CC BY
34<Тешетневс^ие чтения. 2016
Исходя из результатов проведенного анализа, можно сделать выводы о существовании взаимосвязи событий между следующими парами интернет-сервисов:
HTTP-HTTP S - обнаружение веб-серверов по обычному и защищенному соединению (0,957);
SSH-HTTPa - согласованные попытки обнаружения сервисов удаленного входа и прокси-серверов (0,607);
MySQL-SSH - согласованные попытки обнаружения сетевой базы данных и входа на удаленный сервер (0,618).
Таким образом, существует сильная связь между сетевыми службами, работающими по протоколам HTTP-HTTPS, и при обращении к одной из них велика вероятность попытки доступа по второй. В свою очередь, доступ по этим протоколам не коррелирует с остальными протоколами, и можно сделать вывод о существенно различных источниках угроз. Среди остальных сервисов наиболее показательным по попыткам доступа является протокол SSH (Secure Shell), доступ по которому может служить индикатором попыток обнаружения слабозащищенных сервисов из второй группы (SSH, MYSQL, HTTPa, SMTP). Проведенное исследование позволяет выявить взаимосвязи между отдельными видами атак и усовершенствовать методы межсетевой защиты.
Библиографические ссылки
1. ICT Facts and Figures - The world in 2015 [Электронный ресурс] // Международный союз электросвязи : офиц. сайт. URL: http://www.itu.int/en/rTU-
D/Statistics/Pages/facts/default.aspx (дата обращения: 10.09.2015).
2. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3(43). С. 20-25.
3. Марков А. С. Цирлов В. А. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. Вып. 1(2). С. 2835.
4. Кононов Д. Д., Исаев С. В. Модель безопасности веб-приложений на основе мандатного ролевого разграничения доступа // Вестник Бурят. гос. ун-та. 2012. Вып. 9. С. 29-33.
References
1. ICT Facts and Figures - The world in 2015 [Electronic resource] // International Telecommunication Union. [Official website]. URL: http://www.itu.int/en/ITU-D/Statistics/Pages/facts/default.aspx (accessed: 10.09.2015).
2. Isaev S. V. An analysis of Internet threats network dynamics of the Krasnoyarsk Scientific Center of the Russian Academy of Sciences // Vestnik SibGAU. 2012, № 3 (43), рр. 20-25.
3. Markov A. S. Tsirlov V. L. Guidelines for cybersecurity in the context of ISO 27032//Cybersecurity issues. 2014. № 1(2), pp. 28-35.
4. Kononov D. D., Isaev S. V. The security model for Web applications based on role-based access mandate // Vestnik BSU. 2012, № 9, pp. 29-33.
© ^аев С. В., Кулясов Н. В., 2016
УДК 004.738
ИДЕНТИФИКАЦИЯ И ВИЗУАЛИЗАЦИЯ ИСТОЧНИКОВ ИНТЕРНЕТ-УГРОЗ
С. В. Исаев
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 E-mail: si@icm.krasn.ru
Исследованы способы идентификации источников интернет-угроз. Предложенные способы визуализации угроз позволяют повысить эффективность защиты информации в потенциально подверженных риску атаки организациях.
Ключевые слова: защита информации, кибербезопасность, компьютерные сети.
IDENTIFICATION AND VISUALIZATION OF THE INTERNET THREAT SOURCES
S. V. Isaev
Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: razor@icm.krasn.ru
The work investigates ways to identify internet sources. The proposed ways of visualizing threats improve the effectiveness of the information protection in organizations potentially vulnerable to attacks.
Keywords: protection of information, cybersecurity, computer networks.
Методы и средства защиты информации
В последнее десятилетие развитие информационно-телекоммуникационных технологий привело к тому, что большинство сфер человеческой деятельности напрямую получили отражение в информационной сфере (киберпространстве). Вопросы безопасности киберпространства получают первостепенное значение, особенно в таких наукоемких отраслях, как ракетно-космическая промышленность и научные исследования [1]. Одним из немаловажных вопросов противодействия интернет-угрозам является идентификация их источников, оценка уровня опасности и визуализация полученных показателей для адекватного их восприятия.
В Институте вычислительного моделирования СО РАН длительное время ведется работа по сбору и анализу информации о попытках атак на различные сервисы ФИЦ КНЦ СО РАН [2]. В зависимости от анализируемого сервиса можно выделить следующие основные источники идентифицирующей информации об агенте угрозы:
1. IP-адрес источника - присутствует всегда, но может быть подменен в случае ошибок администрирования или использования анонимайзеров.
2. Протокол - как правило однозначно определен для сервиса, но в некоторых случаях возможны многопротокольные атаки.
3. Порт источника - может быть использован для выявления ошибок конфигурирования файрвола и идентификации специфичных клиентов.
4. Идентификатор клиентского приложения (UserAgent) - распространен в среде web и обычно включает такую информацию, как название и версия приложения, операционная система компьютера и язык. Может быть использован для фильтрации легальных сервисов, определения языка клиента, но легко подделывается.
Таким образом, единственным гарантированным источником идентификации является IP-адрес, но наличие прочих признаков тоже может помочь в принятии решения об идентификации источника угрозы или отнесении его к легальным пользователям.
Рис. 1. Связи между информационными объектами БД RIPE
Принципы распределения и регистрации IP-адресов описаны в документе ripe-577. При выделении и передаче блоков адресов информация о пользователях и их контактные данных попадают в базу данных RIPE, информацию из которой можно получить с помощью протокола Whois. Основные объекты в данной базе и их связи изображены на рис. 1.
Из схемы видно, что по блоку IP-адресов можно получить информацию о службе администрирования, организации и по связям - о физических лицах. Непосредственно адресная информация присутствует у организации и у физических лиц. Кроме адресов в текстовом виде есть информация о контактных телефонах, по префиксам которых можно уточнить адрес с точностью до населенного пункта, если это неясно из текстового поля.
К сожалению, в некоторых случаях невозможно определить географический адрес владельца блока адресов, в этом случае можно попытаться получить информацию о ближайших к нему маршрутизаторах из других сетей с помощью трассировки маршрута до исследуемого адреса. С большой долей вероятности некоторую географическую принадлежность при помощи такого приема удается установить.
Полученные и отфильтрованные по дополнительным признакам данные, агрегированные по идентифицированным источникам угроз, нужно адекватно визуализировать. Самый простой способ - различного вида диаграммы - позволяет сравнивать некоторые параметры источников, таких как интенсивность атак, их количество, распределение по времени. Минусами такого представления является невозможность временной детализации и пространственного распределения угроз. Другой способ визуализации состоит в построении различных географически привязанных представлений - картограмм и картодиаграмм. В картограммах на географической карте штриховкой различной густоты, точками или окраской показывается сравнительная интенсивность показателя в пределах каждой единицы нанесенного на карту территориального деления.
Тешетневс^ие чтения. 2016
Рис. 2. Визуализация источников интернет-угроз
В картодиаграмме диаграммные фигуры (столбики, квадраты, круги, фигуры, полосы) размещаются на контуре географической карты. Таким образом, при агрегации источников угроз до уровня стран удобно пользоваться картограммами, а при агрегации до населенных пунктов - картодиаграммами. Под руководством автора бакалавром СФУ Г. К. Сурихиным был реализован проект визуализации источников интернет-атак картодиаграммами с помощью библиотеки Google maps clusters (рис. 2). Введённые оси времени позволяют детализировать интересующий интервал, а картографические средства отобразить необходимый элемент пространства.
Проведенная работа позволила выявить основные методы для эффективной визуализации и анализа источников интернет-угроз. Благодаря использованию готовых средств Google maps удалось создать действующий прототип системы анализа угроз, использование которого позволяет повысить эффективность работы специалистов по защите информации.
Библиографические ссылки
1. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3(43). С. 20-25.
2. Кулясов Н. В. Система распознавания интернет-угроз по журналам веб-сервисов // Молодой учёный. 2015. № 11(91). С. 79-83.
References
1. Isaev S. V. An analysis of Internet threats network dynamics of the Krasnoyarsk Scientific Center of the Russian Academy of Sciences. Vestnik SibGAU. 2012. № 3(43), рр. 20-25.
2. Kulyasov N. V. Sistema raspoznavaniya internet-ugroz po zhurnalam veb-servisov [recognition System the Internet threat logs web services] // Molodoj uchyonyj. 2015. № 11(91), pp. 79-83. (in Russ.)
© №аев С. В., 2016
УДК 519.24
ОБ ИССЛЕДОВАНИИ ЗАВИСИМОСТИ ИЗМЕНЕНИЯ ЭНТРОПИИ ШИФРОТЕКСТА ОТ БИЕКТИВНОГО ПРЕОБРАЗОВАТЕЛЯ ИНФОРМАЦИИ
Н. С. Исаков, А. М. Кукарцев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: isakov-nikolay@mail.ru
Представлен метод исследования зависимости энтропии шифротекста от криптографического ключа и алгоритма шифрования. Предлагаемый метод может быть применён для повышения защищённости каналов передачи спутниковой телеметрии.
Ключевые слова: энтропия, криптографический алгоритм, математическая статистика.
