Анализ на трафика за засичане на прониквания в телекомуникационните мрежи



Изтегляне 1.07 Mb.
страница3/5
Дата05.02.2018
Размер1.07 Mb.
#54488
ТипАнализ
1   2   3   4   5
Глава 3. Избор на функции
Средата, в която се намира IDS влияе значително на функциите, които могат да бъдат използвани от IDS. В точка 2.3 бе описан набор от различни списъци от функции. Ясно е, че различните източници на данни произвеждат различни видове функции. Например, ако кепчърът на мрежовия трафик е блок-базиран, той осигурява напълно различна информация от пакетния кепчър. В допълнение, към мрежовия трафик, има и други източници на данни (виж точка 2.2), от които е избрано подмножество от функции и се екстрахира чрез използването на методи за анализ на функциите, описани в точка 2.1.

В настоящата дипломна работа се използват три подхода, за да се изберат съответните функции от мрежовия трафик. Това са: анализът на списъка от функции, описан в точка 2.3, анализът на различните методи за атака и как те влияят на мрежовия трафик и оценката на друга съпътстваща информация, свързана с литературата на избраната от автора тема.


3.1. Анализ на функциите

Както бе посочено в точка 2.1, има две различни тенденции в начините за извличане на функциите. Те могат да бъдат избрани с помощта на алгоритъм, който изчислява корелирани функции и намалява съкращенията в данните (намаляване на функции) или могат да бъдат извлечени нови функции от вече наличните такива (избор на функции). В тази дипломна работа изборът на функции се осъществява чрез анализ на атаки в рамките на Lincoln лабораторията с набор от данни от 1999 г. (вж. точка 1.2.8) и чрез проследяване на начина по който всяка атака влияе на мрежовия трафик. Чрез различни сценарии, се избира подмножеството от функции, които са най-релевантни за съответната категория атака. Методът, използван за наблюдение на мрежовия трафик се основава на данни, базирани на потоци. Има много предимства при използването на потоци от данни, вместо на пакети от данни. Основното предимство идва от намалената нужда от пространство за съхранение на данните. Мрежовите потоци изискват една десета от пространството, необходимо за пакетни данни, което е огромна разлика. Друго предимство е, че потокът от данни като цяло не съдържа контролни данни. Така че, поверителността на потребителите вече не е проблем. Също така, обемът на трафика, като например броят на пакетите и байтове между дестинациите са лесно извлечени от потока данни, поради това, допълнителни изчисления следователно не са необходими. Недостатъкът на тези данни е, разбира се, загубата на индивидуален пакет от информация, като например размера на пакета, структурата на пакетите, за да могат са се открият такива малформации и т.н. Въпреки това, те могат да бъдат наблюдавани чрез други методи, като например откриване на злоупотреби на базата на IDS.


3.1.1. Сценарии за атака

Чрез анализа на познати атаки и тяхното влияние върху нормалното движение на мрежата е възможно да се определи кои функции са засегнати и следователно трябва да бъдат наблюдавани. Идеята на този подход е да се определят характеристиките на определена група от атаки. Това се прави чрез анализ на нападенията в Lincoln лаборатория с набор от данни от 1999 (вж. точка 1.2.8). Категориите атаки в данните са: отказ на обслужване, проучвайки потребителя да изкорени дистанционното управление за потребителските данни




  • Отказ на услуги

DoS атаките влияят на използваемостта и достъпа до мрежови услуги като интернет, поща, пренос на гласови съобщения и данни. Тези атаки се отразяват на репутацията на CSP. В повечето случаи, самата атака не се открива, преди услугата или елемент в мрежата да бъде поразен от размера на данните, които получава. Независимо от това, има някои модели, които могат да бъдат открити. Според Depren и др.129 някои от DoS атаките се откриват чрез наблюдение на размера на потоците от данни, получени от местоположението в сравнение с количеството данни, изпратени от източника. В нормалния случай, количеството на изпратените данни е около 40-50 байта, както и размера на получените данни също е около 40-50 байта. В случай на DOS атака, количеството на изпратените байтове остава на същото ниво от 40-50 байта, но размерът на получените байтове е нула.

Lincoln лабораторията с набор от данни съдържа множество DoS атаки, които използват различни методи и техники за унищожение на целевия хост или услуга. В следващите параграфи ще бъдат разгледани някои от атаките и тяхното влияние върху мрежовия трафик. В допълнение към тези атаки, има няколко други в данните на лаборатория Lincoln , но тяхното влияние върху мрежовия трафик е или подобно на това, разгледано по-долу или откриването му изисква DPI, което не е възможно да се направи поради ограниченията за поверителност на потребителите. Използването на HTTP е възможно да предизвика състояние на DoS. Това може да се постигне чрез поставяне на няколко (повече от 20) заглавия в едно HTTP-съобщение. В Lincoln лабораторията за база данни, атаката Apache2 изпраща HTTP-заявка, която съдържа 10 000 заглавия в едно съобщение.130

Нападателят изпраща TCP SYN-съобщение, което има същия адрес като този на източника и на назначението. Земната атака изисква само един пакет да бъде изпратен на местоположението. Тази атака вече не е възможна, тъй като новите системи могат да се справят с тези съобщения. Но в случай на грешка в системния код или повторно използване на стария, това все още може да бъде възможно, дори и днес. Ето защо, тези пакети трябва да се наблюдават в рамките на мрежовия трафик.131

ICMP-съобщенията с по-голям полезен товар от 64KB могат да доведат до непредсказуеми реакции в целевите системи. Тази атака, известна също като „смъртоносно известяване”, е приложима за големи операционни системи, които не могат да се справят с необичайни ICMP-съобщения. A деформираното ICMP съобщение причинява замръзване, рестартиране или разруха на системата при назначението. Съвременните операционни системи вече не се влияят от тази атака, но все още е възможно някои да се държат необичайно, когато извънгабаритно ICMP съобщение е получено. Ето защо, тези съобщения трябва да бъдат наблюдавани.132 В допълнение, други протоколи трябва да бъдат наблюдавани, тъй като същият метод, използван с ICMP може да бъде използван също така и с други протоколи. Targa3 е пример за инструмент, който генерира малформации на IP пакети133.

При Smurf атака целевият хост е наводнен от множество ICMP съобщения за реакция от множество източници. Атаката изисква три обекта - хакери, посредници и дестинация. Хакерът изпраща ICMP пакети с искане до посредника с целевия хост като адрес на източника. Посредникът след това изпраща съобщения за отговор на целевия хост. За да може този сценарий да предизвика DoS атака до целта, атакуващият трябва да изпрати няколко съобщения до множество посредници. Тези посредници след това следва да изпратят голям брой съобщения за отговор до целта, която няма да бъде в състояние да се справи с големия броя на получените съобщения. Този вид разпределителна атака е известна също като разпределени DoS. Smurf атаката може да се открие, когато голям брой ICMP отговори се изпращат на една дестинация.134

SYN-наводненията заедно с IP-измамите са пример за DoS атаки. При SYN-наводненията нападателят изпраща множество SYN-послания към целевия сървър с подменен IP адрес на източника. Сървърът се опитва да отговори на тези съобщения с SYN-ACK-съобщение и чака ACK-съобщение от източника. Тъй като адресът на източника е фалшифициран, сървърът никога няма да получи отговор на SYN-ACK-съобщението. Сървърът генерира блок за контрол на предаването (TCB), който посочва, че е зает за всяка връзка и свободен след като връзката е затворена (при получено ACK-съобщение). Ако нападателят продължава да изпраща SYN-съобщения, TCB-масата започва да се запълва и след известно време масата е запълнена от тези полуотворени връзки и някои от допълнителните последващи връзки са отхвърлени. TCB се изпразва в рамките на определен период от време, но това не помага, ако нападателят продължава да изпраща SYN-съобщения с подменен IP адрес.135Откриването на атаки от SYN-наводнения може да е трудно, тъй като самите съобщения изглеждат законни. Все още има някои „улики”, белези, които могат да подскажат предстояща атака от SYN-наводнения. Един от начините, разбира се, е да се забележи, че целевият хост не е достъпен. Това е, разбира се, резултатът от атаката и поради това не е най-добрият начин да разберете, че се сте обект на злонамерен акт. Друг начин да разберете, че е възможна атака на SYN-наводнения е в ход, е да се провери състоянието на хост масите. Ако има твърде много връзки в SYN_RECEIVED състояние, това може да се дължи на SYN-flooding атака.136

Flash crawd е атака, която не присъства в „атентатите” в данните на Lincoln лабораторията, но е много често основната причина за състоянието на DoS в сервиз. Поради това, се обсъжда също така от автора в този контекст. Flash crawd е атака, която се базира на масивно количество от хора, искащи връзка или услуга от една дестинация. Размерът на исканията става прекалено голям за дестинацията за да се справи с тях, което в крайна сметка ще доведе до състояние DoS. Flash crawd може да се появи умишлено или неволно. Умишлено причинени flash crawd атака се извършва, насочвайки хора или компютри да се свържат с една-единствена услуга по едно и също време. Пример за непреднамерено създадена flash crawd се случва често, когато е натрупана националната лотария с голям джакпот и хората се опитват да видят резултатите в уеб страниците. Flash crawd атаките могат да бъдат открити чрез количеството на мрежовия трафик и най-вече от размера на заявка за услуга в рамките на кратък период от време137.

Като цяло, повечето DoS атаки изискват множество пакети да бъдат изпратени до целевия хост, което ще доведе до претоварване на паметта и процесора, рестартиране и др. аномалии, които няма да позволят на потребителите достъп до услугата. Има примери за отделни пакети, които предизвикват катастрофа на дестинацията, като в случай на ping of death (предизвестяващи смърт) атаки. Функциите, които трябва да бъдат наблюдавани за DoS атаки са:



  • Размер на получени и изпратени байтове;

  • Брой връзки от различни източници към една дестинация;

  • Брой пакети към една дестинация;

  • Брой потоци към една дестинация;

  • Размер на ICMP пакети (неоткриваеми в потока от данни );

  • Деформирани пакети като HTTP съобщения с множество заглавни полета (неоткриваеми в потока от данни)




  • Проучване/Probing

Мрежовият мапинг и проучването са примери за разузнавателни атаки, когато нападателят се опитва да очертае IP адреси и операционни системи, които са в употреба. Освен това, нападателят се опитва да разберете какви услуги предлагат компютрите. Мрежовият мапинг означава действие, при което нападателят се опитва да очертае инфраструктурата на мрежата. За да направи това, нападателят следователно насочва всички компютри в мрежата. Въпреки това, проучването е атака, която се опитва да открие информация от един компютър. Чрез network mapping и probing атаките нападателят се опитва да открие всички възможни средства и методи, които могат да бъдат използвани, за извършването на други атаки като отказ на услуга или придобиване на неоторизиран достъп до вътрешната мрежа. Въпреки че разузнавателните атаки не са толкова сериозна заплаха, както DoS атаките, те все още са обект на наблюдение, тъй като са предзнаменование за по-злонамерени дейности.

Изпращането на едно ICMP съобщение за ехо заявка е най-разпространеният начин да се разбере дали има компютър с този IP-адрес. Този вид атака на мрежови мапинг се открива лесно чрез защитни стени, и поради това не представлява сериозна заплаха за мрежата.

По-сложен метод е разузнаване през порт, който използва TCP протокол и комуникациите през този порт се предават през защитните стени. С изпращане на съобщения чрез този порт е възможно да се набележи всеки компютър в мрежата. Например, ако Telnet връзките са позволени чрез номер на порт 23, атакуващият може да изпрати TCP SYN-съобщения до компютри през този порт. Този вид атака е лесно откриваема, ако атакуващият изпраща няколко съобщения в рамките на кратък период от време. Ако нападателят разпределя разузнавателните съобщения произволно във времето между пакетите, тогава е по-трудно да се разбере, че тези отделни съобщения са част от разузнавателна атака. Особено, ако нападателят е заинтересовани само в намирането на една малка група от компютри в мрежата, вместо да се опитвате да намерите всички възможни компютри, би било още по-трудно да се открие атаката.138

Чрез използването на различни опции на TCP флагове (АСК), нападателят може да изглежда като че ли отговаря на заявките за връзка, което привидно ще изглежда като законно действие. В този случай, нападателят ще изпрати TCP съобщения с ACK флаг чрез същия порт (23) по същия начин както преди това на компютрите в мрежата. За да стане атаката още по-сложна, хакерът може да използва специфичен порт на източника, като например 80, за да имитира съобщения за отговор на уеб сървъра. За да се открият тези разузнаващи атаки, IDS или защитната стена ще трябва да се следят състоянията на връзките . В пътния поток между две лица, това означава, че ако има много ACK-флаг TCP съобщения , които идват без никакви SYN-флаг TCP съобщения, които някога са били изпратени, състоянията са неверни и съобщенията са част от разузнавателна атака. Нападателят също може да използва RESET флагове, за да постигне същата цел, както беше с АСК и SYN флаговете. RESET съобщенията представляват по-голяма заплаха, отколкото другите, тъй като те не винаги са наблюдавани от защитни стени и други системи за наблюдение. В случай че защитните стени или IDS не са в активно състояние, те биха могли да позволят на тези съобщения да проникнат във вътрешната мрежа.

Чрез сканиране на всички или само на определена група от портовете на целевия компютър, атакуващият се опитва да разбере дали има открит порт или услуга, която може да използва. В допълнение, към намирането портовете, които се използват или могат да бъдат отворени, атакуващият се опитва да разбере какви версии на услугите се използват. Тази информация е ценна за нападателя, защото след това може да разберете какви са познатите уязвимости, с конкретната версия на услугата.139


  • Порт сканиране

Самото сканиране може да се открие лесно, ако то е в постоянна активност, което означава, че хакерът често изпраща пакети за множество портове на един хост. Ако нападателят разпределя атаката сканиране на портовете, тогава е по-трудно да бъде открита. Например, атакуващият може да изпрати един пакет до местоназначението и да чака дълъг период от време, преди да изпрати друг пакет. IDS без знание от случилото се преди това, е затруднена в откриването на този вид атаки на единични пакети. Друга версия на разпределената атака на порт сканирането, е да се използват различни източници за извършване на сканиране и след това да се комбинират резултатите от това. Отново, ако атаката е в рамките на кратък период от време, е по-откриваема, отколкото когато времето между пакетите е по-дълго.140

Други начини за извършване на разузнаване е социалното инженерство, фишингът и пасивното подслушване на мрежовия трафик. Въпреки това, тези атаки не са откриваеми чрез наблюдение на мрежовия трафик.

Мрежовият мапинг и разузнаващите атаки се основават на методи, които използват или единични или няколко пакета. С динамична защитна стена или IDS е възможно най-лесно да бъдат откривани атаки, принадлежащи към тази група. Функциите, които трябва да бъдат наблюдавани за пробните атаки са:


  • Състояние на връзките;

  • Брой портове, достигнати от един източник;

  • Брой ICMP пакети от един източник;

  • TCP флагови комбинации




  • Атаки срещу мейл или уеб сървъри

Тази група от атаки е комбинация от DoS и пробни атаки, които са насочени към услугите в наблюдаваната мрежа. Атаките в тази категория са уеб и мейл бомби. И двете атаки разчитат на същата техника, която предизвиква катастрофа или отслабване на услугите в целевия хост. И в двата случая, нападателят изпраща няколко съобщения (поща или уеб искане) за целевата услуга. След като броят на получените съобщения става твърде голям, качеството на целевата услуга ще пострада и в най-лошия случай услугата се унищожава.141 Отгатването на паролите може да бъде отнесено в тази категория, тъй като нападателят се опитва да придобие неоторизиран достъп до CPI услуги. Както при мрежовия трафик, атакуващият може да се опита да отгатне паролата и да получи достъп до услугата чрез груба сила, която ще изисква множество заявки за услуги в рамките на кратък период от време. Нападателят може и да разпространява отгатнатата парола, като изпраща заявки за време с различен диапазон между времената. Разпределените атаки са по-трудни за откриване в сравнение с грубите силови атаки. С хост базираната IDS, целевата система може да следи за броя на неправилно отгатнатите пароли от определени IP адреси. Така че, дори когато нападателят е разпространил заявки за услуги, HIDS е в състояние да ги открие. От мрежовия трафик, същото може да се установи чрез наблюдение на броя на заявките за услуги към една дестинация.

С мейл услугите е трудно да се създаде специален праг, който да разграничава нормалния брой на съобщения от ненормалното количество. Това изисква мониторинг на броя на съобщенията, за да се разбере какво е нормалното количество съобщения. Функциите, които трябва да бъдат наблюдавани за атаки срещу услуги са:



  • Брой заявки за услуги;

  • Брой пакети към една услуга;

  • Брой потоци към една услуга.




  • Внедряване на потребителя

U2R атаките са откриваеми с IDS базирани злоупотреби от пакетите на мрежовия трафик. Атаки, принадлежащи към тази категория имат различим модел или количество полезен товар, който може да се търси. Откриването на аномалии, основавано на IDS, която не следи полезния товар на пакета, следователно не може да открие атаки, принадлежащи към тази категория. Разбира се, някои атаки могат да бъдат открити, но тъй като повечето от тях засягат само полезния товар, откриването на тези атаки с аномалии с помощта на IDS следователно не се очаква.


  • Дистанционно за потребителя

Подобно на U2R атаките, R2U атаките са откриваеми само от контролните данни, наблюдавайки за конкретни модели. Някои от атаките, обаче, също се откриват от мрежовия трафик, чрез наблюдение на малформации на пакетите, които са извънгабаритни, фрагментирани или използват, например, необичайни TCP флаг опции.142

  • Данни

Тази група съдържа една атака, известен като "тайна" (secret), в която нападателят се опитва да прехвърли данните от легално място към нелегално такова. За да се открият тези действия, системата трябва да знае кои файлове са тайни. Това изисква хост-базирани IDS, които ще наблюдават действията по отношение на използването на тези файлове.143
3.1.2. Предшестващо състояние на техниката

Maselli и др. 144 са определили глобалните функции, които могат да бъдат използвани с цел успех в откриването на мрежови аномалии, независимо от мрежовата инфраструктура или потребителите. Те са изследвали различни подходи към проблема с избора на най-подходящите функции за наблюдение. Тяхното изследване комбинира статични и динамични знания за трафика. Статичните знания за трафика съдържат анализ на нарушенията в мрежовата сигурност, десекция на IP протокола и контрол на движението на мрежовия трафик. В допълнение, те изследват какви функции мрежовите системни администратори наблюдават. Динамичните знания за трафика съдържат анализ на начина, по който системните администратори определят броячите и съответните прагове за всеки протокол, за да моделират нормалния мрежовия трафик и за да различават ненормалния трафик от него. Обобщението на техните заключения е представено в следните списъци:

Наблюдение на обем на трафика според TCP / IP протоколите:


  • Брой пакети на източника на един протокол;

  • Брой пакети на дестинацията на един протокол;

  • Брой на изходните байтове в един протокол;

  • Брой байтове на дестинацията в едн протокол.

Наблюдение на TCP историята на сесиите, която съдържа информация за:



  • IP адрес на източника;

  • Номер на порта при източника;

  • IP адрес на получателя;

  • Порт номер на получателя;

  • Продължителност на връзката;

  • Размер на TCP прозореца;

  • TTL статистика;

  • Количество на повторно предадените данни;

  • Процент на фрагментираните пакети.

Наблюдение на разпределението на трафика:



  • Количество на локалния трафик срещу количество на отдалечения трафик;

  • Количество трафик на всяка връзка/поток на приложение;

  • Количество на използвана честотна лента.

Наблюдение на разпределението на пакета:


Въпреки че характеристиките, описани от Maselli и др.145 са на високо ниво, те все пак дават основание за изводите, които са направени въз основа на анализа на атаките и сравняват използваните функции в предшестващото състоянието на техниката.


3.2. Подмножество от функции

Въз основа на наличната информация от различни източници, като тезата на Knuuti146 и научните изследвания на Gorton за известяване на корелацията, научните изследвания за откриване на прониквания в мрежовия трафик споделят общи функции, които се наричат ​​IP пакетни петорни идентификатори на потока: адреса на получателя, адрес на източника, порт на получателя, порт на източник и идентифициращ протокол.

Също така, на базата на различните източници, като Knuuti и Gorton, се стига до извода, че една ефективна IDS може да бъде извършена само с помощта на IP петорни пакети като основа. С IP петорните пакети е възможно да се открият най-известните аномалии или поне група от седем известни подмножества, които Lakhina и др. откриват.

Възможно е IDS дори да бъде още по-точна при откриването на прониквания, когато базовите функции се разширят чрез наблюдение на специфични особености. Например, комбинацията от статистически данни от мрежови елементи (техния статут, CPU потребление), заедно с потребителска статистика (техния брой, активност и т.н.) и потоци на мрежови трафик могат да подобрят точността с по-малко фалшиви положителни и негативи резултати.



След анализа на функциите на сценариите за оглед на атака, изглежда, че функциите, използвани от Knuuti са много сходни с функциите, които трябва да бъдат наблюдавани за всяка категория атаки. Функциите, използвани от Knuuti (виж точка 2.3.1) бяха избрани като основа, от която подгрупи от характеристики могат да бъдат извлечени. Функциите, които ще бъдат наблюдавани, са изброени в Таблица 3.1.
Таблица 3.1. Избрани подмножества от функции

Функция

Всички

Knuuti

Probe

DoS

Мейл сървър

IP адрес

Х

Х

Х

Х

Х

Времеви индикатор

Х

Х

Х

Х

Х

Брой приемащи поредици

Х

Х










Брой приемащи поредици от различни IP адрес

Х

Х










Брой изпращащи поредици

Х

Х




Х




Брой изпращащи поредици към различни IP адреси

Х

Х










Количество на получените данни

Х

Х




Х




Количество на изпратените данни

Х

Х




Х




Количество на получените пакети

Х







Х

Х

Количество на изпратените пакети

Х







Х

Х

Брой на различните използвани номера на портове, които са по-големи от 1024

Х

Х










Брой на използваните номера на портове, които са по-големи от 1024

Х

Х

Х







Брой на различните използвани номера на портове, които са по-малки или точно 1024

Х

Х

Х







Брой на използваните номера на портове, които са по-малки или точно 1024

Х

Х

Х







Брой UDP потоци

Х

Х

Х

Х

Х

Брой TCP връзки

Х

Х

Х

Х

Х

Брой ICMP пакети

Х

Х

Х

Х

Х

Брой SMTP връзки

Х










Х

Брой FTP връзки

Х










Х

Брой HTTP връзки

Х










Х

Брой DNS връзки

Х










Х

Брой Telnet връзки

Х










Х

Брой SSH връзки

Х










Х

Функциите, описани в Таблица 3.1 са статистическо представяне на активността на мрежовия трафик в определен времеви прозорец. Този формат е също познат като времеви редове. От гледна точка на откриването на аномалии, времевите редове са полезни, тъй като те са по-леки от гледна точка на преработката на изискванията и изискват по-малко пространство в твърдите дискове, в сравнение с пакетите от данни.


Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт

Изтегляне 1.07 Mb.

Сподели с приятели:
1   2   3   4   5



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание