспортния поток, се качват за подготовка на модела за мрежови трафик

Идеята зад инструмента избор на функции, е да се намали количеството на функции във възможно подмножество от функции, които не корелират помежду си. Примери за такива функции за избор са Бейс мрежите (BN - Bayesian networks) и дърветата за класификация и регресия (CART - classification and regression tree). BN е вероятностен графичен модел, който представлява вероятностни връзки между функции.54 CART е техника, която използва tree-building алгоритми за изграждане на “tree-like” “if-then” прогнозни модели, които могат да бъдат използвани за определяне на различни класове от набор от данни55.

Процесът на избор на функции е показан на фигура 2.1 В лявата страна са функциите (F0 ... FN), които са част от наблюдаваните данни, които са, например от мрежовия трафик. От дясната страна е изходът (F0. .. FM) на инструментите за избор. Броят на функции в изхода варира в зависимост от използвания инструмент за избор и от корелацията на функциите на входа. Следвайки основните принципи за анализ на функциите, броят на функциите на изхода (М на фигура 2.1) е в повечето случаи по-малък от броя на функциите на входа (N на фигура 2.1). Въпреки това, е възможно функциите на изхода да бъдат равни на тези на входа.

Фиг.1.1. Избор на функции

Ако наборът от данни на лабораторията Линкълн бъде взет като пример, инструментът за избор на функции ще избере от заглавните полета на мрежовия трафик IP адреса на източника, номер на порта при източника и други функции, описани в Приложение 1.


2.1.2. Намаляване на функции

При метода намаляване на функции се извлича нов набор от функции въз основа на наличните функции от наблюдаваните данни, като например данни от мрежовия трафик. Основната идея на метода намаляване на функции е да се намали общият брой на използваните функции в мрежовия трафик. По принцип, намаляването на функции означава, че в рамките на определен период от време, няколко различни функции се наблюдават и нов набор от функции, след което се изчисляват от тези наблюдавани данни. Например, инструментът намаляване на функции може да следи броя на пакетите към конкретно място, в рамките на определен период от време. След това, когато периодът на наблюдение е свършил, нова функция (брой пакети за тази дестинация) е на разположение на IDS. Друг пример за метода намаляване на функции, е анализ на основните компоненти (PCA - principal component analysis). PCA е алгоритъм, който проверява и преобразува данните, за всички взаимосвързани променливи в серия от несвързани помежду си променливи, известни също като „основни компоненти”56. Процесът на функцията за намаляване е илюстриран на фигура 2.2. В лявата част са функциите (F0 ... FN), които са взети от наблюдаваните данни, например, от мрежовия трафик. От дясната страна е изходът (V0 ... VN) на опцията за намаляване. Броят на функциите на изхода обикновено е по-малък в сравнение с този на входа, но може да бъде и един и същ. Новите функции (V0 ... VN) могат да се изчислят въз основа на една функция или комбинация от множество функции (F0 ... FN).


Фиг. 2.2. Намаляване на функции

Наборът от данни KDD Cup 1999 може да се вземе като пример намаляване на функциите. Cup KDD се състои от функции (виж таблица 2.1), които са изчислени от мрежа на пакетно-базиран трафик в лабораторията Lincoln за данните на потока на трафика. Тези конвертирани функции се използват, например, в машинното обучение, основано на IDS.


2.1.3 Предизвикателства пред извличането на функции
Средата, в която се извършва извличането на функции, е мрежата на мобилния оператор с истински хора (абонати), които я използват. Това означава, че мрежовият трафик съдържа поверителна информация за потребителя. Например, във Финландия мрежовият трафик на потребителя е защитен от закона за защита на данните57. Поради това, може да се направи само ограничен анализ на мрежовия трафик, което означава, че задълбочен анализ на пакета не може да бъде извършен. По принцип, само заглавните полета на пакетите могат да бъдат проверени, но не и потребителските данни в полезния товар. Мащабирането е проблем при IDS. Поради огромното количество данни, протичащи през мрежата на мобилния оператор, не е лесна задача да бъде открита точната информация, необходима за изготвяне на IDS. Проблемът е да се намери отговор на въпроса: "Какви функции трябва да бъдат взети под внимание при изчисляване или анализиране на това дали дейността е злонамерена или не?" В телекомуникационните мрежи линк трафикът може да достигне до нива от 150 Gbps, а текущите IDS са в състояние да следят само някои части на трафика. Например, Sourcefire на IPS е в състояние да следи скоростта на мрежата от 5 Mbps до 20 Gbps.24 За да се обхване цялата честотна лента, трафикът трябва да бъде разделен по някакъв начин и да се наблюдава от няколко IDS. След това, отново информацията, предоставена от IDS, трябва да бъде свързана по някакъв начин, което отново добавя още едно предизвикателство към целия процес на проникване и откриване на аномалии. Въз основа на предварително изследване на IDS е ясно, че нито един от методите сам по себе си не може да открие всичко, но комбинацията от два е най-обещаващият подход. Например, откриването на злоупотреба може да се използва за филтриране на известни заплахи от трафика, което да направи по-лесно за системата за откриване на аномалии да се фокусира върху неизвестното. Въпреки че IDS са изследвани повече от 20 години, все още няма отговор на въпроса какви функции трябва да бъдат проследявани. Досега, различни видове методи и алгоритми са разработени за откриване на аномалии, но фокусът е върху подобряване на тяхната ефективност. Почти при всеки от тях липсва една и съща информация - какви функции са важни за IDS, особено в областта на телекомуникационните мрежи? По някаква причина информацията за използваните функции не се намира лесно в изследвания и публикации за IDS. Без значение каква е причината, резултатът е един и същ, всеки изследовател трябва да разбере сам кои функции трябва да се използват за мониторинг.
2.2. Проверявани източници на данни

Работата на IDS се основава на анализ на данни. В телекомуникационните мрежи има голямо разнообразие от различни източници на данни, които произвеждат информация или по-конкретно функции, които IDS може да анализира за прониквания и аномалии. Като цяло, има два основни източника на данни за проверка, които IDS използват: мрежови данни и хост-базирани логаритми за сигурност 21.


2.2.1. Мрежови данни

Мрежовите данни се събират посредством улавяне на пакетите и потоците от данни. Улавянето на пакетите може да бъде осъществявано чрез софтуерни или хардуерни продукти. Wireshark и Tcpdump са най-известните свободно достъпни софтуери за улавяне на пакети от мрежови данни. В допълнение към тези два, повечето от производителите на мрежови елементи, като рутери и суичове също предоставят и устройства за улавяне на пакети и потоци от данни (packet and flow capturers) като продукт, който може да бъде прикрепен към оборудването им. Например, Cisco предвижда един продукт, наречен NetFlow58, който може да улавя потоци от мрежовия трафик. Кепчърите на потоците наблюдават пакета от данни и създават информационен поток, базиран на комуникацията между две крайни точки. Начинът, по който потокът бива интерпретиран варира, в зависимост от системата за мониторинг. Параметърът, който определя кога един поток завършва и започва нов, е времето на бездействие между комуникациите на двете крайни точки и това време се променя в рамките на системите за мониторинг. В допълнение, има и инструменти, които ще конвертират пакетите от данни в данни на мрежовия поток. Пример за такъв инструмент е Argus 59.




  • Argus

Argus е комбинация от два елемента: Argus-сървър и набор от Argus-клиенти. Сървърът отговаря за четенето и конвертирането на мрежовия трафик от пакети данни в данни на мрежовия поток. Argus-сървърът може да се използва за наблюдение на трафика в мрежата в реално време, или може да чете файлове с пакетни данни, които се съхраняват в Tcpdump или PCAP формат 60 Аргус-клиентите са малки програми, които могат да четат и извличат допълнителна информация от потока от данни, създаден от Argus-сървъра. Например, клиентската програма racluster, може да намери най-големите „бъбривци” (комуникатори) и слушатели (с по-малко активност) в рамките на потока от данни. Най-съответстващата на това клиентска програма е наречена "Read Argus" (RA). По същество тя прочита Argus-базирани потоци от данни и показва потока на информация на екрана или го пише на файл.61
2.2.2. Хост-базирани логаритми за сигурност

Логаритмите (logs) съдържат записи на събития, настъпили в рамките на дадена организационна система или мрежа. Логаритмичните системи са създадени от гледна точка откриването на неизправности в управлението и мрежата. Като такива, те не са предназначени да се използват като защитен елемент. Въпреки това, в днешно време логаритмите се използват за целите на сигурността. SNMP MIB може да се използва като източник на данни за IDS (виж точка 2.3.3). С помощта на SNMP е възможно да се задават въпроси за състоянието на даден мрежов елемент или самият елемент може самостоятелно да изпрати актуализации на собственото си състояние. Като цяло, ръководното тяло изисква статута на даден мрежов елемент, използвайки SNMP. Мрежовият елемент след това изпраща записи в регистъра, които съответстват на получената заявка със SNMP 62.

Друг пример за използване на логаритми в откриването на аномалии е описан от Höglund63. Höglund използва UNIX логаритми на потребителски акаунти за да идентифицира мрежовите модели на поведението на потребителите и да разпознае, когато поведението на потребителя се промени значително от обичайната схема.64 В далекосъобщителните мрежи има множество архитектурни елементи (вж. Фигура 1.1), които произвеждат информация, която може да се използва при проникване и откриване на аномалия. Можем да назовем само няколко като AAA-сървър, бази данни, портали, SGSN, MME, Charging и HLR / VLR. Тези елементи генерират елементи за сигурност и управление, които могат да бъдат използвани за проникване и откриване на аномалия. Например информацията, събрана от мрежовите елементи заедно с алармиращите съобщения, генерирани от IDS могат да се използват с цел идентифициране на главната причина за проникване или аномалия. Тъй като повечето мрежови елементи генерират логаритми, има и други източници на логаритми за сигурност. Kent и колеги65 дефинират три категории източници на данни за наблюдение, които генерират сигурност на логаритмите: защитен софтуер, операционни системи и приложения.


  • Софтуер за защита

Мрежовите или хост-базираните софтуери за сигурност могат да бъдат класифицирани, например като програма аntimalware, защитна стена firewall, proxy сървър, система за откриване на проникване и за предотвратяване на прониквания и сървър за удостоверяване. Основната цел на софтуера за сигурност е да предостави сигурна информация, която може да се използва от други решения за сигурност като IDS.66

Защитните стени и Antimalware софтуер генерират логаритми в случаите, когато подозрителни или злонамерени действия бъдат засечени. Proxy-сървърите генерират логаритми от мрежовите връзки и уеб заявленията, свързани с връзките. В допълнение, ако сървърът има функционалност за идентификация на потребителите, също така ще има възможност за достъп до потребителски идентификационни данни от лица, които имат достъп до уеб ресурси. Proxy-сървъри с AAA функционалност са особено полезни за осъществяване на проверка. Системите за откриване на проникване и превенция произвеждат логаритми, както всеки друг софтуер за сигурност.67 Тези записи могат да се използваъ, например, в разпределена IDS архитектура (виж раздел 2.3.3), когато централният IDS събира логаритми от IDS датчиците.




  • Операционни системи и приложения

Компютри, мобилни устройства, сървъри и мрежови устройства като рутери и суичове се управляват от операционна система. Приложенията работят в най-горната част на операционната система и поради това имат достъп до част от информацията, която операционните системи генерират. При изпълнение на операционните действия, операционните системи и приложенията генерират логаритми от системни събития и одитни записи.68 Системните събития се генерират обикновено от успешно или неуспешно завършени действия, състоянието на системата и услугите, които се изпълняват. Одитните записи съдържат информация за удостоверяване на операциите като такива с успешно или с неуспешно идентифициране на потребителя. В допълнение на записите, се генерира и информация за това до какви файлове потребителят има достъп и с какви привилегии разполага. 69
2.3 Използвани функции в предшестващото ниво на техниката

Функциите, използвани в предварителното проучване на IDS са най-общо организирани в пет категории: функции, основани на потоци от данни, пакети данни, SNMP данни, функции, събрани от UEs и функции, използвани в ad-hoc мрежа за мониторинг.


2.3.1 Функции, базирани на потоци от данни

Lakhina и др.70 анализират събитията, които са засегнати от разпределението на функциите на трафика и ги определят като аномалии. Те наблюдават целия мрежови трафик с помощта на следните IP пакетни заглавни данни:



  • IP адреса на източника;

  • IP адреса на дестинацията;

  • Порт номер на източника;

  • Порт номер на дестинацията.

Те групират известните аномалии в седем категории на база вида на откритата атака. Това са: DoS, Flash Crowd, порт сканиране, мрежово сканиране, ремонтни събития и червеи. Класификацията се извършва с помощта на многопосочен подпространствен метод заедно с K-means групиращ алгоритъм. Многопосочният подпространствен метод е в състояние да изолира взаимосвързани промени на четирите функции на IP пакетните заглавни данни (IP адреса на източника, IP адреса на дестинацията; Порт номер на източника; Порт номер на дестинацията) между потоците на трафик. 71

Същите функции се използват и от Fontugne и др. 72 в техния подход за обработка на изображения при откриване на аномалии. Те сравняват техния метод за откриване на аномалии със статистически базиран метод, предложен от Dewaele и др. [53]. Сравнението е направено с помощта на данни от мрежовия трафик, събрани от Trans-Pacific. Fontugne и др. 73 категоризират резултатите по подобен начин както Lakhina и др. 74, но вместо да групират откритите аномалии в седем групи, те ги групират в 15.

Gorton75 използва два метода за откриване на аномалии при анализа на логаритмичните данни от рутера - анализ на единичен случай и анализ на прага. Анализът на единичен случай алармира при засичане на проникване, когато едно събитие на проникване бъде открито. При анализа на прага се подава сигнал за открито проникване, когато то е свързано с множество натрупани дейности. В анализа си той събира Syslog съобщения от рутери Cisco и трансформира данните за логаритмите в набор от функции, които са:


  • Време от syslog;

  • Статут, който може да бъде разрешен или забранен;

  • Идентификатор на протокол;

  • Вид услуга;

  • IP адрес на източника;

  • Порт номер на източника;

  • IP адрес на дестинацията;

  • Порт номер на дестинацията;

  • Брой на ICMP съобщения;

  • Брой пакети.

Чрез анализа на единично събитие Gorton е в състояние да открие фалшиви опити за свързване, опити за свързване с познати троянски коне, опити за свързване с открити уязвими портове, Land DoS атака, TCP-излъчване, echo-chargen атака, ICMP и UDP echo поискване. С помощта на анализа на прага Gorton е в състояние да открие SYN наводнения, мрежови мапинг, сканиране на портовете и др.76

Knuuti77 сравнява използваемостта и производителността на три различни IDS в големи IP мрежи. Оценяваните IDS са Snort, Bro-IDS и TRCNetAD. Snort и Bro-IDS са способни да анализират трафика в реално време, докато TRCNetAD открива аномалии, базирани на IDS в нереално време. 78Функциите, които използва Knuuti са 79:



  • IP адрес;

  • Маркирано време;

  • Брой ICMP пакети;

  • Брой UDP потоци;

  • Брой TCP връзки;

  • Количество на получените данни;

  • Количество на изпратените данни;

  • Брой получени пакети;

  • Брой изпратени пакети;

  • Брой на използвани различни порт номера над 1024;

  • Брой на използваните порт номера над 1024;

  • Брой на използвани различни порт номера под 1024;

  • Брой на използваните порт номера под 1024;

  • Брой входящи поредици от различни IP-та;

  • Брой входящи поредици;

  • Брой изходящи поредици от различни IP-та;

  • Брой изходящи поредици.

Knuuti провежда два периода за събиране на данни за IDS с продължителност от една седмица. От събраните данни той генерира динамични редове, които са с 60 минутна дължина, за да се създадат клъстери и за да се анализират данни със самостоятелно организирани карти (self-organising maps). Snort открива над 1,5 милиона прониквания по време на едноседмичния период за улавяне на трафика. Snort е в състояние да открива следните атаки:

  • Buffer overflow атаки;

  • Троянски коне;

  • Отказ на услуга;

  • VoIP атаки;

  • Heap overflow атаки;

  • DNS шпионски атаки;

  • Шпионски софтуер.

Bro-IDS открива около осем хиляди прониквания, които са били адресни и портови скенери. TRCNetAD открива 150 хиляди аномалии за същия период от време. Knuuti оценява също и алармиращите прилики между детекторите и заключенията му са, че TRCNetAD е в състояние да открива някои от портовите и адресни скенери, които Bro-IDS открива, но няма никакви прилики между констатациите на Snort и TRCNetAD.80


  • Изследвания на KDD Cup 1999

Както бе отбелязано в точка 1.2.8, Cup KDD e широко използвана в оценката на изпълнение и откриването на аномалии на системите за засечка на прониквания (IDSes). Налице е същият фундаментален проблем в тези изследвания, който бе описан и в точка 1.2.7. Повечето от проучванията са само описание на постигнатите резултати на IDS, но липсва информация относно начина, по който е успяла да ги постигне. Това, което създава още по-голямо объркване е, че в някои от изследванията учените предполагат, че са използвали всички или само определен брой функции от общо 41 функции на KDD Cup. Сравнение на тези проучвания е невъзможно на базата на наличните данни. Въпреки това, поради популярността на набора от данни на KDD Cup, тези проучвания са достъпни в Интернет и дават подробна информация за функциите и методите, които те използват. Тези изследвания са представени в специализираната литература в тази област.81 82 83 84 85 Тези проучвания оценяват оптималните функции на подмножествата на всяка от петте категории (виж точка 1.2.8) в Lincoln лабораторията с набор от данни от 1998 г. Функциите, извлечени за базата данни KDD Cup 1999 са представени в Таблица 2.1. Функциите в таблица 2.1 са трансформирани в потоци от данни от пакети данни в 1998 Lincoln лаборатория за база данни с помощта на Bro-IDS 30 86 (стр.146). Bro-IDS 87 е много подобен на Argus, разгледан в точка 2.2.1, с тази разлика, че Bro-IDS e също така и IDS.
Таблица 2.1. Функции на KDD Cup 1999 база данни88

Alpha

Zainal и др.89 оценяват в своето изследване скоростта на откриване на IDS с помощта на пет оптимални функции на подмножествата, извлечени от 41 функции на базата данни KDD Cup (вж. таблица 2.1). За извличането те използват пет различни метода за изчисляване и избират шест най-важни функции за всяка подгрупа.


Те извличат две от оптималните функции на подмножествата като използват „частична оптимизация на множеството” (PSO - particle swarm optimisation) и „теорията за грубия набор” (RST – rough set theory). Останалите три подгрупи са избрани според проучването на Sung и др., в коeто се използва SVDF (support vector decision function ranking), LGP (linear genetic programming) и MARS (multivariate regression splines), за да се изберат оптималните функции на подгрупите.90 91Извлечените характеристики са обобщени в Таблица 2.2 (SVDF, MARS, LGP, Rough set и Rough-PSO).

PSO е популационно базиран алгоритъм за търсене, който организира множеството от частици в оптимални региони въз основа на историческото поведение на всяка частица и нейните съседи. RST е инструмент избора на функции, който намира зависимости в данните и намалява броя на функции в един набор от данни.92 SVDF, LGP и MARS се използват по подобен начин, за да изберат оптималните функции на подгрупите, за да се намали броя на функциите в един набор от данни.93

Mukkamala и др.94 използват два метода за класиране и избор, за да изберат подгрупи от функции за всеки атакуващ тип група, описани в Приложение 2. Тези методи за подбор на функции са PBRM (performance-based ranking method) и SVDFRM (support vector decision function ranking method). Избраните функции са обобщени в таблица 2.2 (SVM, SVM (PBMR) и SVM (SVDFMR)). В PBRM на всяка линия се спуска по една функция от набора от функции, а останалите функции от набора се използват за обучение на IDS. След това, представянето на IDS се оценява и ако резултатите се подобрят, спусната функция се маркира като неважна функция. В случай, че резултатите се влошат, спуснатата функция се маркира като важна характеристика и се връща обратно към набора от функции. Това повторение продължава, докато всички функции в набора от функции са тествани и оценени.95

Таблица 3.2. Функции, използвани в изследванията на KDD CUP 99



2.3.2. Пакетно-базирани функции

Kabiri и др.96 провеждат изследвания за идентифицирането на ефективни функции за откриване на прониквания. Те извършват изследвания, свързани с откриване на проучвателни атаки 97 и за откриване на смърф атаки 98. Резултатите от тези изследвания също се използват 99. Kabiri и др. 100 използват Lincoln лабораторията с данни от 1998 г., за да изберат оптималните характеристики на заглавните полета на пакетите на IP и TCP. В приложение 1 са изброени всички 32 основни функции, които те извличат от заглавните полета на мрежовия трафик. Те използват метода на основнокомпонентния анализ (PCA), за да изберат оптималните подгрупи от 32-те функции за всяка от петте категории (виж точка 1.2.8) в Lincoln лабораторията за данни. Предложените функции на подгрупите са посочени в таблица 2.3.

В своята работа Kabiri и др.101 изследват стойността на информацията за всяка категория и заключението им за бъдещата работа заявява, че тези функции трябва да бъдат експериментирани в системата за откриване на проникване. В допълнение, сравнението на точността и ефективността трябва да се извършва с помощта на подгрупи от функции и чрез използването на всичките 32 функции.

Таблица 3.3. Функции, използвани от Kabiri и др.

Carrascal и др.102 използват в своя метод, основан на машинното изучаване, самостоятелно организирани карти заедно с изучаването на векторното квантуване, за откриване на прониквания. Те оценяват тяхната ефективност в откриването на аномалии, като използват Lincoln лабораторията с набори от данни като опитни данни. Нивото на откриване на проникванията в системата е 72%, а процентът на фалшиво засичване е 2%. За сравнение те предоставят списък с други методи за откриване на аномалии, чието ниво на разкриване на прониквания е по-добро от нивото на техния метод, но с по-голяма степен на фалшиви аларми. Функциите, които Carrascal и др. употребяват са 103:



  • Кодиране на TCP флаговете;

  • IP номер на протокола;

  • IP тип услуга;

  • TCP уиндоус;

  • Размер на пакета;

  • Кодиране на ;

  • Порт на местоположението;

  • Порт на източника;

  • IP на източника;

  • IP на местоположението;

  • Кодиране на TCP опциите.

Повечето от функциите са ясни, но кодираните характеристики не са толкова ясни. Carrascal и др.104 комбинират функциите, които имат множество параметри, като например TCP флаговете и TCP опциите на отделни функции. Авторите не обясняват в детайли как е направено кодирането, така че можем само да гадаем какви са точните характеристики в действителност.
2.3.3. SNMP-базирани функции

Lee и др.105 използват Simple Network Management Protocols Management Information Base (SNMP MIB) 106 за откриване на проникване. SNMP е протокол, използван в TCP / IP-мрежа за управление и идеята да го използват като инструмент за наблюдение на сигурността е интригуваща. SNMP логаритмите се генерират в мрежовите устройства във всеки случай и чрез използването на вече налични логаритми не се добавят нови изисквания към мрежовата инфраструктура. С помощта на SNMP MIB, някои от трудностите за откриване на прониквания в мрежата могат да бъдат избегнати. Няма някакви лични притеснения, тъй като поверителната информация на потребителите не е необходимо да бъде анализирана. Също така, нивата на данни са ниски в сравнение с количеството на мрежовия трафик. SNMP MIB не изисква нов хардуер, тъй като SNMP е широко поддържан. 107 В своята работа Lee и др. 108 използват 12 функции от SNMP MIB за откриване на проникване. Трафикът на интерфейсите се оценява чрез анализ на корелацията на съответствието между IP на груповите обекти и интерфейс груповите обекти на SNMP MIB. Функциите на SNMP MIB, които Лий и др. използват, са описани в Таблица 2.4. В заключенията си те предполагат, че само IP груповите функции могат да се използват, за да се подобри изпълнението на анализа.109


Таблица 2.4. SNMP MIB функции

Функция

Описание

ipInReceives

Общ брой на входящите дейтаграми, получени от интерфейси, включително тези, получени в резултат на грешка 110

ipOutRequest

Общ брой на IPv4 дейтаграми, чиито локални IPv4 потребителски протоколи (включително ICMP) са доставени до IPv4 в резултат на искане за трансмисия111

ipForwDatagrams

Брой на входящите дейтаграми, за които тази единица не е крайната дестинация на IPv4, в резултат на която е направен опит да се намери начин да ги предаде на това крайно местоположение [64]

ipOutDiscards

Брой на изходните IPv4 дейтаграми, при които не е срещнат проблем да се предотврати тяхното предаване до местоположението им, но които са били отхвърлени [64]

ipOutNoRoutes

Брой на отхвърлените IPv4 дейтаграми, поради това, че никакъв маршрут не може да бъде намерен за трансмисията им до тяхното местоположение 112

ipFragOKs

Брой на IPv4 дейтаграми, които са били успешно фрагментирани в тази единица [64]

ipFragFails

Брой на IPv4 дейтаграми, които са били отхвърлени, защото е трябвало да бъдат фрагментирани в тази единица, но не са могли, например, тъй като техният нефрагментен флаг е бил създаден113

ipFragCreates

Броят на фрагментите на IPv4 дейтаграмите, които са били създадени в резултат на фрагментация в тази единица 114

ifInUcastPkts

Брой на пакетите, доставени от този подслой към по-висок (под-) слой, които не са били адресирани до мултикаст или броудкаст адрес на този подслой 115

ifInNUcastPkts

Брой на пакетите, доставени от този подслой към по-висок (под-) слой, които не са били адресирани до мултикаст или броудкаст адрес на този подслой 116

ifOutUcastPkts

Общ брой на пакетите, които протоколите от по-високо ниво са поискали да бъдат изпратени и, които не са били адресирани до мултикаст или броудкаст адрес на този подслой, включително тези, които са били отхвърлени или не са били изпратени117

ifOutNUcastPkts

Общ брой на пакетите, които протоколите от по-високо ниво са поискали да бъдат изпратени и, които не са били адресирани до мултикаст или броудкаст адрес на този подслой, включително тези, които са били отхвърлени или не са били изпратени118



2.3.4 Функции, използвани от мониторинга на потребителското оборудване

Комбинация от хост базирана система за откриване на прониквания (HIDS) и дистанционен сървър за откриване на прониквания е система, предложена от Miettinen и др.119 и по-късно се използва от Schmidt и др.120. При тази система потребителското оборудване (ПО) има хост-базиран IDS наблюдение на поведението на ПО и проследява тези наблюдавани характеристики на отдалечен IDS сървър. Отдалеченият сървър анализира функциите за аномалии като червеи и друг злонамерен софтуер.121Функции, които Schmidt и др. наблюдават са122:



  • Количество наличен RAM;

  • Брой създадени TCP/IP връзки;

  • Престой на потребителя в секунди;

  • Заетост на процесора в проценти;

  • Ниво на заряд на батерията;

  • Индикатор на потребителския престой „Bool”, който е верен ако потребителят е в престой и грешен, ако не е;

  • Налично пространство в хард-диска;

  • Количество работещи теми;

  • ID на мрежовата клетка на мобилния телефон;

  • Брой инсталирани приложения;

  • Брой на отворените Bluetooth връзки;

  • Брой на изпратените SMS съобщения;

  • Брой на изпратените MMS съобщения;

  • Брой на получените MMS съобщения.

Прехвърлянето на наблюдаваните характеристики се предполага, че прекрачва лимита за памет на потребителското оборудване. Потребителското оборудване е в състояние да следи системата на собственото си поведение, но му липсва капацитет за анализ на откритите прониквания. Отдалеченият IDS сървър е в състояние да анализира информация, предоставена от множество потребителски оборудвания.123


      1. Използвани функции при временния мрежови мониторинг

Huang и др.124 описват метода за откриване на аномалии в маршрути за специализирани мрежи. Те създават списък на комплекти от атрибути за две различни групи, които не са свързани с трафика и такива, които са свързани с трафика.125

Атрибутите, които не са свързани с трафика са:



  • Време за маркировка;

  • Възлова скорост на движение (скала);

  • Добавяне на маршрут към новодобавени маршрути посредством откриване на маршрути;

  • Брой отстранени маршрути - за стари маршрути, които са били премахнати;

  • Брой на намерените маршрути – за кеширани маршрути, които не се нуждаят от преоткриване;

  • Известие за броя на маршрутите – за добавени маршрути чрез подслушване;

  • Брой маршрути за ремонт – за счупени маршрути, които понастоящем са в ремонт;

  • Коефициент на общата промяна на маршрутите в рамките на периода;

  • Средна продължителност на активните маршрути.

Атрибутите, свързани с трафика са:

  • Типа пакет от данни, маршрут, съобщения „ROUTE REQUEST”, „ROUTE REPLY”, „ROUTE ERROR” и „HELLO”;

  • Посока на получените, изпратените, препратените и изпуснатите потоци;

  • Пробни периоди на 5, 60 и 900 секунди;

  • Статистика, мярка, брой и стандартно отклонение на интер-пакетните интервали.

Списъкът от свързани с трафика атрибути е съдържа 132 различни функции. Формула, която се използва за изчисляване на количеството на различните функции е (6 x4 - 2) x3 X2. Същите функции се използват от Huang и др.126

Wang и др. използват подобни атрибути като тези на Huang и др.127, но с малка разлика. Те разделят типа пакетни данни на два отделни вида: размера на данните и номер на данните. В допълнение, те пропускат статистиката, измерването, броят и изчислението на стандартните отклонения на интерепакетните интервали от наблюдаваните атрибути, за да се намали общата сума от функции, които биха били общо 150. Без тези атрибути, общият размер на наблюдаваните функции е 75. В техните изчисления Wang и др. още повече намаляват общата сума на функции от 75 на 25. 128




Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт

Изтегляне 1.07 Mb.

Сподели с приятели:
1   2   3   4   5



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание