CC BY
23
преимуществ и недостатков. В результате был определён пригодный для применения при поверке турбинных преобразователей расхода с диапазоном измерения от 0,018 до 20 м3/ч тип установки.
Таким образом, для контроля метрологических характеристик целесообразно применять трубопоршневые установки, в частности УТП-20. Они позволяют очень точно воспроизводить требуемые значения расхода жидкости, выравнивать поток, не допуская опасных для датчика пульсаций и завихрений. Размещение таких установок позволяет экономить производственное пространство для работы и не требует огромных затрат при создании, имеют возможность для автоматизации процессов поверки и калибровки, просты при эксплуатации и обслуживании. Список использованной литературы:
1. Федеральный закон от 26.06.2008 №102-ФЗ «Об обеспечении единства измерений», в редакции с внесёнными в неё поправками от 11.06.2021, ст.15
2. 8326-04: Описание типа СИ, ТПР
3. ГЭТ 63-2017 Государственная поверочная схема
4. 73953-19: Описание типа СИ, УТП-20
5. ЛГФИ.407221.004 МИ «Преобразователи расхода турбинные ТПР. Методика поверки»
6. http://npopramen.ru/information/other-flowmeters
7. http://neftandgaz.ru/?p=1872
© Мороз А.В., Блёскин Д.И., 2023
УДК 004.056.53
Сидоров В.И.
Магистрант 2 курса ФГБОУ ВО «АлтГУ» г. Барнаул, Россия Научный руководитель: Мансуров А.В.
к.т.н., доцент кафедры информационной безопасности ФГБОУ ВО «АлтГУ» г. Барнаул, Россия
РАЗРАБОТКА СИСТЕМЫ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК С ВОЗМОЖНОСТЬЮ НАКОПЛЕНИЯ ДАННЫХ И ВИЗУАЛЬНОГО АНАЛИЗА НА БАЗЕ OPEN-SOURCE РЕШЕНИЙ IDS ZEEK/BRO И ELK
Аннотация
Предложена система обнаружения сетевых атак и визуализации полученных данных на основе open-source решений. Была смоделирована локальная сеть, в которой проводилась брутфорс атака на FTP сервер. Показано, что с помощью предложенной системы возможно составить сценарий развития сетевых атак и обнаружить итоговый результат атаки. Полученные результаты могут быть использованы в качестве IDS системы малого предприятия с целью анализа и будущего предотвращения сетевых атак.
Ключевые слова Обнаружение сетевых атак, IDS Bro/Zeek, ELK stack.
Введение
Проблемы защиты информации становятся все более актуальными с каждым днем. Растет как ущерб, причиняемый компьютерным системам, так и разнообразие форм и способов злонамеренных действий. Современная стратегия обеспечения сетевой безопасности должна учитывать ряд таких
факторов, как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых методов атак. Уязвимости, связанные с сетевой безопасностью, оставляют открытым целый ряд потенциальных проблем и подвергают компанию различным рискам [1].
Актуальные решения по обеспечению сетевой безопасности должны обладать следующим функционалом:
• уметь работать на нескольких уровнях, включая седьмой уровень модели OSI (на уровне приложений);
• уметь связывать конкретного пользователя с содержанием трафика;
• иметь интегрированную в решение систему защиты от сетевых атак (ЮБ/!РБ);
• предусматривать механизм пошагового рассмотрения анализируемой ситуации (в ее развитии);
• аккумулировать обработанные аналитические данные с возможностью эффективной визуализации накопленных данных.
Наличие элементов визуализации и накопления даёт возможность разбора и демонстрации связанных событий и перехода к анализу сценариев сетевых атак. Сценарий возможной атаки может быть обнаружен путем последовательного разбора аккумулированных событий, относящихся к серии действий злоумышленника по отношению к одной и той же жертве. Схема анализа сценариев развития атак представлена на рисунке 1.
Обнаружение первичных следов сетевой атаки Исследование > процесса развития действий атакующего *
Результат атаки. Соотнесение модели атаки и результатов наблюдения через сконфигурированную систему. Исследование соответствующих записей в базе данных по установлен иному сценарию
Рисунок 1 - Схема анализа сценариев развития атаки
Общая схема взаимодействия модулей сбора информации IDS Bro/Zeek [2] и ELK [3] выглядит следующим образом [4]:
Рисунок 2 - Общая схема используемой системы
Тестирование предлагаемого решения
Демонстрация работоспособности системы проверяется путем моделирования процесса проведения успешной FTP - брутфорс атаки в локальной сети. Модули, используемые в данной системе -IDS Bro/Zeek, ELK stack (Elasticsearch, Logstash, Kibana). Воздействие на атакуемую машину производится с помощью инструмента Metasploit и его модуля «ftpjogin» с машины с IP-адресом 192.168.56.102. Данный модуль производит брутфорс атаку FTP сервера на машине Windows 7. Общая схема данной сетевой атаки выглядит следующим образом:
Рисунок 3 - Схема атаки
По аналогии с рисунком 3, данная система, в зависимости от подключенных модулей обнаружения, может обнаруживать всевозможные атаки, начинающиеся из внешнего периметра и проходящие внутрь корпоративной сети, и имеет возможность контролировать течение возможных атак, проходящих внутри корпоративной сети.
В общем, процесс обнаружения атаки в рассматриваемой системе можно описать следующим образом: производится первоначальный анализ накопленной информации, просматриваются уведомления от внешней IDS службы, работающей на внешнем периметре сети. Данные уведомления являются первым важным индикатором о начале возможной атаки, направленной внутрь корпоративной сети. Далее необходимо просмотреть данные от службы, находящейся внутри корпоративной сети. Если уведомления от данной службы есть, то значит атака прошла внутрь сети. Необходимо проанализировать данные от обеих служб, чтобы обнаружить IP адрес атакующего, IP адрес атакуемой машины, а также атакуемый и атакующий порты служб для получения информации на какую службу производится атака. Эти ключевые поля используются для поиска информации, которая агрегировалась в базе Elasticsearch.
С помощью Metasploit было произведено сканирование с IP адреса 192.168.56.102 FTP сервера с IP адресом 192.168.56.103 и далее произведен брутфорс-атака данного сервера с последующим успешным входом с подобранными данными.
В сконфигурированной системе обнаружения сетевых атак с последующим анализом были получены и сохранены данные, соответствующие процессу выполнения указанной ранее атаки. На главном экране Kibana в модуле Number of Sessions Overtime наблюдается всплеск активности, при обычной работе такое поведение не наблюдается. Данные всплески указывают на возможную проведенную атаку. Информация на модулях говорит о том, что атакующий трафик шел на машину с IP адресом 192.168.56.103 по протоколу tcp примерно в 03:26.
Рисунок 4 - Первичные данные об атаке
В разделе Analytics - Discover отображаются все лог файлы, полученные Kibana. Для отображения только нужной информации, используются поля "source.ip", "destination.ip", "source.port", "destination.port". Они добавляются в модуль отображения данных. Первое поле демонстрирует IP источника пакетов, второе - IP пункта назначения пакетов, третье - порт источника пакетов, четвертое поле отображает порт назначения пакетов. Так как известно, что атака производилась на IP адрес 192.168.56.103, производится фильтрация полученных логов и остаются только те, в которых поле Destination ip равно нужному адресу. После фильтрации система показывает, что весь данный раздел заполнен данными о попытках подключения на 21 порт с IP 192.168.56.102 на IP 192.168.56.103. Порт 21 является портом по умолчанию сервиса FTP, поэтому можно предположить, что на данный сервис производилось какое-либо воздействие.
Рисунок 5 - Отфильтрованные лог-файлы
Для того, чтобы проверить, обнаружила ли система попытку вторжения на рабочую станцию, обратимся в раздел «Security» - «Hosts» - «External alerts». В данном разделе действительно есть
сообщение о попытке FTP брутфорс-атаки с IP адреса 192.168.56.102 в то же время, в которое были обнаружены другие признаки атаки. С данного адреса была произведена 191 неудачная попытка входа на FTP сервер в течении 21 секунды. Также, данная запись отображает имя сработавшего правила -FTP::Bruteforceing.
■ Security Hosts External alerts
Overview Detections Hosts Network Timelines Cases Administration Event details X
0 ч. Search Table JSON View
© + Add Шег a Filter by Field, Value, or Description..
®B г @timestamp -4/ 1 event.module event.dataset .vente«, 192.168.56,102 had 191 failed logins on 1 FTP
□ t i| rule.description ©
1 0 ¡Junl, 2021 @03:54:52.237 ¡zeek ijzeek notice jj intrusion. serverln0m21s
> 6 j Jun 1, 2021 @ 03:38:47.889 zeek zeek notice il intrusion. □ t rule.narre © FTP::Bruteforcing
■ e ¡Junl, 2021 @03:24:52.235 zeek j zeeknotice Il intrusion. п f | service.type 3) zeek
> w I Jun 1,2021 ©03:24:31.046 zeek :; zeek. weird и network □ ( source.address © 192.168.56.102
;;Jun 1,2021® 03:24:31.046 zeek || zeek. weird II network
e ¡Jun 1, 2021 @03:21:55.369 zeek zeeknotice II intrusion. u @;:scurce.ip|© 192.168.56.102
> e j May 31, 2021 © 14:23:02.508 zeek 1 zeek.notice и intrusion. □ @; suricata.eve.src.ip © 192.168.56.102
> e | May 31, 2021 @ 14:08:02.500 zeek ¡zeek.no.ice II intrusion. □ t tags © zeek.notice
> e ¡May 31, 2021 ©13:53:02.499 zeek zeek.notice II intrusion. 192.168.56.102 had 191 failed logins on 1 FTP
e
> i|May 31, 2021 @ 13:38:02.498 zeek : zeek notice :: intrusion.
■ e | May 31, 2021 © 13:23:02.496 zeek : zeek notice ¡intrusion. □ ( izeek.notlce.note © FT P :
> e 1 May 31, 2021 @ 13:16:57.750 zeek il zeeknotice :: iniiiHiKi n t ¡zeek.notice.peer descr © manager
> и ;|May 31, 2021 @ 13:08:02.487 zeek ; zeek.notice ■MnItusio«u # zeek. notice.suppres?.for © 3600
100 V Dl 283 External alerts
© • Untitled timeline
Рисунок 6 - Запись с предупреждением об FTP брутфорс-атаке
Попытка брутфорс-атаки была обнаружена, но для того, чтобы узнать, была ли успешно подобрана пара логин/пароль и был ли произведен вход через подобранные данные, необходимо обратиться к логам FTP. Для этого на странице Analytics - Discover добавляется еще один фильтр, который будет отображать только FTP логи - event.dataset = zeek.ftp. После добавления данного фильтра, отображается запись, сгенерированная через 30 минут после производимой атаки с того же IP адреса.
Рисунок 7 - Данные логов ftp
В данном логе отображается информация о том, что был произведен вход через FTP пользователя krapfen и была выполнена некая команда с кодом 200 "PORT command successful". То есть, атакующий пользователь вошел на FTP сервер, используя подобранные данные, и начал удаленно выполнять FTP команды.
Multi fields
uaer.nw.tfflit! krapfen
# zeek.ftp.arg 192.16a.56.102.1M.177 1 zeek.ftp.com-and PORT
[E zeek.ftp.data_channEl.ariginating_hn£t 192.163.56.193
Q zeek.ftp.data_ehannEl.passive falSE
® zeek.ftp.data_chBrinEl.resfKnsE_hDEt 192.169.56.192
# ieek.ftp.data_channEl.resfKjnsE_pcrt 4E.S17
' ZHk.ftp.pamnnl chidden*
# zeek.ftp.reply.cade 209 I zeek.ftp.reply.mag I zeek . ftp . user ' zeek. seBsion_i.d
PORT command succEBsfuL.
krapfen
CZ13H036FwL4TinREHc
Рисунок 8 - Данные о выполнении удаленных команд
Выводы
Построенная система позволяет получать первичную информацию для выполнения анализа из различных точек корпоративной сети, важными из которых являются как минимум две: состояние сетевого обмена на границе корпоративной сети и внутри нее.
Накапливаемая информация позволяет рассматривать различные ситуации, связанные с течением сетевых атак, их развитие на границе и последующий прогресс с прохождением внутрь корпоративной сети.
Продемонстрированный пример с использованием брутфорс-атаки на FTP сервер показывает, что система позволяет идентифицировать момент наступления атаки, ее прогресс, дальнейшее развитие событий и установить конечное состояние атаки - была ли проводимая атака успешной или нет. Система показывает эффективность для специалиста по защите информации в плане работы с исходными данными и установления момента наступления и развития сетевой атаки (или инцидента информационной безопасности).
Список использованной литературы:
1. Сетевая безопасность. Вместо введения. Блог компании Hewlett Packard Enterprise, Информационная безопасность. URL: https://habr.com/ru/company/hpe/blog/261913/
2. Zeek Manual. URL: https://docs.zeek.org/en/current/.
3. Elastic Stack and Product Documentation. URL: https://www.elastic.co/guide/en/
4. Home Monitoring: Sending Zeek logs to ELK. On the hunt. URL: https://newtonpaul.com/create-enterprise-monitoring-at-home-part-2-shipping-zeek-logs-to-elk/
5. Браницкий А.А., Котенко И.В. Анализ и классификация методов обнаружения сетевых атак. URL: http://www.mathnet.ru/links/685c5eb80bd3af4d93c80c2d52b208e8/trspy873.pdf
© Сидоров В.И., 2023
