CC BY
12Т.о. среднеквадратичное отклонение текста подвергнутого криптографическому сжатию на 0,0063 меньше чем у сжатого.
Второе свойство, которое следовало проверить, это зависимость количества изменившихся бит в сжатом тек-
сте от количества измененных бит в исходном тексте, вытекающая из разностного анализа. Результаты для сжатого и критографически сжатого текста и представлены на рисунке 1, для сравнения результатов зависимость была построена для ГОСТ 28147-89 в режиме простой замены.
s
VO X
X X
<и X <и Ш
m S
о со
I-
U
<и т s е; о se
Стойкость к разностному криптоанализу
45 40 35 30 25 20 15 10
1 2
4 5 6 7 8 9 10
Результаты для сжатых данных
Результаты для ГОСТ 28147-89, простая замена
□ Результаты для криптографического сжатия данных
Количество измененных бит исходного текста
5
0
3
Рисунок 1. График зависимости «Стойкость к разностному криптоанализу»
Модификация алгоритма сжатия методом Хафф-мана с помощью криптографической операции подстановка дала лучшие результаты при проверке свойств, характерных для криптографических данных, чем для алгоритма сжатия. Модификация метода сжатия позволила не только уменьшать объем памяти, занимаемой данными на ЭВМ, но и приблизить полученный алгоритм криптографического сжатия к криптостойким алгоритмам шифрования.
Литература
1. Кожевникова И.С., Васенёва В.А., Николаенко В.Г. Основные свойства сжатых и зашифрованных данных -Евразийский союз ученых. Ежемесячный научный журнал №8 / 2014 часть 8. VIII Международная научно-практическая конференция: «Современные концепции научных исследований» -Москва: 2014, стр.62-65.
ОБНАРУЖЕНИЕ АНОМАЛИЙ КАК ИНСТРУМЕНТ ВЫЯВЛЕНИЯ
СКАНИРОВАНИЯ ПОРТОВ
Ананьин Евгений Викторович, Кожевникова Ирина Сергеевна, Датская Лариса Викторовна
студенты, Волгоградский государственный университет, г. Волгоград
Оладько Владлена Сергеевна
кандидат техн. наук, доцент, Волгоградский государственный университет, г. Волгоград
ANOMALY DETECTION AS A TOOL TO IDENTIFY PORT SCANS Ananin Evgeny, student, Volgograd State University, Volgograd Kozhevnikova Irina, student, Volgograd State University, Volgograd
Oladko Vladlena, candidate of tehn. sciences, assistant professor, Volgograd State University, Volgograd Datskaya Larisa, student, Volgograd State University, Volgograd АННОТАЦИЯ
Рассматриваются современные методы сканирования портов. Был проведен обзор методов, применяемых для обнаружения аномального трафика и выявления факта сканирования портов и статистических моделей выявления аномального трафика. Особое внимание уделяется методу последовательного анализа и моделям, использующим этот метод для выявления сканирования портов. Было проведено сравнение методов и выявлен наилучший. ABSTRACT
Reviews current methods of port scanning. Reviewed the methods used to detect anomalous traffic and detect port scans and statistical models to identify anomalous traffic. Special attention is paid to the method of sequential analysis and models that use this method to detect port scans. A comparison of methods have been made and the better one was identified.
Ключевые слова: сканирование портов, IP-протокол, NT-метод, SA-метод, аномальный трафик, информационная безопасность.
Key words: port scanning, IP-protocol, NT-method, SA-method, anomalous traffic, information security
Корпоративные сети развиваются с огромной скоростью. Задачи, которые возлагаются на сети передачи данных, значительно усложняются, вследствие чего усложняется ее структура и принципы организации, а также растет потребность в эффективной защите трафика, циркулирующего по корпоративной сети. В нынешнее время серьезным атакам предшествует тщательная разведка сети, включающая в себя сканирование портов маршрутизаторов и персональных компьютеров пользователей. Это позволяет злоумышленникам с большой точностью определить используемые в корпоративной сети приложения, взаимодействующие с сетью Интернет.
Сканирование портов выполняется с целью определить, какие порты целевого хоста закреплены за приложениями. Сканирование - это подготовительная операция, разведка периметра сети. После того, как будет составлен список активных («открытых») портов, начнётся выяснение — какие именно приложения используют эти порты.
После определения приложений, а иногда даже их версий, фаза разведки заканчивается, и начинается фаза активных действий злоумышленника — атака. Не обязательно, что после первой фазы (разведки) сразу начнётся вторая. Зачастую через некоторое время разведка повторяется, причём с других узлов сети. Это своего рода проверка бдительности «стражи» — администраторов. Атака может так и не начаться, если не обнаружено ни одной потенциально уязвимой точки воздействия. Следует понимать, что сканирование само по себе ничем не может повредить сети — повредить могут последующие действия, если они последуют.
Были проанализированы следующие типы сканирования портов:
• Проверка онлайна
• SYN-сканирование
• TCP-сканирование
• UDP-сканирование
• ACK-сканирование
• FIN-сканирование
Все они на данный момент активно используются при исследовании удаленных хостов [3].
Основными последствиями сканирования портов являются:
1. Имя хоста,
2. Получение списка открытых портов,
3. Получение списка закрытых портов,
4. Получение списка сервисов на портах хоста,
5. Предположительное определение типа и версии
ОС.
Таким образом, злоумышленник после успешного сканирования портов жертвы, имеет полную и достаточную информацию о ПЭВМ, чтобы суметь воспользоваться изъянами данной машины. Защита от сканирования является актуальной и важной проблемой среди как системных администраторов и специалистов в защите информации, так и «продвинутых» пользователей ПК [2, с235].
После анализа типов сканирования были рассмотрены методы защиты от сканирования портов. Основными методами защиты являются:
• nt - метод: при работе данного метода происходит вычисление метрики, определяющей соотношение N подозрительных событий за время наблюдения T;
• sa - метод: основан на последовательном анализе - способе проверки статистических гипотез, при котором необходимое число наблюдений не фиксируется заранее, а определяется в процессе самой проверки.
Рассмотрим каждый метод немного подробнее. Nt - метод.
NT-метод показывает хорошие результаты в случае массированного, методичного сканирования. Однако правильный выбор порога является камнем преткновения. Выявление сканеров, которые посылают запросы в случайном темпе или используют большие временные задержки в своей работе, также является проблемой, поскольку такое поведение невозможно выявить с помощью N/T метрики. Возникает необходимость в более изощренных методах выявления аномального поведения сетевых устройств. Далее предполагается, что известно «нормальное» состояние сети, т. е. распределение вероятностей обращений к активным сетевым устройствам и сервисам. Например, вероятности обращений к адресу P(dst_ip), порту P(dst_port) или совместная вероятность P(dst_ip, dst_port). Тогда если устройство с адресом src_ip обращается к какому-либо устройству с адресом dst_ip и использует в качестве порта назначения dst_port, а P(dst_ip, dst_port) мала, то устройство попадает в число подозреваемых. Основная трудность состоит в том, какие именно вероятности, условные вероятности и совместные вероятности хранить, тем более что нужно собирать информацию в течение длительного периода времени.
Предполагается, что априори известно распределение нормального трафика защищаемой сети по хостам и портам, т. е. если в пакете встречается данная комбинация х, то известна вероятность ее появления P(x). Определим индекс аномальности пакета (или события), содержащего пару х через отрицательный логарифм правдоподобия:
A(x) = -log(P(x)). (1)
Индекс аномальности множества X = xx,x2,... определим как
A(X) =£хе xA(x). (2)
Таким образом, чем больше необычных комбинаций использует сканер, тем быстрее он будет обнаружен. Заметим, что здесь игнорируется тот факт, что распределение вероятностей зависит от времени суток. Поэтому для сканеров, функционирующих в разное время, индекс аномальности рассчитывается, по существу, относительно разных распределений. SA - метод.
Пусть Х - случайная величина, а x1,...,xn - последовательность независимых и одинаково распределенных наблюдений за Х. Допустим, что относительно этого распределения имеется два предположения. Гипотеза H0 -наблюдения распределены с плотностью р0(х), а гипотеза H1 - наблюдения распределены с плотностью р1(х). После
каждого наблюдения предоставляется выбор из трех возможных решений: принять НО и закончить наблюдения, принять Н1 и закончить наблюдения, не принимать ни одну из гипотез и продолжить наблюдения.
Решающая процедура 5* определяется следующим образом. Фиксируются два порога: верхний А и нижний В, такие что 0 < В < А. Пусть выполнено п наблюдений (п = 1, 2, ...). Обозначим через Ln(x1,...,xn) отношение правдоподобия:
(3)
Ln(x1,... ,xn) = ПП=1, 1
Ро(хО
Процедура 5* на шаге п такова: если Ln(x1,.. .,хп) > А, то принимается гипотеза Н1 и процесс наблюдения заканчивается; если Ln(x1,...,хп) < В, то принимается гипотеза НО и процесс наблюдения заканчивается; если В< Ln(x1,...,xn) < А, то выполняется еще одно наблюдение, вычисляется новое отношение правдоподобия Ln+1(x1,...,xn+1), для которого вновь применяется *.
Эта процедура характеризуется вероятностями ошибок и средними числами наблюдений:
• а = а(А, В) = р{принята - ошибка первого
верна Ho
рода;
• р = в (А, В) = Р{ПрИНЯТа"0} - ошибка второго рода;
По = По (А, В) = Е ,П1 = П1 (А, В) = Е (4)
где п - число наблюдений (случайная величина) до принятия окончательного решения, а Е - математическое ожидание. Зададим желаемые вероятности ошибок первого и второго рода аО и РО.Во-первых, фактом, что среди всех решающих правил 5', обладающих свойством
а(б') < «о- Р(б') < во,
(5)
последовательный критерий отношения вероятностей 5* имеет минимальные средние числа наблюдений:
no(5*)<no(5'), ni(5*) < ni(5').
(6)
Во-вторых, вместо А и В можно использовать приближенные значения:
А'=1—в, B' = —.
а 1—а
(7)
В-третьих, формулами для вычисления среднего числа наблюдений, которые зависят от параметров р0(х), р1(х), а и р.
Таким образом, задав параметры а, р, рО и р1 можно построить алгоритм принятия той или иной гипотезы за конечное число шагов [1, с.36].
Для рационального выбора метода обнаружения аномалий было разработано программное средство, по результатам работы которого было проведено сравнение двух вышеуказанных методов и был проведен анализ результатов сравнения.
С разработанным программным средством был проведен ряд экспериментов, для определения нагрузки на ОЗУ, количество обнаруженных сканирований портов и эффективность распознавания типа сканирований.
Во время работы NT-метода и сниффера, программа занимала 22932 Кб оперативной памяти, для SA-метода это число составляло 1О892 Кб.
Далее, подсчитав количество обнаруженных сканирований и их типы было получено, что:
NT-метод обнаружил
• 9 АСК-сканирований(9О%)
• 7 SYN-сканирований(70%)
• 6 FIN-сканирований(60%)
• 10 XMAS-сканирований(100%)
SA-метод обнаружил:
• 6 АСК-сканирований(6О%)
• 7 SYN-сканирований(70%)
• 5 FIN-сканирований(50%)
• 8 XMAS-сканирований(80%)
Таким образом, для NT-метода, среднее арифметическое значение найденных сканирований будет равняться 8О%. Для SA-метода это число будет равняться 65%.
Оба метода точно определили тип сканирования портов, которые им удалось распознать. Значение рассчитывалось по формуле:
у.
Zi = х х 100% (8)
В этой формуле:
• XI - количество распознанных сканирований типа ^
• Yi - количество сканирований системы типа I;
• 71 - эффективность распознавания типа сканирования.
Таблица 1
Результаты для NT и SA методов
NT-метод SA-метод
ОЗУ 22932 Кб 10892 Кб
Обнаруженные сканирования портов 80% 65%
Эффективность определения типа сканирования портов 100% 100%
Таким образом, исходя из данных полученных с помощью программного средства, можно заметить, что NT-метод является эффективнее SA-метода в нахождении аномалий на 15%, хотя он и занимает в 2 раза больше ОЗУ, чем второй метод.
Список литературы 1. С. В. Бредихин, В. И. Костин, Н. Г. Щербакова Обнаружение сканеров в ip-сетях методом последовательного статистического анализа - Институт вычислительной математики и математической геофизики СО РАН, 2ОО9.
2. Оладько В.С., Ананьин Е.В., Кожевникова И.С., Датская Л.В. Анализ угроз, связанных со сканированием портов - Нефтекамский филиал БашГу, материалы XI Всероссийской студенческой научно-практической конференции (с международным участием): «Первые шаги в науку третьего тысячелетия» - Нефтекамс: 2015.
3. Gordon L. NMAP Network Scanning: The Official NMAP - Project Guide to Network Discovery and Security Scanning. 2015, http://nmap.org/man/ru/man-port-scanning-techniques.html
