Анализ динамики интернет-угроз сети Красноярского научного центра Сибирского отделения Российской академии наук
Автор: Исаев Сергей Владиславович
Журнал: Сибирский аэрокосмический журнал @vestnik-sibsau
Рубрика: Математика, механика, информатика
Статья в выпуске: 3 (43), 2012 года.
Бесплатный доступ
Выполнен анализ интернет-угроз на основе многолетних данных работы сети Красноярского научного центра Сибирского отделения Российской академии наук. Выявлены основные тенденции развития опасных факторов и структура источников опасностей.
Интернет, вирусы, электронная почта, защита информации
Короткий адрес: https://sciup.org/148176856
IDR: 148176856
Текст научной статьи Анализ динамики интернет-угроз сети Красноярского научного центра Сибирского отделения Российской академии наук
В связи с развитием информационных и телекоммуникационных технологий, а также с расширением круга пользователей, подключенных к сети Интернет, задачи обеспечения информационной безопасности становятся все более актуальными. В Институте вычислительного моделирования Сибирского отделения (СО) Российской академии наук (РАН) на протяжении пяти последних лет ведется работа по сбору данных о возможных информационных угрозах, таких как попытки вторжений, вирусная активность и несанкционированные почтовые рассылки. Целью данной работы является попытка анализа полученных данных и их сравнение с общемировыми тенденциями.
Проблемы защиты информации широко обсуждаются в интернет-среде [1] и печатных источниках. При этом предлагаются не только методы и решения для частных случаев, но и общие принципы разработки систем защиты [2; 3]. Однако для комплексной защиты сети в каждом конкретном случае требуется вырабатывать адекватное решение, учитывающее особенности организации сети, виды защищаемой информации, круг пользователей и основанное на анализе динамики интернет-угроз.
Корпоративная сеть Красноярского научного центра (КНЦ) объединяет девять организаций Сибирского отделения РАН и соединена как с сетью Интернет, так и с сетью образовательных учреждений Красноярска. Общая длина линий магистральных линий связи – более 15 км, число пользователей во всех организациях – более 1 000. Большинство узлов сети не содержат какой-либо конфиденциальной информации и нуждаются в защите только от вредоносных воздействий.
Трехуровневая архитектура корпоративной сети (рис. 1) позволяет максимально эффективно управлять информационными потоками и их защитой. Критически важные узлы отделены от подсети общего информационного потока средствами сетевой адресации и межсетевыми экранами. Конфигурация внутренней сети скрыта от внешнего мира при помощи механизма преобразования адресов и использования в качестве посредника прокси-сервера. Имеются средства регистрации пользователей, обеспечивающие однозначную классификацию трафика и протоколирование в системном журнале.

Рис. 1. Структура корпоративной сети
Процент спама

Рис. 2. Изменение процента спама в 2006 г. после введения «серых» списков
Для анализа тенденций безопасности были взяты три источника:
– журнал системы обнаружения вторжений, функционирующий на маршрутизаторе интерсетевого взаимодействия и шлюзе корпоративной сети;
– журнал антивирусной системы корпоративного почтового сервера КНЦ СО РАН;
– журнал системы пометки спама корпоративного почтового сервера КНЦ СО РАН.
Начало наблюдений относится к 2006 г., когда спам составлял от 80 до 30 %, среднее ежедневное количество писем с вирусами – 50, в отдельные периоды – более 200. После введения «серых» списков на сервер электронной почты количество спама уменьшилось в 4 раза (рис. 2). Но, к сожалению, далее этот метод перестал работать столь эффективно.
В 2007 г. процент спама стабилизировался на уровне 50 %, среднее количество вирусов составляло около 50 с подъемом в периоды эпидемии до 400 (рис. 3).
В этой связи можно отметить, что на протяжении нескольких лет (2006–2008 гг.) вирусные эпидемии фиксировались в новогодние праздники и в конце лета.
Для 2008 г. были характерны следующие показатели:
‒ средний процент спама – около 70 %, причем количество российских источников спама превысило количество источников спама из США;
‒ среднее количество вирусов в почте – около 10, в периоды эпидемий – более 100;
‒ количество срабатываний системы обнаружения попыток вторжений составило 4 226, распределение по странам см. на рис. 5.
Кроме того, в 2008 г. было закрыто большое количество ботнет-сетей, что привело к резкому снижению процента спама в почте к концу года до 30 %. На протяжении 2009 г. этот показатель сохранялся примерно на том же уровне, что и вирусная активность.

Рис. 3. Вирусные эпидемии в 2007 г.
Тур ц 5%
Поль
2%

Индия 6%
США 11%
Корея 6%
Китай 9%
Прочие 17%
Россия 13%
Гр еция 2% нглия 3%
Германия 2%
Евросоюз 7%
Бразилия 6%
Колумб ия Украина
2% Аргентина 2%
2% Испания
Таил анд
2% 2%
Рис. 4. Источники спама за 2008 г.
рочие 29%
Китай 18%
США 14%
Канада 2%
Ан гл
2%
Корея 5%
Япон
2%
Россия 2%
П
ольша 3%
Франция
3%
Италия
3%
Тайвань 5%
Индия 4%
Бразилия 4%
Германия 4%
Рис. 5. Источники попыток несанкционированного входа в 2008 г.
В 2010 г. процент спама в почте снизился до 20 %, среднее количество вирусов не превысило 10, периоды массовых вирусных эпидемий отсутствовали. Доля российских источников спама превысила долю США в 2 раза и составила 11 % (рис. 6).
В 2011 г. количество обнаруженных вирусов в почте достигло 3 500. Среди лидеров по источникам спама появились азиатские страны: Индия, Корея, Вьетнам. Китай же, наоборот, переместился в нижнюю часть рейтинга.
Количество срабатываний системы обнаружения попыток вторжений в 2011 г. превысило 70 000, среди лидеров – Китай, США, Канада, Индия, Япония и страны Евросоюза (рис. 7), причем источники попыток несанкционированного доступа не связаны с вирусами.
По результатам пятилетних наблюдений была составлена сводная таблица (см. с. 24), содержащая распределение источников интернет-угроз по наиболее активным странам.
Построенные на основе этих данных графики наглядно иллюстрирует динамику по рассылке спама (рис. 8) и источникам вирусов (рис. 9) в крупнейших странах.

Рис. 6. Источники спама за 2010 г.
Прочи е
Бразилия 2%
Арабские Эмираты 2%

Россия 5%
Франция 3%
Рис. 7. Источники попыток несанкционированного доступа за 2011 г.
Корея 2%
Турция 2%
Основные источники интернет-угроз за 2007–2011 гг.
Страна |
Спам, % |
Вирусы, % |
Сканирования, % |
Сумма |
|||||||
2007 |
2008 |
2010 |
2011 |
2008 |
2010 |
2011 |
2007 |
2008 |
2011 |
2011 |
|
США |
25 |
11 |
6 |
6 |
37 |
9,4 |
17 |
12,9 |
14 |
9 |
32 |
Россия |
6 |
13 |
11 |
11 |
17 |
14 |
15 |
2 |
2 |
5 |
31 |
Индия |
3 |
6 |
5 |
5 |
4 |
3,9 |
7 |
4,2 |
4 |
7 |
19 |
Китай |
4 |
9 |
3 |
3 |
1 |
2,7 |
2 |
17,5 |
18 |
12 |
17 |
Германия |
4 |
3 |
3 |
3 |
2 |
2,2 |
2 |
4,8 |
4 |
8 |
13 |
Бразилия |
2 |
6 |
5 |
5 |
1 |
4,8 |
2 |
3,9 |
4 |
2 |
9 |
Корея |
8 |
6 |
5 |
5 |
3 |
5,1 |
2 |
6,4 |
5 |
2 |
9 |
Франция |
4 |
3 |
3 |
3 |
2 |
1,5 |
1 |
4,4 |
3 |
3 |
7 |
Польша |
2 |
2 |
3 |
3 |
1 |
1 |
2 |
3,2 |
3 |
0,5 |
5 |
Англия |
3 |
3 |
2 |
2 |
2 |
3,1 |
2 |
2 |
2 |
1 |
5 |

Рис. 8. Динамика рассылки спама по отдельным странам

Рис. 9. Динамика источников вирусов по странам
Анализ полученной информации позволяет выявить следующие тенденции:
– активное внедрение компьютерных технологий и Интернета в страны азиатского и латиноамериканского регионов (Индия, Китай, Корея, Бразилия) и связанный с этим всплеск вирусной и спам-активности;
– общее снижение вирусной и спам-активности более чем в 5 раз, очевидно за счет развития средств защиты;
– увеличение попыток вторжений более чем в 15 раз;
– успешную борьбу со спамом в США и Китае.
Несмотря на то что собранные данные относятся к сетям с научной спецификой, отмеченные закономерности в целом согласуются с общемировыми [1]. В частности, подтверждается тезис о насыщении азиатских стран компьютерными технологиями и выравнивании вирусной и спам-активности. К сожалению, в России пока не наблюдается тенденции к уменьшению источников опасностей и по динамике развития Россия похожа на Индию и Бразилию. Внедрение новых, оснащенных встроенной защитой операционных систем и сетевых клиентов позволяет сдерживать распространение интернет-угроз. Однако сеть Интернет по-прежнему остается небезопасной, так как происходит постоянное обнаружение новых уязвимостей сетевых сервисов, и при несвоевременном их устра- нении вероятность несанкционированного вторжения резко увеличивается.