Идентификация программного обеспечения, пересылающего данные по IP сетям
|
Реферат 2
ВВЕДЕНИЕ 6
1 1W01PAMMH0E ОБЕСПЕЧЕНИЕ И ВИДЫ АНАЛИЗА, ПРИМЕНЯЕМЫЕ
ДЛЯ СЕТЕВОГО ТРАФФИ К А 9
1.1 Эвристический анализ сетевого трафика 9
1.2 Сигнатурный анализ сетевого графика 10
1.3 SolarWinds Network Bandwidth Analyzer 11
1.4 Wireshark 12
1.5 Tcpdump 13
1.6 Выводы 14
2 ДОСТУП К ТРАФФИКУ С 11.ЕЛБЮ АНАЛИЗА В 1Р СЕТЯХ. 15
2.1 Модель OS1 15
2.2 Особенности передачи данных в ГР сетях 17
2.3 Устройства сетевой связи 19
2.3.1 Сетевой концентратор 19
2.3.2 Сетевой коммутатор 20
2.3.3 Сетевой маршрутизатор 21
2.4 Сбор графика для доставки к анализирующему программному
обеспечению 22
2.4.1 Интерфейс командной с троки сетевого оборудования 23
2.4.2 Simple Network Management Protocol 24
2.4.3 Прокси-сервер 25
2.4.4 Netilow 26
2.4.5 Deep Packet Inspection 28
2.4.6 Варианты расположения ПО для анализа 29
3 ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СИСТЕМЫ АНАЛИЗА СЕТЕВОГО ТРАФФИКА 31
3.1 Архитектура программной реализации системы анализа сетевого
траффика 31
3.2 Доступ к сетевым данным при помощи I.ibPcap 32
3.3 Модуль анализа данных 34
3.4 Визуализация данных при помощи Gnuplot 39
3.5 Веб-ин герфсйс на основе Light! pd 41
3.6 Минимальные системные требования разработанной системы 41
ЗАКЛЮЧЕНИЕ 45
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 47
ПРИЛОЖЕНИЕ А 50
ВВЕДЕНИЕ 6
1 1W01PAMMH0E ОБЕСПЕЧЕНИЕ И ВИДЫ АНАЛИЗА, ПРИМЕНЯЕМЫЕ
ДЛЯ СЕТЕВОГО ТРАФФИ К А 9
1.1 Эвристический анализ сетевого трафика 9
1.2 Сигнатурный анализ сетевого графика 10
1.3 SolarWinds Network Bandwidth Analyzer 11
1.4 Wireshark 12
1.5 Tcpdump 13
1.6 Выводы 14
2 ДОСТУП К ТРАФФИКУ С 11.ЕЛБЮ АНАЛИЗА В 1Р СЕТЯХ. 15
2.1 Модель OS1 15
2.2 Особенности передачи данных в ГР сетях 17
2.3 Устройства сетевой связи 19
2.3.1 Сетевой концентратор 19
2.3.2 Сетевой коммутатор 20
2.3.3 Сетевой маршрутизатор 21
2.4 Сбор графика для доставки к анализирующему программному
обеспечению 22
2.4.1 Интерфейс командной с троки сетевого оборудования 23
2.4.2 Simple Network Management Protocol 24
2.4.3 Прокси-сервер 25
2.4.4 Netilow 26
2.4.5 Deep Packet Inspection 28
2.4.6 Варианты расположения ПО для анализа 29
3 ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СИСТЕМЫ АНАЛИЗА СЕТЕВОГО ТРАФФИКА 31
3.1 Архитектура программной реализации системы анализа сетевого
траффика 31
3.2 Доступ к сетевым данным при помощи I.ibPcap 32
3.3 Модуль анализа данных 34
3.4 Визуализация данных при помощи Gnuplot 39
3.5 Веб-ин герфсйс на основе Light! pd 41
3.6 Минимальные системные требования разработанной системы 41
ЗАКЛЮЧЕНИЕ 45
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 47
ПРИЛОЖЕНИЕ А 50
На сегодняшний день интернет является важной частью житии человека. Он используется как различными компаниями в корпоративных целях, гак и обычными пользователями в повседневной жизни. По вместе с благами, которые он приносит в нашу жизнь, появляется также и множество ношах угроз.
В силу своей универсальности допускается непрофильное его использование на рабочем месте, а иногда даже в противозаконном направлении [1]. Ч тобы предотвратить такое использование интернета, сейчас существует огромное множество программных обеспечений, которые следят за состоянием сети, однако, все они обрабатывают огромные данные, передающиеся по трафику и, как правило, используют уже заданные в них методы анализа без возможности добавления написанных пользователем функций. Следствием этого является: недостаточно быстрая реакция на происходящую проблему. Л в случае передачи зашифрован данных -
возникает невозможность каким-либо образом применить существующие программы. Поэтому необходимым является создание универсального инструментария для исследования и повышения сетевой безопасности широкого спектра пользователей, от персональных компьютеров до серверов предприятий. И целью моей работы является: разработка модульной программной реализации системы идентификации профам.много обеспечения, генерирующие потоки данных, пересылаемых в IP сетях.
Создание такого анализатора сетевого трафика принесет огромную пользу для компаний и частных лиц, которым необходимо информирование о работающих сетевых программах в доступных для них сегментах сети.
В результате, новизной данной работы является разработка универсальной системы идентификации сетевых НО, позволяющей
использовать произвольный метод обработки данных IH патока, подключаемый в виде отдельного профам много модуля в режиме реального времени.
Практическая значимость заключается в следующих пунктах:
1) данное программное обеспечение способно анализировать сетевой поток и идентифицировать класс приложения, генерирующего потоки данных, пересылаемых в IP сетях;
2) максимальная нагрузка программной реализации на центральный процессор при максимально возможном входящем IIOIOKC без потери данных составляет 88,8 % при конфигурации аппаратного обеспечения: ЦП 8ITz 17, 8Gb RAM. 16bitLan.
3) максимальный размер оперативной памяти при максимально возможном входяшем потоке без потери данных' требуемый системе составляет данных 108 Мбит/с при конфигурации аппаратного обеспечения: ЦП 8Hz i7, 8Gb RAM, 16bitLan.
На защиту- выносятся следующие научные положения:
Г) использование модульной архитектуры построения системы идентификации ПО передающего данные по 11’ сетям позволяет обрабатывать поток данных в режиме '’реального времени” одним методом со скоростью до 20 Мбит/с без потери данных при конфигурации аппаратного обеспечения: I (,11 81 Iz i7, 8Gb RAM, 16bit Lan;
2) для определения наличия ко входяшем потоке трафика web- обозревателя при интернет-ссрфингс необходимо и достаточно проанализировать 4 параметра: 1Р источник источника, порт источника, IP адрес получателя, порт получателя по выборке из 5000 пакетов.
Для достижения поставленной цели моя работа была разделена на следую!цис этапы:
I этап.
1. Выбор оптимального расположения программы-анализатора для детектирования сетевых потоков;
2. Выбор, установка и паоройка web-сервера;
3. Выбор программы, которая строит графики в режиме “реальное времени" с минимальной ресурсном костью;
4. Выбор библиотеки позволяющей создавать программы анализа сетевых данных, поступающих на сетевую карчу компьютера.
II этап
1. Создание программы, которая “захватывает" заголовки 1Р пакетов в режиме “реального времени":
2. Написание метода сортировки параметров заюловка сетевых пакетов с учетом частот значений параметра;
3. Написание модуля вычисления информационной энтропии параметров, полученных пакетов.
III этап
1. Измерение параметров IP заголовков сетевого приложения (браузера) в программе-анализаторе сетевого потока;
2. Формирование представления графиков на html странице в режиме “реального времени";
3. Анализ полученных результатов по проделанной рабою.
В силу своей универсальности допускается непрофильное его использование на рабочем месте, а иногда даже в противозаконном направлении [1]. Ч тобы предотвратить такое использование интернета, сейчас существует огромное множество программных обеспечений, которые следят за состоянием сети, однако, все они обрабатывают огромные данные, передающиеся по трафику и, как правило, используют уже заданные в них методы анализа без возможности добавления написанных пользователем функций. Следствием этого является: недостаточно быстрая реакция на происходящую проблему. Л в случае передачи зашифрован данных -
возникает невозможность каким-либо образом применить существующие программы. Поэтому необходимым является создание универсального инструментария для исследования и повышения сетевой безопасности широкого спектра пользователей, от персональных компьютеров до серверов предприятий. И целью моей работы является: разработка модульной программной реализации системы идентификации профам.много обеспечения, генерирующие потоки данных, пересылаемых в IP сетях.
Создание такого анализатора сетевого трафика принесет огромную пользу для компаний и частных лиц, которым необходимо информирование о работающих сетевых программах в доступных для них сегментах сети.
В результате, новизной данной работы является разработка универсальной системы идентификации сетевых НО, позволяющей
использовать произвольный метод обработки данных IH патока, подключаемый в виде отдельного профам много модуля в режиме реального времени.
Практическая значимость заключается в следующих пунктах:
1) данное программное обеспечение способно анализировать сетевой поток и идентифицировать класс приложения, генерирующего потоки данных, пересылаемых в IP сетях;
2) максимальная нагрузка программной реализации на центральный процессор при максимально возможном входящем IIOIOKC без потери данных составляет 88,8 % при конфигурации аппаратного обеспечения: ЦП 8ITz 17, 8Gb RAM. 16bitLan.
3) максимальный размер оперативной памяти при максимально возможном входяшем потоке без потери данных' требуемый системе составляет данных 108 Мбит/с при конфигурации аппаратного обеспечения: ЦП 8Hz i7, 8Gb RAM, 16bitLan.
На защиту- выносятся следующие научные положения:
Г) использование модульной архитектуры построения системы идентификации ПО передающего данные по 11’ сетям позволяет обрабатывать поток данных в режиме '’реального времени” одним методом со скоростью до 20 Мбит/с без потери данных при конфигурации аппаратного обеспечения: I (,11 81 Iz i7, 8Gb RAM, 16bit Lan;
2) для определения наличия ко входяшем потоке трафика web- обозревателя при интернет-ссрфингс необходимо и достаточно проанализировать 4 параметра: 1Р источник источника, порт источника, IP адрес получателя, порт получателя по выборке из 5000 пакетов.
Для достижения поставленной цели моя работа была разделена на следую!цис этапы:
I этап.
1. Выбор оптимального расположения программы-анализатора для детектирования сетевых потоков;
2. Выбор, установка и паоройка web-сервера;
3. Выбор программы, которая строит графики в режиме “реальное времени" с минимальной ресурсном костью;
4. Выбор библиотеки позволяющей создавать программы анализа сетевых данных, поступающих на сетевую карчу компьютера.
II этап
1. Создание программы, которая “захватывает" заголовки 1Р пакетов в режиме “реального времени":
2. Написание метода сортировки параметров заюловка сетевых пакетов с учетом частот значений параметра;
3. Написание модуля вычисления информационной энтропии параметров, полученных пакетов.
III этап
1. Измерение параметров IP заголовков сетевого приложения (браузера) в программе-анализаторе сетевого потока;
2. Формирование представления графиков на html странице в режиме “реального времени";
3. Анализ полученных результатов по проделанной рабою.
Несмотря на постепенное улучшение систем безопасности и программного обеспечения мониторинга IP сетей, прогресс информационных технологий порождает рос г несанкционированных сетевых приложений, и актуальной остаётся задача создания универсальною инструментария для исследования и повышения сетевой безопасности широкого спектра пользователей.
Оптимальным методом сбора сетевого трафика для программы- анализатора является передача потока данных по протоколу- Netflow, так как этот метод удовлетворяет необходимым требованиям, а именно собирает данные о таких параметрах как: IP адрес источника и отправителя. TCP/UDP порт исючника и отрави юля, количество ТР пакетов, передаваемое в секунду', длина 1Р пакета.
За период обучения в магистра type была написана модульная программная реализация для идентификации сетевого программного обеспечения, генерирующего потоки данных, пересыпаемые в IP сетях. Программа состоит из двух самостоятельных частей. Первая осуществляет “захват” заголовков IP пакетов и будет располагаться на маршрутизаторе. Вторая же будет находиться на сервере и отвечает за анализ параметров персданны.х заголовков. Связь между этими двумя часами будет обеспечиваться зеркалированием графика с широковещательного канала маршрутизатора. Полученные в результате работы программы данные выводятся в виде графиков в режиме “реального времени” на html странице.
Наблюдение активности сетевых приложений на полученной программе с применением модуля энтропийного анализа, показало, что в зависимости от типа сетевой программы, графики параметров IP пакетов, а именно IP адрес источника и отрави геля и TCP порты ис точника и отправителя, отличаются на
статистически значимую величину это позволяет увидеть активность сетевой программы, даже если передаваемая информация зашифрована.
В результате исследования были доказаны следующие научные положения:
1) использование модульной архитектуры построения системы идентификации ПО передающего данные по IP сетям позволяет обрабатывать поток данных в режиме "реального времени" одним методом со скоростью до 20 Мбит/с без потери данных при конфигурации аппаратного обеспечения: ЦП 8Hz 17, 8Gb RAM, 16bit Lan;
2) для определения наличия во входящем потоке трафика web- обозревателя при интернет-сёрфинге необходимо и достаточно проанализировать 4 параметра: 1Р источник источника, порт источника, IP адрес получателя, порт получателя по выборке из 5000 пакетов.
Оптимальным методом сбора сетевого трафика для программы- анализатора является передача потока данных по протоколу- Netflow, так как этот метод удовлетворяет необходимым требованиям, а именно собирает данные о таких параметрах как: IP адрес источника и отправителя. TCP/UDP порт исючника и отрави юля, количество ТР пакетов, передаваемое в секунду', длина 1Р пакета.
За период обучения в магистра type была написана модульная программная реализация для идентификации сетевого программного обеспечения, генерирующего потоки данных, пересыпаемые в IP сетях. Программа состоит из двух самостоятельных частей. Первая осуществляет “захват” заголовков IP пакетов и будет располагаться на маршрутизаторе. Вторая же будет находиться на сервере и отвечает за анализ параметров персданны.х заголовков. Связь между этими двумя часами будет обеспечиваться зеркалированием графика с широковещательного канала маршрутизатора. Полученные в результате работы программы данные выводятся в виде графиков в режиме “реального времени” на html странице.
Наблюдение активности сетевых приложений на полученной программе с применением модуля энтропийного анализа, показало, что в зависимости от типа сетевой программы, графики параметров IP пакетов, а именно IP адрес источника и отрави геля и TCP порты ис точника и отправителя, отличаются на
статистически значимую величину это позволяет увидеть активность сетевой программы, даже если передаваемая информация зашифрована.
В результате исследования были доказаны следующие научные положения:
1) использование модульной архитектуры построения системы идентификации ПО передающего данные по IP сетям позволяет обрабатывать поток данных в режиме "реального времени" одним методом со скоростью до 20 Мбит/с без потери данных при конфигурации аппаратного обеспечения: ЦП 8Hz 17, 8Gb RAM, 16bit Lan;
2) для определения наличия во входящем потоке трафика web- обозревателя при интернет-сёрфинге необходимо и достаточно проанализировать 4 параметра: 1Р источник источника, порт источника, IP адрес получателя, порт получателя по выборке из 5000 пакетов.
