Повышение безопасности компьютерных систем и сетей на основе анализа сетевого трафика

В последнее время сложилась устойчивая тенденция увеличения количества атак на компьютерные cети из Internet. Механизмы атак и спосо- бы взлома постоянно совершенствуются. Все это делает разработку и внедрение новых методов и средств защиты информации в компьютерных сетях весьма актуальным.

Одним из методов борьбы с атаками через Интернет может служить отслеживание аномального поведения сетевого трафика, поскольку резкое увеличение количества передаваемой или принимаемой извне информации обычно является признаком начала атаки на сетевой ресурс.

Анализ трафика в силу ряда особенностей эксплуатации компьютерных сетей является новой и еще не до конца проработанной в методическом плане задачей.

В этом направлении в настоящее время существует несколько разработок.

Так, например, в [1] при разработке статистического анализатора была выбрана модель, основанная на среднем значении и среднеквадратичном отклонении параметров сетевого трафика. Данный метод основан на сравнении локальных (текущих) характеристик потока пакетов с усредненными за некоторый промежуток времени (глобальными характеристиками).

В качестве статистических характеристик используются выборочное среднее значение, выборочная дисперсия и критерий согласия хи-квадрат.

Если локальные характеристики значительно отличаются от глобальных, то делается вывод об аномальном поведении потока пакетов, которое вполне вероятно может привести к сбоям в работе оборудования, ПО или нарушениям политики безопасности.

В работе [2] рассмотрен подход, который опирается на минимальную информацию о трафике и не учитывает статистику поступления заявок на обслуживание, длину очереди и прочие показатели, характерные для систем массового обслуживания.

В рамках указанного подхода в первуюочередь целесообразен анализ среднечасовых и среднесуточных показателей трафика. Эти показатели, с одной стороны, довольно полно отражают состояние работы сети, а с другой – более устойчивы, чем исходные данные, съем которых обычно осуществляется с частотой один раз в несколько минут.

На основе данных, приведенных в [3-5], было выявлено, что задача анализа сетевого трафика обладает следующими специфическими особенностями:

• -    отсутствует общепризнанная модель сетевого трафика;

• -    информативность трафика зависит от загруженности каналов: в слабозагруженных каналах информативность падает из-за неустойчивого поведения трафика, в сильнозагруженных – из-за их максимальной загруженности;

• -    проявляется свойство «самоподобия» трафика вычислительной сети;

• -    при анализе резких всплесков сетевого трафика необходимо учитывать сезонные колебания, а также другие нарушения стационарности.

На основе анализа этих особенностей был разработан алгоритм управления сетевым трафиком, схема которого приведена на рис. 1.

Весь исходящий и входящий поток информации перехватывается блоком «Сетевой монитор».

Данный блок, выполняя функции снифера, производит захват данных на втором уровне коммуникационной модели обмена OSI.

В перехваченных кадрах осуществляется поиск заголовков IP-пакетов, из которых извлекается вся необходимая для дальнейшей работы информация. Полученные таким образом данные сохраняются в «Базе данных сетевой статистики» вместе с датой и временем прихода кадра. На основе накопленной статистики проводится моделирование поведения сети и прогнозирование объема сетевого трафика.

Для этой цели применяются метод циклического анализа и метод Хольта. Эти методы позволяют надежно описать загрузку компьютерной сети и выдают приемлемый результат уже при небольшом объеме исходных данных.

Рис.1. Схема управления сетевым трафиком.

Выводы

Программа, основанная на данном алгоритме, может применяться в сочетании с традиционными, более сфокусированными на сигнатурном анализе, антивирусными пакетами. Она самостоятельно собирает статистику, анализирует собранную информацию и реагирует на внештатные ситуации, генерируя предупреждения о возможном начале атаки или вирусной эпидемии и давая техническому персоналу возможность принять меры по минимизации ущерба от вредоносного трафика.