Исследование взаимосвязи атак на различные интернет-сервисы Текст научной статьи по специальности «Компьютерные и информационные науки»

<Тешетневс^ие чтения. 2016

4. Шудрак М. О., Золотарев В. В. Модель, алгоритмы и программный комплекс автоматизированного поиска уязвимостей в исполняемом коде // Тр. СПИИРАН. 2015. № 42. С. 212-231.

5. Тестов О. В., Золотарев В. В. Применение конечных автоматов в задачах динамического тестирования программного кода // Решетневские чтения. 2015. Т. 2, № 19. С. 302-304.

6. Shudrak M., Zolotarev V. The technique of dynamic binary analysis and its application in the information security sphere / IEEE EuroCon. 2013. Р. 40-45.

References

1. Methods of detecting errors in binary code / V. V. Kaushan, Yu. V. Markin, V. A. Padaryan, A. Yu. Tik-honov // Technical report, Institute for system programming of RAS. 2013. № 2013-1. 42 p.

2. Miller B. P., Fredriksen L, So B. An Empirical Study of the Reliability of UNIX Utilities / // Communications of the ACM. 1990. № 33(12). Pp. 32-44.

3. Takanen A., Demott J. D., Miller C. Fuzzing for software security testing and quality assurance. USA, Artech House Norwood, 2008. 230 p.

4. Shudrak M. O., Zolotarev V. V. Model, algorithm and program complex for the automated search for vulnerabilities in executable code /// Proceedings of SPIIRAS. 2015. No. 42. S. 212-231.

5. Testov O. V., Zolotarev V. V. Application of finite automata to the problems of software code dynamic testing // Reshetnev readings. 2015. Vol. 2, No. 19. С. 302-304.

6. Shudrak M., Zolotarev V. The technique of dynamic binary analysis and its application in the information security sphere // IEEE EuroCon 2013. Pp. 40-45.

© Золотарева Е. Ю., Созин М. В., 2016

УДК 004.738

ИССЛЕДОВАНИЕ ВЗАИМОСВЯЗИ АТАК ИА РАЗЛИЧНЫЕ ИНТЕРНЕТ-СЕРВИСЫ

С. В. Исаев, Н. В. Кулясов

Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 E-mail: razor@icm.krasn.ru

Отражены результаты исследования атак агентов угроз и определена их взаимосвязь. Это позволяет более полно обеспечивать информационную безопасность предприятий аэрокосмической отрасли.

Ключевые слова: защита информации, кибербезопасность, компьютерные сети.

RESEARCHING RELATIONSHIP ATTACKS AGAINST DIFFERENT INTERNET-SERVICE

S. V. Isaev, N. V. Kulyasov

Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: razor@icm.krasn.ru

The paper presents the results of investigation of attack threats and agents; the paper determines their relationship. This allows to ensure completely the information security for the aerospace industry.

Keywords: protection of information, cybersecurity, computer networks.

Развитие ГГ-индустрии происходит быстрыми темпами, и сеть Интернет - этому подтверждение: за последние 20 лет число активных пользователей сети увеличилось в 8 раз и составляет на сегодняшний день почти половину населения земного шара [1]. С увеличением числа пользователей увеличивается и число различных интернет-сервисов (сетевых служб), позволяющих пользователям взаимо действо -вать с сетью.

На данный момент сеть Интернет является частью современного общества и прочно взаимодействует со всеми сферами человеческой деятельности, в том числе услугами сети активно пользуются науч-

но-образовательные организации, занимающиеся исследованиями в области космических технологий [2]. Данный факт обусловливает повышенный интерес злоумышленников (агентов угроз) к различным сетевым службам и проведение на них различных атак в целях нанесения вреда организации, к которой относится тот или иной сервис. Исходя из этого, появляется необходимость своевременного обнаружения и противодействия деятельности злоумышленников.

Основной целью работы является изучение взаимосвязи атак на различные сетевые службы. Для достижения данной цели был организован стенд по сбо-

Методы и средства защиты информации

ру данных (см. рисунок), на котором сконфигурировано журналирование всех входящих подключений средствами файрвола IPFW, входящего в состав операционной системы FreeBSD. Для стенда выделено 253 интернет-адреса, которые до этого были недоступны в сети Интернет, таким образом, обращение к данному подмножеству адресов возможно лишь в результате ошибок конфигурации или нелегитимных действий, например, в целях первичной разведки путем сканирования [3]. В качестве атак в таком случае выступают любые запросы злоумышленников к определённым портам стенда. Каждый порт отвечает за определённый интернет-сервис (например, 80

порт отвечает за обработку HTTP запросов для web сервера) [4].

Таким образом, для выявления взаимосвязи атак необходимо провести статистический анализ событий, произошедших на разных портах сетевого интерфейса. Событием считается количество зафиксированных попыток доступа к заданному ресурсу за период времени либо количество превышений некоторого порога. Для анализа были взяты наиболее популярные, исходя из текущих наблюдений, сервисы, и посчитан их попарный коэффициент линейной корреляции (коэффициент корреляции Пирсона). Результаты приведены в таблице.

•т*

Веб приложения

Легитимные пол ьзователи

Базы данных

1

I

Сервера Приложений

IIII ■яя

IIII ■

=

Я

Администратор

Межсетевой экран

I

Информация о нарушителе

Модель стенда

Новый элемент киберпространства

Легитимные пользователи

Интернет

V

Агент угроз

Коэффициент линейной корреляции для отдельных сервисов

HTTP HTTPS Telnet HTTPa SIP RDP SSH mSQL Radmin MySQL

HTTP 1 0,957 -02 0,016 -0,104 0,202 -0,072 -0,114 -0,06 -0,017

HTTPS 0,957 1 -0,189 -0,036 -0,086 0,208 -0,03 -0,115 -0,06 0,054

Telnet -0,2 -0,189 1 -0,17 0,179 -0,191 0,067 0,367 0,027 -0,163

HTTPa 0,016 -0,036 -0,17 1 0,134 -0,031 0,607 -0,351 0,295 0,468

SIP -0,104 -0,086 0,179 0,134 1 0,464 0,27 0,386 0,4 0,174

RDP 0,202 0,208 -0,191 -0,031 0,464 1 0,279 -0,036 0,241 0,153

SSH -0,072 -0,03 0,067 0,607 0,27 0,279 1 0,286 0,191 0,618

mSQL -0,114 -0,115 0,367 -0,351 0,386 -0,036 0,286 1 0,014 -0,204

Radmin -0,06 -0,06 0,027 0,295 0,4 0,241 0,191 0,014 1 -0,06

MySQL -0,017 0,054 -0,163 0,468 0,174 0,153 0,618 -0,204 -0,06 1

Решетневс^ие чтения. 2016

Исходя из результатов проведенного анализа, можно сделать выводы о существовании взаимосвязи событий между следующими парами интернет-сервисов:

HTTP-HTTP S - обнаружение веб-серверов по обычному и защищенному соединению (0,957);

SSH-HTTPa - согласованные попытки обнаружения сервисов удаленного входа и прокси-серверов (0,607);

MySQL-SSH - согласованные попытки обнаружения сетевой базы данных и входа на удаленный сервер (0,618).

Таким образом, существует сильная связь между сетевыми службами, работающими по протоколам HTTP-HTTPS, и при обращении к одной из них велика вероятность попытки доступа по второй. В свою очередь, доступ по этим протоколам не коррелирует с остальными протоколами, и можно сделать вывод о существенно различных источниках угроз. Среди остальных сервисов наиболее показательным по попыткам доступа является протокол SSH (Secure Shell), доступ по которому может служить индикатором попыток обнаружения слабозащищенных сервисов из второй группы (SSH, MYSQL, HTTPa, SMTP). Проведенное исследование позволяет выявить взаимосвязи между отдельными видами атак и усовершенствовать методы межсетевой защиты.

Библиографические ссылки

1. ICT Facts and Figures - The world in 2015 [Электронный ресурс] // Международный союз электросвязи : офиц. сайт. URL: http://www.itu.int/en/ITU-

D/Statistics/Pages/facts/default.aspx (дата обращения: 10.09.2015).

2. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3(43). С. 20-25.

3. Марков А. С. Цирлов В. А. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. Вып. 1(2). С. 2835.

4. Кононов Д. Д., Исаев С. В. Модель безопасности веб-приложений на основе мандатного ролевого разграничения доступа // Вестник Бурят. гос. ун-та. 2012. Вып. 9. С. 29-33.

References

1. ICT Facts and Figures - The world in 2015 [Electronic resource] // International Telecommunication Union. [Official website]. URL: http://www.itu.int/en/ITU-D/Statistics/Pages/facts/default.aspx (accessed: 10.09.2015).

2. Isaev S. V. An analysis of Internet threats network dynamics of the Krasnoyarsk Scientific Center of the Russian Academy of Sciences // Vestnik SibGAU. 2012, № 3 (43), рр. 20-25.

3. Markov A. S. Tsirlov V. L. Guidelines for cybersecurity in the context of ISO 27032//Cybersecurity issues. 2014. № 1(2), pp. 28-35.

4. Kononov D. D., Isaev S. V. The security model for Web applications based on role-based access mandate // Vestnik BSU. 2012, № 9, pp. 29-33.

© ^аев С. В., Кулясов Н. В., 2016

УДК 004.738

ИДЕНТИФИКАЦИЯ И ВИЗУАЛИЗАЦИЯ ИСТОЧНИКОВ ИНТЕРНЕТ-УГРОЗ

С. В. Исаев

Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 E-mail: si@icm.krasn.ru

Исследованы способы идентификации источников интернет-угроз. Предложенные способы визуализации угроз позволяют повысить эффективность защиты информации в потенциально подверженных риску атаки организациях.

Ключевые слова: защита информации, кибербезопасность, компьютерные сети.

IDENTIFICATION AND VISUALIZATION OF THE INTERNET THREAT SOURCES

S. V. Isaev

Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: razor@icm.krasn.ru

The work investigates ways to identify internet sources. The proposed ways of visualizing threats improve the effectiveness of the information protection in organizations potentially vulnerable to attacks.

Keywords: protection of information, cybersecurity, computer networks.