Отслеживание изменений в структуре сети и решение задач повышения безопасности на основе анализа потоков данных Текст научной статьи по специальности «Компьютерные и информационные науки»

11. Well-known services list [Электронный ресурс]. - Режим доступа: http://www.watchguard.com/help/lss/46/reference/ports4.htm, свободный.

12. Гирик А.В. Инструментирование клиент-серверных приложений // Научно-технический вестник СПбГУ ИТМО. - 2005. - № 19. - С. 150-154.

13. Papadopouli M., Shen H., Raftopoulos E., Ploumidis M., Hernandez-Campos F. Short-term traffic forecasting in a campus-wide wireless network. - 16th Annual IEEE International Symposium on Personal Indoor and Mobile Radio Communications, Berlin, 2005.

14. Гирик А.В. Обнаружение информационных угроз безопасности передачи данных в телекоммуникационных сетях // Труды XV Всероссийской научно-методической конференции «Телематика'2008». - 2008. - С. 178-179.

Гирик Алексей Валерьевич — Санкт-Петербургский государственный универси-

тет информационных технологий, механики и оптики, преподаватель, alexei.guirik@googlemail.com

УДК 004.722.4

ОТСЛЕЖИВАНИЕ ИЗМЕНЕНИЙ В СТРУКТУРЕ СЕТИ И РЕШЕНИЕ ЗАДАЧ ПОВЫШЕНИЯ БЕЗОПАСНОСТИ НА ОСНОВЕ АНАЛИЗА ПОТОКОВ ДАННЫХ М.Б. Будько, М.Ю. Будько

Рассматриваются методы обнаружения широковещательных штормов и динамического построения топологии сети на основе анализа потоков данных. Рассмотрен механизм обнаружения широковещательного шторма в сети, его источника и области поражения. Производится сравнение критериев, обеспечивающих поиск похожих шаблонов трафика.

Ключевые слова: безопасность сети, широковещательный шторм, топология сети.

Введение

Методы обнаружения широковещательных штормов и динамического построения топологии сети актуальны в современных компьютерных сетях, построенных с использованием коммутаторов. В настоящее время широкое распространение получили сети передачи данных, построенные на основе технологии Ethernet. Несмотря на то, что физическая топология таких сетей представляет собой дерево, достаточно большие сегменты могут быть объединены на втором уровне модели OSI. Это приводит к возникновению угроз безопасности, связанных с использованием широковещательных и групповых адресов для организации штормов в сети [1]. В связи с этим возникает задача динамического анализа потоков данных с целью обнаружения источников дестабилизирующего воздействия на сеть и определения области поражения.

Существующие способы обнаружения широковещательных штормов сводятся к определению интенсивности передачи широковещательных пакетов через конкретный порт коммутатора. При превышении некоторого порога пакеты начинают отбрасываться. Однако не все коммутаторы поддерживают такие функции, и, как показывает опыт, они не всегда работают корректно.

Эффективность решения задачи анализа потоков данных зависит от средств и способов мониторинга сетевой инфраструктуры. Как правило, в крупных сетях в качестве основного источника информации используется протокол SNMP. C его помощью собираются сведения о загрузках сетевых интерфейсов коммутирующего оборудования. Сложность анализа потоков данных состоит в том, что устройства опрашиваются системой мониторинга не синхронно, т.е. существует разница во времени между запросом статистики у первого и последнего устройства в списке мониторинга. Для сниже-

ния влияния задержки данные интерполируются до того момента времени, когда начался опрос первого устройства. Это приводит к несоответствию показаний статистики для двух портов, даже если весь трафик с одного из них поступает на вход другого. Соответственно показания, считанные из базы данных системы мониторинга, являются функцией от реальных значений: у (г) = / (г) + 8,

где г = ((,г2,...,гп) - вектор значений временных меток, во время которых инициируется процесс опроса устройств, Аг = (г. - г.+1) - период опроса устройств, п - количество значений в выборке; у = у((,г2,...,гп) - вектор показаний трафика на порту, сохраненных в системе мониторинга; / = / (г1, г2,..., гп) - реальные значения трафика на порту; 8 = (,82,...,8п) - вектор случайных компонент, образовавшихся вследствие несинхронного опроса устройств и последующей интерполяции данных.

Поиск связей между устройствами в сети

Проведено исследование, в рамках которого оценивались следующие критерии обнаружения одинаковых последовательностей трафика:

- коэффициент, вычисленный на основе сумм абсолютных значений остаточных раз-

ностей,

1 п

п

1=1

Уа (0 - УЪ (О

тах{Уа ОХ УЪ {1))

- коэффициент, использующий сумму квадратов отклонений,

■ 2 . 1

*аЪ = 2

1ё

п7=1

Уа {1) - УЪ {1)

тах{Уа УЪ {1))

- коэффициент, использующий сумму остаточных разностей, возведенную в третью степень,

*аЪ = 3

п

ё

Уа {1) - УЪ {1)

тах{Уа {i), УЪ {1)) ф

1

- выборочный коэффициент корреляции Пирсона

{ Л п ^ ( 1 п

г = ■

ё с- — ё с- х у — ё у

1=1 V п '=1 У V п '=1 У

2

п ^ 1 п \ п ^ 1 п \

ё с — ё с- I хё У' — ё У'

■=1 V п '=1 У '=1 V п '=1 У - выборочный ранговый коэффициент корреляции Кендалла [2]

2

гк =■

п п ( \ -ЁЁ*1^,) - %)).

п(п -1) 1=1

В качестве исходных данных использовались показания загрузки интерфейсов сетевых устройств в распределенной сети. При этом делалась попытка на основе показаний статистики найти связанные друг с другом порты оборудования, так как очевидно, что трафик между ними должен быть одинаковым. Результаты исследования рассмотрены в [3]. Из них можно сделать вывод о том, что наиболее достоверным способом обнаружения одинаковых последовательностей трафика является использование коэф-

3

1

1

фициента ранговой корреляции Кендалла. Его единственным ограничением является требование к объему анализируемой выборки (не менее 15 значений).

Обнаружение широковещательных штормов

Следующим этапом является применение похожего подхода для обнаружения аномалий трафика на примере широковещательного шторма. Суть этого явления состоит в том, что несанкционированные действия какого-либо узла сети могут привести к увеличению нагрузки на широковещательный сегмент сети, а в некоторых случаях - к перегрузкам и снижению быстродействия других узлов. Это происходит вследствие того, что широковещательный трафик распространяется по всему сегменту и должен быть обработан каждым узлом сети. Пример широковещательного трафика приведен на рис. 1.

Из рис. 1 видно, что широковещательный шторм имеет свойства, которые могут использоваться для его обнаружения:

- распространяется по всем портам коммутирующего оборудования в рамках одного сегмента;

- является исходящим трафиком для источника и входящим для всех остальных узлов сегмента.

■О 1= о

а.1

[л

а.1 1/1

Мои 04:00 Моп 08:00 Мои 12:00 Моп 16:00 Мои 20:00 Тие 00:00

Рис.1. Распространение широковещательного шторма в сети

Следовательно, можно определить последовательность действий по обнаружению

широковещательного шторма.

1. Определение уровней иерархии устройств в сети с помощью предварительного построения структуры сети. Построение осуществляется динамически путем сравнения интенсивностей трафика на портах коммутирующих устройств [4]. При этом в качестве коэффициента похожести используется ранговый коэффициент корреляции Кендалла.

2. Анализ трафика на устройствах, находящихся на самом нижнем уровне каждой ветки дерева структуры. Это позволит, с одной стороны, проанализировать все широковещательные домены и, с другой стороны, исключить из рассмотрения сетевое оборудование уровня распределения, так как обнаружить шторм на этом уровне существенно сложнее, чем на уровне доступа.

3. Определение списка устройств, у которых разница между средними на порт значениями трафика предыдущих и последующих отсчетов превысила порог, установленный администратором сети:

* =1Ё у(( )--1 Ё у(( -1),

Щ П2

где * - разница между средними значениями трафика для конкретного устройства, у(1) - значение отсчета с номером 1 на одном из активных портов, п1 и п2 - количество активных портов в моменты времени, соответствующие отсчетам с номерами 1 и 1-1. Широковещательный трафик воздействует на все активные интерфейсы коммутаторов. Поэтому, несмотря на повышение средней загрузки, ее распределение по портам должно быть равномерным. Для определения этого вычисляем среднеквадратичные отклонения интенсивностей трафика:

d =

1y()--1

П, n,

1 ( 1 ^2 - ё( у( -1)-jl ё у(-1)

пп

2 V 2 у

где ** - разница между среднеквадратичными отклонениями, у(г) - значение отсчета с номером 1 на каком-либо активном порту, п1 и п2 - количество активн^1х портов в моменты времени, соответствующие отсчетам с номерами 1 и 1-1. Если разница среднеквадратичных отклонений будет небольшой, то фиксируется начало широковещательного шторма.

5. Момент окончания шторма определяется, как и начало, только при этом фиксируется уменьшение среднего трафика.

6. Форма шторма определяется по усредненным на порт значениям трафика за время шторма. Это возможно потому, что изменение формы широковещательного трафика будет в большей степени отражаться на суммарном трафике, чем изменение трафика на каком-либо одном интерфейсе.

7. Для поиска источника шторма просматриваем исходящий трафик на всех сетевых интерфейсах в сети. При этом осуществляется сравнение с шаблоном широковещательного шторма. В качестве критерия соответствия используем ранговый коэффициент корреляции Кендалла, который оказался эффективным для обнаружения похожих последовательностей трафика.

Заключение

Использование рассмотренных методов анализа статистики позволяет повысить информированность администраторов о процессах, которые происходят в сети. Средства динамического построения структуры можно интегрировать в систему управления и наблюдения за сетью и тем самым упростить ее администрирование. Возможность обнаружения широковещательных штормов позволит своевременно принимать меры для устранения источника дестабилизирующего воздействия.

Литература

1. Библиотека I2R [Электронный ресурс]. Классификация атак. - Режим доступа: http://i2r.ru, свободный.

2. Минько А.А. Статистический анализ в MS Excel. - М.: Издательский дом «Вильямс», 2004. - 448 с.

3. Будько М.Ю. Сравнение эффективности критериев для обнаружения связей между устройствами в сети // Труды XV Всероссийской научно-методической конференции «Телематика'2008». - 2008. - Том 1.

4. Пат. 5,926,462 USA, МКИ6 H04L 12/28. Method of determining topology of a network of objects which compares the similarity of the traffic sequences/volumes of a pair of devices. David Schenkel, Michael Slavitch, Nicholas Dawes, 16.11.1995, 20.07.1999.

5. IEEE 802.1AB. IEEE Standard for Local and metropolitan area networks. Station and Media Access Control Connectivity Discovery. - New York, 2005.

6. Казиев В.М. Введение в математику и информатику. - СПб: БИНОМ. Лаборатория знаний; Интернет-университет информационных технологий - ИНТУИТ.ру, 2007. -304 с.

Будько Михаил Юрьевич — Санкт-Петербургский государственный универ-

ситет информационных технологий, механики и оптики, инженер, bmu@mail.ru

Будько Марина Борисовна — Санкт-Петербургский государственный универ-

ситет информационных технологий, механики и оптики, преподаватель, budkomb@mail.ru

УДК 681.4

ВСТРАИВАНИЕ ЦИФРОВЫХ ВОДЯНЫХ ЗНАКОВ В АУДИОСИГНАЛ МЕТОДОМ РАСШИРЕНИЯ СПЕКТРА А.Г. Коробейников, А.Г. Даурских, Н.В. Павлова

В работе рассмотрен стеганографический метод внедрения цифровых водяных знаков в аудиосигнал, а также шаги по его практической реализации. Приведена структура работы алгоритма кодирования и декодирования сообщения.

Ключевые слова: стеганография, аудиосигнал, метод, цифровой водяной знак, расширение спектра.

Введение

Повсеместное применение компьютерных технологий способствует активному использованию мультимедийной информации, т.е. информации, содержащей звуки, неподвижные изображения, текст, видеоизображения. Легкость распространения такой информации заставляет задумываться о защите авторских прав в каждом из названных видов мультимедийного контента. Из наиболее эффективных способов такой защиты стоит отметить использование методов стеганографии, т.е. встраивания в мультимедийные данные так называемых цифровых водяных знаков (ЦВЗ) - цифровых меток, не видимых без специального программного обеспечения и секретного ключа.

Для каждого вида данных существуют свои методы встраивания ЦВЗ, в которых используются определенные свойства этих данных. Так, для аудиосигналов применяются алгоритмы, основанные на особенностях самих сигналов и системы слуха человека (ССЧ). ССЧ работает в сверхшироком динамическом диапазоне - более чем миллиард к одному в диапазоне мощности и более чем тысяча к одному в частотном диапазоне. Кроме этого, высокой является и чувствительность к аддитивному флуктуационно-му (белому) шуму. Отклонения в звуковом файле могут быть выявлены вплоть до одной десятимиллионной (на 70 дБ ниже уровня внешних шумов) [1].

Несмотря на это, существуют определенные возможности для скрытия информации в аудиосреде. Хотя ССЧ и имеет широкий динамический диапазон, она характеризуется достаточно малым разностным диапазоном. Как следствие, громкие звуки содействуют маскировке тихих звуков. Кроме того, ССЧ не способна различать абсолютную фазу, распознавая только относительную. Наконец, существуют некоторые виды искажений, вызванных окружающей средой, которые настолько обычны для слушателя, что в большинстве случаев им игнорируются [2].

В работе рассмотрена практическая реализация одного из таких методов, работающего во временной области - метода кодирования с расширением спектра.