Тип работы:
 Предмет:
 Язык работы:


РАЗРАБОТКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ АНАЛИЗА ХАРАКТЕРИСТИК СЕТЕВЫХ ПОТОКОВ

Работа №192026

Тип работы

Магистерская диссертация

Предмет

физика

Объем работы72
Год сдачи2019
Стоимость5720 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
4
Не подходит работа?

Узнай цену на написание


Реферат 2
ВВЕДЕНИЕ 4
1 ОБНАРУЖЕНИЕ АНОМАЛИЙ В IP СЕТЯХ 8
1.1 Особенности передачи данных в IP сетях 14
1.2 Аномалии в IP сетях 2'2
1.3 Программное обеспечение для обнаружения аномалий 30
Выводы 47
2 РАЗРАБОТКА МОДУЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ 48
2.1 Архитектура 49
2.2 Используемые библиотеки исгороннее ПО 50
3 ТЕСТ ИРОВАНИЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ 55
3.1 Обнаружение тестовых аномалий 55
ЗАКЛЮЧЕНИЕ 61
Список использованных источников 62
Приложение А 65


Существующие методы обнаружения вредоносных действий становятся менее эффективными, т.к. в настоящее время процент зашифрованного трафика в сетевом потоке стабильно растет. Это порождает много проблем анализа сетевых потоков с использованием устоявшихся методов, сконцентрированных вокруг сетевых данных. Для применения таких методов анализа необходимо каким-либо образом получать необходимые характеристики из сетевого потока. Существующее программное обеспечение чаще всего не подходит для реализации на его базе принципиально новых подходов в силу оптимизации под конкретно выбранные авторами алгоритмы. Поэтому была поставлена цель разработать универсальный программный комплекс, предоставляющий доступ к сетевым потокам и позволяющий подключать различные независимые модули, реализующие любые алгоритмы анализа без доработки всей системы в целом. Согласно результатам исследования «Лаборатории Касперского», за последний год порядка 96% небольших компаний России хотя бы раз сталкивались с информационными угрозами, опережая по этому показателю коллег из США и Европы, где данный показатель не превышает 91 %. Чаще всего российские малые и средние предприятия страдают от спама (около 74 %), вредоносных программ (около 71 %), вирусов, червей и шпионского программного обеспечения. Примерно четверть представителей среднего и малого бизнеса сталкиваются с взломом компьютеров и корпоративного шпионажа. В периоде 2017 по 2018 г. специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного прог-рам много обеспечения. Мониторинг всей сети в целом становится все более сложным, и традиционные средства обнаружения становятся менее эффективными. В большинстве организаций нет программного обеспечения для своевременного обнаружения вредоносного контента в зашифрованном трафике. Им нс хватает средств безопасности и ресурсов дтя реализации решения, которое могло бы быть развернуто во всей сетевой инфраструктуре без замедления работы сети. Большинство методов анализа сетевого трафика предполагает использование некоторого инструмента для получения характеристик сетевого потока для дальнейшего анализа. На текущий момент популярными инструментами для получения сетевых характеристик являются про1раммы-снифферы, такие, как Sniffit. Whireshark, Snort, TCPdump, ADMsniff и другие варианты реализации получения характеристик сетевых потоков. Существенным недостатком таких программ является то, что в них нельзя встраивать модули, содержащие различные методы анализа сетевых характеристик. В 2016 году при разработке алгоритма метода энтропийного анализа обнаружения сетевых аномалий в IP сетях нами было замечено что существующий инструментарий для получения необходимых сетевых характеристик не позволяет эффективно использован» разрабатываемый метод анализа. Также нельзя было объединить метод анализа и метол получения сетевых характеристик что приводило к большой задержке между получением данных и результатами анализа данных.
Поэтому было решено разработай» собственное программное обеспечение, которое позволило бы получать необходимые сетевые характеристики. Важной особенностью такого программного обеспечения будет являться то что такой инструментарий будет удобно использовать вместе с пользовательским методом анализа сетевого потока, что позволит ускорить процессы сетевого исследования и обнаружения разного рода сетевых аномалий. Таким образом предметом исследования работы является сетевой поток.
Целью данной работы является разработка моду-ля обнаружения аномалий для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
На защиту выносятся следующие научные положения:
• О наличии во входящем потоке аномалии методом энтропийного анализа свидетельствует отклонение от эталонных значений минимум двух параметров из следующего множества: IP-адрес источника. 1Р-адрсс получателя, TCP-порт источника. TCP-порт получателя, длина IP пакета при выборе из 24000 сетевых пакетов с точностью не ниже 95%.
• Реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду' при конфигурации аппаратного обеспечения: центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8, оперативная память 4 Гб, сетевой адаптер PCI Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.
Научная значимость разработки модуля обнаружения аномалий:
• Возможностью усовершенствования этого программного модуля в дальнейшем
• Быстрым получением необходимых для исследований данных
• Построением с се помощью, вкупе с методами получения сетевых характеристик, различных моделей функционирующих сетей Практическая значимост ь модуля обнаружения аномалий:
• При помощи разработанного модуля возможно обнаружение сетевых аномалий.
• Определена нагрузка создаваемая модулем на аппаратную часть в процессе обнаружения аномалий в зависимости от величины потока анализируемых данных
Для достижения поставленной пели работа была разделена на следующие задачи:
• Написание модуля определения аномалий сетевой активности.
• Тестирование модуля определения аномалий сетевой активности в составе системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
• Анализ полученных результатов по проделанной работе.
• Определение минимального количества отслеживаемых параметров для детектирования аномалии с вероятностью нс ниже 95%
• Определение ресурсоёмкости модуля
Достоверность данных обосновывается практически и с использованием теоретических расчётов.
Новизна работы заключается в создании модуля анализа характеристик сетевого потока в реальном времени для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в 1Р сетях.
Содержание диссертации включает в себя введение, три главы, 7 подглав, заключение, список использованных источников, два приложения. Во введении раскрыто общее содержание работы. В главах рассматриваются методы и средства анализа сетевою графика, архитектура разрабатываемого модуля, результаты его работы. Дается заключение относительно проделанной работы.


Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

Был проведен литературный обзор на методы обнаружения аномалий в IP сетях. Были рассмотрены особенности передачи данных в IP сетях. Представлен обзор на различие видов аномалий R IP сетях. Рассмотрено популярное современное программное обеспечение для анализа сетевых характеристик.
При выполнении выпускной квалификационной работы был разработан модуль выявления аномальных состояний сети для программной реализации системы идентификации программного обеспечения.
Во время тестового запуска программы в лабораторной сети удалось обнаружить тестовую аномалию.
Было определено что необходимо и достаточно для обнаружения аномалии сетевого потока обнаружить изменения двух параметров из 5 рассмотренных для обнаружения аномалий методом энтропийного анализа с вероятностью не менее 95%.
Были получены и проанализированы зависимости потребляемой модулем оперативной памяти я загрузки процессора при анализе пяти сетевых параметров в режиме реального времени.
Было рассчитано иго реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду при конфигурации аппаратного обеспечения центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8. оперативная память 4 Гб, сетевой адаптер PC! Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.



1. Ефрон И.А., Брокгауз Ф.А. Энциклопедический словары[Элсктронный ресурс]. URL: http://fchq.ni/anz slovar_brokgauza/slovar239.html (лата обращения 03.11.2017).
2. Микова С.Ю., Оладько В.С., Нестеренко М.А. Подход к классификации аномалий сетевого трафика [Электронный ресурс]. URL: https:.7cyberleninka.ru''articlem;podhod-k-klassifikaisii-anomaliy-sctcvogo-trafika (дата обращения 05.12.2017).
3. А. А. Браницкий, И. В. Котенко, Анализ и классификация методов обнаружения сетевых атак,Tp.Cl ШИРАН, 2016. выпуск 45, 207-244
4. Anderson J.P. Computer Security Threat Monitoring and Surveillance // Technical report, Fort Washington, Pennsylvania. 1980.
5. Denning D.E. An Intrusion-Detection Model // IEEE Transactions on software cngi-nccring, 198", vol. SE-13, Issue 2. pp. 222-232.
6. Jyothsna V., Prasad V.V.R. A Review of Anomaly Based Intrusion Detection Systems .7 International Journal of Computer Applications. 2011. vol. 28. no. 7. pp. 26-35.
7. Baddar S.A.-H., Mcrlo A., Migliardi M. Anomaly Detection in Computer Networks: A State-of-the-Art Review // Journal of Wireless Mobile Networks, Ubiquitous Compu-ting, and Dependable Applications. 2014. vol. 5. no. 4. pp. 29-64.
8. Gyanchandani M.. Rana J.L.. Yadav R.N. Taxonomy of Anomaly Based Intrusion Detection System: A Review // International Journal of Scientific and Research Publi-cations. 2012. vol. 2. Issue 12. pp. 1-13.
9. Tsa: C.F., Hsub Y.F., Line C.Y., Lin W.Y. Intrusion detection by machine learning: A review // Expen Systems with Applications. 2009. vol. 36. Issue 10. pp. 11994-12000.
10. Wu S.X., Banzhaf W. Tire Use of Computational Intelligence in Intrusion Detection Systems: A Review // Applied Soft Computing, 2010, vol. 10. Issue 1. pp. 1-35.
11. Kabiri Р.» Ghorbani A.A. Research on Intrusion Detection and Response: A Survey II International Journal of Network Security. 2005. vol. 1, no. 2. pp. 84-102.
12. Barford P., Plonka D. Characteristics of Network Traffic Flow Anomalies // Proceedings of the 1st ACM SIGCOMM Workshop on Internet Measurement. 2001. pp. 69-73.
13. Kim S.S., Reddy A.L. Statistical techniques for detecting traffic anomalies through packet header data // lEEE'ACM Transactions on Networking (TON). 2008. vol. 16. Issue 3. pp. 562-575.
14. Lee W., Xiang D. Information-theoretic measures for anomaly detection // Security and Privacy. 2001. pp. 130-143.
15. Gu Y., McCallum A., Towslcy D. Detecting Anomalies in Network Traffic Using Maximum Entropy Estimation li Proceedings of the 5th ACM SIGCOMM conference on Internet Measurement. 2005. pp. 32-32...29
Содержание магистерской диссертации
Содержание магистерской диссертации
Часть главы

Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.