Морозов Д.И

УДК 004.43
Морозов Д.И.
Тюменский государственный Университет, г. Тюмень
АЛГОРИТМ ДЕТЕКТИРОВАНИЯ АНОМАЛЬНОЙ СЕТЕВОЙ
АКТИВНОСТИ УЗЛОВ ETHERNET-СЕГМЕНТА.
Современный подход к обеспечению безопасности информационных систем и
сетей корпоративного уровня строится по ``пронизывающей'' методике. Такую
методику можно описать как распределение политики безопасности на всех участников
(объектов и субъектов) информационной системы[1].
Рассмотрим типичный пример внедрения «сквозной» системы информационной
безопасности. На этапе проектирования описывается сетевая архитектура будущей
информационной системы, рассчитываются потребности в полосах пропускания для
разных категорий сетевых приложений и сервисов, выбираются топологии и среды
передачи.
Одновременно
производится
сегментирование
WAN
и
LAN
на
концептуальные блоки: доступа (access), дистрибуции (distribution), ядра (core).
Очевидно, что наиболее рациональным (как по производительности, так и по
функциональности) будет осуществлять первичный контроль доступа (L2-MAC) на
уровне ``access'', более сложные механизмы контроля доступа (L3-IP) и обеспечение
качества обслуживания (QoS) следует применить на уровне ``distribution'', а уровень
``core'' занять исключительно передачей данных.
При последующем уточнении концептуальных схем выделенных блоков
становится ясно, что формирование защитного периметра только на уровне
дистрибуции WAN и Интернет не является достаточным.
Целесообразным будет являться устройство сенсоров аномальной активности в
различных участках сети на уровне доступа. В рамках данной статьи рассматривается
разработанный алгоритм оценки аномальности сетевого трафика генерируемого
пользователями одного или нескольких широковещательных доменов Ethernet.
Для анализа трафика на аномальность в сегменте, к коммутатору подключается
узел-ловушка. Весь трафик от узлов подключенных к коммутатору копируется на этот
порт и разбирается узлом-ловушкой на основе заданных критериев.
Критериями при оценке аномальности трафика в сетевом сегменте можно
признать:

последовательный перебор ip-адресов сначала своей подсети и затем перебор
следующей подсети[2];

инициация
соединения
с
последовательно
возрастающего
номера
порта
предположительно зараженной машины;

инициация соединения на строго определенные порты заражаемого узла[2];

резко возросшее количество генерируемого сетевого трафика в единицу времени[3];

инициация соединений на необычные для данного сетевого сегмента адреса и порты
(необычность
подразумевается
как
нехарактерные
при
нормальном
функционировании соединения к адресам и портам).
После активации узла-ловушки и сбора ей данных в накопительном режиме,
производится анализ трафика и построение шаблона трафика для данного сетевого
сегмента. В шаблоне учитываются временные рамки сгенерированного трафика,
используемые сетевые протоколы, адреса, порты. После завершения накопительного
этапа узел-ловушка переходит в режим анализа поступающего сетевого трафика и
сравнения его с подготовленным шаблоном. Т.о. можно с достаточно большой
вероятностью
указать
на
аномальности
сетевого
трафика
при
несовпадении
полученных данных с шаблоном.
Построение шаблона производится по следующему алгоритму:
1. определяется IP и MAC адрес отправителя
2. определяется протокол (TCP/UDP)
3. определяется порт отправителя и получателя
4. данные заносятся в файл с временной меткой
По итогам наблюдений данные на каждый конкретный узел-отправитель
усредняются с интервалом 5 минут и заносятся в соответствующую протоколу
(TCP/UDP) и порту таблицу.
Анализ поступающего трафика производится подобным образом, с тем
отличием, что данные после усреднения сравниваются сначала с данными за
предыдущие сутки в этот же промежуток времени, а затем если отклонение превышает
заданный порог, производится сравнение с усредненными данными за неделю. При
превышении заданного порога, производится уведомление администратора системы о
возможной аномальности трафика от узла.
Литература:
1. BSI Global: BS/ISO-17999, http://www.bsi-global.com/Global/bs7799.xalter
2. V.H. Berk, R.S. Gray, and G. Bakos. Using sensor networks and data fusion for early
detection of active worms. In Proceedings of the SPIE AeroSense, 2003.
3. C. C. Zou, L. Gao, W. Gong, and D. Towsley. Monitoring and early warning for internet
worms. In Proceedings of 10th ACM Conference on Computer and Communications
Security (CCS’03), October 2003.
4. M. Roesch. Snort: Lightweight intrusion detection for networks. In Proceedings of the
1999 USENIX LISA Systems Administration Conference, November 1999. (software
available from http://www.snort.org/).