Аналіз безпеки мережевого трафіку для синтезованої комп’ютерної мережі

НЕРОДА, Дмитро
Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/8668
Title:	Аналіз безпеки мережевого трафіку для синтезованої комп’ютерної мережі
Authors:	МИРОНЕЦЬ, Ірина НЕРОДА, Дмитро
Keywords:	КОРПОРАТИВНА МЕРЕЖА;ТРАФІК;МЕТОДИ АНАЛІЗУ;МОНІТОРИНГ;АТАКИ;УПРАВЛІННЯ;МОДЕЛІ
Issue Date:	2023
Abstract:	Досліджувана тема кваліфікаційної роботи магістра є актуальною через активний розвиток мережевих технологій, що викликає появу нових типів атак на комп’ютерні мережі. Велика кількість різноманітних методів вторгнень та їх реалізацій у вигляді атак провокує необхідність удосконалення існуючих технологій та засобів захисту даних у корпоративних комп’ютерних мережах. Метою виконання кваліфікаційної роботи на здобуття освітнього ступеня «магістр» є аналіз мережевого трафіку на наявність аномалій, за якими можна визначити факт вторгнення в мережу, визначення сучасних систем виявлення атак в локальній мережі. Об’єктом дослідження є процес перехоплення та аналізу безпеки мережевого трафіку. Предмет дослідження – мережевий трафік в комп’ютерній мережі. Основним методом дослідження є процесі дослідження та аналізу безпеки мережевого трафіку комп’ютерної мережі використовувалися методи перехоплення мережевого трафіку імітаційне комп’ютерне моделювання трафіку та методи математичної статистики. Практичне значення отриманих результатів. У існуючих сьогодні програмах для імітації комп'ютерних мереж застосовувалися методи аналізу мережевого трафіку (OPNET Modeler, Cisco Packet Tracer, Dynamips, GNS3, Boson NetSim for CCN). На основі програмного засобу для реалізації та моделювання мережі OPNET Modeler виконано відповідні графіки, що застосовуються для аналізу характеристик комп’ютерних мереж. Значну увагу приділено забезпеченню захисту даних в мережі від несанкціонованого доступу. Загальний обсяг роботи становить 95 сторінках. У кваліфікаційній роботі 18 рисунків, 7 таблиць. Для виконання роботи використано 24 літературне джерело.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/8668
Appears in Collections:	123 Комп’ютерна інженерія (Системне програмування)
Files in This Item:
File	Description	Size	Format
1_ТИТУЛКА__Нерода_ДРУК-merged.pdf Restricted Access		1.56 MB	Adobe PDF	View/Open Request a copy
Show full item record
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ
ІНЖЕНЕРІЇ
Пояснювальна записка
до кваліфікаційної роботи магістра
на тему: «Аналіз безпеки мережевого трафіку для
синтезованої комп’ютерної мережі»
ЧДТУ.232275.003 ПЗ
Виконав: студент 2 курсу, групи МСП-2206
спеціальності 123 – Комп’ютерна інженерія
за освітньою програмою – Системне
програмування
Дмитро НЕРОДА
Керівник
к.т.н., доцент Ірина МИРОНЕЦЬ
Н. контроль
Світлана ГРЕСЬКО
Рецензент
начальник відділу персоналу, к.т.н., доцент
Віталій ЗАЖОМА
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор __________ Віра БАБЕНКО
Черкаси 2023 року
Форма № Н-9.01
Черкаський державний технологічний університет
Факультет інформаційних технологій і систем
Кафедра інформаційної безпеки та комп‘ютерної інженерії
Освітньо-кваліфікаційний рівень Магістр
Спеціальність 123 – Комп’ютерна інженерія
Освітня програма Системне програмування
«ЗАТВЕРДЖУЮ»
Завідувач кафедри _____ Володимир РУДНИЦЬКИЙ
«10» жовтня 2023 року
ЗАВДАННЯ
на кваліфікаційну роботу магістра студенту
Нероді Дмитру Олександровичу
(прізвище, ім‘я, по батькові)
1. Тема роботи Аналіз безпеки мережевого трафіку для синтезованої
комп’ютерної мережі
Керівник роботи Миронець І.В., к.т.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом університету від «06» жовтня 2023 р. № 267/04
2. Строк подання студентом роботи
3. Вихідні дані до роботи:
 вторгнення в комп’терні мережі;
 методи та засоби виявлення вторгнень;
 системи запобігання вторгнень IDPS IPS;
 системи аналізу мережевого трафіку Suricata та Snort.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ
Розділ 1 Аналіз сучасних програмних та апаратних засобів моніторингу мережевого трафіку
Розділ 2 Методи та засоби для експериментального моніторингу і аналізу трафіку
Розділ 3 Захищеність мережевого трафіку при використанні систем виявлення атак та
запобігання вторгнень в корпоративних мережах
Висновки
Список використаних джерел
Додатки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
Додаток А – Система запобігання вторгненням IPS
Додаток Б – Мережа із встановленим апаратним комплексом IBM ISS
Додаток В – Схема розміщення системи IDPS у комп’ютерній мережі
6. Консультанти розділів роботи
Підпис, дата
Розділ Прізвище, ініціали та
посада завдання видав завдання прийняв
консультанта
7. Дата видачі завдання 10 жовтня 2023 року
КАЛЕНДАРНИЙ ПЛАН
Строк
№ з/п Назва етапів кваліфікаційної роботи магістра виконання Примітка
етапів роботи
1 Збір матеріалу 10.10 – 14.10 виконано
2 Обробка матеріалу 15.10 – 23.10 виконано
3 Обґрунтування актуальності виконання виконано
досліджень 24.10 – 30.10
4 Оцінка стану проблеми, виокремлення виконано
дослідницьких задач, постановка задачі 01.11 – 05.11
дослідження
5 Покращення методу та аналіз результатів 06.11 – 12.11 виконано
6 Програмна реалізація 13.11 – 23.11
7 Оформлення результатів в пояснювальну записку 24.11 – 30.11 виконано
8 Подання роботи на відгук та рецензування 01.12.23 виконано
9 Захист кваліфікаційної роботи 06.12.23
Студент-магістрант ____________________________ Дмитро НЕРОДА
(підпис)
Керівник роботи ____________________________ Ірина МИРОНЕЦЬ
(підпис)
АНОТАЦІЯ
Досліджувана тема кваліфікаційної роботи магістра є актуальною
через активний розвиток мережевих технологій, що викликає появу нових
типів атак на комп’ютерні мережі. Велика кількість різноманітних методів
вторгнень та їх реалізацій у вигляді атак провокує необхідність
удосконалення існуючих технологій та засобів захисту даних у
корпоративних комп’ютерних мережах.
Метою виконання кваліфікаційної роботи на здобуття освітнього
ступеня «магістр» є аналіз мережевого трафіку на наявність аномалій, за
якими можна визначити факт вторгнення в мережу, визначення сучасних
систем виявлення атак в локальній мережі.
Об’єктом дослідження є процес перехоплення та аналізу безпеки
мережевого трафіку.
Предмет дослідження – мережевий трафік в комп’ютерній мережі.
Основним методом дослідження є процесі дослідження та аналізу
безпеки мережевого трафіку комп’ютерної мережі використовувалися методи
перехоплення мережевого трафіку імітаційне комп’ютерне моделювання
трафіку та методи математичної статистики.
Практичне значення отриманих результатів. У існуючих сьогодні
програмах для імітації комп'ютерних мереж застосовувалися методи аналізу
мережевого трафіку (OPNET Modeler, Cisco Packet Tracer, Dynamips, GNS3,
Boson NetSim for CCN). На основі програмного засобу для реалізації та
моделювання мережі OPNET Modeler виконано відповідні графіки, що
застосовуються для аналізу характеристик комп’ютерних мереж. Значну
увагу приділено забезпеченню захисту даних в мережі від несанкціонованого
доступу.
Загальний обсяг роботи становить 95 сторінках. У кваліфікаційній
роботі 18 рисунків, 7 таблиць. Для виконання роботи використано 24
літературне джерело.
Ключові слова: КОРПОРАТИВНА МЕРЕЖА, ТРАФІК, МЕТОДИ
АНАЛІЗУ,МОНІТОРИНГ, АТАКИ, УПРАВЛІННЯ, МОДЕЛІ.
ANNOTATION
The research topic of the master's qualification work is relevant due to the
active development of network technologies, which causes the appearance of new
types of attacks on computer networks. A large number of various methods of
intrusions and their implementation in the form of attacks provokes the need to
improve existing technologies and means of data protection in corporate computer
networks.
The purpose of the qualification work for obtaining the master's degree is
the analysis of network traffic for the presence of anomalies, which can be used to
determine the fact of network intrusion, the identification of modern attack
detection systems in the local network.
The object of the study is the process of interception and security analysis of
network traffic.
The subject of the study is network traffic in a computer network..
The main method of research is the process of research and analysis of the
security of computer network traffic, methods of network traffic interception,
simulation computer modeling of traffic and methods of mathematical statistics
were used.
Practical significance of the obtained results. Current computer network
simulation programs used network traffic analysis methods (OPNET Modeler,
Cisco Packet Tracer, Dynamips, GNS3, Boson NetSim for CCN). On the basis of
the software tool for network implementation and modeling OPNET Modeler, the
appropriate graphs used for analyzing the characteristics of computer networks
were created. Considerable attention is paid to ensuring the protection of data in
the network against unauthorized access.
The total volume of the work is 96 pages. In the qualifying work 18 figures,
7 tables. 24 literary sources were used to perform the work.
Keywords: CORPORATE NETWORK, TRAFFIC, ANALYSIS
METHODS, MONITORING, ATTACKS, MANAGEMENT, MODELS.
2
ЗМІСТ
ВСТУП..................................................................................................................... 3
РОЗДІЛ 1 АНАЛІЗ СУЧАСНИХ ПРОГРАМНИХ ТА АПАРАТНИХ
ЗАСОБІВ МОНІТОРИНГУ МЕРЕЖЕВОГО ТРАФІКУ.....................................6
1.1 Необхідність аналізу мережевого трафіку................................................6
1.2 Класифікація засобів для моніторингу та аналізу трафіка......................7
1.3 Програмні та апаратні засоби перехоплення та аналізу трафіку..........16
1.4 Висновки до розділу 1 .............................................................................. 19
РОЗДІЛ 2 МЕТОДИ ТА ЗАСОБИ ДЛЯ ЕКСПЕРИМЕНТАЛЬНОГО
МОНІТОРИНГУ І АНАЛІЗУ ТРАФІКУ............................................................ 20
2.1 Методи та моделі моніторингу і аналізу мережевого трафіку ............. 20
2.2 Підходи до аналізу та вирішення задач моніторингу мережевого
трафіку з обробкою його результатів..................................................................26
2.3 Огляд системи виявлення вторгнень.......................................................35
2.4 Аналіз сучасних систем виявлення атак і запобігання вторгненням...40
2.5 Висновки до розділу 2 .............................................................................. 54
РОЗДІЛ 3 ЗАХИЩЕНІСТЬ МЕРЕЖЕВОГО ТРАФІКУ ПРИ
ВИКОРИСТАННІ СИСТЕМ ВИЯВЛЕННЯ АТАК ТА ЗАПОБІГАННЯ
ВТОРГНЕНЬ В КОРПОРАТИВНИХ МЕРЕЖАХ.............................................56
3.1 Аналіз методів для виявлення вторгнень в комп’ютерну мережу.......56
3.2 Вибір засобів для захисту мережевого трафіку в комп’ютерній мережі
на основі контролю вторгнень.............................................................................60
3.3 Аналіз ефективності програмного комплексу Snort для захисту
мережевого трафіку синтезованої комп’ютерної мережі..................................66
3.4 Висновки до розлілу 3 .............................................................................. 82
ВИСНОВКИ...........................................................................................................84
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.............................................................87
ДОДАТОК А – Система запобігання вторгненням IPS
ДОДАТОК Б – Мережа із встановленим апаратним комплексом IBM ISS
ДОДАТОК В – Схема розміщення системи IDPS у комп’ютерній мережі
3
ВСТУП
Актуальність теми. Активність розвитку мережевих технологій
зумовлює появу нових видів атак у комп’ютерних мережах. Значна кількість
різних методів вторгнень і їх реалізація у вигляді атак викликає необхідність
щодо вдосконалення існуючих, на сьогоднішній день, технологій та засобів
для захисту даних у синтезованих комп’ютерних мережах [1].
Застосування сучасних інформаційних технологій являється
необхідним елементом для вирішення складних завдань щодо управління
системами і об’єктами різного виду. Універсальним інструментом являються
синтезовані комп’ютерні мережі, що надають можливість забезпечувати
ефективність та успішність функціонування різного роду систем. В процесі
розвитку комп’ютерних мереж збільшується як кількість користувачів так і
інформації, яку користувачі передають. Але при збільшені інтенсивності
мережевого трафіку може погіршитися і якость мережевих послуг, а тому і
виникає завдання щодо удосконалення інструментів для моніторингу і
аналізу безпеки мережевого трафіку.
Проблема аналізу безпеки мережевого трафіку вивчається досить давно
– це і пошук ефективних рішень для різних умов та обмежень, чому
присвячено велику кількість досліджень, зокрема в останні роки. Це тісно
пов'язано з тим фактом, що мережевий рельєф швидко змінюється, а методи
та алгоритми, що показують гарний результат в нових умовах, дуже сильно
втратили свою ефективність або взагалі більше не застосовуються. В умовах,
що сильно впливають на відповідність різних методів, можна передбачити
швидке збільшення обсягу трафіку, що передається, та смуги пропускання
каналу зв'язку, а це значить, що потрібно знайти алгоритм, що скорочує обсяг
обчислень. Якщщо говорити про механізми виявлення вторгнень в систему,
то вони ґрунтуються на припущенні про стаціонарність мережевого трафіку.
4
Тобто атакою буде вважатися будь-яке відхилення від стаціонарних
характеристик мережевого трафіку. Звідси можна зробити висновок, що
проблеми аналізу трафіку та його безпеки на основі виявлених вторгнень в
комп’ютерну мережу потребують подальших досліджень [2].
Метою та завданням дослідження. Метою кваліфікаційної роботи
магістра є аналіз мережевого трафіку на наявність аномалій, відповідно до
яких, можна побачити, факт вторгнення в мережу та визначити сучасні
систем виявлення атак в комп’ютерній мережі.
Для досягнення поставленої мети були сформульовані і вирішені такі
завдання:
 проведено дослідження та аналіз програмних і апаратних засобів
моніторингу мережевого трафіку;
 визначено методи і засоби дослідження та аналізу мережевого
трафіку;
 розроблено метод виявлення вторгнень у корпоративну мережу;
 реалізувано захист мережевого трафіку в корпоративних мережах з
використанням програмно-апаратних засобів та досліджено їх ефективність.
Об'єкт дослідження процес перехоплення та аналізу безпеки
мережевого трафіку.
Предмет дослідження – мережевий трафік в комп’ютерній мережі.
Методи дослідження. У процесі дослідження та аналізу безпеки
мережевого трафіку комп’ютерної мережі використовувалися методи
перехоплення мережевого трафіку імітаційне комп’ютерне моделювання
трафіку та методи математичної статистики.
Практичне значення отриманих результатів. У існуючих сьогодні
програмах для імітації комп'ютерних мереж застосовувалися методи аналізу
мережевого трафіку (OPNET Modeler, Cisco Packet Tracer, Dynamips, GNS3,
Boson NetSim for CCN). На основі програмного засобу для реалізації та
моделювання мережі OPNET Modeler виконано відповідні графіки, що
5
застосовуються для аналізу характеристик комп’ютерних мереж. Значну
увагу приділено забезпеченю захисту даних в мережі від несанкціонованого
доступу.
Наукова новизна одержаних результатів. В процесі виконання
кваліфікаційної роботи магістра отримано наступні результати:
- на основі проведено аналізу існуючих систем виявлення атак IPS/IDS
було визначено принцип аналізу трафіку, що застосовується;
- розглянуто та запропоновано компоненти, що будуть забезпечувати
ефективну роботу комп'ютерної мережі, підтримку постійної її доступності
та високої надійності;
- запропоновано вирішення проблеми захисту інфраструктури
корпоративної мережі за допомогою використання IDPS систем.
Публікації. Основні результати дослідження даної кваліфікаційної
роботи магістра доповідалися та обговорювалися на:
другій Міжнародній науково-практичній Інтернет-конференції «Іновації
та перспективні шляхи розвитку інформаційних технологій (ІПШРІТ-2023)»,
Черкаси, 6 грудня 2023 р.
Структура і обсяг роботи. Робота складається зі вступу, трьох розділів,
висновків, додатків та списку використаних джерел. Загальний обсяг випускної
роботи 95 сторінок. Основний зміст викладений на 89 сторінках, у тому числі 7
таблицях та 18 рисунках. Список використаних джерел містить 24
найменувань.
6
РОЗДІЛ 1 АНАЛІЗ СУЧАСНИХ ПРОГРАМНИХ ТА АПАРАТНИХ
ЗАСОБІВ МОНІТОРИНГУ МЕРЕЖЕВОГО ТРАФІКУ
1.1 Необхідність аналізу мережевого трафіку
Аналізатори трафіку (або сніфери) – це програми або прилади для
перехоплення та аналізу мережевого трафіку. Сніфер може проаналізувати
лише тей трафік, який проходить безпосередньо через його мережеву
карту [1].
Існує декілька способів перехоплення трафіку:
1. звичайне прослуховування мережевого інтерфейсу, тобто
випадок підключення сніферу у розрив каналу або відгалуження;
2. аналіз побічних електромагнітних випромінювань, що
відбуваються через атаки МАС-спуфинга і ІР-спуфинга.
Першочергово, аналізом трафіку напочатку розпочали застосовувати
хакери, щоб перехоплювати логіни та паролі користувачів, оскільки, на той
час мережеві протоколи передавалися по каналам без необхідного захисту
(тобто, без застосування шифрування), або ж у дуже слабко захищеному виді.
Але необхідно зауважити, що сніфери застосовувалися не лише в
деструктивних цілях, але, наприклад, вони надавали можливість [2]:
 виявляти вірусний, паразитний та кільцевий трафік, які спричиняли
до надмірного навантаження мережевого обладнання та канал зв’язку;
 виявляти недопустиме програмне забезпечення та шкідливе
мережеве, таке як мережеві сканери, фрудери, троянскі програми, клієнти
пірингових мереж за допомогою спеціалізованих моніторів мережевої
активності;
 перехоплення різного роду незашифрованого трафіку, а інколи і
зашифрованого трафіку для подальшого розкриття потрібної інформації;
7
 для системних адміністраторів для локалізації несправностей в
мережі(ах) і\або пошук помилок у мережевих конфігураціях.
Призвести до прослуховування трафіку також можуть підозри щодо IP-
spoofing та MAC-spoofing атак. Якщо говорити про IP-spoofing є типом
зловмисної атаки, під час якої зловмисник приховує дійсне джерело IP-
пакетів, для того, щоб в подальшому було важко дізнатися, звідки дані
надійли. При цьому, зловмисник створює пакети, змінюючи в них вихідну IP-
адресу, для того, щоб видавати себе за іншу комп’ютерну систему, і, як
результат, приховати особу відправника. В свою чергу, поле заголовку
підробленого пакету для вихідної IP-адреси буде містити адресу, що
відрізнятиметься від фактичної ІР-адреси джерела. В свою чергу, кінцевим
користувачам дуже важко виявити підробку IP-адреси джерела. Дані атаки
виконуються на мережевому рівні, а саме, рівні 3 моделі зв'язку Open Systems
Interconnection (OSI). В зв’язку з цим, не буде виявлено зовнішніх ознак щодо
фальсифікації. Підроблені запити ззовні під час з’єднання будуть виглядати,
як законі запити на з’єднання. Але, на сьогоднішній день, існують
інструменти для моніторингу мережі, які організації мають можливість
застосовувати в процесі аналізу трафіку на кінцевих точках мережі.
Основним способом, що застосовується в даних системах є фільтрація
пакетів [3].
Тому для використання даних систем необхідно проаналізувати трафік
для його подальшої фільтрації.
1.2 Класифікація засобів для моніторингу та аналізу трафіка
Моніторинг мережі є досить важливим з точки зору практики
завданням, оскільки адміністратори мережі прагнуть підтримувати свої
мережі безперебійно. Коли мережа «падає» навіть на короткий проміжок
часу, то продуктивність підприємств погіршується, а можливість надавати
основні послуги порушується, особливо, коли це стосується державних
8
підприємств. Відповідно, адміністратори мережі повинні контролювати рух
трафіку і її ефективність роботи, переглядати і відшуковувати лазівки в
мережній безпеці.
Поняття моніторинг мережі відноситься до роботи системи, що повсяк
час контролює комп'ютерну мережу щодо їх повільних або несправних
систем та повідомляє адміністратору мережі телефоном, електронною
поштою або іншим способом про виявлені проблеми. Моніторинг мережі є
важливою ІТ-функцією, що може забезпечити економію в процесі
підвищення продуктивності інфраструктури, економії витрат та ефективність
роботи працівників [1].
Множину інструментів для діагностики та аналізу комп'ютерних мереж
можна поділити на наступні великікласи.
Агенти систем управління, що підтримують функції стандартних MIB
та дають інформацію через CMIP чи SNMP. Для того, щоб отримувати дані
від агентів часто необхідна система управління, що автоматично збирає дані
від них.
Інтегровані системи діагностики та управління (Embedded systems).
Дані системи розроблені у вигляді програмних і апаратних модулів, що
встановлюються у комунікаційних пристроях, та у вигляді програмних
модулів, що інтегровано в операційні системи. Основна відмінність даних
систем від централізованих систем управління заключається в тому, що
функції для діагностики та контролю виконуються тільки для одного
пристрою. Прикладом такого класу інструментів може служити
багатосегментний модуль управління ретранслятором Ethernet, що виконує
функції автоматичної сегментації портів в процесі виявлення несправностей
та визначає порти внутрішнім сегментам ретранслятора та визначеним
іншим. Зазвичай, вбудовані модулі управління "по сумісництву" діють як
агенти SNMP, що надсилають дані про стан пристрою системам
управління [2].
9
Аналізатори протоколів. Є програмними або апаратно-програмними
системами, що обмежені тільки функціями моніторингу і аналізу трафіку в
мережах. Гарний аналізатор протоколів має можливість захоплювати та
дешифрувати пакети великої кількості протоколів, які застосовуються в
мережах, зазвичай, декілька десятків. Аналізатори протоколів надають
можливість встановити визначені логічні умови, щоб отримати окремі пакети
і виконати повне декодування одержаних пакетів, а це значить, що вони
виводяться у формі, яка є зрозумілою для фахівця. Вміст пакетів протоколів
для різних рівнів для кожного з розшифровкою вмісту деяких полів кожного
пакету.
Експертні системи. Даний тип системи займається збором знань
технічних спеціалістів, щоб виявити причини аномальної роботи мереж та
визначити можливі способи для приведення мережі в робочий стан.
Експертні системи найчастіше розробляються як окремі підсистеми для
різних засобів моніторингу та аналізу мережі, а саме, системи управління
мережею, аналізатори протоколів, мережеві аналізатори. Прикладом,
найпростішої версії експертної системи є контекстно-залежна система
довідки; найскладнішої експертної системами є бази знань із елементами
штучного інтелекту (систему управління Cabletron Spectrum та Network
General Sniffer Protocol Analyzer). Основними завданням експертних систем є
аналіз великої кількості подій, щоб надати користувачам короткий діагноз
про причину відмови мережі [3].
Обладнання для сертифікації та діагностики кабельних систем [1].
Дані пристрої умовно можна поділити на чотири основні групи: кабельні
сканери, мережеві монітори, тестери та пристрої для сертифікації кабельних
систем.
Тестери застосовуються в процесі перевірки кабелів на фізичні обриви.
Кабельні сканери застосовуються під час діагностики мідних кабельних
систем.
10
Міжнародний стандарт кабельної мережі забезпечують пристрої для
сертифікації.
Мережеві монітори (або мережеві аналізатор) застосовуються в процесі
тестування різних категорій кабелів. Ще однією функцією мережевих
моніторів є збір даних про статистичні показники трафіку, а саме, середню
інтенсивність потоку пакетів з визначеним типом помилок, середню
інтенсивність усього мережевого трафіку, тощо. Дані пристрої вважаються
найбільш розумними із всіх 4-х груп пристроїв даного класу, тому що вони
базуються не тільки на фізичному, але й виконують роботу на рівні каналів, а
інколи на мережевому рівні.
Для аналізу та моніторингу використовується багатофункціональне
портативне обладнання, що поєднує функції декількох пристроїв: мережевих
моніторів, кабельних сканерів та аналізаторів протоколів.
Аналізатори протоколів. Аналізатор мережевих протоколів можна
застосовувати для вирішення наступних завдань:
 ідентифікація протоколів, що не застосовуються, з ціллю їх
видалення з мережі;
 визначення та ідентифікація несанкціонованого ПЗ;
 генерація трафіку для випробування на проникнення, щоб перевірити
системи захисту;
 для отримання наступної інформації – базові моделі трафіку і
метрики утилізації мережі;
 вивчення роботи мережі;
 робота з системами виявлення вторгнень (IDS);
 прослуховування трафіку для виявлення несанкціонованого трафіку
використовуючи бездротової точки доступу або миттєві повідомлення.
Аналізатори протоколів можуть надаватися як програмне забезпечення
або як програмного-апаратне забезпечення. Апаратний аналізатор протоколів
є незалежним модулем. Даний протокол застосовується на робочих станціях
11
мережі і часто виконує наступні завдання [4]:
 запит для усіх вузлів та перевірка передачі даних між вузлами від
точки до точки;
 перегляд інформації про типи пакетів, які передаються по мережі,
для того, щоб отримати можливість визначити точність передачі;
 аналіз критичних даних отриманих від будь-якого або усіх вузлів та
повідомлення тільки про незвичні дії за допомогою визначених користувачем
порогових значень;
 визначення конфігурації для всієї мережі;
 формування додаткової інформації про ефективність мережі, її
продуктивності, щодо потенційних апаратних помилок, проблем із шумом і
проблем прикладного програмного забезпечення
 перегляд та аналіз даних щодо ефективності, наприклад, обсяг
трафіку та обслуговування пакетів.
Програмне забезпечення аналізатора включає в себе ядра, яке
підтримує роботу мережевого адаптера, і програмне забезпечення, яке
декодує протокол рівня зв'язку з яким співпрацює мережевий адаптер, і
найбільш поширені протоколи вищого рівню, як IP, FTP, TCP, Telnet, IPX,
HTTP, NCP, DECnet, NetBEUI та ін. Деяка частина аналізаторів може
включати в себе експертну систему, яка надає можливість повідомляти
користувача щодо експериментів, які необхідно проводити для конкретної
ситуації, а також, що означають деякі результати вимірювань і те, як
виправити деякі типи помилок мережі.
Типові функції. Велика кількість аналізаторів мережевих протоколів, у
певній початковій формі, можуть відображати однакову основну інформацію.
Тобто, він працює на хосту. У випадку, коли аналізатор запускається в
безладному режимі, то драйвер мережевої карти (мережева карта),
перехоплють увесь трафік, який проходить через них. Далі, аналізатор
протоколів перенаправляє захоплений трафік для декодування пакетів,
12
механіз ідентифікує їх та розподіляє на відповідні рівні ієрархії. ПЗ
аналізатору протоколів перевіряє пакети та виводить інформацію про них на
головний екран у вікні аналізу. Також подану інформацію можна буде
додатково проаналізовати та відфільтровати, але це залежить від
можливостей конкретного продукту [5].
Основним завданням будь-якого аналізатору мережевих протоколів є
аналіз декодованих пакетів. Він упорядковує записані пакети, відповідно, за
рівнями та протоколами. Найкращі аналізатори пакетів ідентифікують
протокол за його верхнім рівнем, що є найбільш виразним та відображають
інформацію, що він перехопив. Такий тип інформації часто виводиться у
другій області вікна аналізатору. Наприклад, всі аналізатори протоколів
можуть виявити TCP-трафік. Гарний аналізатор виявить, що даний трафік
надходить із сервера Microsoft Exchange Server, який працює на віддаленому
виклику процедур (RPC), та виведе на екран текст електронного листа.
Велика кількість аналізаторів протоколів розрізняє більше ніж 300 різних
протоколів та може описувати та декодувати їх за іменами.
Мережеві аналізатори. Мережеві аналізатори – еталонні вимірювальні
прилади для діагностики та сертифікації кабелів і кабельних систем. Вони
мають можливість вимірювати усі електричні параметри кабельних систем із
високою точністю, та, в свою чергу, працювати на більш високих рівнях
стеку протоколів. Як результат, мережеві аналізатори генерують
синусоїдальні сигнали в широкому діапазоні частот, на основі яких можна
виміряти амплітудно-частотну характеристику, поперечне наведення,
загальне затухання та ослаблення приймаючої пари [5].
Також, мережевий аналізатор прослуховує пакети на визначеному
фізичному сегменті мережі. А це, в свою чергу, надає можливість аналізувати
трафік для конкретних моделей, також усувати неполадки в роботі та
виявляти підозрілу активність. Система виявлення вторгнень в мережу являє
собою вдосконалений аналізатор, що порівнює кожен пакет в мережі з базою
13
даних вже відомих зловмисних шаблонів трафіку.
Основні статистичні показники такі як коефіцієнт використання
сегменту, рівень помилок, рівень колізій та рівень широкомовного трафіку
формують мережеву статистику. Перевищення даних показників на певні
порогові значення в більшості випадків вказує на проблеми в сегменті
мережі [5].
Статистика помилкових кадрів надає можливість відстежувати усі
помилкові типи кадрів для даної технології. Для прикладу розглянемо
технологія помилкових кадрів Ethernet, що характеризується наступними
типами:
1. короткі кадри. Є найкоротшими за дозволену довжину кадрами,
тобто менше 64 байт. Інколи даний тип кадру діляють на два класи: тільки
короткі кадри, що мають правильну контрольну суму, і сильно короткі, що не
мають правильної контрольної суми. Найбільшою вірогідною причиною
скорочення кадрів є несправні мережеві карти і їх драйвери;
2. розширені кадри, що перевищують допустиме значення 1518 байт з
правильною або неправильною контрольною сумою. Такі кадри є результатом
тривалої передачі, що можуть виникати через несправность мережевого
адаптеру;
3. кадри нормального розміру з помилкою вирівнювання межі байта і
кадри з неправильною контрольною сумою. Якщо говорити про кадри з
неправильною контрольною сумою, то вони є результатом багатьох причин,
а саме, погані адаптери та контакти, перешкоди кабелю, погані ітераційні
порти, комутатори, мости і маршрутизатори;
4. привиди, що є результатом електромагнітного наведення на кабелі.
Мережеві адаптери визначають їх як кадри, що не мають нормального
початку кадру. Вони мають довжину більшу за 72 байти, в іншому випадку,
вони класифікуються як видалені колізії.
Знаючи відсоток розподілу загальної кількості поганих кадрів
14
відповідно до їх типу адміністратор може дізнатися багато нового про
можливі причини мережевих проблем. І невеликий відсоток поганих кадрів
може призвести до значного зниження корисної пропускної здатності мережі,
у випадку, коли протоколи працюють з тривалими таймаутами в процесі
оновлення спотворених кадрів. Для нормально функціонуючої мережі
відсоток поганих кадрів не має перевищувати 0,01%, а це значить, не більше
одного поганого кадру на 10000 [3].
Набір характеристик, що надає інформацію про кількість та тип колізій,
які спостерігаються на сегменті мережі, і надає можливість визначити
наявність та місце проблеми називається статистикою колізій. Аналізатори
протоколів, зазвичай, не можуть дати точну картину розподілу загальної
кількості зіткнень основуючись на їх типи, тоді як саме знання
переважаючого типу зіткнень може надати допомогу у розумінні причин
низької продуктивності мережі.
Статистична група, що стосується протоколів мережевого рівня
називається розподілом використовуваних мережевих протоколів. На екрані
відображається список основних протоколів у відформатованому порядку
відносно відсотку кадрів, які містять пакети даного протоколу відповідно до
загальної кількості кадрів у мережі [4].
Функція, що використовується для моніторингу найбільш активних
вузлів передачі даних в локальній мережі – основні відправники. Для
пристрою є можливість налаштування на фільтрацію за однією адресою та,
відповідно, пошуку списку основних передавачів кадру для даної станції.
Дані виводяться на екран у вигляді графіків разом із списком основних
відправників кадрів.
Функція, що дозволяє контролювати найбільш активні приймачі в
мережі називається основні одержувачі. Інформація на дисплеї
відображається у тому ж форматі, що і для відправників [5].
Функція, що виявляє мережеві станції, що генерують більше кадрів із
15
широкомовними і груповими адресами, ніж інші називається основні
генератори широкомовного трафіку.
Пристрій може також генерувати трафік, щоб перевірити роботу
мережі з великим навантаженням. При цьому, потік даних може генеруватися
паралельно із функціями, що було активовано, такими як статистика кадрів
помилок, статистика мережі та статистика колізій. Користувач може вказати
інтенсивність та розмір кадру як параметри генерованого трафіку. В свою
чергу, пристрій може створювати автоматично заголовки пакетів IP та IPX,
щоб протестувати мости та маршрутизатори. Для цього, оператору необхідно
тільки ввести адреси джерела та пункту призначення [4].
Функції аналізу протоколів. Зазвичай, портативні багатофункціональні
інструменти підтримують тільки синтаксичний аналіз та декодування
ключових протоколів локальної мережі (пакетні протоколи TCP/IP, NetBIOS,
Novell NetWare та Banyan VINES).
Є багатофункціональні пристрої, що не можуть декодувати захоплені
пакети, такими, наприклад, є аналізатори протоколів, що замість декодування
збирають статистику найважливіших пакетів, яка вказує на проблеми в
мережі. Наприклад, під час аналізу протоколів стеку TCP/IP реєструється
статистика для пакетів ICMP, яку маршрутизатори застосовують в процесі
інформування кінцевих вузлів про виникнення різого роду помилок. Для
ручної перевірки наявності мережевих вузлів, багатофункціональні пристрої
підтримують утиліту IP Ping та утиліти NetBIOS Ping та NetWare Ping [3].
1.3 Програмні та апаратні засоби перехоплення та аналізу
трафіку
Апаратні засоби перехоплення та аналізу трафіку. Апаратними
засобами аналізу трафіку є пристрої, що використовуються для перехоплення
та (або) аналізу даного трафіку. Прикладами таких пристроїв є Cisco RSPAN
та Kismet.
16
Cisco RSPAN. Оскільки, у багатьох мережних комутаторах передбачена
можливість, наприклад, дзеркалювати трафік з одного порту на інший, або з
зазначеного VLAN на порт, де є аналізатор трафіку, чи будь-яке ПЗ. У Cisco
дана технологія новить назву SPAN - Switch Port Analyzer та RSPAN - Remote
Switch Port Analyzer, що представляє собою один із способів перехоплення
трафіку, що було розглянуто в пункті 1.1 вище [2].
В основному, дана технологія потрібна, щоб переглянути трафік на
визначеному порту для його подальшого аналізу і визначення, що саме
передається в мережі. Відповідно дана інформація може знадобитися,
наприклад, в процесі запису VOIP. VLAN Voice перенаправляє увесь трафік
на визначений інтерфейс, де розгорнуто деяке програмне забезпечення, що
дозволяє записувати всі дзвінки. Крім цього, суттєвим прикладом є
відзеркалювання трафіку за аналогією системам IPSMDS. Також RSPAN
дозволяє передавати трафік на віддалений комутатора [3].
Kismet є багатофункціональною безкоштовною утилітою для роботи з
бездротовими мережами Wi-Fi. У великій частині дана програма популярна
через можливості злому чужих мереж та можливість виявляти приховані
безпровідні мережі. Для інженера інформаційної безпеки дана програма
стане чудовим інструментом для аналізу та спостереження в IEEE 802.11 (або
802.11). Завдання, які вирішуються на основі Kismet, умовно, можна
поділити на дві сфери – аналітика та захист. Для першого випадку визначені
та накопичені відомості необхідно обробляти сторонніми програмами; в
другому випадку Kismet працює як детектор різного виду мережевих атак, а
саме, як аналізатор мережевого трафіку [2].
Не так давно утиліта Kismet перейшла на нове ядро, а тому забзпечена
не великою кількістю плагінів, хоча серед них є гарний екземпляр - DECT
Sniffer, який дозволяє застосовувати утиліту Kismet під час роботи із
телефонними мережами, також є плагін і для Bluetooth.
17
Програмні засоби для перехоплення та аналізу трафіку. Wireshark є
досить відомий інструмент, що застосовується в процесі захоплення та
аналізу мережевого трафіку. Він являє собою стандартне програмне
забезпечення, що застосовується як для освіти, так і в роботі з мережею. Дане
програмне забезпечення надає допомагу мережевим адміністраторам в
процесі виконання дослідження мережевих додатків, пакетів та протоколів,
для того, щоб знайти проблеми у роботі мережі, а також встановити причини
даних проблем. Деякі спеціалісти застосовують його для аналізу мережі на
зловживання нею, переповнення мережі та ін. Відповідно до функціоналу
програмного забезпечення Wireshark можна виділити наступне [4]:
 знімання в реальному часі та автономний аналіз;
 глибока перевірка сотень протоколів, що постійно додаються;
 розширений аналіз VoIP;
 стандартний трипанельний браузер пакетів;
 мультиплатформенність (працює на Windows, OS X, Linux,
FreeBSD, NetBSD та ін.);
 читання або запис різноманітних форматів файлів для захоплення:
Рсар NG, tcpdump (libpcap), Catapult DCT2000, Microsoft Network Monitor,
Cisco Secure IDS iplog та ін.;
 можна переглядати зняті мережеві дані використовуючи графічний
інтерфейс або утиліти TShark в режимі TTY;
 застосування найпотужніших фільтрів дисплею в галузі;
 захоплені файли, що стиснуті за допомогою gzip можна
розпакувати на льоту;
 правила щодо забарвлення можна використовувати для списку
пакетів для інтуїтивно зрозумілого та швидкого аналізу;
 реалізовано підтримку дешифрування для багатьох протоколів,
таких як IPsec, Kerberos, ISAKMP, SSL/TLS, SNMPv3, WEP та WPA/WPA2;
18
 в реальному часі дані можна зчитувати з PPP/HDLC, IEEE 802.11,
ATM, Ethernet, Bluetooth, Token Ring, USB, FDDI, Frame Relay та ін..
 отримані дані можна експортувати в XML, CSV, PostScript або
звичайний текст.
З отриманих в процесі аналізу даних можна зробити висновок, що
застосування Wireshark – стандарт для аналізу трафіку.
SolarWinds Network Bandwidth Analyzer є сімейством програмного
забезпечення, яке надає можливість як аналізувати трафік, так і управляти
трафіком. Якщо говорити більш детально, то дана мережна утиліта
допомагає системниму адміністратору контролювати мережеві прилади,
керувати базами даних, інфраструктурою, а також обробляти інциденти.
Фактично, це сімейство програм може виконувати зазначені вище операції на
основі проаналізованого трафіку, який проходить через мережу. Дане
програмне забезпечення є дуже дорогим, а тому, увесь його функціонал
можна отримати тільки зв’язавшись з компанією, що його поставляє.
Вартість даного програмного забезпечення, а точніше модуля, що в ньому
реалізовано 449 000 гривень.
19
1.4 Висновки до розділу 1
В першому розділі розглянуто питання необхідності моніторингу та
аналізу переданого та отриманого трафіку в комп’ютерній мережі. Також
досліджено та розглянуто поняття аналізаторів протоколів та мережевих
аналізаторів. Визначено популярні, на сьогоднішній день, програмні та
апаратні засоби для перехоплення та аналізу мережевого трафіку.
Апаратними засобами аналізу трафіку є пристрої, що
використовуються для перехоплення та (або) аналізу даного трафіку. Такими
пристроями є Cisco RSPAN та Kismet.
Досить відомий програмним сьогодні є Wireshark, що застосовується в
процесі захоплення та аналізу мережевого трафіку.
Системи моніторингу та управління мережею стали необхідним
компонентом у площі забезпечення мережевої безпеки. Ці системи
забезпечують ефективність функціонування комп'ютерних мереж, постійне
збереження високої надійності та мережевої готовності.
Проблеми в мережеві можуть впливати на потоки трафіку, призводити
до відмов, змін конфігурації та перевантажень. А це означає, що ефективне
та своєчасне виявлення даних проблем є основною задачею моніторингу та
аналізу мережевого трафіку.
Тому питання аналізу безпеки комп’ютерних мереж є досить
актуальним сьогодні, особливо в умовах ринкової конкуренції, а також
збільшення мережевих загроз і впливу сторонніх осіб на діяльність
організації. А тому, необхідно, визначити рішення, щоб забезпечити
надійний захист даних, що проходять в мережі, недопустити їх втрати чи
витоку, оскільки це може привести до негативних фінансових та технічних
наслідків.
20
РОЗДІЛ 2 МЕТОДИ ТА ЗАСОБИ ДЛЯ ЕКСПЕРИМЕНТАЛЬНОГО
МОНІТОРИНГУ І АНАЛІЗУ ТРАФІКУ
2.1 Методи та моделі моніторингу і аналізу мережевого трафіку
Мережевий трафік є одиницею обсягу інформації, що передається через
Інтернет напротязі певного періоду часу. Також, поняття «мережевий трафік»
інколи застосовується для опису руху потоків даних між різними веб-
ресурсами із урахуванням географічного розташування даних та інших
конкретних параметрів.
Одиницею вимірювання мережевого трафіку є біт, що кожну секунду
визначає обсяг переданих даних. Сьогодні популярною одиницею обсягу є 1
Кілобіт, 1 Мегабіт і 1 Гігабіт. Для передачі мережевого трафіку можуть бути
використані як дротові, так і бездротові/мобільні технології [6].
Сучасні мобільні технології надають можливість обміну даними зі
швидкістю приблизно 0,1 Мегабіт за секунду (GPRS), до 7,2 Мегабіта за
секунду (стандарт 3G) та до 1000 Мегабіт за секунду, в залежності від
стандарту зв'язку, що використовується.
Крім цього, швидкість трафіку по волоконно-оптичних лініях
перевищує 120 Гігабіт за секунду, що дозволяє сучасним комп’ютерам
виконувати одночасно велику кількість задач в мережі.
Трафік поділяється на наступні види:
 вхідний, тобто інформація, яка надходить в мережу;
 вихідний – інформація, яка надходить з мережі;
 внутрішній – в межах певної мережі (найчастіше локальної);
 зовнішній – за межами певної мережі (найчастіше - інтернет-трафік).
Дослідження способів аналізу мережевого трафіку. Аналіз мережевого
трафіку можна виконати 2-а способами: проаналізувати трафік в реальному
часі, тобто в процесі роботи; виконати ретроспективний аналіз мережевого
21
трафіку [7].
Ретроспективний аналіз трафіку передбачає, що увесь чи деякий трафік
напочатку записується на диск, а вже потім аналізується.
В процесі перехоплення мережевого трафіку, можливо дізнатися, що
відбувається з додатками, користувачами і ІТ-інфраструктурою, а щоб
визначити час, коли саме відбулась та або інша подія чи помилка,
виконується запис метричних значень в базу даних. Саме цим завданням і
займається переважна більшість систем спостереження. Отримані показники
і оцінки можуть допомогти скласти уявлення про те, яка саме подія сталася в
будь-який момент часу.
Дослідження та аналіз різних видів мережевого трафіку за останні два
десятиліття показало, що мережевий трафік є самоподібним чи
фрактальним [8-14].
«Самоподібність» є властивістю процесу збереження власної поведінки
та зовнішніх ознак під час розгляду в різних масштабах. Відповідно до
визначення випливає, що методи моделювання та розрахунку мережевих
систем, що використовуються, та базуються на застосуванні пуассонівських
потоків, не надають повного та точного уявлення про те, що саме відбувається
в мережі.
Крім цього, самоподібний трафік має особливу структуру, що
зберігається під час багаторазового масштабування. В процесі реалізації
повсяк час існує певна кількість викидів при відносно низькому середньому
рівні трафіку. В свою чергу, дане явище погіршує характеристики, такі як
збільшення втрати та затримки пакетів, у під час того, коли самоподібний
трафік проходить через вузли мережі. На практиці дані проблеми
виражаються в тому, що пакети не надходять на вузол окремо з великою
швидкістю, а наборами, що може призвести до втрати їх через обмежений
буфер, що розрахований за класичними методами [9-11].
Дослідження моделей мережевого трафіку. Дані моделі трафіку можна
22
застосовувати під час вирішення гіпотетичних проблем, оскільки
вимірювання трафіку відображає тільки поточну ситуацію. З точки зору
ймовірності, процес відстеження трафіку є розробкою випадкового процесу,
тоді як мережева модель трафіку є випадковим процесом. А це означає, що
моделі руху є універсальними. Відстеження трафіку надає інформацію про
визначене джерело трафіку, в свою чергу, модель трафіку надає інформацію
про всі джерела даного типу трафіку [9].
Методи концептуального моделювання мережевого трафіку можна
поділити на два класи: аналітичні та імітаційні.
Аналітичною моделлю є ряд математичних виразів, що формально
описують змодельований об’єкт чи процес. Дані моделі придатні лише для
теоретичних досліджень. Але для велокої кількості джерел побудова
відповідної аналітичної моделі є досить складним процесом.
Імітаційна модель являє собою сукупність алгоритмів, що генерують
певну послідовність, властивості для якої дуже близькі до реальної
послідовності, що були експериментально вилучені з існуючого об’єкту.
Наприклад такою послідовністю може бути мережевий трафік. Застосування
імітаційних моделей досить часто є кращим та зручнішим способом, ніж
застосування аналітичних моделей. В той же час імітаційні моделі, часто
мають вузьку спеціалізацію, і використання таких моделей вимагає значної
роботи, щоб адаптувати модель до нових умов застосування.
Існують також комбіновані моделі, які поєднують в собі аналітичну та
алгоритмічну частини [10].
Сьогодні реалізовано багато моделей для імітації фрактального
трафіку. Проаналізувавши публікації про самоподібне моделювання трафіку
дало можливість виділити такі моделі:
Fractional Gaussian Noise (FGN) – фрактальний гаусівський
шум [6,7];
Fractional Brown Motion (FBM) – фрактальний броунівський рух;
23
Dynamic Markov Modelling (DMM) – моделі на основі техніки
«динамічного моделювання Маркова» [8,9];
Chaotic MapСМАР – хаотичні відображення;
нейромережеві моделі;
моделі із застосуванням нечіткої логіки;
Fractal Point Process (FPP) – фрактальні точкові процеси;
Autoregressive Models (AR) – авторегресивні моделі. У якості
різновиду таких моделей використовуються моделі ARMA, тобто процес
змінного середнього; ARIMA – інтегральний процес змінного середнього;
FARIMA – фрактальний інтегральний процес змінного середнього;
ON/OFF – моделі;
Multifractional (MF) – мультифрактальні моделі;
Fractional Levi Motion (FLM) – фрактальний рух Леві;
моделі на базі класичних систем масового обслуговування;
Wavelet Models – вейвлет моделі.
Моделі, що застосовують нечітку логіку. Побудова нечіткої моделі,
зазвичай, базується на конфігурації функцій, що належить до параметрів
нечітких наборів, що використовуються в правилах, на основі правил та
конфігурації операцій. У роботі [8] запропоновано використання нечіткої
моделі ряду нечітких тенденцій, на основі якої можна змоделювати і
ефективно зпрогнозувати функціонування складної технічної системи.
Моделі нейронних мереж. Дані моделі надає можливість вирішувати
проблему апроксимації функцій для різних змінних у навчальній вибірці, при
цьому, розглядаючи часовий ряд в багатовимірному просторі.
Авторегресивні моделі використовуються для моделювання та
прогнозування через властивість довготривалої пам'яті подібних процесів. В
даних моделях поточне значення для сформованого значення обчислюється
як зважена сума попередніх вибірок N додати випадкову величину.
Різновидами таких моделей є моделі [9-11]:
24
ARMA – змінний середній процес;
ARIMA – інтегрований змінний середній процес;
FARIMA – інтегральний фрактальний процес змінного середнього.
До переваг моделі FARIMA можна віднести можливість гнучкого
контролю кореляційної структури, а саме, короткострокові і довгострокові
залежності або довільний розподіл.
Практично всі перераховані моделі підходять, щоб моделювати
самоподібний трафік даних в корпоративних мережах з комутацією пакетів.
Ще однією перевагою даних моделей є високоякісна властивість
моделювання, така як масштабованість, довгострокова залежність,
стаціонарність тощо. Однак сучасні дослідження експериментально
розроблених реалізацій трафіку показують, що властивості трафіку можуть
дуже сильно варіюватися та залежати від значної кількості реальних
параметрів і налаштувань мережі, а саме переданої інформації, властивостей
протоколів та поведінки користувача.
Крім цього, було виявлено наступні характеристики трафіку, такі як
нестаціонарність, існування короткочасних залежностей та
мультифрактальність.
Типовим недоліком моделей для мережевого трафіку, що
застосовуються сьогодні є їхня орієнтація на певний вид трафіку або мережі,
а також відсутність універсальності. Крім цього, практичне їх застосування
призводить до великої кількості досліджень, які необхідні для навчання
(адаптації) моделі відносно параметрів конфігурації мережі чи параметрів
трафіку. А це все дуже ускладнює побудову універсальної моделі, так як
різноманітність джерел та конфігурація мережі впливає на її роботу.
Необхідно зазначити, що прості моделі, такі як FLM, FGN, FBM, FPP, не
завжди можуть адекватно описувати реальний трафік, так як реальний трафік
часто не є тільки подібним до себе [12].
Адекватність фактичного опису трафіку досягається в процесі
25
ускладнення моделей, введення додаткових параметрів та об'єднання
декількох моделей. Як правило, для більш складних моделей необхідна
більша обчислювальна потужность чи більше часу для розробки генерації
трафіку. Але це не є проблемою під час проведення індивідуальних
експериментів і досліджень, для випадків, коли час не обмежується для
генерації чергового зворотного відліку руху чи всієї розробки.
Але, коли виникає проблема із використанням моделі для
прогнозування потоку даних, то для оптимального подальшого управління
мережевими ресурсами, фактор складності моделі в реальному часі для
визначеної обчислювальної потужності мережевих вузлів на агентів
управління встановлює суворі обмеження.
Реальні статистичні дані операторів та прогнози ринку сучасних послуг
вказують на досить значні відмінності в деяких випадках. Якщо порівнювати
телефонію та мережевий трафік, то прогностичні оцінки трафіку даних дуже
ненадійні, а це говорить про недостатній розвиток теорії передбачення
мультисервісного трафіку. На противагу цьому, більша частина
обчислювальної роботи мережі основується на знанні параметрів трафіку. А
це означає, що одним із найактуальніших завдань для етапу розвитку NGN
являється розробка нових методів чи удосконалення існуючих методів
моделювання і прогнозування трафіку NGN (Next Generation Network) [13].
26
2.2 Підходи до аналізу та вирішення задач моніторингу мережевого
трафіку з обробкою його результатів
Розвиток галузі комп’ютерних мереж розвивається надзвичайно
швидко, при цьому намагаючись стримати зростаючий постійно попит на
швидке і якісне підключення до глобальної мережі Інтернет. З визначеної
причини виникає необхідність реалізувати спеціальне програмне
забезпечення (sniffers), що спростить роботу системних адміністраторів під
час налагодження мереж та надасть можливість менш кваліфікованим
фахівцям в даній галузі почати цей вид роботи.
Програми «нюхачі» перехоплюють увесь мережевий трафік та корисні
для діагностики мережі. Сніфери виконують перемикання мережевої карти в
режим PROMISC, тобто одержують всі пакети, які проходять через них [15].
Вони можуть перехоплювати усі пакети, що надходять, а також, при
відповідних налаштуваннях, можуть фільтрувати окремі пакети.
Одним із принципів побудови мережі є семирівнева модель OSI.
Модель OSI (стек OSI) являє собою 7-рівневу ієрархію мережі, що була
розроблена Міжнародною організацією стандартизації (ISO). Дана модель
містить дві різні моделі:
горизонтальну модель на основі протоколів, що забезпечує механізм
взаємодії програм і процесів на різних машинах;
вертикальну модель на основі послуг, які надаються один одному на
одній машині сусідніми рівнями.
Для горизонтальної моделі обом програмам необхідний спільний
протокол для обміну даними. Через інтерфейси програми обмінюються
даними у сусідніх вертикальних шарах [16]. На рисунку 2.1 наведено
загальну схему моделі OSI.
Фізичний рівень (physical layer) є найнижчим рівнем, що,
безпосередньо, здійснює передачу потоку даних. Прикладами є протоколи:
IRDA (інфрачервона зв'язок), Bluetooth, мідні дроти (телефонна лінія, вита
27
пара), Wi-Fi і т.д.
Канальний рівень (data link layer) є рівнем взаємодії мереж на
фізичному рівні. Пристроями канального рівня є комутатори, концентратори
та ін. Типовим представником цього рівня є PPP (Point-to-Point) – протокол
безпосередньо для зв'язку двох комп'ютерів, та FDDI (Fiber Distributed Data
Interface) – стандарт, що передає дані на відстань до 200 кілометрів [17-20].
Мережевий рівень (network layer). Даний рівень визначає шлях, по
якому дані будуть передаватися. Являється третім рівнем моделі OSI, на
якому працюють маршрутизатори та використовуються протоколи для
маршрутизації пакетів (RIP, EIGRP, OSPF).
Транспортний рівень (transport layer. Рівень, що забезпечує надійну
передачу даних від відправника до одержувача. На даному рівні головними є
два види протоколів – UDP та TCP. UDP (User Datagram Protocol) протокол,
що передає дані без встановлення з'єднання, не виконує підтвердження про
доставку даних та не робить повтори. TCP (Transmission Control Protocol)
протокол, що перед тим, як виконати передачу встановлює з'єднання, також
підтверджує доставку даних та при необхідності виконує повтор, а також
гарантує цілісність та правильну послідовність даних під час завантаження
[21].
Сеансовий рівень або рівень сесій (session layer). Організовує сеанс
зв'язку між комп'ютерами. Даний рівень управляє процесом створення та
завершення сеансу, синхронізацією завдань, обміном інформацією,
визначенням права на передачу даних та підтримкою сеансу в моменти
неактивності додатків.
Рівень представлення даних (presentation layer). Даний рівень
перетворює дані у відповідний формат. Він відповідає за перетворення
протоколів та кодування або декодування даних. Запити програм, що було
отримано від прикладного рівня, перетворюється у формат для передачі по
мережі, а дані, що отримані з мережі, перетворюються у формат, що є
28
зрозумілим програмам [21].
Рисунок 2.1 – Модель OSI
Рівень додатків або прикладний рівень (application layer) є найвищим
рівнем моделі. Даний рівень забезпечує зв'язок з мережею призначених для
користувача додатків. Це, наприклад, перегляд веб-сторінок (HTTP), прийом
та отримання файлів (FTP, TFTP), передача та прийом пошти (SMTP, POP3),
віддалений доступ (Telnet) та ін.
Велика кількість вчених сьогодні займається дослідженням мережевого
трафіку, і даний дослідницький спектр є дуже широким: це і вивчення
кореляцій між сигналами [18, 19]; захисту інформаційних ресурсів під час
передачі даних через мережі; заходи щодо вибору параметрів в процесі
створення профілів захисту інформаційних ресурсів [20-22]. Враховуючи
проблем, які досліджуються, було визначено, що проблема аналізу трафіку
мережевого зв'язку залишається досить актуальною із можливістю аналізу
статистичних даних, що система отримує в процесі моніторингу.
Підхід до моніторингу трафіку мережевих передач. Після того, як було
29
створено запис системою аналізу трафіку та автоматизації обліку мережевих
комунікацій, система пересилає пакет далі по мережі. Запис шляху
проходження пакету має містити наступну інформацію [21]: IP-адресу
відправника пакету; час запису відносно початку; номер порту відправника
пакету; прослуховування; IP-адресу одержувача пакету; кількість переданих
інформаційних байтів; номер порту одержувача пакету; тип транспортного
протоколу.
У випадку декількох мережевих адаптерів система повинна надати
дозвіл користувачеві обрати один із існуючих мережевих інтерфейсів, кожен
з яких повинен бути описаний. Крім цього, для користувача повинна бути
можливість призупинити та продовжити облік пакетів із мережі.
Виникає потреба в реалізації механізму, за допомогою якого, можна
створювати графіки із аналітичною інформацією про стан мережі, у випадку,
коли прослуховування мережі призупинено чи повністю зупинено. Система,
в свою чергу, не повинна сильно впливати на продуктивність мережевої
карти і, при цьому, споживати багато процесорного часу.
Основним завданням, що повинно виконуватися є аналіз та графічне
відображення результатів прослуховування із мережевої карти. Нижче
наведено перелік основних типів графіків, що необхідно створювати [22]:
кількість пакетів, що було надіслано на певну IP-адресу в різний час;
кількість пакетів, що було надіслано від вказаної IP-адреси в різний
час;
кількість TCP-пакетів, що було передано протягом різних періодів
часу від вказаної IP-адреси;
кількість TCP-пакетів, що було передано протягом різних періодів
часу на певну IP-адресу;
кількість пакетів UDP, переданих протягом різних періодів часу від
вказаної IP-адреси;
кількість пакетів UDP, що передавались протягом різних періодів
30
часу на певну IP-адресу.
Метою такої системи є відстеження мережевого трафіку, який
проходить через визначений мережевий інтерфейс. Трафік даних
розглядається на базі критеріїв, що були визначені користувачем. Підсистема
фільтрування мережевого трафіку відхиляє фактично мережеві пакети
(кадри), що не цікавлять користувача. Далі контроль передається підсистемі
для зберігання результатів, де зберігаються пакети, що відповідають
критеріям, які були встановлені користувачем перед моніторингом
мережевого трафіку. При необхідності дана підсистема може передавати до
підсистеми обробки результатів збережені дані, підсистема проаналізує
результати моніторингу та відобразить у вигляді графічного зображення свій
аналіз. Зв'язок між даними підсистемами виконується через інтерфейс, що
визначає достатню функціональність щодо виконання завдань, які призначені
для цього модуля (підсистеми) [22-24].
Існує кілька аспектів роботи підсистем – середовище виконання та
середовище продуктивності, а також там, де система працює, мають бути
настільні комп'ютери, відповіднно зі здатністю до мережевого зв'язку.
Перелік аспектів аналізу трафіку: створення аналітичних графіків. Це
означає, що система повинна формувати діаграми, які відображають
навантаження на мережу, та враховувати окрему частину навантаження від
однієї точки мережі, яку мережа отримує; вибір параметрів фільтру. Для
того, щоб підвищити зручність користування системою користувачеві
повинна надаватися можливість встановлювати додаткові параметри фільтру
[19].
На рисунку 2.2 наведено схему перетворення даних у системі.
31
Рисунок 2.2 – Схема перетворення даних в sniffers
Всі доступні мережеві інтерфейси є вхідними даними для системи, та
відображаються користувачеві для вибору одного з них і налаштування
певного фільтру на перехоплення мережевих пакетів визначеного типу.
Отримані дані необхідні системі, щоб повернути таблицю з
відфільтрованими пакетами, яка, в подальшому, може бути застосована як
вхід в процесі створення різних типів графіків. Після того, як буде отримано
сигнал на відстеження та, при необхідності, подальшого уточнення даних
користувача, система повинна створювати діаграму, яка відображає
результати аналізу відфільтрованого трафіку [23].
Для зручного обслуговування, а також гнучкості системи суттєвим є
забезпечення слабкого зв’язку між компонентами і максимально розділити їх.
Відповідно до цих причин систему можна поділити на підсистеми [21]:
підсистема для перехоплення мережевих пакетів, що дозволяє
прослуховувати мережевий інтерфейс та виконує передачу даних для
обробки наступним підсистемам;
підсистема зберігання відфільтрованого трафіку виконує зберігання
даних, що були отримані користувачем як результат фільтрації трафіку;
підсистема фільтрації пакетів, яка перенаправляє пакет до
32
підсистеми зберігання відфільтрованого трафіку відповідно до того, чи
відповідає пакет визначеним користувачем критеріям;
підсистема обробки інформації, яка розділена на два компоненти:
1) компонент аналізу одержаних результатів робить висновки
відносно результатів, отриманих після фільтрування;
2) графічний компонент відображення, який займається створенням
діаграм, що показують висновки про роботу мережі.
На рисунку 2.3 наведено загальну структури системи.
Рисунок 2.3 – Структура системи автоматизації аналізу та обліку трафіку
комунікацій в мережі
На рисунку 2.4 наведено діаграму, яка ілюструє варіанти використання
системи.
33
Рисунок 2.4 – Діаграма варіантів використання мережевого аналізатора
Сьогодні існує багато схожих систем перехоплення та аналізу трафіку,
серед яких деякі з них необхідно розглянути детальніше [19-23].
Програма Wireshark застосовується для захоплення, реєстрації і аналізу
мережевого трафіку та являється сніфером та аналізатором. Wireshark надає
можливість виконувати наступні завдання:
 обирати мережеві пакети відповідно до гнучких критеріїв;
 захоплювати мережевий трафік на комп'ютері та обмінюватися
захопленими пакетами;
 відображати вміст пакету за змістом та в структурованому форматі;
 відновлює потоки даних у наборах пакетів;
 аналізує окремі пакети, сеанси та статистики для декількох пакетів.
Ядром Wireshark для операційної системи Windows WinPCap є
бібліотека libpcap або її версія. Дані бібліотеки, Wireshark і відповідні
програми реалізуються у тісній співпраці також є безкоштовними і
кроссплатформенні та подаються з відкритим кодом.
Wireshark перехоплює вхідні пакети, що драйвер надсилає операційній
системі, і навпаки, вихідні пакети, що операційна система надсилає драйверу.
У випадку, коли мережева карта перетворює чи відкидає деякі пакети, то
34
даний факт не враховується у Wireshark.
Tcpdump є стандартною утилітою для аналізу мережевого трафіку в
дистрибутивах Linux. Інструмент Tcpdump зарекомендував себе як дуже
ефективний і надійний. Як результат, велика кількість аналогів в даний час
використовують саме формат tcpdump – libcap, як основний формат файлу
для читання або запису результатів трасування трафіку.
Коли інструмент tcpdump запускається, він автоматично виконує пошук
мережевих інтерфейсів та використовує для аналізу перший знайдений. Тому
необхідно звернути увагу на вихідні дані, для того, щоб переконатися, що
проаналізовано правильний інтерфейс. Якщо його не проаналізовано, то легко
вручну налаштувати необхідний інтерфейс. Дана утиліта може бути дуже
корисною, у випадку, коли служба DNS не працює чи працює сильно
повільно, тобто коли виникає ризик втрати пакетів, перш ніж інструмент
tcpdump зможе їх проаналізувати [21].
Проект Ettercap є безкоштовним інструментом з відкритим кодом для
захисту мережі від атак "людина посередині" на локальну мережу. Даний
інструмент може бути використаний при перевірці безпеки та аналізу
журналів комп'ютерної мережі. Працює на різних UNIX-подібних
операційних системах, включаючи BSD, Linux, Solaris та Mac OS X, а також
Microsoft Windows. Володіє можливістю перехоплювати на сегменті мережі
трафік, захоплювати паролі і активно перехоплювати протоколи.
Основними властивостями інструменту Ettercap є:
підтримка SSL, що дозволяє прослуховувати захищені дані SSL;
підтримка SSH1, дозволяє виявити повнодуплексні SSH-з'єднання;
фільтрування або відкидання пакетів;
вставка символів у з’єднання, що встановлено, для того, щоб
підтримувати зв’язок активним;
підтримка плагінів;
роз'єднання, дозволяє у списку з'єднань розірвати певне з'єднання;
35
пасивне сканування локальної мережі (тобто, без розсилки пакетів)
та збір детальної інформації про хости в локальній мережі.
2.3 Огляд системи виявлення вторгнень
Система виявлення вторгнень (IDS) є програмним або апаратним
забезпеченням, яке використовується для виявлення, переважно через
Інтернет, несанкціонованого доступу чи несанкціонованого управління
комп’ютерною системою або мережею. Система SIEM (англ. Security
information and event management) надає інформацію про діяльність
зловмисного програмного забезпечення чи порушення стандартної роботи
централізованої системи. Дана система обробляє дані з великої кількості
джерел та застосовує методи фільтрації загроз, для того, щоб розпізнати
несанкціоновану активність від хибних спрацьовувань. Про виявленe загрозe
повідомляє адміністратор або операційний центр безпеки.
Деякі із систем для виявлення вторгнень (СВВ) можуть визначити
початок мережевої атаки, а інші можуть визначити раніше невідомі атаки.
Такі системи мають назву системи запобігання вторгненням (IPS). Приклад
IPS в мережі наведено на рисунку 2.5.
Рисунок 2.5 – Система запобігання вторгнень
Система IPS не обмежуєтьсятільки повідомленнями, вона вживає також
різні заходи щодо блокування атаки, наприклад, вихід із системи чи запуск
сценарію, що вказує адміністратор. На практиці застосовуються програмно-
36
апаратні рішення, що дуже часто поєднують функціональність 2-х типів
систем. Їх поєднання носить назву IDPS (IDS і IPS)
Не дивлячись на те, що є кілька типів IDS за розмірами (від окремих
комп’ютерів до великих мереж), однак найпоширенішими класифікаціями є
системи виявлення вторгнень у мережу (NIDS) та системи виявлення
вторгнень на основі хосту (HIDS). Прикладом системи HIDS може бути
система, що відслідковує важливі файли операційної системи, натомість,
прикладом системи NIDS може бути система, що аналізує вхідний мережевий
трафік.
Системи IDS можна класифікувати за методами виявлення загроз.
Найбільш відомими загрозами є виявлення на основі сигнатур, тобто,
виявлення неправильних шаблонів як шкідливого ПЗ, та виявлення аномалій,
тобто, виявлення відхилень, часто за допомогою машинного навчання, від
"правильного" трафіку [20].
Розглянемо класичну класифікацію системи виявлення вторгнень:
системи рівня мережі, куди перенаправляє маршрутизатор трафік
даних;
системи оцінки вразливостей системи;
системи рівня хосту, що розпізнають зміни на одному комп'ютері.
Прикладами можуть бути аналіз журналів або мережевої діяльності.
На основі отриманих даних системи виявлення вторгнень мають
визначити, чи існує загроза мережевій безпеці. До основних завдань СВВ
відносяться: збір даних; їх інтерпретація та презентація результату.
Всі системи за значеннями можна позиціонувати відповідно до
наступних ознак:
методи збору даних;
тип зібраних даних;
метод інтерпретації даних;
метод подання результату.
37
До не системних характеристик можна віднести тип реакції на
результат: інформативний та активний.
Для інформативного випадку зацікавлені сторони інформуються. Для
активного виконуються активні дії, наприклад, блокування адрес
зловмисника. Відповідно до цих даних, зазвичай, системи штучно поділяють
на IDS і IPS, а це означає, що будь-які IDS можуть бути включені в IPS.
Під час моніторингу мережі можуть застосовуватися наступні типи
даних: дані рівня мережі та дані на мережевому вузлі.
Типи даних щодо вузола мережі є даними, які відносяться до окремого
вузла та, частково, до тих вузлів, що з ним взаємодіють. Проаналізувавши
визначені дані можна визначити факт атаки на досліджуваний хост. Часто,
зручнішим є збір цих даних безпосередньо на вузлі, але дана умова не є
обов’язковою. Наприклад, мережеві сканери зовні можуть одержувати
список відкритих портів на визначеному вузлі, при цьому, не маючи
можливості виконувати на ньому код. Такий клас містить дані з певними
показниками таких типів [22]:
налаштування мережевого вузла;
мережева активність вузла;
дані щодо процесів;
дані щодо файлів, а саме: списки, метадані, контрольна сума тощо.
Вузлами можуть виступати як робочі станції для яких не передбачено
їх застосування в якості серверів, які надають послуги, так і сервери.
Вразливість хоста може визначатися при досліджені методів атаки,
включаючи і додаткове навчання нейронних мереж та виявлені атакуючих.
Можна буде припустити, що будь-яка взаємодія з даним вузлом є спробою
атаки.
Цілісну картину взаємодії мережі дають дані про мережу. Зазвичай,
повні дані про мережу не збираються, оскільки даний процес вимагає великої
кількості ресурсів, і вважається, що зловмисник може і не знаходитися в
38
мережі чи йому потрібний зв’язок із зовнішнім світом. Для цього випадку
система IDS аналізує трафік, який проходить через маршрутизатор та для
якого на маршрутизаторі визначено порт SPAN, та з якого трафік
перенаправляється на систему IDS. Але також не виключається можливість
збору даних із вузла, на якому вже запущено IDS, що дозволяє забезпечити
додатковий контроль [23].
Ще однією можливістю є збір мережевого трафік на його вузлах. Але
це, в свою чергу, змушує вузол мережевого адаптера захоплювати увесь
трафік, що, зазвичай, не очікується під час нормальної роботи.
Можна виділити такі методи одержання даних у системі виявлення
вторгнень (СВВ): активний; пасивний; змішаний, тобто поєднання двох вже
наведених.
Під час застосування методу пасивного виявлення система просто
відслідковує ситуацію. Більшість систем IDS застосовують даний клас
методів. Системи рівня хосту, дуже часто, також використовують даний клас
методів. Прикладом може служити те, дані методи не намагаються під
користувачем видалити системний файл та перевірити, чи було його
видалено, а просто оцінюють відповідність прав на даний файл, шаблону у
базі даних і видає попередження, у випадку, якщо відповідность не було
досягнуто.
При активному методі, для нечіткої системи, помилки викликаються
окремими відомими та невідомими діями. Потім, реакція на дані дії
аналізується на базі відомостей у існуючій базі. Даний клас методів є
характерним для сканерів перевірки на вразливість.
Ще одним способом є аналіз відповіді за допомогою бази даних
(прикладом є типові відповіді на типові моделі ін'єкцій SQL) чи поведінковий
аналіз, тобто, реакція цілі та, відповідно, її відповіді на запити. Прикладом
може служити посилка некоректно складеного IP пакета, що має привести до
падіння уразливого серверу, як результат він перестане відповідати.
39
Також можливим є варіант виявлення ненормальної активності, тобто,
наприклад, якщо після відправки 777-байтового пакета ICMP із заповненням
0xDEADBEEF рівень активності мережі різко зростає, а далі зменшується, то
це свідчить про аномалію. Тобто нормальною є ситуація, коли рівень
активності мережі не змінюється [21-23].
До переваг активного пошуку вразливостей відноситься:
перевірка мережі аналогічно атакуючому, що дозволяє підвищити
шанси виявити вразливості;
профілактичне виявлення зловмисників.
До недоліків активного пошуку відноситься:
залежність від бази атак, яка з часом може стати неактуальною;
можливість виконання успішної атаки в процесі сканування,
наприклад, деяких сервісів DoS;
додаткове навантаження на мережу.
Лабораторією "nsslabs" [21] визначено технічні показники, які
оцінюються під час тестування систем IPS / IDS:
кількість байт в секунду, тобто, середній розмір пакету;
кількість пакетів, що оброблено системою за секунду;
кількість унікальних хостів;
множина протоколів;
кількість одночасних з'єднань;
швидкість встановлення нових з'єднань;
реальне поєднання трафіку з різних протоколів прикладного рівня
та пропускна здатність при передачі TCP та HTTP-трафіку.
кількість попереджень за секунду.
2.4 Аналіз сучасних систем виявлення атак і запобігання
вторгненням
Останніми роками інформація, яка передається в мережах, стала досить
40
важливим ресурсом, що забезпечує безпеку бізнесу. Можливості
несанкціонованого впливу на інформацію сьогодні розглядаються як прямі
загрози інтересам компаній. Це призвело до того, що системи захисту
інформації (СЗІ), особливо системи виявлення вторгнень та антивірусне
програмне забезпечення стали невід’ємною частиною будь-якої
корпоративноїмережі.
Системи захисту інформації (СЗІ) є складним програмним та апаратним
забезпечення, що основується на спеціальних математичних методах і
моделях. Висока надійність даних систем досягається шляхом інспектування
програмних кодів і перевірки методів та моделей, що реалізовані в них.
Верифікація (підтвердження відповідності) виконується за допомогою
застосування математичних методів відносно до критеріїв ефективності
системи захисту інформації, що визначено на етапі специфікації. Аналіз
даних критеріїв із застосуванням ряду показників надає можливість оцінити
якість розробки окремих елементів і всієї системи.
Необхідно зазначити, що атаки на корпоративні комп’ютерні мережі з
кожним роком стають все більш вдосконаленими, все більшими та
інтенсивнішими. Проблема розробки, вдосконалення та аналізу безпеки
систем виявлення вторгнень для корпоративні комп’ютерні мережі є
актуальною. Основними завданнями є виявлення мережевих атак,
використання мережевих ресурсів та спроб несанкціонованого доступу.
Постійний розвиток методів руйнівного впливу програмного забезпечення на
корпоративні комп’ютерні мережі вимагає порівняльного аналізу існуючих
систем, що застосовуються для виявлення атак і запобігання вторгненням з
метою визначення найбільш ефективних механізмів для захисту
інформаційних активів [18].
Насичення ринку інформаційних технологій даними системами робить
потрібним для користувача вибрати оптимальну систему запобігання
вторгненням та виявлення атак. Але реалізувати дані завдання можливо
41
тільки на основі аналізу сучасного стану і перспектив найближчого розвитку
систем. Сьогодні існує велика кількість систем, що позиціонують себе як IDS
або IPS.
На практиці використовують різні комбінації атак. Наприклад,
зловмисник використовує сканери для виявлення вразливих хостів та
мережеві сканери для виявлення топології мережі. Знайдені уразливості на
хості зловмисник використовує для віддаленого виконання коду. Тому
система виявлення вторгнень повинна впровадити механізми для виявлення
різних типів атак.
Виявлення атаки є процесом ідентифікації та реагування на підозрілі
дії, що спрямовані на комп’ютерні чи мережеві ресурси [20], в свою чергу,
атака відноситься до будь-якої дії зловмисника, яка призводить до загрози в
комп’ютерній системі через вразливості [21, 22].
Існують наступні методи класифікації атак. Наприклад, їх ділять на
зовнішні і внутрішні, пасивні і активні, навмисні і ненавмисні. Типовим
переліком типів атак на корпоративні комп’ютерні мережі можна навести
таким чином [22, 23]:
локальне проникнення;
віддалене проникнення;
локальна відмова в обслуговуванні;
мережеві сканери;
зламники паролів;
аналізатори протоколів (сніфери);
збір інформації про характеристики корпоративних комп’ютерних
мереж;
несанкціонований доступ до інформаційних ресурсів системи;
підозріла активність;
віддалена відмова в обслуговуванні;
системні атаки;
42
сканери вразливостей.
До стандартних засобів захисту інформаційних ресурсів системи
відносяться сервери автентифікації, брандмауери, системи обмеження
доступу та ін., що використовують у своїй роботі одну чи дві характеристики
типів атак, тоді як спеціалізовані системи виявлення вимог, що реалізують
майже увесь список для виявлення несанкціонованих дій.
Методи виявлення аномалій застосовуються для виявлення невідомих
атак і втручань у корпоративну мережу на базі моделей шаблонів нормальної
поведінки (ШНП) застосовують статистичні методи виявлення, теорію
масового обслуговування, нейронні мережі та ін.. Методи використовуються
для побудови моделей шаблонів нормальної поведінки (ШНП). Характерним
недоліком моделей шаблонів нормальної поведінки, що засновані на
статистичних методах виявлення, є велике число хибнопозитивних
результатів системи, що можна віднести до помилок 1-го (пропуск атаки) та
2-го (хибне спрацювання) роду [24].
В таблиці 2.1 приведено основні механізми виконання різних видів
атак [23].
43
Таблиця 2.1 – Основні механізми реалізації атак
Виявити чи зменшити ризик атак можна знаючи характеристики
механізмів атаки (несанкціонованих дій) перелік яких наведено нижче:
некоректні чи суперечливі поточні процеси і команди;
наявність повторюваності деяких подій у системі;
невідповідні параметри мережевого трафіку;
використання слабких місць;
додаткові знання порушень;
непередбачувані атрибути.
Найважливіші механізми виявлення вторгнень, визначені для різних
класів атак, перераховані в табл. 2.2 [24].
Таблиця 2.2 – Основні механізми виявлення атак
44
Дослідимо переваги і недоліки сучасних систем виявлення атак та
запобігання вторгненням. Система IDS дозволяє сповіщати про початок
мережевої атаки, а деякі інші системи можуть виявляти раніше невідомі
атаки. Системи IPS не обмежуються сповіщеннями, але також вживають різні
заходи для блокування атаки. Прикладами можуть служити запуск сценарію,
що визначений адміністратором за допомогою спеціальної команди, або
вихід із системи. У роботі програмно-апаратні рішення досить часто
поєднують функціональність 2-х типів систем та їх з’єднання інколи
називають IDPS (IDS і IPS).
Система IDPS виявляє та блокує спроби злому зловмисником
електронного ресурсу і виконує, при цьому, попереджує користувача.
Система IDPS є поєднанням сніферу, тобто є модулем перехоплення
мережевого трафіку та збору інформації, що потім може бути використано,
як для діагностики, так і для злому мережі, аналізатору та системи
сповіщення (або блокування). На рисунку 2.6 наведено загальну схему
розміщення системи IDPS в комп’ютерній мережі.
Рисунок 2.6 – Схема розміщення системи IDPS у комп’ютерній мережі
На рисунку 2.6 детектори (датчики) IDPS розміщені у точках входу в
сегменти мережі. Дані сегменти володіють як внутрішніми, так і зовнішніми
ресурсами. Датчики надсилають звіти на сервер моніторингу про події, що
45
розташовані за брандмауером (MME).
Сучасні системи IDPS дозволяють контролювати роботу мережевих
пристроїв та операційних систем, при цьому, виявляти несанкціоновані дії і
автоматично виконувати функції, що визначені адміністратором.
Функції визначені адміністратором наведено нижче:
зміна налаштувань брандмауера (наприклад, блокування IP-адреси
зловмисника);
повідомлення адміністратора (наприклад, звукове попередження, SMS
або електронна пошта);
переривання зв’язку TCP, що встановлене порушником;
внесення інформації про атаку в журнал;
запуск програми (або сценарію), що визначеного адміністратором.
Система IDPS класифікується декількома способами. Відповідно метод
відповіді розрізняє пасивний і активний IDPS. Пасивні системи просто
реєструють факт нападу, та записують дані у файл журналу і генерують
попередження. Активні системи намагаються протидіяти атаці, наприклад,
переналаштовуючи браундмаер (MME) чи створюючи списки доступу для
маршрутизаторів [21].
Існують системи, відповідно до методу виявлення вторгнень, що
засновані на аналізі сигнатур і пошуку аномалій. Перші системи порівнюють
інформацію про отриманий трафік з базою сигнатур атак. До недоліків таких
систем відноситься неможливість реагувати на нові види невідомих атак.
Другі системи контролюють частоту подій чи виявляють статистичні
аномалії. Дані системи орієнтуються на виявлення нових типів атак, але до їх
недоліків відноситься необхідність постійного навчання [22].
Найпопулярнішою класифікацією IDPS є система за рівнем виявлення
вторгнень. Відомо про мережеві та системні рівні виявлення атак. Мережні
IDPS (NIDPS) проводить аналіз мережевого трафіку для виявлення атак та
інших підозрілих дій. Ці системи повинні бути доступними для усього трафіку
46
в сегменті, володіти розділеною архітектурою, включати датчики, що
збирають інформацію щодо трафіку та надсилати її на консоль управління.
Датчики бувають програмними і апаратними. Апаратні рішення дуже
підвищують швидкість, але мають високу вартість. Функціональність
програмних і апаратних датчиків майже однакова.
Системи виявлення вторгнень на мережевому рівні використовують як
джерело даних для аналізу необроблені мережеві пакети. Як правило,
мережні NIDPS використовує мережевий адаптер, що працює в режимі
прослуховування і у реальному часі аналізує трафік, коли саме він проходить
сегмент мережі. Механізм підтвердження атаки застосовує чотири добре
дослідженні методи виявлення сигнатури атаки:
 контроль частоти подій чи перевищення порогу;
 узгодження трафіку даних із сигнатурою (шаблоном), виразом чи
байт- кодом, який ідентифікує підозрілу атаку чи підозрілу дію;
 виявлення статистичних аномалій;
 кореляція декількох подій з низьким пріоритетом.
У випадку, якщо було виявлено атаку, модуль відповіді виводить
відповідне повідомлення та попередження і пропонує різного роду
контрзаходи у відповідь на атаку, виконує запис сеанс для подальшого
аналізу і виявлення атаки.
Ще одним окремо визначеним сегментом систем виявлення вторгнень
на мережевому рівні є системи виявлення бездротових вторгнень – WIDS
(Wireless Intrusion Detection System), що базуються на датчиках, які
виконують функцію в режимі спостереження збору бездротового трафіку під
час його обробки. Сенсори, зазвичай, є досить інтелектуальними пристроями,
які підтримують протоколи TCP / IP та мають розвинений інтерфейс
управління.
Сучасні системи IDPS системного рівня для виявлення атак
використовують журнали подій. Даний процес автоматизований та поєднує, в
47
собі, складні методи виявлення, що основані на новітніх математичних
знаннях. Зазвичай, IDPS системного рівня контролює журнал безпеки чи
системний журнал, систему та події. Якщо будь-який із цих файлів
змінюється, система IDPS порівнює нові записи із сигнатурами атак, для
того, щоб перевірити, чи є збіг. Коли збіг буде виявлено, система надішле
попередження адміністратору чи активує інші визначені механізми
реагування [19-24].
Системи IDPS системного рівня поступово поєднують нові методи
виявлення та постійно розвиваються. Одним з таких методів є метод
перевірки системи ключів їх контрольних сум та файлів, що виконуються, на
предмет несанкціонованих змін через рівні проміжки часу. Своєчасне
реагування на напади на систему залежить від частоти опитування
безпосередньо.
До переваг систем виявлення вторгнень мережевого рівня
відносяться [22]:
1) можливість виявлення атак, що ігноруються на системному рівні.
Тобто, IDPS мережевого рівня сканує заголовок мережевого пакету на
підозрілі або руйнівні дії, тоді як системного рівня IDPS не працює із
заголовками пакетів, а тому і не може виявити певні типи атак. Наприклад,
може бути багато мережевих атак, таких як «фрагментований пакет»
(teardrop) та DoS, які можна ідентифікувати тільки аналізуючи заголовки
пакетів. Крім цього, система IDPS надає можливість аналізувати вміст тіла
даних пакету на мережевому рівні для пошуку конкретного синтаксису або
команд, що використовуються для конкретних атаках;
2) досить низькі витрати щодо експлуатації. Це пов’язано в першу
чергу з необхідністю встановлення датчиків тільки в ключових точках
мережі, для того, щоб контролювати трафік, який циркулює поміж кількома
сегментами мережі. Системи рівня мережі не вимагають на кожному
окремому хості встановлювати програмне забезпечення для виявлення
48
вторгнень;
3) видалення слідів присутності є великою складністю для
зловмисника. Мережевий рівень IDPS застосовує «живий» трафік для
визначення атаки в режимі реального часу. Досліджені та проаналізовані дані
надають інформацію не тільки про метод атаки, але й таку, що може
допомогти ідентифікувати зловмисника;
4) можливості виявлення невдалих спроб нападу чи підозрілих намірів.
Використовуючи мережевого типу IDPS, що встановлено за межами
інтерфейсу MME, можна визначити атаки, що виконуються цілеспрямовано,
на інформаційні ресурси за інтерфейсом MME. Системна IDPS системного
рівня не ідентифікує відхилені атаки, що не потрапляють на хост за
інтерфейсом MME. Це може призвести до втрати важливої інформації, що
може бути використано в процесі вдосконалення політики безпеки;
5) можливість розпізнавати та реагувати в режимі реального часу.
Мережевий IDPS виявляє підозрілі і зловмисні атаки в процесі їх виникнення
та забезпечує швидші сповіщення і відповіді, ніж системні IDPS. Прикладом
може служити випадок, коли зловмисник, який ініціює атаку DoS
мережевого рівня на основі TCP, можна буде зупинити IDPS мережевого
рівня, що надсилає прапорець «скинути» до заголовка пакета TCP, для того,
щоб припинити підключення до атакуючого хоста, перед тим, як атака
заподіє шкоди хосту- жертві. Системна IDPS розпізнає зазвичай атаки тільки
після відповідного запису в журналі та реагує на них після цього;
6) незалежність від виду операційної системи. IDPS на мережевому
рівні не залежать від операційної системи, яка встановлена в захищеній
мережі. IDPS системного рівня вимагає встановлення визначених
операційних систем для нормальної роботи і отримання потрібних
результатів.
До переваг СВВ системного рівня [23]:
1) можливість підтвердження успіху або невдачу атаки. Оскільки IDPS
49
системного рівня використовує журнали, які містять інформацію про події,
що відбулися, системи даного класу можуть з достатньо з великою точністю
визначити, чи була атака успішною або ні.
2) можливість виявлення атак, що не виявляють саме системи
мережевого рівня. Системні IDPS можуть виявляти атаки, яких не можуть
виявити інструменти мережевого рівня. Прикладом може бути атака на
сервер, які не можуть бути визначені системами виявлення атак на
мережевому рівні.
3)Можливість моніторингу визначеного хосту. IDPS системного рівня
дозволяє контролювати дії користувачів, змінювати права доступу до файлів,
отримувати доступ до файлів, отримати доступ до привілейованих служб та
(або) спроби встановити нові програми. Наприклад, IDPS системного рівня
дозволяє контролювати всі дії користувачів відповідно до входу та виходу з
системи і дії, що вони вживають в процесі підключення до мережі.
Технологія для виявлення вторгнень на системному рівні може також
контролювати дії, що виконує тільки адміністратор. Системний IDPS може
контролювати зміни критичних системних файлів чи виконуваних файлів.
Спроби перезаписати ці файли або встановлення троянських програм можуть
бути виявлені і перервані. Мережні системи інколи пропускають такий вид
атак.
4) можна використовувати для мереж з шифруванням і комутацією.
Враховуючи те, системний IDPS встановлюється на різних хостах у мережі,
яку необхідно захищати, це може вирішити деякі проблеми, які виникають
під час використання систем мережевого рівня в зашифрованих та
комутованих мережах. Комутація надає можливість управляти великими
мережами, які складаються з декількох сегментів мережі. У результаті, може
важко буде визначити найкраще місце, щоб встановити IDPS на рівні мережі.
Виявлення загрози саме на системному рівні забезпечує більш ефективні
операції для комутації мережі, адже з’являється можливість розміщувати
50
систему IDPS тільки на хостах, що цього потребують. Певні види
шифрування також створюють проблеми для систем, оскільки
використовуються для виявлення атак на мережевому рівні. Залежно від того,
де саме застосовується шифрування (канал чи учасник), система IDPS
мережевого рівня може залишатися нечутливою до певних атак;
5) немає необхідності в додатковому обладнанні, оскільки системна
IDPS встановлюється в реалізованій мережевій інфраструктурі із
урахуванням веб-серверів, файлових серверів та інших ресурсів, що
використовуються.
Проаналізувавши вище вказані переваг IDPS мережевого та системного
рівнів було визначено, що дані системи ефективно доповнюють одна одну. А
тому майбутні покоління реалізацій IDPS мають поєднувати інтегровані
системи і мережеві компоненти. Синтез даних двох технологій дозволить
збільшити ефективність мережевого захисту від атак і зловживань, отримати
більш суворі правила безпеки і більшу гнучкість під час роботи мережевих
ресурсів.
На сьогоднішній день IDPS представлено великою кількістю
програмних та апаратно-програмних комплексів на ринку ІТ-технологій.
Прикладами даних систем є Snort, Kerio WinRoute Firewall, McAfee Entercept,
Symantec ManHunt, ETrust Intrusion Detection та інші програмні продукти [22,
23]. Необхідно зазначити, що розробники системи IDPS не надають
об’єктивного опису своїх переваг і недоліків, що досить сильно ускладнює
вибір бажаного продукту користувачеві. Для вирішення даного питання
сьогодні розроблюється єдиний стандарт для тестування IDPS.
Для того, що порівнювати існуючі на ринку IDPS було запропоновано
наступні показники [24]:
1. рівень моніторингу системи, що визначає на якому саме рівні
система збирає дані, щоб виявити атаку. Такими джерелами є хост та
системи. Всередині хосту є ядро і прикладні рівні (NIDS, тобто
51
спостереження на мережевих хостах на рівні мережевої взаємодії об'єктів;
HIDS – спостереження одного мережевого хосту на рівні операційної
системи; гібридні, тобто поєднання спостерігачів на різних рівнях; AIDS –
спостереження на рівні окремих мережевих хост-додатків). Ступінь
спостережливості системи залежить від впливу системи на зібрану
інформацію, швидкості збору інформації та ймовірності отримання
спотвореної інформації;
2. Клас виявлених атак. Даний показник визначає, які саме класи атак
IDPS можна виявити. Клас атаки складається з чотирьох параметрів <L, R, A,
D>, де: L – положення об'єкту, що виконує атаку (може бути внутрішнім чи
зовнішнім відносно системи, яка захищається): R – атакований ресурс
(ресурси діляться за місцем розташування (хост або мережі) та типом
(системи управління базами даних, користувацькі ресурси, системні і
обчислювальні ресурси)); A – цілеспрямований вплив на ресурс (власне, збір
інформації), тобто отримання прав користувача або адміністратора,
ефективності ресурсу або порушення цілісності; D – ознака розподіленого
характеру нападу;
3. застосований метод виявлення вторгнень, що є ключовим
показником для порівняння систем IDPS. Існує два класи методів: виявлення
аномалій , тобто, нейронні та імунні мережі, статистичний аналіз і
кластерний аналіз, біометрія, експертні системи) та виявлення зловживань
(наприклад, графи атак, аналіз систем станів, експертні системи, нейронні та
імунні мережі, сигнатурні методи, методи, які ґрунтуються на
специфікаціях).
Наступні показники було запропоновано для порівняльних методів
виявлення вторгнень [24]:
 функція перевірки методу дозволяє оцінити, чи може досвідчений
оператор системи IDPS чи експерт відтворити послідовність кроків, для того,
щоб вирішити, чи відбулася атака (передбачається, що сигнатурні методи
52
можна перевірити, а кластерні методи ні). Наявність верифікації в будь-який
час дозволяє експертно оцінити правильність методу і його впровадження,
навіть в процесі функціонування IDPS на його основі;
 ступінь спостереження системи визначає ступінь абстрагування
подій, що аналізуються в захищеній системі, а також кордони застосування
методу виявлення атак у мережі;
 адаптивність методу, тобто оцінка стійкості методу до незначних
змін у процесі здійснення атаки, що не змінюють результату атаки. Саме
адаптованість являється єдиною головною перевагою «альтернативних»
методів щодо виявлення атак над «сигнатурними». Особливість адаптуватися
до невідомих до цього атак визначає здатність методу виявляти раніше
невідомі атаки;
 обчислювальна складність є теоретичною оцінкою складності методу
в режимі виявлення без урахування можливих попередніх етапів навчання та
налаштування;
 стабільність системи характеризується незалежністю результату
методу від захищеної системи, тобто, метод має забезпечувати вихід для того
ж самого входу. Із статистичними методами особливо гострою є проблема
стійкості, яка використовується для аналізу абсолютних значень
використання ресурсів та продуктивності, що можуть досить сильно
відрізнятися на різних хостах та в різних мережах.
4. Формування адекватної реакції на напад. Даний показник визначає
наявність в системі, для адекватної реакції на атаку, вбудованих механізмів, а
також факт реєстрації на атаку. Прикладом реакцій може бути, як розрив
з'єднання із атакуючим об'єктом, блокування зв'язку в інтерфейсі MME або
відстеження шляху атакуючого об'єкту в систему, який захищається.
5. Масштабованість показує можливість додавання нових мережевих
ресурсів, каналів даних та хостів до аналізу, що включає можливість
управління єдиною розподіленою системою для виявлення вторгнень. Також
53
є можливість дистанційного керування IDPS. На основі повністю
розподіленого управління усіма компонентами IDPS необхідно керувати
окремо, а за допомогою повністю централізованого управління усіма
компонентами IDPS, що дозволяє керувати з одного хосту. Адміністративна
організація за централізованою схемою вважається кращою та може мати
кілька центрів, що можуть динамічно змінюватися.
6. Показник відкритості визначає наскільки відкритою є система щодо
інтеграції інших методів для виявлення вторгнень і сторонніх компонентів, їх
поєднання з іншими системами захисту інформації. Методи можуть бути
програмними інтерфейсами для реалізації стандартів взаємодії мережевих
компонентів та (або) підключення додаткових модулів.
Показник безпеки визначає ступінь захисту методу IDPS від атак на його
компоненти, також включаючи захист інформації, яке перебуває в обігу,
наявність слабких місць у компонентах IDPS, а також стійкість до часткового
виходу з ладу компонентів.
Розглянувши показники існуючих систем, можна виділити наступні
властивості для побудови «ідеальної» системи для виявлення вторгнень, що
може бути застосована у корпоративних комп’ютерних мережах:
 можливість аналізувати поведінку захищеної корпоративної
комп’ютерної мережі на всіх рівнях: операційна система, мережа, хост
та окремі програми;
 розпізнавання усіх класів атак (тобто, повна система);
 адаптація до невідомих атак (тобто, адаптивний метод їх виявлення);
 відкритість;
 зміна масштабу для мереж різних класів, тобто від локальних мереж
класу «домашній офіс» до досить великих корпоративних мереж з
кількома сегментами для централізованого управління усіма
компонентами IDPS;
 вбудовані механізми реагування на вторгнення;
54
 захищеність від кібератак на компоненти системи IDPS, що включаючи
перехоплення чи атаки DoS.
2.5 Висновки до розділу 2
В розділі було розглянуто основні методи аналізу мережевого трафіку
та моделі мережевого трафіку. Розглянуті методи та моделі досить активно
застосовуються у готових апаратних і програмно-апаратних комплексах, що
реалізовані щодо запобігання вторгненням в комп’ютерну мережу.
Наведено приклади систем длямоніторингу трафіку, такі як сніфери, але
вони мають певні недоліки, такі як складність застосування недосвідченими
користувачами, обмеженість використання у різних операційних системах,
складний інтерфейс, а також відсутність інструменту для виведення
графічної інформації відносно стану мережі у визначений час. Відсутність
графічного виведення інформації ускладнює сам процес аналізу мережевого
трафіку.
Розглянуто поняття систем виявлення і запобігання вторгненням, їх
види і особливості функціонування. Системи виявлення вторгнень (СВВ) –
універсальний інструмент для моніторингу і аналізу мережевого трафіку. В
залежності від типу системи вони можуть допомагати користувачу
виконувати дії відносно захисту локальної мережі від атак чи повідомляти
його про підозрілу мережевої активності.
На сьогоднішній день, не існує універсальних вимог відповідно до
вибору IDPS, систему необхідно обирати у відповідності до вимог безпеки в
конкретному випадку. Було проведено аналіз систем для виявлення атак та
запобігання вторгненням, розглянуто відмінності та властивості різних типів
подібних систем, їх особливості, а також розглянуто механізми реалізації
кібератак.
Дослідивши отримані результати можна зробити викновок, що системи
виявлення атак (СВВ) повинні удосконалюватись і налаштовуватись
55
відповідно до особливостей функціонування та розробки корпоративних
комп’ютерних мереж, в якій буде забезпечуватись захист.
56
РОЗДІЛ 3 ЗАХИЩЕНІСТЬ МЕРЕЖЕВОГО ТРАФІКУ ПРИ
ВИКОРИСТАННІ СИСТЕМ ВИЯВЛЕННЯ АТАК ТА ЗАПОБІГАННЯ
ВТОРГНЕНЬ В КОРПОРАТИВНИХМЕРЕЖАХ
3.1 Аналіз методів для виявлення вторгнень в комп’ютерну мережу
Основні методи виявлення атак на розподілені обчислювальні системи:
статистичний аналіз; аналіз сигнатур; графи сценаріїв атак; аналіз систем
станів; методи, засновані на специфікації; експертні системи; імунні мережі;
нейронні мережі; поведінкова біометрія; груповий аналіз.
Статистичний аналіз. Для роботи даного методу створюються
статистичні профілі системи, які містять набір параметрів та допустимі
значення даних параметрів, які відповідають нормальній поведінці системи.
Метод статистичного аналізу основується на виявленні атаки, у випадку,
якщо поведінка системи, що захищається, відхиляється від статистичного
профілю (моделі). До переваг даного методу відноситься його адаптивність, а
саме, можливість виявлення невідомих атак. До недоліків статистичного
аналізу відноситься висока ймовірність помилкових спрацьовувань, і той
факт, що в процесі використання даного методу зміни в діяльності об'єкту не
обробляються, а це може призвести, в свою чергу, як до помилкових
спрацьовувань, так і до пропущених атак.
Аналіз сигнатур. Сигнатура атаки включає в себе ряд параметрів
системи, низкуу пов’язаних подій чи дій, які призводять до спроби атаки.
Метод аналізу сигнатур основується на порівнянні поточного стану системи
із статусом системи і дій з наявними сигнатурами у ній, що зберігаються у
попередньо заповненій базі даних. Перевагою методу аналізу сигнатур є
швидкість роботи і низька ймовірність помилки під час виявлення атаки
тоому що, що пошук здійснюється відповідно до існуючих атак. До недоліків
цього методу відноситься неможливість виявлення невідомих атак.
57
Аналіз систем станів. Під час застосування даного методу процес
роботи захищеної системи описується у вигляді ряду станів та переходів між
ними. А тому, робота системи визначається за допомогою спрямованого
графа, зазвичай, із нескінченною кількістю вершин. Певні шляхи на графі, які
описують зміну стану системи, можуть бути позначені як недопустимі,
кінцевий стан для кожного з шляху є небезпечним для захищеної системи.
Графи сценаріїв атаки. Метод полягає у створенні графа, що включає
усі відомі сценарії атак на базі визначеної характеристики стану системи.
Щоб створити граф сценаріїв атаки, потрібно створити формальний опис
захищеної системи і визначити властивість коректності системи. Можлива
поведінка системи відповідно за властивістю коректності ділиться на
прийнятну та неприйнятну. Неправильна поведінка системи рахується як
можлива атака. Метод, що розглядається, створює для певної захищеної
системи повний набір варіантів неприйнятної поведінки, що, в свою чергу,
забезпечує опис можливих шляхів атаки. Даний метод можна
використовувати для пошуку слабких ланок у конструкції системи. Але через
високу свою обчислювальну складність він не використовується відповідно
до проблеми виявлення вторгнень.
Пошуком неприйнятних шляхів у побудованому графі станів захищеної
системи займається метод аналізу системи станів. Адже, саме визначення
послідовності переходів, які призводять до небезпечного стану, означає, що
успішно розпізнано напад. Недоліком даного методу є неможливість виявити
атаку, у випадку, якщо послідовність системних станів перекривається.
Методи, засновані на специфікаціях. Даний метод основується на описі
обмежень у вигляді специфікацій атаки щодо забороненої поведінки об'єктів
у захищеній системі. Сама специфікація може включати перелік заборонених
операцій і спосіб їх роботи, обмеження щодо завантаження ресурсів, і час
доби, коли застосовуються визначені обмеження. Основним недоліком
даного методу є еволюція специфікацій. Дотримання специфікацій
58
вважається атакою.
Експертні системи. Застосування експертних систем для виявлення
атак, у вигляді низки фактів та правил виведення, основується на описі того,
як саме працює система. Під час введення даних експертна система отримує
дані про події у вигляді фактів, які спостерігаються в системі. Відповідно до
фактів та правил, система виявлення і запобігання вторгнень вирішує, або
присутня атака або ні. У загальному дана група методів має дуже високі
обчислювальні зусилля, адже можна спостерігати повний перебір великої
кількості альтернатив.
Груповий аналіз. Суть даної групи методів полягає у поділі набору
властивостей для спостережуваних векторів системи на кластери, серед яких
можна виділити кластери з нормальною поведінкою. Для кожного
конкретного методу кластерного аналізу використовується власна метрика,
для того, щоб оцінити належність властивостей системного вектору до
одного з кластерів або перевищує межі відомих кластерів. Метод кластерного
аналізу за своєю сутью схожий на метод статистичного аналізу.
Нейронні та імунні мережі. Проблему виявлення вторгнень в
комп’ютерній мережі можна розглядати як проблему класифікації або
проблему розпізнавання зразків. Ось тому для вирішення даних проблем
використовуються нейронні чи імунні мережі. Під час використання імунних
мереж система імітує негативний механізм відбору, при цьому, генеруючи
раніше невідомі сигнатури, що порівнюються зі звичайним профілем. У свою
чергу, метод нейронної мережі характеризується наданням зовнішніх
об'єктів, що взаємодіють із системою, у вигляді траєкторій у визначеному
числовому просторі атрибутів та захищеної системи. Як метод для виявлення
зловживань нейронні мережі вчаться на прикладах атак кожного з класів, а
потім застосовуються для визнання належності до одного з класів атак
поведінки, що спостерігається.
У таблиці 3.1 приведено результати порівняльного аналізу методів, що
59
ідентифікують різні класи атак.
Так як число нових, раніше невідомих атак, з кожним роком
збільшується, саме адаптивні методи для виявлення вторгнень є найкращими.
Таблиця 3.1 – Результати аналізу методів виявлення вторгнень [23]
Методи Рівень Верифікація Адаптивність Стійкість Обчислюва
спостереження льна
складність
Аналіз Хост, мережа, Так Ні Глобальна O(log n)
сигнатур додатки
Статистичний Хост, мережа Ні Так Локальна O(n)
аналіз
Аналіз систем Хост, мережа, Так Ні Локальна O(n)
станів додатки
Графи Хост, мережа, Так Так Локальна NP
сценаріїв атак додатки
Експертні Хост, мережа Так Так Глобальна NP
системи
Методи Мережа Так Ні Локальна O(log n)
Засновані на
специфікаціях
Нейронні Хост, мережа, Так Так Локальна O(n)
мережі додатки
Імунні мережі Хост, мережа Ні Так Локальна O(n)
Кластерний Хост, мережа, Ні Так Локальна O(n)
аналіз додатки
Поведінкова Хост Ні Так Локальна O(n)
біометрія
Проаналізувавши отримані в таблиці 3.1 дані було визначено, що
розглянуті адаптивні методи для виявлення вторгнень включають: графи
сценаріїв атак, статистичний аналіз, нейронні мережі, експертні системи,
кластерний аналіз, імунні мережі та біометричну поведінку.
Методи, які основуються на побудові графів сценаріїв атак і
експертних системах на практиці майже не використовуються для виявлення
і запобігання вторгненню через необхідність великих обчислювальних
зусилля, що повинні бути залучені до їх розробки. Методи виявлення
вторгнень, що засновані на застосуванні імунних мереж і поведінкової
60
біометрії також не застосовуються на практиці у готових рішеннях, оскількии
є складним їх реалізація.
Методи, що основуються на нейронних мережах володіють
адаптивністю і низькою обчислювальною складністю, але для того, щоб
виявляти невідомі типи атак виникає необхідність для навчання системи
формування тестового набору. Оскільки, визначений некоректний
навчальний набір може призвести до неефективної роботи системи
виявлення вторгнень (СВВ). Метод статистичного аналізу та аналогічний, за
своєю суттю, метод кластерного аналізу адаптивного виявлення вторгнень
володіють непоганою ефективністю, не зважаючи на те, що присутня
ймовірність помилково позитивних результатів.
3.2 Вибір засобів для захисту мережевого трафіку в комп’ютерній
мережі на основі контролю вторгнень
Системи для контролю вторгнень, що використовують в приватних
підприємствах, можна розділити на дві категорії:
апаратні засоби;
програмне забезпечення.
Розглянемо кожну категорію окремо та оберемо засоби, на основі яких
буде проведено аналіз ефективності.
Апаратний комплекс Stonegate IPS. Stonegate IPS є
апаратнимкомплексом, що забезпечує активний захист від вторгнень. В
основі комплексу Stonegate IPS лежать різноманітні методи виявлення
вторгнень, такі як: аналіз аномалій протоколів; технологія декодування
протоколів, які не володіють сигнатурою; сигнатурний аналіз; виявлення
статистичних відхилень в потоці даних; аналіз поведінки конкретних вузлів;
кореляційний аналіз подій, що відбуваються. Апаратний комплекс Stonegate
IPS поєднує два режими – IDS та IPS для різних сегментів мережі, що
дозволяє проводити контроль підмереж із використанням різного роду
61
політик безпеки. Щоб здійснити контролю на рівні VLAN передбачено
можливість логічного поділу фізичного інтерфейсу на підрівні.
Stonegate IPS рішення має велику кількість сертифікатів, що визнані
міжнародними організаціями з інформаційної безпеки, такими як ICSA Labs
та Common Criteria, та включає сертифікат ISO.
Програмно-апаратний комплекс Snort. Snort є програмно-апаратним
комплексом, що забезпечує активний захист від вторгнень. Даний комплекс
може аналізувати потік даних та IP-пакети, що увійшли в мережу, у
реальному масштабі часу.
Snort може аналізувати протоколи і застосовуватися для виявлення
різного роду атак типу переповнення буферу, CGI нападу, прихованого
перегляду портів, визначення OS, SMB нападу та інших. Прогамно-
апаратний комплекс Snort застосовує гнучку систему правил для опису
інформаційного потоку, що має бути пропущений чи заблокований. Snort має
можливість реагувати на атаки в реальному масштабі часу, при цьому,
додаючи результати подій чи у файл, який визначений користувачем, або в
системний звіт syslog, чи у вигляді WinPopup-повідомлення клієнтам ОС
Windows, що застосовують Samba client.
Апаратний комплекс IBM ISS Proventia. IBM ISS Proventia є апаратним
комплексом, що забезпечує активний захист від вторгнень в мережу. IBM ISS
Proventia включає в себе з аналізатора подій, що надає можливість обробляти
інформацію з декількох сенсорів і виконувати кореляцію подій між ними.
Система для виявлення та запобігання вторгнення IBM ISS Proventia
сконфігуровано для виявлення розподілених в часі атак; систем ERP, для
запобігання поширенню та застосування шкідливого ПЗ; специфічних атак,
що використовують слабкі місця саме в поштових системах; витоку
інформації із застосуванням пірінгових мереж та ін. Даний комплекс містить
унікальні механізми для аналізу аномальної активності та дій користувачів у
62
мережі. IBM ISS Proventia володіє сертифікатом ISO, сертифікацію було
проведено у ДССЗ та ЗІ.
Система IBM ISS для виявлення вторгнень може виступати за способом
моніторингу у якості як вузлової, так і мережевої системи, в залежності від
параметрів установки. Основною її задачею є захист визначеного сегменту
локальної мережі від зовнішніх атак. На рисунку 3.1 наведено схему мережі
із вже встановленою в ній IBM ISS. Систему виявлення атак, виділено
червоним прямокутником, вона працює як вузлова, інша – як мережна.
Допустимо, що якийсь клієнт відправляє пакет через мережу Інтернет. Після
відправки пакет потрапляє на маршрутизатор, а вже далі передається в
необхідну підмережу. Пройшовши через маршрутизатор, пакет міжмережним
екраном пропускається або блокується. Міжмережний екран є комплексом
апаратних та програмних засобів, що виконує контроль та фільтрацію
пакетів, які проходять через нього, у відповідність із заданими правилами.
Тут потрібно зауважити, що міжмережний екран, зазвичай, поєднується з
функціями маршрутизатора, крім цього, вони можуть співіснувати як окремі
пристрої.
Після того, як пакет пройшов міжмережний екран, він потрапляє на
комп'ютер із ситемою IBM ISS, що контролює підмережу. Комплекс IBM ISS
переглядає та аналізує, чи не підпадає пакет під якесь із існуючих в його базі
правил. Якщо правила не знайдено, то пакет передається далі адресату. В
іншому випадку система IBM ISS передає на міжмережний екран відповідні
команди. Такі команди можуть бути двох типів: система надає дозвіл на
передачу пакета отримувачу; система забороняє передачу пакета отримувачу.
63
Рисунок 3.1 – Мережа із встановленим апаратним комплексом IBM ISS
Відомо також і про інший підхід, при використанні якого мережні
пакети з Інтернету потрапляють на початку на міжмережний екран, а лише
потім до системи виявлення вторгнень.
Під час роботи система IBM ISS в якості вузлової системи для
виявлення вторгнень буде захищати лише один вузол. Але для цього їй
необхідно мати відповідні налаштування.
На рисунку 3.2 наведено функціональні блоки, що входять до складу
комплексу IBM ISS.
Рисунок 3.2 – Функціональні блоки комплексу IBM ISS
64
Підсистема аналізу. Дана підсистема використовується для виявлення
атак і підозрілих дій, які грунтуються на базі даних сенсорної підсистеми.
Сенсорна підсистема – підсистема, що займається збором подій, які
пов’язані з безпекою системи.
Підсистема зберігання результатів аналізу – підсистема, що
забезпечує накопичення результатів аналізу та подій.
Комплекс IBM ISS містить сніфер пакетів в своєму складі, що
перехоплює всі пакети в підмережі. На рисунку 3.3 наведено принцип
проходження даних через системи IBM ISS, що отримані сніфером.
Проходження даних через комплекс IBM ISS виконується наступним
чином [24]:
1) здійснюється перетворення даних до придатного для аналізу
вигляду. Дане перетворення здійснюється за допомогою декодера;
2) проводиться аналіз даних за допомогою відповідних блоків
програми;
3) виконується перетворення отриманих результатів до прийнятного
для людини вигляду;
4) зберігаються вихідні дані у базі даних.
Рисунок 3.3 – Процес проходження даних через систему IBM ISS
65
Програмна система Rule-based IDS. Програмна система для виявлення
вторгнення, яка була розроблена для сімейства ОС Linux. Вона володіє
наступними можливостями:
здійснення кластеризації і можливість плавного нарощування
продуктивності;
виявлення та запобігання атак, в прозорому для користувачів
режимі, в реальному часі (тобто, продуктивність 1-го пристрою понад
10 Гбіт/c);
містить широкий список сигнатур атак (за змістом, за контекстом
мережевих пакетів і за іншими ознаками);
можливість боротьби з DoS-атаками;
можливість виявляти спроби тунелювання трафіку, а також
підтримка IPv6;
можливість обробки фрагментованого мережного потоку даних;
інспекція всередині SSL/TLS.
В таблиці 3.2 наведено характеристики проаналізованих програмно-
апаратних засобів для контролю вторгнення в корпоративні мережі
відповідно до обраних критерій.
Таблиця 3.2 – Характеристики програмно-апаратних засобів для
контрою вторгнення в корпоративні мережі
Назва Реалізація Продуктивність Споживання Складність
ресурсів налаштування
Snort Програмна 95Mb/s 25% Мала
Suricata Програмна 90Mb/s 20% Мала
Stonegate Апаратна 170Mb/s <5% Середня
Rule-based ID System Програмна 75Mb/s 20% Висока
IBM ISS Proventia Апаратна 230Mb/s <5% Мала
Проаналізувавши апаратні та програмні продукти відповідно до
ефективності контролю вторгненнями, для захисту мережевого трафіку в
інформаційно-телекомунікаційних системах комерційних підприємств, було
66
отримано як результат, що самими ефективними виявились дві системи,
тобто програмний комплекс Snort і Suricata та апаратний продукт IBM ISS
Proventia.
3.3 Аналіз ефективності програмного комплексу Snort для захисту
мережевого трафіку синтезованої комп’ютерної мережі
Для подальшого дослідження щодо аналізу безпеки мережевого
трафіку було обрано програмний комплекс Snort, що було встановлено на
хості синтезованої комп’ютерної мережі. Даний комплекс є безкоштовним
програмним забезпеченням з відкритим кодом, що було ліцензовано GPL.
Розроблено в 1998 році однією з найвідоміших особистостей у галузі
кібербезпеки Мартіном Роше. Основною причиною для створення даної
системи IDS була відсутність інструменту безпеки в той час, що здатний був
ефективно сповіщати про атаки, і, в той же час, був би безкоштовним [10].
Snort може виявити наступні типи атак:
використання експлойтів (тобто, ідентифікація Shell code);
поганий трафік;
сканування системи (портів, операційної системи, користувачів
тощо);
атаки на такі послуги, як FTP, Telnet, DNS тощо;
атаки, пов'язані з веб-серверами (php, cgi, iss, frontpage та ін.);
DoS / DDoS-атаки;
атаки на бази даних Oracle, SQL тощо;
атаки на imap, SMTP, pop2, pop3;
атаки через протоколи Net Bios, SNMP та ICMP;
веб-фільтри (порнографія);
різні Back doors.
Принцип роботи програмного комплексу Snort наведено на
рисунку 3.4.
67
Рисунок 3.4 – Принцип роботи програмного комплексу Snort
Схема роботи комплексу включає наступні компоненти:
бібліотеку libpcap;
декодер пакетів;
препроцесор;
нормативну базу;
детектор;
модулі виведення інформації.
Бібліотека libpcap надає можливість перехоплювати пакети, які
надходять на мережеву карту до того моменту, як вони потраплять в стек
протоколів. На базі цієї бібліотеки розробляються програми для моніторингу
та тестування мережі, такі як програмний комплекс Snort, а також сніфери,
наприклад, WireShark [8].
Після того, як пакет буде перехоплено, він потрапляє в декодер,
завдання якого полягає в тому, щоб із протоколів канального рівня, а саме,
Ethernet чи 802.11, декапсулювати дані мережевого та транспортного рівня
(IP, UDP, TCP, ICMP).
Препроцесор готує дані протоколів мережевого і транспортного рівнів
для їх подальшої обробки детектором. У системі Snort наявне налаштування
препроцесорів та їх правил, які дозволяють в загальному випадку збільшити
швидкодію системи [11].
68
Детектор проводить аналіз даних, які надійшли шляхом пошуку певних
правил в пакетах, сигнатур, які знаходяться в базі. Самі ж правила
складаються з сигнатури, опису правила, опису загрози та реакції під час
виявлення [12].
Snort виводить необхідну інформацію (Log, Alert) після аналізу даних в
необхідний форматах.
Система Snort здатна працювати в 3-х режимах:
режим реєстратора пакетів, тобто виконує перехоплення дані і
реєструє їх у відповідних файлах);
режим сніфер, виконує просто перехоплення та виводить на екран
перехоплені дані);
режим системи виявлення вторгнень. Перехоплює дані і виконує їх
аналіз, при цьому, якщо в налаштуваннях не вказано іншого, автоматично
включається реєстрація пакетів.
Barnyard2 – інтерпретатор з відкритим вихідним кодом для двійкових
файлів, що створюються системою Snort.
Стандартний спосіб запису подій, що передбачено в Snort, в консоль
або у файл досить ресурсномістким. В найкращому випадку події Snort
необхідно зберігати в базі даних MySQL.
PulledPork є скриптом, що буде завантажувати, встановлювати,
комбінувати та оновлювати правила для комплексу Snort з різних джерел.
Існує декілька наборів правил, що можна завантажувати PulledPork. Даний
скрипт можна налаштувати для завантаження безкоштовного набору правил
спільноти Snort, без створення безкоштовного облікового запису Snort.org.
BASE (Basic Analysis and Security Engine) є базовим двигуном аналізу
та безпеки. Дана програма необхідна для візуалізації детектованих атак.
Ще однією системою, яку будее розглянуто є Suricata, як як і Snort
складається з декількох модулів (захоплення, збору, декодування, виявлення
та виведення). За замовчуванням захоплений трафік йде до модуля
69
декодування одним потоком, це є оптимальним з точки зору детектування,
але досить сильно навантажує систему. На відміну від системи Snort, в
системі Suricata можна за допомогою налаштування перевизначати поведінку
трафіку та одним з налаштувань розділити потоки відразу після захоплення, а
іншим – зазначити, як саме будуть розподілятися потоки за процесорами.
Це надає широкі можливості саме для оптимізації обробки трафіку на
конкретному обладнанні в конкретній мережі.
У системі Suricata підтримується функція вилучення і перевірки
переданих файлів по HTTP, розбір стисненого контенту, cookie, заголовкам,
можливість ідентифікації по URI, user-agent, тілу запиту та відповіді. Дану
можливість Suricata в деяких мережах застосовують для протоколювання без
детектування HTTP-трафіку. Контент в потоці можна виділяти за допомогою
регулярних виразів та за маскою, ідентифікація файлів можлива за іменем,
типом чи контрольною MD5-сумою.
Підтримується декодування протоколом IPv6, в тому числі і тунелі
IPv6- in-IPv6, IPv4-in-IPv6, Teredo та інші. Модульне компонування двигуна
надає можливість досить швидко підключити новий елемент, щоб
захоплювати, декодувати, аналізувати чи обробляти пакети.
Для перехоплення трафіку застосовується декілька інтерфейсів – NF
Queue, Lib Pcap, IPF Ring, IPFW, PF_RING, AF_PACKET. Режим Unix Socket
надає можливість автоматично аналізувати PCAP-файли, які було
попередньо захоплено іншою програмою (наприклад, сніфером).
Проведемо критичне порівняння між системами виявлення і
запобігання вторгненням Suricata і Snort.
Показниками, які використовуватимуться для вимірювання
ефективності систем виявлення і запобігання вторгнень, мають бути:
швидкість виявлення атак та помилкові спрацьовування. Обмеження
потужності є несправністю, яка може бути реалізована, як тільки система
виявлення і запобігання вторгнень досягне граничної потужності, в такому
70
випадку пакети відкидаються, а тому шкідливий вміст не виявляється.
Для кількісної оцінки метрик, які використовуються для оцінки
точності системи щодо виявлення та запобігання вторгненню, можна
використати наступні показники: ймовірність помилкових спрацьовувань,
охоплення (тобто, кількість атак, що можна виявити), ймовірність виявлення
резистивних атак, можливість обслуговування каналу з високою пропускною
здатністю та ємністю. Якщо говорити про продуктивності, то вона має ряд
компонентів, а тому і не є метрикою. У таблиці 3.3 приведено декілька
показників, що відображають ємність.
Таблиця 3.3 – Оцінка потенціалу системи
Показник, що перевіряється Використання ресурсів
Пакетів в секунду Цикли CPU, пропускна здатність інтерфейсів,
пропускна здатність шини
Байт в секунду (середній розмір пакета) Цикли CPU, пропускна здатність інтерфейсів,
пропускна здатність шини
Протоколи Цикли CPU і пропускна здатність шини
Кількість унікальних хостів Розмір пам'яті, цикли CPU, пропускна здатність
шини
Кількість нових з'єднань в секунду Цикли CPU і пропускна здатність шини
Кількість одночасних з'єднань Розмір пам'яті, цикли CPU, пропускна здатність
шини
Попередження в секунду Розмір пам'яті, цикли CPU, пропускна здатність
шини
Для оцінки потенціалу системи необхідно реєструвати наступні
показники: байти в секунду, пакети в секунду і кількість мережевих атак.
Крім цього, для кожної системи щодо виявлення та запобігання вторгнень в
мережу було зменшено кількість втрачених пакетів, а також були записані
помилкові спрацьовування, фактичні тригери, негативні тригери і загальна
кількість тривог. Як результат, хост відслідковує використання центрального
процесору та пам'яті, пропускну здатність інтерфейсу, постійне зберігання та
статистику файлів підкачки.
Тестовий стенд було налаштовано у віртуальному середовищі, яке
сприяє мобільності і безпеці експерименту. Це було потрібно для частого
71
повторення і реконфігурації експериментальних випробувань.
VMware Workstation 15 було використано як платформу для
віртуалізації, завдяки хорошій реалізованій продуктивності введення-
виведення і жорсткого диску в порівнянні з іншими засобами віртуалізації.
Для реалізації експерименту в якості операційної системи було обрано 32-
розрядну Ubuntu 18.04 LTS, оскільки Ubuntu регулярно оновлюється і
включає гарну базу спільнот. Вона також є найпопулярнішою операційною
системою Linux. За замовчуванням апаратна конфігурація складає 2,8 ГГц
чотирьохядерного процесора Intel Xeon (E5462) з 4-ядерною 3 ГБ DDR2 800
МГц, та є повністю буферованою пам'яттю, саме для системи виявлення і
запобігання вторгнень у мережу. Кожна із систем також мала максимальний
об’єм жорсткого диску 20 ГБ. Для кожної системи мережевий трафік
передавався окремо. Система, яка застосовується для відтворення
мережевого трафіку, застосовує одне ядро і 1 Гб оперативної пам'яті.
VMware хост операційної системи, який використовує 2 Гб оперативної
пам'яті та 1 ядро, яке перешкоджає хосту з якого виконує передачу трафіку
на випробувальному стенді.
Системи Snort та Suricata було налаштовано на роботу з однаковими
правилами. Система Suricata використовує різні класифікації конфігурації
програмного комплексу Snort, що використовує 134 декодери і 174 правила
препроцесора. Схожі методи реєстрації, що називаються MySQL, Barnyard та
AcidBase, застосовували у системах виявлення вторгнень у мережі, і для
систем запобігання. Версії Snort та Suricata, які було використано v2.9.8.3 і
v4.1.2 відповідно.
Обидві системи застосовували набір правил VRT Snort v2.9.8.3 в
поєднанні із набором правил для нових загроз. Після того, як всі правила
було завантажено, визначення для правил було завантажено в Suricata
відповідно 11039 порівняно із 11065 в системі Snort. Дана розбіжність
пов’язана саме з тим, що система Suricata не може проаналізувати деякі
72
правила VRT.
Під час вибору мережевого трафіку для тестування систем щодо
виявлення і запобігання вторгненню в мережу є дееякі особливості. По-
перше, трафік, що атакує, можна використовувати окремо чи із додаванням
контекстного фонового трафіку. У випадку, коли використовується фоновий
трафік, це може свідчити про реальну чи імітовану поведінку. Коли це
реальна поведінка, то її можна залишити недоторканою чи, навпаки,
дезінфікувати, а це означає, що дані користувача та інформація про IP-адресу
буде видалена.
Для тестування було корисним і бажаним використання реального
мережевого трафіку у фоновому режимі. Але повторення експерименту з
трафіком саме у реальному часі може бути непередбачуваним через його
динаміку. Тому, для проведення експеримету було обрано застосування
трафіку, захопленого із файлу pcap. Це посприяло його обробці системою
виявлення і попередження вторгнення мережі в автономному режимі,
надаючи можливість відтворювати трафік у фоновому режимі у мережі з
різною швидкістю, використовуючи при цьому TCPReplay. Крім цього, було
усунуто усі ризики для критично важливих мереж.
Для завантаження існує багато джерел тестового трафіку, але, на жаль,
їх часто дезінфікують. Це, в свою чергу, робить їх непридатними для оцінки
NIDPS, що виконує глибокий аналіз пакетів. Відомо про такі інструменти, як
Randomiser і TCPdump, що додають будь-яке корисне навантаження для
очищення даних. Але реальність таких змінених даних стає сумнівною.
Контекстний злом забезпечує джерела для захоплення трафіку, але,
необхідно враховувати той факт, що зміст трафіку при його застосуванні, не
буде задокументовано. Тому зміст трафіку необхідно визначити заздалегідь
перед використанням. Наприкладом може служити той факт, що деякі атаки
зазнали невдачі, а інші – успіху. На основі визначених даних було вирішено
зафіксувати фоновий трафік із задіяних веб- серверів і серверів додатків.
73
Потім зафіксовані дані було поєднано з керованим трафіком, що було
створено за допомогою Metasploit Framework. Metasploit Framework вміщує
загалом 587 модулів, що можна застосовувати під час атаки на дані, що
генеруються у великих кількостях.
Застосований трафік було зафіксовано для запуску атак Metasploit
Framework на комп'ютері під керуванням операційної системи Microsoft
Windows 2007. Windows 2007 було обрано в порівняні з іншими як найбільш
підходящий Metasploit для даної операційної системи.
Більшість служб та додатків перестали працювати і встановлюватися
на ОС, щоб дозволити виконання якомога більшої кількості атак. Атаки, що
перелічено в таблиці 3.4, було зареєстровано за допомогою Wireshark, як
захоплений, фоновий і атакуючий вид трафіку. Частину програми Wireshark,
а саме Edicap, було використано для змін часової позначки
використовуваного трафіку та співставлення її з трафіком у фоновому
режимі. При даній дії їх було об’єднано в хронологічному порядку, для того,
щоб атакуючий трафік перемістився на другий план.
Продуктивність мережних NIDPS тісно пов'язана з продуктивністю
системи центрального процесору. Отже, Snort і Suricata мають завантажувати
центральний процесор, для того, щоб оцінити їх роботу саме в стресових
умовах.
Віртуалізація VMware використовувалася для зменшення кількості
логічних і фізичних ядер. Самі ж ядра зазнавали напруги, створюючи потоки,
що створювали регульовані і вимірювані навантаження. Дані завдання було
виконано за допомогою cpulimit, що генерує налаштування робочого
навантаження центрального процесора та надає можливість загальному
навантаженню для кожного потоку обмежити відсоток потужності
центрального процесора.
Таблиця 3.4 – Дослідження та аналіз атак [24]
74
Код Ім’я Опис
ms03_026_dcom Microsoft RPCDCOM Interface Модуль використовуваного стеку
Overflow переповнення буфера в службі RPCSS
ms05_039_pnp Microsoft Server Service Стек переповнення буфера в службі
NetpwPathCanonicalize Windows Plug and Play
Overflow
ms05_047_pnp Microsoft Plug and Play Service Стек переповнення буфера в службі
Registry Overflow Windows PnP. Причина
перезавантажень.
ms06_040_netapi Microsoft Server Service Стек переповнення буфера в NetApi32
NetpwPathCanonicalize CanonicalizePathName()
Overflow використовуючи функцію
NetpwPathCanonicalize RPC виклик
служби Server
ms05_017_msmq Microsoft Message Queueing Використовуваний стек переповнення
Service Path Overflow буфера в RPC інтерфейсі в службі
Microsoft Message Queueing
ms01_033_idq Microsoft IIS5.0 IDQ Path Використовуваний стек переповнення
Overflow буфера в IDQ ISAPI обслуговування
для Microsoft Index Server
І Snort, і Suricata надають можливість внутрішнього відтворення файлів
pcap. Це виконується з максимально можливою швидкістю для NIDPS та
забезпечує гарну оцінку продуктивності системи. Але даний метод не
враховує максимальної швидкості без втрат (MLFR). Тому для перевірки
швидкості трафіку використовувався TCPReplay, який дозволяє проводити
стрес-тести відповідно до навантаження на мережу.
В процесі дослідження було відстежено такі ресурси: використання
пам’яті, опір пропускної здатності пам'яті, використання центрального
процесора та пропускна здатність мережі. Дані дослідження було виконано за
допомогою інструменту dstat командного рядка Linux.
Пропускна здатність збільшується, та MLFR NIDPS впливає як на
пропускну здатність трафіку, так і на використання центрального процесора.
Тому експеримент був реалізовано, для того, щоб надати дані про те, як
кожна система може впоратися із більшою пропускною здатністю при
умовах високої напруги процесора.
Атакуючий трафік даних пройшов через обидві NIDPS із різними
конфігураціями процесора, а саме, 2-ядерна конфігурація ядра процесора,
75
одне ядро, навантаження 50% і 75%. Вимірювались здатність NIDPS читати
пакети і точність попереджень, при цьому, особлива увага приділялась
помилково негативним результатам. За допомогою TCPReplay помноженого
на 40 тестовий трафік було перенаправлено в середовище. Трафік буде
відтворюватися в 40 разів швидше, ніж під час захоплення. Даний результат
призвів до відтворення смуги пропускання 3,1 Мбіт / с, а кількість, при
цьому, скинутих пакетів досягла 2%. Це, в свою чергу, надало можливість
завершити експеримент вчасно, тобто безпосередньо перед втратою пакетів.
Кожного разу, коли було запущено тестування, реєструвались початок
та кінець трафіку запуску NIDPS. Для аналізу системи попередження і
статистики це було гарною відправною точкою. Для кожного тестового
запуску видавалася інформація про попередження, яка реєструвалася за
допомогою acidbase, також відомого як вихідний файл unified2, що
архівується для подальшого використання. Після закриття статистики
продуктивності NIDPS, в ній записано кількість згенерованих сповіщень,
кількість оброблених пакетів та відношення пакетів до оброблюваних
мережевих протоколів. Мережевий трафік проходив через хости 192.168.16.2
і 192.168.16.128, але з позначенням як небажаний трафік.
Для визначення точності виявлення попереджень використано
контроль попереджень. Дані попередження, що було отримано без системи
стресів, використовувались як еталонні. Будь-яке відхилення від базової лінії
в стресових умовах показувало зміни в точності виявлення.
У таблиці 3.5 приведено кількість видів попереджень, які генеруються
під час нападу на кожну NIDPS. На рисунку 3.5 наведено попередження
системи Suricata на кожен експлоїт для всіх конфігурацій, але деякі
попередження було втрачено, що призвело до зменшення діапазону
виявлення.
Таблиця 3.5 – Попередження, що були згенеровані Snort та Suricata
Попередження Snort Suricata
76
ms05_047_pnp 1 1
ms05_040_pnp 4 4
ms03_026_dcom 1 2
ms05_039_pnp 1 6
ms05_017_msmq 2 3
ms01_033_1dq 2 4
На рисунку 3.6 наведено провальні попередження системи Snort на
ms01_033_idq. Дані помилкові негативні результати обумовлені надмірним
навантаженням.
Рисунок 3.5 – Попередження у системі Suricata
На рисунку 3.7 наведено кількість хибнопозитивних і насправді
позитивних результатів для обох NIDPS в порівнянні з кількістю втрачених
попереджень для кожної системи.
77
Рисунок 3.6 – Провальні попередження у системі Snort
Рисунок 3.7 – Точність вимірювання атак для систем Snort та Suricata
Помилково негативні результати можуть призвести до викидання
пакетів. На рисунку 3.8 наведено кількість відхилених пакетів систем Snort та
Suricata, як міру доступності центрального процесора. Дослідивши наведені
результати було визначено, що відсоток падіння системи Snort в основному
лінійний, а от продуктивність системи Suricata значно зменшується тільки
в тому випадку, коли ресурси центрального процесору зменшуються до
одного ядра.
На рисунку 3.9 наведено, процес зменшення кількості ядер і
використання центрального процесора, а також вплив помилкових
78
негативних результатів на обидві системи.
Рисунок 3.8 – Графік втрати пакетів при передачі 3,2 Мб/с
Рисунок 3.9 – Графік для помилкових відкинутих попереджень
На рисунку 3.10 наведено, як виконується взаємозв'язок між
використанням процесора і пропускною здатністю мережі для систем Suricata
та Snort. Рисунок відображає, як збільшується використання центрального
процесора відповідно до пропускної здатності мережі. Дана поведінка
найбільш помітна, коли працює система Suricata. Система Snort поводиться
подібним чином у значно менших масштабах.
Під час використання двоядерних процесорів, система Suricata має
меншу швидкість відкидання, аніж Snort.
79
Рисунок 3.10 – Використання CPU для одного ядра та відповідна
пропускна здатність мережі
На рисунках 3.11 і 3.12 наведено як системи Snort і Suricata
(відповідно), використовують двоядерні процесори.
Рис. 3.11 показано, що Suricata використовує два ядра рівномірно, у
порівнянні із Snort, для якого є актульними більш нестійке балансування
навантаження.
На рисунку 3.12 наведено процес узгодження з очікуваним, завдяки
багатопотоковій архітектурі Suricata.
Обидва NIDPS можуть обробляти мережевий трафік автономно,
отримуючи файл pcap та обробляючи його по максимуму. Дана можливість
була реалізована для визначення швидкості, з якою обидві системи можуть
обробляти мережевий трафік. Тест було проведено для обох NIDPS, при
цоьму, використовувався один і той же файл pcap. Час, що був потрібний для
кожної системи, наведено на рисунку 3.13.
80
Рисунок 3.11 – Використання системи Suricata для двох ядер
Рисунок 3.12 – Використання системи Snort для двох ядер
Проведений аналіз показав, що додаткові ядра не покращили час
обробки системи Snort, хоча продуктивність Suricata зросла на 220% в
процесі використання 4 ядер в порівнянні з одним, що як і очікувалося,
завдяки багатопотоковій архітектурі Suricata.
81
Рисунок 3.13 – Час обробки файлу pcap системами Suricata і Snort
В процесі дослідження було визначено, що найважливішим показником
для оцінки IDPS є точність. Це розглядалося на наступних показниках, таких
як помилковий позитивний, покриття атаки системи, помилковий
негативний, потенційний, та здатність обробляти великий трафік, тобто
трафік з великою пропускною здатністю.
Розробники системи Suricata заявили, що основним напрямком їх
діяльності в процесі вдосконалення NIDPS є підвищення точності. У системі
Suricata спостерігається більша точність, аніж у Snort, відповідно до чого
можна зробити висновок, що вони отримали певний успіх. Даний успіх
можна спостерігати на рисунках 3.5, 3.6 та 3.7, розглянувши дані, які
показують, що система Snort не спромоглася попередити про експлойт
ms01_033_idq, коли центральний процесор був менше ніж на 50%
навантажений. Частково це пов'язано з тим, щосистема Snort менше
контролює функціонування оповіщень під час атаки, аніж Suricata. Також
Snort не зміг попередити ms01_033_idq 2-а правилами із набору правил VRT,
з ідентифікаторами 1245 та 1244. Suricata був успішнішим, і дані сповіщення
спрацьовували.
Suricata має високі вимоги до обробки, і саме тому, комплекс досягає
більших експлуатаційних можливостей, аніж Snort. Пояснення чому, є велика
82
кількості пакетів, що були відкинуті під навантаженням. В порівняння
комплекс Snort має набагато нижчі системні вимоги, а тому він не може
працювати із втратою пакетів при максимальному навантаженні системи. На
рисунку 3.8 наведено відсоток втрачених пакетів, що різко збільшується, у
випадку, коли ресурси CPU зменшуються на завантаженому ядрі. На
рисунку 3.7 наведено для обох систем пропорційне співвідношення між
відхиленими пакетами і помилково негативними результатами. Під час
роботи в багатоядерній конфігурації комплекс Suricata показує менше втрат
пакетів, аніж Snort. Рисунки 3.11 та 3.12 показують, що комплекс Suricata
використовує більш рівномірно наявні ядра. Але тестування в автономному
режимі показує, що Suricata набагато повільніша ніж Snort, хоча Suricata і
використовує багатоядерну систему більш чітко, аніж Snort (результати
наведено на рисунках 3.8, 3.9 та 3.13). З отриманих даних наведених вище,
можна зробити висновок, що Suricata має кращу масштабованість. Якщо
говорити про Snort, то якщо комплекс отримує хороші результати пропускної
здатності, то рекомендується запускати декілька екземплярів Snort на
декількох ядрах, що, в свою чергу, надасть можливість запропонувати таку ж
масштабованість, як комплекс Suricata, але із використанням додаткових
витрат на обробку однопотокових додатків на декількох ядрах.
3.4 Висновки до розлілу 3
В розділі 3 було проведено аналіз безпеки мережевого трафіку при
застосуванні методів виявлення вторгнень в комп’ютерну мережу .
Результати показали, що найкращим рішенням такої проблеми можуть бути
статистичні методи та методи, що засновані на апараті нейронних мереж при
відповідній навчальній вибірці.
Також було проведено перевірку твердження про ефективності
статистичного методу щодо питання виявлення вторгнення в корпоративній
комп’ютерній мережі. Оскільки дане твердження виявилося вірним, то даний
83
метод може застосовуватися в системах щодо виявлення вторгнень. Було
проведено аналіз систем виявлення вторгнень за різними критеріями, та для
подальшого дослідження було обрано дві такі системи – Snort та Suricata.
Як результат аналізу функціонування систем виявлення вторгнень було
зроблено висновок, що система Suricata має вищу точність, аніж Snort.
Частково це відбувається за рахунок підвищення навантаження на
центральний процесор. Також результати показали, що під час більш
рівномірно розподілених ядрах система Suricata може бути більш
масштабованою та ефективною за наявності декількох ядер. Але через
підвищені потреби в ресурсах СВВ Suricata точність потребує зменшення під
час використання СВВ Suricata з одним ядром.
84
ВИСНОВКИ
В ході виконання кваліфікаційної роботи магістра було досліджено
тему аналіз безпеки мережевого трафіку для синтезованої комп’ютерної
мережі. В результаті дослідження було виявлено різноманітні методи
вторгнень та їх реалізації у вигляді атак, що провокують необхідність
вдосконалення існуючих технологій і засобів захисту даних у корпоративних
комп’ютерних мережах.
Оскільки корпоративні мережі є основним інструментом мережевої
інфраструктури підприємств, по яких циркулює як внутрішня інформація,
так і зовнішня інформація, призначена для клієнтів, то для вирішення
проблеми захисту таких мереж було розглянуто питання щодо моніторингу
та аналізу безпеки мережевого трафіку в корпоративних мережах. Для
аналізу безпеки та моніторингу мережевого трафіку можна використовувати
різного виду програмні та апаратні засоби, наприклад, такі як інтегровані
системи діагностики і управління, експертні системи, аналізатори протоколів
чи мережеві аналізатори.
Аналіз безпеки мережевого трафіку можна виконати 2-а способами, а
саме, аналіз трафіку в реальному часі, тобто під час роботи, та
ретроспективний аналіз мережевого трафіку. Якщо говорити про
ретроспективний аналіз трафіку, то він передбачає, що увесь чи деякий
трафік спочатку записується на диск, а вже потім аналізується. Зрозуміло, що
для аналізу мережевого трафіку необхідно спочатку провести процедуру його
перехоплення. Щоб виконати це завдання існують програмні засоби, які
відомі як сніфери, що прослуховують певний мережевий інтерфейс та
можуть перехоплювати трафік і, за потреби, зберігати його у сховищі. Але в
таких засобах відсутня система аналізу одержаних результатів, а тому
використання тільки сніферів для захисту комп’ютерних мереж є
недостатнім.
85
Системи виявлення вторгнень (СВВ) в комп’ютерну мережу, крім
перехоплення вхідного мережевого трафіку, також виконують його аналіз.
Але вибір такої системи має ґрунтуватись на вимогах безпеки для конкретно
взятої мережі. Для того, щоб правильно обрати систему захисту, що
ефективно функціонуватиме в умовах корпоративної мережі підприємства,
було виконано аналіз методів виявлення вторгнень у мережу.
Було проаналізовано наступні методи, а саме: аналіз сигнатур, графи
сценаріїв атак, статистичний аналіз, експертні системи, нейронні мережі та
методи, засновані на специфікації. Як результат було взначено, що адаптивні
методи виявлення вторгнень (статистичний аналіз, графи сценаріїв атак,
нейронні мережі, експертні системи, кластерний аналіз, імунні мережі та
біометрична поведінка) є найкращим вибором, оскільки в них реалізовано
можливість виявляти невідомих до цього мережевих атак.
Також в роботі було розглянуто безкоштовні програмні комплекти
щодо виявлення вторгнень, а саме: Snort, Suricata, EasyIDS, Bro, Openwind
Tripwire. З даних IDS для подальшого дослідження було обрано Snort та
Suricata, оскільки вони є свого роду стандартом для подібних систем.
Система Suricata є більш гнучкою, аніж Snort. Але багато постачальників
реалізовують і впроваджують IDS на основі саме системи Snort.
У роботі було виконано порівняння даних системи – Suricata та Snort.
Це вибір було зумовлено саме функціональністю систем, адже окрім
сигнатурного аналізу трафіку в них застосовуються і статистичні методи,
відкритістю, оскільки системи мають відкритий вихідний код, та
розповсюджуються на безкоштовній основі, а також можливість
застосування разом з іншими додатками, так як обидві системи не
реалізовують графічного подання інформації.
Для перевірки ефективності обраних СВВ було розроблено тестовий
стенд на платформі віртуалізації VMware Workstation. Реалізовано дві
системи для розміщення систем виявлення вторгнень, та одна для
відтворення мережевого трафіку. На основі Metasploit Framework було
86
отримано аномальний трафік. Атакуючий мережевий трафік
маршрутизувався через обидві NIDPS із різними конфігураціями процесора, а
саме: двохядерна конфігурація ядра процесора, одне ядро, навантаження 50%
і 75%. Можливість, як і точність попереджень, NIDPS читати пакети
вимірювалась, приділяючи особливу увагу помилково негативним
результатам.
З результатів системи Suricata спостерігається більша точність, аніж у
Snort, оскільки Snort не зміг попередити про експлойт ms01_033_idq, у
випадку, коли центральний процесор мав навантаження менше 50%. Система
Snort не змоогла попередити ms01_033_idq двома правилами з набору правил
VRT. Suricata має високі вимоги до обробки, і саме тому, комплекс досягає
більших експлуатаційних можливостей, аніж Snort. Пояснення чому, є велика
кількості пакетів, що були відкинуті під навантаженням. В порівняння
комплекс Snort має набагато нижчі системні вимоги, а тому він не може
працювати із втратою пакетів при максимальному навантаженні системи. Під
час роботи в багатоядерній конфігурації комплекс Suricata показує менше
втрат пакетів, аніж Snort.
Як результат аналізу функціонування систем виявлення вторгнень було
зроблено висновок, що система Suricata має вищу точність, аніж Snort.
Частково це відбувається за рахунок підвищення навантаження на
центральний процесор. Також результати показали, що під час більш
рівномірно розподілених ядрах система Suricata може бути більш
масштабованою та ефективною за наявності декількох ядер. Але через
підвищені потреби в ресурсах СВВ Suricata точність потребує зменшення під
час використання СВВ Suricata з одним ядром.
87
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Аналіз першої в світі DDoS атаки [Електронний ресурс]. Режим
доступу: https://medium.com/mit-technologY-review/the-fLrst-ddos-attack-was-
20-vears-ago-this-is-what-weve-leamed-since-94a0b6e7f5fc
2. Kismet [Електронний ресурс]. Режим доступу:
https://www.kismetwireless.net/
3. Що таке аналіз мережевого трафіку? [Електронний ресурс].
Режим доступу: https://www.toolbox.com/tech/networking/articles/network-
traffic- analysis/
4. Wireshark [Електронний ресурс]. Режим доступу:
http://www.wireshark.org, вільний
5. Методи аналізу та моделювання безпеки розподілених
інформаційних систем: навч. посіб. / В.В. Литвинов, В.В. Казимир, І.В.
Стеценко та ін. – Чернігів: Чернігівський національний технологічний
університет, 2016. – 254 с.
6. Taqqu M., Willinger W., Sherman R. Proof of a fundamental result in
self–similar traffic modeling / M. Taqqu, W. Willinger, R. Sherman // Computer
Communication Review. 1997. – Vol. 27(2). – p. 5 – 23.
7. Leland W., Taqqu M., Willinger W., Wilson D. On the self–similar
nature of Ethernet traffic / W. Leland, M. Taqqu, W. Willinger, D. Wilson //
IEEE/ACM Transactions on Networking. – 1994. – Vol. 2(1). – p. 1 – 15.
8. Paxon V., Floyd S. Wide-area traffic: The failure of Poisson
modeling. / V. Paxon, S. Floyd // IEEE/ACM Transactions on Networking. – 1995.
– Vol. 3. – p. 226 – 244
9. Feldmann A., Gilbert A.C., Willinger W. Data Networks as Cascades:
Investigating the multifractal nature of Internet WAN traffic. / A. Feldmann, A.C.
Gilbert, W. Willinger // ACM SIGCOM. – 1998. – p. 42 – 55.
88
10. Добровольский Е.В., Нечипорук О.Л. Імітаційне моделювання
джерел навантаження в мережах передачі даних з комутацією пакетів / Е.В.
Добровольский, О.Л. Нечипорук // Наукові праці ОНAЗ ім. О.С. Попова. –
2000. – № 3. – С. 19 – 23.
11. Добровольский Е.В., Нечипорук О.Л. Моделювання мережевого
трафіку з використанням контекстних методів / Е.В. Добровольский, О.Л.
Нечипорук // Наукові праці ОНAЗ ім. О.С. Попова. – 2005. – № 1. – С. 24 –
32.
12. Росляков А.В., Криштофович А.Ю. Математичений опис
автомодельного трафіку / А.В. Росляков, А.Ю. Криштофович // 4-а
Міжнародна конференція DSPA. – 2002. – С. 25 – 31.
13. Нестеренко В.А. Статистичні методи виявлення порушень
безпеки в мережі / В.А. Нестеренко // Інформаційні процеси. – 2006. – № 3.
С. 208 – 217.
14. Зоріна Т.І. Системи виявлення і запобігання атак в комп’ютерних
мережах / Т.І. Зоріна // Вісник східноукраїнського національного
університету імені Володимира Даля. – 2013. – № 15 (204) ч.1. – С. 48 – 54.
15. Корнієнко А.А. Системи виявлення вторгнень: сучасний стан і
напрямок вдосконалення [Електронний ресурс]: / А.А. Корнієнко, І.М.
Слюсаренко.
16. Огляд систем виявлення вторгнень [Електронний ресурс]. Режим
доступу: http://www.connect.com , вільний.
17. Субач І.Ю., Фесьоха В.В. Модель виявлення аномалій в
інформаційно – телекомунікаційних мережах органів військового управління
на основі нечітких множин та нечіткого логічного виводу / І.Ю. Субач, В.В.
Фесьоха // Збірник наукових праць ВІТІ. – 2017. – № 3. – С. 21 – 24.
18. TCPDUMP/LIBPCAP public repository [Електронний ресурс].
Режим доступу: http://www.tcpdump.org , вільний.
89
19. Snort [Електронний ресурс]. Режимдоступу: http://www.snort.org,
вільний.
20. Інформаційна безопека [Інтернет-ресурс]. Режим доступу:
http://www.data.com/lab_tests/intrusion.html, вільний.
21. Критерії порівняння систем виявлення атак [Інтернет-ресурс].
Режим доступу: http://inf-bez.com/?p=480, вільний.
22. Критерії порівняння методів виявлення атак [Інтернет-ресурс].
Режим доступу: http://inf-bez.com/7ps478, вільний.
23. Ленков С. В. Методи і засоби захисту інформації: в 2 т. / С. В.
Ленков, Д. А. Перегудов, В. А. Хорошко, під ред. В. А. Хорошко. – К.: Арий,
2008. – Т.2: Інформаційна безпека. – 344 с.
24. Аналізатори мережевих протоколів [Інтернет-ресурс]. Режим
доступу: http://www.osp.com/win2000/2004/06/177125, вільний.
90
ДОДАТОК А
Система запобігання вторгненням IPS
91
Система запобігання вторгненням IPS
92
ДОДАТОК Б
Мережа із встановленим апаратним комплексом IBM ISS
93
Мережа із встановленим апаратним комплексом IBM ISS
94
ДОДАТОК В
Схема розміщення системи IDPS у комп’ютерній мережі
95
Схема розміщення системи IDPS у комп’ютерній мережі
ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
