Тип работы:
 Предмет:
 Язык работы:


ОБЗОР СЕТЕВЫХ АТАК НА ОСНОВЕ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА

Работа №36729

Тип работы

Магистерская диссертация

Предмет

информационные системы

Объем работы82
Год сдачи2019
Стоимость4900 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
422
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 4
ГЛАВА 1. ОБЗОР АНОМАЛИИ СЕТЕВОГО ТРАФИКА И СПОСОБЫ ИХ ОБНАРУЖЕНИЯ 5
1.1 Аномалии сетевого трафика 5
1.2 Виды аномалий в сети и техники обнаружений 6
1.3 Современные инструменты для выявления аномалий в сетевом трафике 9
1.4 Обзор известных сетевых СОВ 10
1.5 Базовое устройство ССОВ 13
ГЛАВА 2. ИЗВЕСТНЫЕ ПРОБЛЕМЫ В ОБЛАСТИ ОБНАРУЖЕНИЯ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА 17
2.1 Недостатки и ограничения сетевых систем обнаружения вторжений 17
2.2 Модели сетевого трафика 20
2.2.1 Самоподобные модели 21
2.2.2 Классическая модель 23
2.2.3 Ранние модели 24
2.3 Разбор структуры дампа 28
ГЛАВА 3. ОПИСАНИЕ МЕТОДА ОБНАРУЖЕНИЯ АНОМАЛИЙ, СВОЙСТВА И ОСОБЕННОСТИ. 34
3.1 Обоснование выбора метода 34
3.2 Общие сведения об алгоритме (принцип работы) в составе метода обнаружения аномалий 37
3.3 Алгоритм обнаружения аномалии 39
3.3.1 Логические компоненты и этапы работы 40
3.3.2 Содержание таблиц и теория расчета 43
3.4 Пример расчетов для заполнения таблицы на этапе обучения системы 50
ГЛАВА 4. АНАЛИЗ ПОЛУЧЕННЫХ РЕЗУЛЬТАТОВ И ПРОВЕРКА РАБОТОСПОСОБНОСТИ МЕТОДА 55
4.1 Выбор метода нагрузочного тестирования 55
4.2 Процесс сбора информации и тестовый стенд 58
4.3 Расчеты и графики 61
4.3.1 Тестирование метода для TCP SYN-flood 61
4.3.2 Тестирование метода для UDP - flood 69
ЗАКЛЮЧЕНИЕ 75
СПИСОК ЛИТЕРАТУРЫ 77
Приложение 1 80
Приложение 2 81
Приложение 3

Объектом исследования является сетевой трафик. Предмет исследования - характерные аномалии для сетевого трафика. Актуальность темы в том, что в настоящее время одним из активно востребованных и развивающихся в области обеспечения информационной безопасности является обнаружение атак и предотвращение вторжений злоумышленника в компьютерные сети. Проблема обнаружения аномалии в сетевом трафике стоит остро как никогда.
Значение данной темы для большинство организаций описывается тем, что всё большему числу внутренних и внешних сотрудников для работы необходим доступ в интернет. И если внешние угрозы можно обнаружить еще как то вначале, то внутренние угрозы (например: в случае заражения компьютера вирусом с целью хищения информации или злонамеренная передача информации наружу одним из сотрудников) зачастую обнаружить довольно сложно.
Целью работы заключается в реализации одного из методов позволяющего с достаточной точностью оценить наличие в сетевом трафике аномальных свойств.
Задачами работы являются:
- изучение свойств сетевого трафика;
- изучение методов нахождения аномалий в сети и структуры элементов трафика;
- реализация одного из методов обнаружения аномалий и проверка данного метода.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

Обозначенной целью данной работы являлось реализация одного из методов обнаружения аномалий сетевого трафика.
Задачами работы являлись:
- изучение свойств сетевого трафика;
- изучение методов нахождения аномалий в сети и структуры элементов трафика;
- реализация одного из методов обнаружения аномалий и проверка данного метода.
Можно сказать, что поставленная цель в начале работы осуществлена и задачи были выполнены.
Во время работы были исследованы свойства сетевого трафика, методы нахождения аномалий в сети и структуры элементов трафика. Оказалось, что невзирая на огромное количество имеющихся исследований в данной области проблема никак не утратила актуальности, а у имеющихся решений до сих пор имеется несколько значительных недочетов. Таким образом в процессе изучения были выявлены несколько фактов и закономерностей.
Мною был реализован метод, опирающий на подсчет параметра Херста в качестве цифрового значения с целью обозначения нормальности или аномальности сетевого трафика. Представленный мной метод нацелен на работу в составе поведенческих систем обнаружения аномалий.
Значимым заключением стало то, что расчет показателя херста с целью небольших выборок количественных показателей способен, с моей точки зрения при соблюдения неких условий, принятых в алгоритме, описанные в третьей главе, отображать состояние сетевого трафика.
Имеется ряд способов подсчета параметра Херста. Принимая во внимание достаточно небольшой период, отведенный на выполнение работы, я ограничилась R/S - анализом, несмотря на то, что общеизвестно, что он предоставляет только лишь приближенное значение показателя Херста. В рамках будущей работы допустимо изучение применимости иного, наиболее точного способа - кратно масштабного вейвлет - анализа.
Интересным заключением в процессе тестирования метода стало и то, что результаты работы алгоритма, разработанные мной, сильно зависят от не скольких факторов, к примеру от типа сетевого трафика. Таким образом, можно сказать, что заложенные в метод идеи дали возможность установить атаку типа UDP - flood. В то же время с типом атаки TCP SYN-flood результаты не столь наглядны.
Так же в главе посвященной тестированию фрактального метода, было наглядно продемонстрировано отличие в подходах к обнаружению отклонений в сетевом трафике в поведенческих и сигнатурных систем обнаружения вторжений. Однако, общей методики тестирования систем обнаружения вторжений разной природы обнаружения отсутствует, по этой причине данное сравнение осит лишь демонстрационный характер.
В совокупности подводя результаты, можно отметить то, что установленная цель - реализация одного из методов обнаружения аномалий в сетевом трафике - достигнута. Способ и алгоритм в составе метода показали вероятность отображать состояние сетевого трафика, не избегая, однако, слабых мест, свойственных практически всем поведенческим систем обнаружения вторжений.
В качестве будущей работы можно обозначить изучение возможности кратно масштабного вейвлет-анализа для подсчета параметра Херста, работа над более точным обнаружением аномалий в сетевом трафике.



1. Wikipedia. «List of TCP and UDP port numbers»: [Электронный pecypc].-(https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_ numbers);
2. McAfee Labs Threats Report May 2015: [Электронный документ].
- (http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-
2015. pdf);
3. Техническое зрение. Вейвлет-анализ: [Электронный документ].
- (http://wiki.technicalvision.ru/index.php/Вейвлет-анализ);
4. Сайт Wikipedia. Статья «Dos-атака»: [Электронный
документ]. - (https://ru.wikipedia.org/wiki/DoS-атака);
5. Мартин Пранкевич. День сурка. Осваиваем сетевую IDS/IPS Suricata: [Электронный документ] // Журнал XAKEP. - (https://xakep.ru/2015/06/28/suricata-ids-ips-197/);
6. Y. Zhang, S. Singh, S. Sen, N. Duffield, and C. Lund "Online identification of hierarchical heavy hitters: algorithms, evaluation, and applications," [text] in Proc. of the 4th ACM SIGCOMM conference on Internet measurement (IMC), 2004, pp. 101-114;
7. Varun Chandola, Arindam Banerjee, Vipin Kumar // Anomaly Detection : A Survey [text] - ACM Computing Surveys, September 2009. p. 7;
8. Tamer F. Ghanem , Wail S. Elkilani, Hatem M. Abdul-kader // Hybrid approach for efficient anomaly detection using metaheuristic methods [text] - Journal of Advanced Research 2015 - 6 p.609;
9. R. Heady, G. Luger, A. Maccabe, and M. Servilla, —The Architecture of a Network Level Intrusion Detection System, У [text] Computer Science Department, University of New Mexico, Tech. Rep. TR-90, 1990;
10. Monowar H. Bhuyan, D. K. Bhattacharyya, and J. K. Kalita // Network Anomaly Detection: Methods, Systems and Tools [text] // IEEE COMMUNICATIONS SURVEYS & TUTORIALS, VOL. 16, NO. 1, FIRST QUARTER 2014;
11. Miroslaw MAZUREK , Pawel DYMORA // Network anomaly detection based on the statistical self-similarity factor for HTTP protocol [text] - PRZEGLAD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 90 NR 1/2014 pp. 127-130;
12. M. Thottan and C. Ji, —Anomaly detection in IP networks, У [text] IEEE Trans. Signal Process., vol. 51, no. 8, pp. 2191-2204, 2003;
13. Heyman, D.P., Sobel M.J. // Stochastic Models in Operations Research. [text] Vol. I. Stochastic Processes and Operating Characteristics. New York: McGraw-Hill, 1982;
14. Олифер, В.Г. Компьютерные сети [Текст] / Олифер В.Г., Олифер Н.А. - СПб.: Питер, 2007. - 958 с;
15. Кириченко, Л.О. Сравнительный анализ статистических свойств оценок показателя Херста [Текст] / Кириченко, Л.О. // Вестник НТУ «ХПИ». Тематический выпуск: Информатика и моделирование. - Харьков: НТУ «ХПИ». - 2010. №21. С. 88 - 95.;
16. Васильев, К.К. Математическое моделирование систем
связи: учебное пособие [Текст] / К. К. Васильев, М. Н.
Служивый. - Ульяновск : УлГТУ, 2008. - 170 с.;
17. Математический энциклопедический словарь. Теория массового обслуживания [Текст]. М., «Советская энциклопедия», 1988, стр. 327-328;
18. Петров, В.В. То, что вы хотели знать о самоподобном телетрафике, но стеснялись спросить [Текст]. Москва: МЭИ, ИРЭ, 2003. - 48 с.;
19. Leland W.E., Taqqu M.S., Willinger W., Wilson D.V. // On the SelfSimilar Nature of Ethernet Traffic (Extended Version) [text] // IEEE/ACM Transactions on Networking. February 1994. Vol. 2, no. 1. pp. 1-15.;
20. Michael E. Whitman, Herbert J. Mattord // Principles of Information Security. Course Technology. [text] - 2011 - pp. 290-301.;
21. Mohiuddin Ahmed, Abdun Naser Mahmood, Jiankun Hu // A survey of network anomaly detection techniques [text] - Journal of Network and Computer Applications Volume 60, January 2016, p. 21;
22. Naila Belhadj Aissaa, Mohamed Guerroumia. [text] // Semi-Supervised Statistical Approach for Network Anomaly Detection - Procedia Computer Science 83 ( 2016 ) 1090 - 1095.;
23. Sheluhin O.I., Pankrushin A.V. // Detection of anomalies in network traffic using the methods of fractal analysis in real time [text] - T-Comm, #8 2014 pp. 108-112.;
24. V. Kumar, —Parallel and distributed computing for cybersecurity, У [text] IEEE Distributed Systems Online, vol. 6, no. 10, 2005.;
25. Willinger W., Taqqu M.S., Sherman R., Wilson D.V. // Self-Similarity through High-Variability: Statistical Analysis of Ethernet LAN Traffic at the Source Level [text] // IEEE/ACM Transactions on Networking. Feb. 1997. Vol. 5, no. 1. pp. 71-86.;
26. А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom». Системы и методы обнаружения вторжений: современное состояние и направления совершенствования УДК 004.056.53: [Электронный документ]. - (http://citforum.ru/security/internet/ids_overview/).;
27. Сайт Wikipedia. Статья «Самоподобие» - [Электронный документ].
- (https://ru.wikipedia.org/wiki/самоподобие).;
28. Статистика в аналитической химии. Таблица значений критерия Стьюдента (t-критерия): [Электронный документ]. - (http://chemstat.com.ru/node/17).
29. Downtime, Outages and Failures - Understanding Their True Costs: [Электронный документ]. - (http://www.evolven.com/blog/downtime- outages-and-failures-understanding-their-true-costs.html).
30. Michael Wilson. A Historical View of Network Traffic Models: [Электронный документ].-(http://www.cse.wustl.edu/~jain/cse567- 06/traffic_models2.htm).


Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.