CC BY
77
У
БЕЗОПАСНОСТЬ
Методика построения системы обнаружения вторжений для УоІР-трафика
Современные реализации комплексных методов построения систем предотвращения вторжений не учитывают некоторые особенности УоІР-трафика и зачастую подвержены различным атакам из-за того, что являются, по сути, обычными сетевыми устройствами, имеющими все идентификационные параметры, такие как ІР-адреса и порты. Поэтому основная идея разрабатываемой методики состоит в обеспечении скрытности системы и разработке ее исключительно для УоІР-трафика, что позволит упростить ее реализацию, требования к вычислительным ресурсам, а также серьезно удешевить систему.
Ключевые слова:
Цо1Р-трафик, защита голосового трафика, 1Р-сети, технология коррекции сигнатуры, трафик
Кириллов ДИЧ
аспирант кафедры информационной безопасности телекоммуникационных систем Санкт-Петербургский Государственный университет телекоммуникаций им. проф. МА. Бонч-Бруевича [email protected]
Проблема защиты голосового трафика в 1Р-сетях стоит сегодня достаточно остро. Связано это и с общим ростом вариантов использования сетевых технологий, что неизбежно ведет к увеличению типов и количества атак на сетевой трафик, в общем, и с особенностями структуры и методов передачи голосового трафика в !Р-сетях, и с общими недостатками существующих методик построения систем предотвращения вторжений.
Изначально при обнаружении атак на сеть передачи голоса или уязвимостей в этой сети возникает проблема их четкой идентификации, т.е. невозможно перечислить все атаки и уязвимости, существующие в сети. В то же время, большинство существующих ныне систем предотвращения вторжений способны обнаруживать только известные атаки или атаки, чье поведение очень близко к известным. Для решения этой проблемы предлагается использовать технологию коррекции сигнатуры, при которой в потоке входных данных происходит поиск не точного совпадения с образцом, а поиск похожего образца, относительно близкого к нему, однако имеющего определенные отличия. Использование этой технологии позволит снизить вероятность ошибок типа "пропуск вредоносного трафика":
Т-Сотт #5-2009
щ(Л п В)-щ(л п В )
-pv _ т \ сигн / т \ сигн корр /
= W)
где А — подмножество входных данных, которые считаются атакой; В — подмножество входных данных, которые считаются безопасными; ¥ — функция, определяющая число элементов конечного множества; Асигн — сигнатура атаки, содержащая элементы из А и В; Вкорр — расширение подмножества А элементами подмножества В.
Для уменьшения значения вероятности ошибок типа "ложная тревога" предлагается использовать уточняющие сигнатуры, определяющие априорно аномальный трафик. При введении таких сигнатур в обучающую выборку значение вероятности ошибок "ложная тревога" снизится:
ш(В п А)-ш(в п А )
-pv г \ сигн / г сигн уточн /
¥(а)
Причем для оценки аномальности трафика используется анализ структуры RTP-пакета. В режиме обучения априорным является знание о тренировочном наборе данных, который не содержит аномальностей и, в случае обнаружения таковых алгоритмами поиска исключений, автоматически происходит адаптация формируемого профиля. При реализации этого процесса на основе поступающих в сеть SIP и RTP-пакетов производится формирование наборов грамматических цепочек, сформированных для каждой SIP и RTP-сессии относительно выбранных направлений. Таким образом, будет сформирована структура исследуемого трафика и статистическая информация о профилях поведения различных программ, использующих обмен трафиком реального времени,
которые в дальнейшем могут использоваться для обнаружения аномальности их работы.
В дополнение к методу использования уточняющих сигнатур, исходя из особенностей трафика, рекомендуется использовать технологию фильтрации на основе интеллектуального анализа данных, главным преимуществом которой, помимо более высокой точности определения вторжения, является классификация в реальном времени динамически изменяющегося трафика. Задача такой технологии заключается в выявлении нетривиальных, содержательных закономерностей при передаче большого объема трафика, чувствительного к задержкам. Это достигается объединением совокупности методов и технологий из различных областей знаний, включая статистический анализ, методы машинного обучения и искусственного интеллекта и тд Обычно эти методы и технологии используются для решения задач классификации, прогнозирования и поиска исключений, однако применение их для обработки голосового трафика открывает новые преимущества для систем предотвращения вторжений.
Разработка методики построения систем обнаружения и предотвращения атак на Уо!Р-трафик, используя вышеперечисленные методы, представляется нетривиальной, но очень перспективной задачей для набирающих все большую популярность Уо!Р-сетей.
Литература
1. Лукацкий А.В. Обнаружение атак. — 2-е изд., СПб.:БХВ-Петербург, 2003.
2. Патрик Э. Основы теории распознавания образов. — М.: Сов. радио, 1980.
3. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. —2-е изд. — М.: Горячая линия - Телеком, 2002.
49
Л
