ОБНАРУЖЕНИЕ АНОМАЛИЙ В IP СЕТЯХ МЕТОДОМ ЭНТРОПИЙНОГО АНАЛИЗА
|
ВВЕДЕНИЕ 3
1. Объект и предмет исследования 5
1.1 IP сеть как объект исследования 5
1.2 Аномалия в IP сети как предмет исследования 9
2. Энтропийный анализ и другие методы обнаружения аномалий 12
2.1 Методы исследования сетевого потока для обнаружения аномалий 12
2.2 Информационная энтропия 15
2.3 Энтропийный метод исследования для обнаружения аномалий 16
2.4 Преимущества энтропийного метода исследования сетевого потока по
сравнению с другими методами исследования 17
2.5 Научная и практическая значимость энтропийного метода обнаружения
аномалий в IP сетях 18
2.6 Структура файлов “.pcap“. Фундаментальность исследования 19
2.7 Информация, которую несут заголовки сетевых пакетов 20
3. Эксперимент 22
3.1 Описание эксперимента по обнаружению аномалии в IP сети и его энтропийные
характеристики 22
3.2 Результаты эксперимента по обнаружению аномалии в IP сети 23
3.3 Выводы 24
ЗАКЛЮЧЕНИЕ 26
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 27
1. Объект и предмет исследования 5
1.1 IP сеть как объект исследования 5
1.2 Аномалия в IP сети как предмет исследования 9
2. Энтропийный анализ и другие методы обнаружения аномалий 12
2.1 Методы исследования сетевого потока для обнаружения аномалий 12
2.2 Информационная энтропия 15
2.3 Энтропийный метод исследования для обнаружения аномалий 16
2.4 Преимущества энтропийного метода исследования сетевого потока по
сравнению с другими методами исследования 17
2.5 Научная и практическая значимость энтропийного метода обнаружения
аномалий в IP сетях 18
2.6 Структура файлов “.pcap“. Фундаментальность исследования 19
2.7 Информация, которую несут заголовки сетевых пакетов 20
3. Эксперимент 22
3.1 Описание эксперимента по обнаружению аномалии в IP сети и его энтропийные
характеристики 22
3.2 Результаты эксперимента по обнаружению аномалии в IP сети 23
3.3 Выводы 24
ЗАКЛЮЧЕНИЕ 26
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 27
Термин «обнаружение аномалий» впервые появился в работах американских ученых Д. Андерсона и Д. Деннинг в 1980 году [1]. В прошлом аномалии рассматривали как отклонения в обычном объеме трафика, числе потоков, пакетах(общее количество, отправленные, фрагментированные, отброшенные) и байтах(байт на пакет, байт за секунду). В настоящее время многие аномальные деятельности в сети, такие как низкоскоростной DdoS, стелс сканирования или ботнет-червь, не приводят к значительному изменению объема трафика. Обнаруживать аномалии в работе сетевых устройств, являющихся как результатом сетевых атак хакеров, так и сбоев в работе аппаратуры и программного обеспечения на сегодняшний момент очень актуально. Решение проблемы обнаружения аномалий сразу привлекло внимание специалистов в области сетевой безопасности. Примерно в середине 2003 года на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг сетевой безопасности начали активно предлагать соответствующие решения. В разработанном Научно-техническим советом НАТО ранжированном списке из 11 важнейших технических задач на период 2002-2007 гг. три из них ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО существующие системы обнаружения вторжений (IDS) постоянно обнаруживают попытки несанкционированного автоматического вторжения. При этом эксперты подчеркивают: они обнаруживают не более 14-17% от общего числа реально осуществляемых атак и воздействий нарушителей. Эти факты настораживают и вызывают определенное беспокойство у специалистов в области защиты информации [2].
Со временем возрастает число факторов, негативно влияющих на безопасность процессов в IP сетях(сетях, использующий сетевой протокол TCP/IP [4] для передачи информации). Это приводит к тому, что полностью препятствовать негативным влияниям аномалий или действиям злоумышленников в информационных системах невозможно. Поэтому для обеспечения необходимого уровня безопасности актуальны направления исследований, связанные с разработкой систем обнаружения вторжений или аномалий. Актуально создавать наиболее точные методики обнаружения аномалий с наименьшим количеством ложных срабатываний.
Из-за сложности учета всех существующих параметров необходимо постоянно улучшать и оптимизировать методики обнаружения аномалий, вводить возможность интеграции с другими методиками обнаружения аномалий. На практике это будет сказываться в увеличении точности обнаружения аномалий. Проблема обнаружения аномалий в сетях TCP/IP сводится к задачам [2]:
•структурных признаков (сигнатур) известных типов аномалий;
•инвариантных признаков структуры корректных вычислительных процессов;
•корреляционных признаков нормального функционирования распределенных вычислительных систем.
Существующие методы[2], обнаружения аномалий, имеют серьезные ограничения. Существующие до сих пор мотодики [2] отдельных простейших частных случаев решения задачи обнаружения аномалий вычислительных процессов не позволили разработать единый, универсальный метод обнаружения ранее неизвестных типов атак и воздействий. Обнаружение аномалий в крупных вычислительных сетях сложно, так как наблюдаемые сети обрабатывают большое количество трафика в единицу времени. Например во время вирусных эпидемий доля вредоносного трафика составляет малую часть от нормального трафика в подобных сетях, и обнаружить такую аномалию не получится. Кроме того, структура вредоносного трафика не известна заблаговременно, что не позволяет использовать сигнатурный метод для его обнаружения и локализации. В таких случаях, уместно говорить о том, что мы знаем, какого рода трафик нормален для данного вида сети, и знаем, какие изменения вносит аномальный трафик в общий трафик от данной сети[3].
Обнаружение аномалий в IP-сетях [8] превратились из нетривиальных ситуаций в рутинную работу любого системного администратора. Сначала системные администраторы обнаруживали аномалии, пользуясь консолью и анализировали действия пользователей. Они могли заметить аномалию, обратив внимание на то, что пользователь, к примеру, который должен был отсутствовать, вошел в систему, причем локально. Эта форма обнаружения аномалий была сугубо ориентированной на конкретные ситуации.
Далее для обнаружения аномалий стали использоваться журналы действий пользователей. Администраторы просматривали их в поисках признаков необычных или злонамеренных действий. Эти журналы печатались на перфорированной бумаге, которая к концу рабочей недели представляла собой большую стопку. Поиск по такому объему информации занимал очень много времени. В основном администраторы использовали журналы регистрации в качестве доказательства наличия аномалии постфактум. Удача - если удастся обнаружить атаку в момент ее проведения.
Дисковая, или твердотельная, память становится дешевле, и журналы стали создавать в электронном виде; были написаны программные средства для анализа этих журналов. Однако однако анализ выполнялся медленно и требовал значительных вычислительных ресурсов. Большинство аномалий по-прежнему выявлялись постфактум.
В начале 90-х годов появились системы обнаружения аномалий в режиме онлайн, которые просматривали записи в журнале сразу при появлении их в журнале.
Самые последние методы исследования сетевого потока, посвященные обнаружению аномалий, направлены на создание инструментария, который может эффективно применяться в крупных сетях. Это сложная задача, т. к. учитывается все большее внимание, уделяемое вопросам безопасности, а так же непрерывные изменения процессов в сети. [8]
Со временем возрастает число факторов, негативно влияющих на безопасность процессов в IP сетях(сетях, использующий сетевой протокол TCP/IP [4] для передачи информации). Это приводит к тому, что полностью препятствовать негативным влияниям аномалий или действиям злоумышленников в информационных системах невозможно. Поэтому для обеспечения необходимого уровня безопасности актуальны направления исследований, связанные с разработкой систем обнаружения вторжений или аномалий. Актуально создавать наиболее точные методики обнаружения аномалий с наименьшим количеством ложных срабатываний.
Из-за сложности учета всех существующих параметров необходимо постоянно улучшать и оптимизировать методики обнаружения аномалий, вводить возможность интеграции с другими методиками обнаружения аномалий. На практике это будет сказываться в увеличении точности обнаружения аномалий. Проблема обнаружения аномалий в сетях TCP/IP сводится к задачам [2]:
•структурных признаков (сигнатур) известных типов аномалий;
•инвариантных признаков структуры корректных вычислительных процессов;
•корреляционных признаков нормального функционирования распределенных вычислительных систем.
Существующие методы[2], обнаружения аномалий, имеют серьезные ограничения. Существующие до сих пор мотодики [2] отдельных простейших частных случаев решения задачи обнаружения аномалий вычислительных процессов не позволили разработать единый, универсальный метод обнаружения ранее неизвестных типов атак и воздействий. Обнаружение аномалий в крупных вычислительных сетях сложно, так как наблюдаемые сети обрабатывают большое количество трафика в единицу времени. Например во время вирусных эпидемий доля вредоносного трафика составляет малую часть от нормального трафика в подобных сетях, и обнаружить такую аномалию не получится. Кроме того, структура вредоносного трафика не известна заблаговременно, что не позволяет использовать сигнатурный метод для его обнаружения и локализации. В таких случаях, уместно говорить о том, что мы знаем, какого рода трафик нормален для данного вида сети, и знаем, какие изменения вносит аномальный трафик в общий трафик от данной сети[3].
Обнаружение аномалий в IP-сетях [8] превратились из нетривиальных ситуаций в рутинную работу любого системного администратора. Сначала системные администраторы обнаруживали аномалии, пользуясь консолью и анализировали действия пользователей. Они могли заметить аномалию, обратив внимание на то, что пользователь, к примеру, который должен был отсутствовать, вошел в систему, причем локально. Эта форма обнаружения аномалий была сугубо ориентированной на конкретные ситуации.
Далее для обнаружения аномалий стали использоваться журналы действий пользователей. Администраторы просматривали их в поисках признаков необычных или злонамеренных действий. Эти журналы печатались на перфорированной бумаге, которая к концу рабочей недели представляла собой большую стопку. Поиск по такому объему информации занимал очень много времени. В основном администраторы использовали журналы регистрации в качестве доказательства наличия аномалии постфактум. Удача - если удастся обнаружить атаку в момент ее проведения.
Дисковая, или твердотельная, память становится дешевле, и журналы стали создавать в электронном виде; были написаны программные средства для анализа этих журналов. Однако однако анализ выполнялся медленно и требовал значительных вычислительных ресурсов. Большинство аномалий по-прежнему выявлялись постфактум.
В начале 90-х годов появились системы обнаружения аномалий в режиме онлайн, которые просматривали записи в журнале сразу при появлении их в журнале.
Самые последние методы исследования сетевого потока, посвященные обнаружению аномалий, направлены на создание инструментария, который может эффективно применяться в крупных сетях. Это сложная задача, т. к. учитывается все большее внимание, уделяемое вопросам безопасности, а так же непрерывные изменения процессов в сети. [8]
Таким образом при анализе полученных результатов видно что из 7 энтропийных характеристик параметров информационной системы, использованных в данном эксперименте, различить можно лишь 5. На основании того что можно однозначно различить энтропийные характеристики хотя бы одного параметра можно говорить о том что в данных условиях возможно обнаружить аномалию с помощью энтропийного метода анализа информационной сети. Наш эксперимент показал что однозначно различимы 5 энтропийных характеристик параметров, таких как IP-адреса получателя, IP-адреса отправителя, MAC-адреса отправителя, порта источника, порта получателя. С помощью энтропийного анализа в данных условиях работы информационной сети возможно обнаружение аномалий в IP сетях. В будущем этот метод можно улучшать для обнаружения аномалий в IP сетях в режиме онлайн. Модифицировать программу для идентификации аномалии в информационной сети
