Научная статья на тему 'Об автоматизации анализа сетевого трафика для построения наборов правил фильтрации межсетевых экранов'

Об автоматизации анализа сетевого трафика для построения наборов правил фильтрации межсетевых экранов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
270
38
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МЕЖСЕТЕВОЙ ЭКРАН / FIREWALL / ПРАВИЛА ФИЛЬТРАЦИИ СЕТЕВОГО ТРАФИКА / NETWORK TRAFFIC FILTERING RULES / SQL-ЗАПРОС / SQL-QUERY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Хеирхабаров Т. С.

Описывается разрабатываемая автором система автоматизированного анализа сетевого трафика, использование которой значительно упрощает процесс разработки наборов правил фильтрации для межсетевых экранов.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

AUTOMATED NETWORK TRAFFIC ANALYSIS FOR BUILDING A SET OF FIREWALL RULES

Automated network traffic analysis system developed by the author is described. This system greatly simplifies the development of firewall rule sets.

Текст научной работы на тему «Об автоматизации анализа сетевого трафика для построения наборов правил фильтрации межсетевых экранов»

5. Bajburin V. B., Manturov A. O. Perspektivnye metody zashhity informacii pri peredache po otkrytomu kanalu svjazi // Informacionnaja bezopasnost' regionov. 2008, № 1. S. 33-37.

6. Opredelenie koordinat istochnikov signalov v sistemah sputnikovoj svjazi: Dis. ... kand. tehn. nauk : 05.12.04 / V. V. Suhotin ; Ruk. raboty S.P. Pan'ko ; Krasnojar. gos. tehn. un-t. Krasnojarsk, 2003. 127 s.

© Сухотин В. В., Баскова А. А., Килин Г. П., 2013

УДК 004.056

ОБ АВТОМАТИЗАЦИИ АНАЛИЗА СЕТЕВОГО ТРАФИКА ДЛЯ ПОСТРОЕНИЯ НАБОРОВ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ

Т. С. Хеирхабаров

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 Е-mail: admin@kb-61.com

Описывается разрабатываемая автором система автоматизированного анализа сетевого трафика, использование которой значительно упрощает процесс разработки наборов правил фильтрации для межсетевых экранов.

Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика, SQL-запрос.

AUTOMATED NETWORK TRAFFIC ANALYSIS FOR BUILDING A SET OF FIREWALL RULES

T. S. Kheirkhabarov

Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: admin@kb-61.com

Automated network traffic analysis system developed by the author is described. This system greatly simplifies the development of firewall rule sets.

Keywords: firewall, network traffic filtering rules, SQL-query.

На сегодняшний день межсетевые экраны являются неотъемлемой частью инфраструктуры защиты любой более-менее крупной компьютерной сети. Применение межсетевых экранов для обеспечения безопасности компьютерных сетей является не только повсеместной практикой, но и обязательным требованием ряда нормативно-правовых актов и стандартов по информационной безопасности.

Чтобы межсетевой экран выполнял свои защитные функции, его, как и любое другое средство защиты информации, необходимо сначала должным образом настроить. Настройка межсетевого экрана, реализующего свои функции пакетной фильтрацией сетевого трафика, в первую очередь, заключается в создании набора правил фильтрации сетевого трафика. Данная задача возлагается на специалистов, знающих особенности защищаемой сети и используемых межсетевых экранов. В случае недостаточности таких знаний необходимая информация может быть получена путём изучения документации на сеть и функционирующие в ней информационные системы. Однако, как показывает практика, очень часто в организациях такая документация отсутствует либо является неактуальной и не соответствует реальной картине происходящего

в сети, в которую планируется включение настраиваемого межсетевого экрана. В таких случаях специалистам приходится прибегать к специализированному программному обеспечению - анализатору сетевого трафика или снифферу. С помощью данного анализатора осуществляется сбор всего сетевого трафика, проходящего через точку установки настраиваемого межсетевого экрана. Собранный трафик анализируется специалистом с целью получения необходимой для настройки межсетевого экрана информации.

Ручной анализ больших объёмов сетевого трафика, собранного сниффером, является нетривиальной и сложной задачей. И хотя современные анализаторы трафика предлагают мощные возможности по фильтрации и группировке анализируемых данных, зачастую этих возможностей бывает недостаточно. Для автоматизации данной задачи автором разрабатывается информационно-аналитическая система, которая позволит не только сократить время анализа сетевого трафика с целью дальнейшей выработки необходимого набора правил фильтрации, но и снизить риски допущения специалистам ошибок в процессе анализа, последствиями которых могут стать неправильно сконфигурированные правила фильтрации.

Методы и средства защиты информации

Рис. 1. Схема взаимодействия компонентов информационно-аналитической системы анализа сетевого трафика

SQLQueryl.sql ...ings (sa (68))*}

SELECT DISTINCT ServerIP, Name, Services.Port, (SELECT Proto FROM TransportProtocols WHERE Id = Services.Proto) AS Proto FROM TransportConnections

INNER JOIN Services ON TransportConnections.Service = Services.Id ORDER BY ServerIP DESC;

Рис. 2. SQL-запрос, возвращающий список серверов и запущенных на них сетевых служб

Разрабатываемая информационно-аналитическая система анализа сетевого трафика состоит из следующих основных компонентов:

- модуль перехвата сетевого трафика;

- модуль парсинга дампов сетевого трафика в формате Libpcap;

- модуль парсинга сетевых пакетов;

- база данных на основе СУБД Microsoft SQL Server.

Схема взаимодействия компонентов разработанной системы представлена на рис. 1.

Сетевые пакеты данных, перехваченные с помощью модуля перехвата или прочитанные из дампа сетевого трафика в формате Libpcap [1], поступают на вход модуля парсинга сетевых пакетов, где производится их группировка по так называемым виртуальным соединениям. По завершению каждого из виртуальных соединений (собраны все сетевые пакеты, относящиеся к одному сеансу передачи данных) производится сохранение их атрибутов (IP-адреса источника и назначения, порты источника и назначения, объём переданного/принятого трафика и т. д.) в базу данных. Исключение составляют лишь ICMP-пакеты - данные о них сохраняются в базу без агрегации виртуальных соединений.

Последующая работа с базой данных осуществляется с помощью SQL-запросов, что позволяет в полной мере воспользоваться всеми возможностями и гибкостью языка SQL. Формируя необходимые запросы к базе данных, можно получить всю необходи-

мую информацию для построения набора правил фильтрации для межсетевого экрана, устанавливаемого в точку перехвата анализируемого сетевого трафика. Так на рис. 2 представлен запрос, который позволяет получить перечень всех серверов и запущенных на них сетевых служб.

Фрагмент вывода указанного SQL-запроса представлен на рис. 3.

ServerIP Name Port Proto

1 ! 192.163.10.11 ! dornain 53 TCP

2 132.133.10.11 dornain 53 UDP

3 132.163.10.11 rmicrosoft-ds 445 TCP

4 1Э2.163.10.11 microsoft-ds 445 UDP

5 132.163.10.11 ms-term-srv 3333 UDP

6 1Э2.163.10.2 http 80 TCP

7 132.163.10.2 https 443 TCP

S 132.163.10.2 ntp 123 UDP

Э 132.163.10.2 ssh 22 TCP

Рис. 3. Фрагмент вывода запроса перечня серверов и запущенных на них сетевых служб

Далее для каждой из сетевых служб каждого из серверов возможно получить список 1Р-адресов клиентов, выполнив последовательность из 9-ти SQL-запросов. Таким образом, полученной с помощью 10-ти SQL-запросов информации о серверах, сетевых службах и их клиентах будет достаточно для

построения соответствующего набора правил фильтрации. Ручной анализ сетевого трафика потребовал бы от специалиста гораздо больших временных затрат. Кроме того, последовательность необходимых запросов к базе данных может быть единожды запрограммирована в хранимой процедуре Microsoft SQL, что, в итоге, сведёт процесс получения необходимой информации к запуску данной процедуры.

На текущий момент ведётся разработка модуля, который по данным из базы будет осуществлять автоматическую генерацию необходимых правил фильтрации для выбранного пользователем межсетевого экрана. При этом перечень поддерживаемых межсетевых экранов будет пополняемым. Таким образом, разрабатываемая система позволит практиче-

ски полностью автоматизировать процесс генерации правил фильтрации для межсетевых экранов, существенно снижая вероятность возникновения ошибок в данных правилах.

Библиографическая ссылка

1. Libpcap File Format [Электронный ресурс]. URL: http://wiki.wireshaik.org/Development/LibpcapFileFormat/ (дата обращения: 14.09.2013).

References

1. Libpcap File Format, Available at: http://wiki.wireshark.org/Development/LibpcapFileFormat (accessed 14 September 2013).

© Хеирхабаров Т. С., 2013

УДК 511-519.1

СВОЙСТВА КОЭФФИЦИЕНТОВ КОМПОЗИЦИИ ДВУХ ПРОИЗВОДЯЩИХ

ФУНКЦИЙ ВИДА ln(1+F(x))

Ю. В. Шабля, Д. В. Кручинин

Томский государственный университет систем управления и радиоэлектроники Россия, 634050, г. Томск, просп. Ленина, 40. E-mail: shablya-yv@mail.ru

Проведены исследования в области построения критериев простоты натурального числа на основе теории производящих функций. Получены коэффициенты композиции двух производящих функций вида ln(1+F(x)), где F(x) - обыкновенная производящая функция с целочисленными коэффициентами. Получены свойства данных коэффициентов, которые могут быть применены для построения новых тестов на простоту натурального числа.

Ключевые слова: простые числа, тесты на простоту, производящие функции, композиция.

PROPERTIES OF COEFFICIENTS OF THE TWO GENERATING FUNCTIONS COMPOSITION ln(1+F(x))

Y. V. Shablya, D. V. Kruchinin

Tomsk State University of Control Systems and Radioelectronics 40, Lenin prosp., Tomsk, 634050, Russia. E-mail: shablya-yv@mail.ru

Research in the field of construction ofprimality criteria which are based on the generating functions theory is held. Coefficients of the two generating function composition ln(1+F(x)) are obtained, where F(x) is ordinary generating function with integer coefficients. Properties of these coefficients, which can be used to build new primality tests are obtained.

Keywords: prime, primality test, generating function, composition.

В последние годы все больше и больше уделяется внимания информатизации общества, а сама информация теперь воспринимается как достаточно ценный ресурс. Вследствие чего необходима реализация защиты конфиденциальной информации. Решением данной проблемы занимается такая наука, как криптография.

В качестве математической основы современной криптографии рассматривается теория чисел. Большинство криптографических алгоритмов для защиты

информации основаны на положениях теории чисел, в частности, с применением простых чисел (например, криптографическая система с открытым ключом RSA). Исследования в этой области проводятся и на данный момент, например, одной из последних значительных разработок стал полиномиальный тест простоты числа AKS [1].

Но вопрос простоты числа до сих пор является нерешенным для целочисленной арифметики. На данный момент не существует единого эффективного

i Надоели баннеры? Вы всегда можете отключить рекламу.