CC BY
45
АНАЛИЗ КЛЮЧЕВЫХ ХАРАКТЕРИСТИК СЕТЕВОГО ТРАФИКА
© Бабенко Г.В.*
Астраханский государственный технический университет, г. Астрахань
В работе рассмотрены вопросы организации сетевых пакетов, методы их структуризации, а также разработан метод сигнатурного анализа, основанный на характеристиках потока сетевого трафика, с последующим определением доминирующего признака.
На сегодняшний день сетевые компьютерные технологии с высокой интенсивностью внедряются во все сферы производства и жизнедеятельности. Стремительный рост масштабности и разнообразия сетей приводит к усложнению их корректного функционирования, а нарушения безопасности обработки, передачи информации могут привести к ущербу, сопоставимому целевому назначению этой информации. Технологии и протоколы, лежащие в основе функционирования современных компьютерных сетей, с точки зрения защиты информации, обладают достаточно большим количество недостатков. Безопасность информационного взаимодействия в компьютерной сети требует решения нескольких задач, основной из которых является защита подключенных компонентов сетевой инфраструктуры, как от внешнего: угрозы в сети общего пользования, так и от внутреннего негативного воздействия [1].
Так как большинство сетевых структур разработаны на основе технологий, реализованных в Internet, то соответственно в качестве информационных данных для анализа был выбран сетевой трафик, так как он является наиболее полным источником информации о происходящих в сети взаимодействиях. Для решения задачи выявления нарушений безопасности при сетевом взаимодействии в работе были разработаны принципы структуризации сетевого трафика, а также сигнатурные методы анализа свойств сетевых потоков. Выбор протоколов семейства TCP / IP в качестве анализируемых, обусловлен их всеобщим использованием при построении современных компьютерный сетей. Необходимо отметить, что в работе используются сетевые пакеты и адресация по стандарту IPv4.
Структуризация трафика
Структуризация потоков входящей информации является инструментом получения необходимых уникальных характеристик, а так же позволяет уменьшить объем данных необходимых для анализа без потери информативных свойств. Структурирование данных необходимо осуществ-
* Аспирант кафедры «Информационная безопасность».
лять с некоторым фиксированным временным интервалом. Сенсор, используемый в сетевом окружении, накапливает значения для построения характеристик за фиксированный интервал времени и передает данные для дальнейшей обработки.
Так для любых типов пакетов фиксируется время прохождения его через сенсор, IP-адрес отправителя пакета, IP-адрес получателя пакета, а так же его тип. Для каждого из типов сетевых протоколов выбираются ключевые поля сетевых пакетов. В соответствии с типом это могут быть: флаги, установленные в пакете (TCP / IP), объем передаваемой неслужебной информации, длина пакета, порты отправителя и получателя, служебные коды и запросы (ICMP) и т.д. По окончании установленного временного отрезка структурированные данные отправляются в базу данных. Для храпения данных, существует возможность использовать как SQL базу данных, так и отдельные файлы, имеющие собственное расширение - *.traffic_data. Файлы при сохранении получают уникальные генерируемые имена, состоящие из даты проведения структуризации и точного времени начала и окончания данного этапа анализа.
Ниже представлены два варианта сохраненной в отдельных файлах структурированной информации. Структуризация по объему данных, переданных через сенсор, включает информацию о времени прохождения пакета объему данных и количеству пакетов (рис. 1).
20,012010 9-SS-34 26.01.2010 9-56-04 I
Файл []равка фдрмат
2010-1-28 9 55 49 0 0
J 010-1-28 4 55 50 о о
2010-1-28 9 55 51 0 0
гою-1-га 9 55 52 0 0
2010-1-28 9 55 53 0 0
2010-1-28 9 55 54 72 1
2010-1-28 е 55 55 0 0
2010-1-28 9 55 55 0 0
2010-1-28 9 55 57 0 0
2010-1-28 9 55 58 0 0
2010-1-28 9 55 59 72 1
ioio'-i^a 9 5ё 00 269 0
2010-1-28 9 56 01 ¡3-, 0-
Sjtte-i-га. Шг М 0Si: ЩШ-
аиаяИф» 9 "S6" 03 wk %
гтт 9 56 04
а)
Рис. 1. Вариант структуризации: а) «по объему», б) «по типам»
Структуризация по типам пакетов включает: аналогично информацию о времени прохождении пакета через сенсор, а также собственно тип пакета. Необходимо отметить, что в одно время через сенсор может пройти несколько типов пакетов, что так же будет зафиксировано.
Сигнатурный метод анализа
Условно весь сетевой трафик, циркулирующий в каналах связи, можно разделить на группы по источнику его генерации: серверный, клиентский, трафик приложений. В процессе обнаружения отклонений в функциони-
ровании сети обычно применяют либо сигнатурные, либо поведенческие методы анализа. Однако оба этих метода имеют недостатки. Для уменьшения влияния недостатков методов на конечный результат в работе будет применен комбинированный метод сигнатурного анализа, в результате которого разработанная сигнатура, основана на поведенческих характеристиках потока информации о сетевых взаимодействиях.
Сетевая сигнатура - набор данных (условий), которые необходимо найти в трафике. Диапазон сигнатур изменяется от очень простых, типа проверки значений поля заголовка, до очень сложных сигнатур, которые могут прослеживать состояние подключения или выполнять анализ протокола. Для решения задачи построения сигнатур, выявляющих нетипичные состояния в функционировании сети, необходимо проанализировать этапы формирования сетевых пакетов. При этом использоваться будет не модель OSI а спроецированная на нее модель протоколов семейства TCP / IP.
Каждому уровню системы соответствуют протоколы, отвечающие за корректное функционирование. Наибольшее количество протоколов соответствует уровню приложений. Это объяснимо уникальностью правил (протоколов) взаимодействия компонентов программного обеспечения. Некоторые протоколы располагаются на так называемых межуровневых площадках, однако в работе они условно они определены на более низкий уровень. При анализе сетевой структуры в работе были выбраны протоколы, указанные в табл. 1.
Таблица 1
Основные анализируемые протоколы и стандарты
Сетевой интерфейс Маршрутизация Транспортировка Выполнение приложений
Ethernet, (R)ARP IP, ICMP,RIP, OSPF TCP HTTP, FTP, NetBIOS, Telnet, SMTP, POP3 и т.д.
UDP DNS, SNMP, TFTP, BOOTP, NetBIOS, DHCP и т.д.
Исходя из организации формирования сетевых пакетов, и исключив аспекты связанные с передачей информации по физическим каналам, в работе были определены потенциальные нарушения безопасности. Так при использовании технологии Ethernet в пакетах возможны ошибки контрольных сумм CRC, проблемы фрагментации, недостаточность объемов буферов, а так же широковещательные штормы, когда адреса получателя имеют вид XoFFFFFFFFFFFF. В процессе маршрутизации пакетов возникают проблемы размещения в очереди, задержки фильтрации, несогласованность MTU (максимальный объем блока данных), тайм-ауты R/P-na-кетов. Основным симптомом некорректной пересылки пакетов являются повторные пересылки пакетов TCP с фрагментацией на уровне IP больших блоков данных, существенно различаемые размеры окон буфера TCP [3].
При доменной организации сети важным аспектом является корректная работа сетевых служб авторизации и аутентификации, согласование сервером и клиентом буфера передаваемых данных.
Определение ключевых параметров и закономерностей в сетевом трафике
Рассмотрим некоторые характеристики, по которым вероятность решения задачи идентификации в потоке трафика нетипичной активности достаточно велика. Как было оговорено выше, анализ характеристик и разработку сигнатур начнем с сетевого адаптера.
Конфликты Ethernet часто выявляются в виде ошибок контрольных сумм. При этом основным моментом является повторная передача пакета. Из алгоритма передачи следует, что, несмотря на проблемы при передаче преамбулы оставшаяся часть пакета передается далее, при этом повторная передача преамбулы производится в течение 100 мкс (табл. 2).
Таблица 2
Сигнатура конфликта Ethernet
Пакет Время Размер Отправитель Получатель Протокол
1 0.00332 1518 172.16.18.1 172.16.18.10 TCP
2 0.00311 1518 172.16.18.1 172.16.18.10 TCP
3 0.00344 16 00:C0:AA:AA:AA:AA AA:AA:AA:AA:AA:AA Ethernet
4 0.00032 1498 172.16.18.1 172.16.18.10 TCP
N 1498 172.16.18.2 172.16.18.100 TCP
При рассмотрении 1Р пакетов выделим характеристики, непосредственно влияющие на маршрутизацию. Сообщения 1СМР никогда не отвечают на широковещательные запросы, мультикаст запросы, и адреса типа ХОЕЕЕЕЕЕЕЕЕЕЕЕ Информация содержащаяся в пакете соотносится типом и кодом пакета, с учетом того что любому разрешенному типу соответствует определенный код (табл. 3).
Таблица 3
Допустимые значения
IP version TOS TLL ID number MTU
Version = 4 0100 0001 0010 0100 1000 <255, Non Const 1, 2, 4, 6, 8, 17 1
Пакеты UDP, TCP и IP неотделимы при передаче, так как защита заголовка пакета IP происходит средствами UDP / TCP. Основное отличие UDP от TCP это отсутствие установления соединения перед передачей данных. Протокол UDP используется приложениями передающими данные последовательно, обычно по протоколам BOOTP, DHCP, DNS, TFTP, SNMP.
Протокол TCP в своей структуре имеет некоторые важные отличия. Это поле установленных флагов, а так же размера окна (табл. 4).
Таблица 4
Недопустимые значения
Флаги Порты Адреса Размер окна
SYN FIN PSH, RST SYN-FIN, RST SYN-FIN PSH, FIN, Отсутствие флагов, Активированный резервный бит, Флаг ACK и ack number=0 Порт = 0, Порт 1 = Порт 2, Порт > 65365, Адрес 1 = Адрес 2, Адрес = «Reserved», Адрес = *.*.*.0, Адрес = *.*.*.255. 17520 > значение размера окна > 1460
Комбинация флагов SYN FIN является незаконным сочетанием, так как флаг SYN используется для запуска соединения, в то время как флаг FIN используется для окончания существующего соединения. Когда порты равняются друг другу, мы говорим, что они рефлексивны. За несколькими исключениями (типа некоторых типов трафика NetBIOS), мы не должны видеть равенство этих значений.
Также существуют адреса IP специально предназначенные IANA для использования в локальных сетях - зарезервированное адресное пространство для внутреннего использования, а не для использования в Интернете. Имеется три диапазона адресов: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255 и 192.168.0.0-192.168.255.255, подробно это описано в RFC 1918, «Выделение адресов для частных сетей», на www.isi.edu/ innotes/rfc1918.txt [2].
При отсутствии TCP подтверждения, отправителю приходится повторять пересылку пакетов, при которой возможно полное повторение передачи данных, что существенно снизит функциональные характеристики сети. Для выявления таких состояний необходимо проанализировать интервалы времени задержек. Повторные пакеты передаются с задержкой, увеличивающейся по экспоненциальной зависимости (табл. 5).
Таблица 5
Сигнатура регистрации повторной пересылки
Пакет Время Размер Отправитель Получатель Протокол
4 0.00354 1518 172.16.18.1 172.16.18.10 TCP
5 0.00976 1498 172.16.18.1 172.16.18.10 TCP
6 0.01311 1518 172.16.18.1 172.16.18.10 TCP
7 0.01911 1518 172.16.18.1 172.16.18.10 TCP
8 0.03 1498 172.16.18.1 172.16.18.10 TCP
N 1498 172.16.18.2 172.16.18.100 TCP
Существует множество параметров, по которым, существует возможность идентифицировать то или иное неправомерное воздействие. Для опре-
деления источника и цели этих действий необходимо их дискретные свойства объединить в совокупность поведенческих характеристик объекта.
Связи свойств сигнатуры и получение совокупности поведенческих характеристик
Различные сигнатуры служат для различных целей. Некоторые сигнатуры могут сообщить вам, что происходит попытка определенного типа нападения или кто-то пытается эксплуатировать известные уязвимости в программных продуктах, в то время как другие сигнатуры могут только выявлять необычное поведение, при этом не обязательно должна проходить идентификация типа нападения. В ряде случаев не бывает единого мнения, что будет лучшей сигнатурой, особенно из-за того, что оптимальная сигнатура быть разной в разных операционных средах, а также меняться со временем.
Для определения источника появления нетипичного функционирования сети выделим закономерность в идентифицированных свойствах сигнатуры. Пусть Pi - источник угрозы, тогда определяться он будет как, Pi = S1 n S2 n ... n Sj - доминирующий признак совокупности сигнатур, при этом если Pi = {0}, то Pi = S1 u S2 u ... u Sj, a Si - свойство сигнатуры.
Правда, стоит учитывать, что более сложные сигнатуры чаще могут устаревать и становиться склонным к фальшивым тревогам, из-за того, что какая-то одна из характеристик инструмента или методологии может измениться со временем.
* * *
Таким образом, рассмотрев вопросы организации сетевых пакетов согласно спроецированной на модель OSI стек протоколов TCP / IP, методы их структуризации, с построением SQL-базы данных или сгенерированных файлов хранилища, были определены основные характеристики трафика. В работе разработан метод сигнатурного анализа, основанный на свойствах ключевых характеристик потока сетевого трафика, таких как флаги пакетов, параметры адресации, и т.п., с последующим определением доминирующего признака, для идентификации источника угрозы безопасности информации.
Список литературы:
1. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. - М.: РадиоСофт, 2010. - 232 с.
2. Леонтьев В.П. Безопасность в сети Internet. - М.: ОЛМА Медиа Групп, 2008. - 256 с.
3. Норткат Стивен, Новак Джуди. Обнаружение нарушений безопасности в сетях. - 3-е издание: пер. с англ. - М.: Издательский дом «Вильяме», 2003. - 448 с.
