Современные информационные технологии/ 4. Информационная безопасность.

Неграмотнов Ю.А.

Национальный горный университет, Украина

 

МЕТОДИКА ОБНАРУЖЕНИЯ DOS-АТАК В КОРПОРАТИВНЫХ СЕТЯХ С ИСПОЛЬЗОВАНИЕМ НЕЙРОННЫХ СЕТЕЙ

 

В настоящее время не существует единой методики построения безопасных компьютерных систем (КС) и подавляющее большинство корпоративных сетей не являются абсолютно безопасными. В этих условиях необходимым критерием обеспечения безопасности КС является использование систем обнаружения и предотвращения вторжений (Intrusion Detection and Prevention Systems, IDPS). В дополнение к межсетевым экранам (Firewall), IDPS всё чаще становятся необходимым элементом инфраструктуры сетевой безопасности, позволяют своевременно распознавать атаки и реагировать на них.

Использование IDPS помогает достичь нескольких целей [1]:

-       Обнаружить вторжение или сетевую атаку;

-       Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;

-       Выполнить документирование существующих угроз;

-       Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

-       Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

-       Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

 

Целью DoS (Denial of Service) атаки является блокирование ресурсов атакуемого (чаще всего это входная полоса пропускания) с целью ограничения доступа клиентов к серверу, узлу или сети жертвы. В качестве объекта атаки помимо полосы пропускания может быть вычислительная мощность процессора или информационные ресурсы операционной системы.

DoS-атаки можно условно разделить на три группы [2]:

1.     Атаки большим числом формально корректных, но сфальсифицированных пакетов, направленных на истощение ресурсов узла или сети;

2.     Атаки специально сконструированными пакетами, вызывающие общий сбой системы из-за ошибок в программах;

3.     Атаки сфальсифицированными пакетами, вызывающими изменения в конфигурации или состоянии системы, что приводит к невозможности передачи данных, сбросу соединения или резкому снижению его эффективности.

Сегодня наиболее часто используются следующие разновидности DoS-атак [3]:

-       Smurf - ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень.

-       ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

-       UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов.

-       TCP flood - отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.

-       TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Задача обнаружения DoS-атак (в данном случае она сводится к задаче классификации данных) может быть эффективно решена с помощью искусственных нейронных сетей (ИНС). Преимуществом такого метода является возможность обнаружения атаки без знания конкретных сигнатур. Однако есть и недостатки - большое количество ложных сигналов при непредсказуемой сетевой активности наряду с временными затратами на этапе обучения системы, во время которого определяются характеристики нормального поведения [4].

Согласно документу Национального Института стандартов и технологий (NIST, США) SP800-94, а также  последним исследованиям западных специалистов в области информационной безопасности, для обнаружения DOS-атак наилучшим образом подходит IDPS, в основе которых лежит метод обнаружения аномалий (Anomaly-based detection) и способ мониторинга сети - Network Behavior Analysis (NBA) [5].

В общем случае, для IDPS такого типа при условии использования искусственной нейронной сети (ИНС) можно сформировать следующую методику обнаружения атак класса «DOS»:

1.     Выбор архитектуры и алгоритма обучения ИНС: оптимальное соотношение производительность/количество ложных срабатываний обеспечивает сеть с архитектурой самоорганизующейся карты Кохонена, которая обучается по алгоритму «без учителя»;

2.     Выбор количества и расположения сенсоров: целесообразно разместить сенсоры на границах демилитаризованной зоны (DMZ), на границах подсетей, а также в непосредственной близости к системам защиты сетевого периметра (например, между маршрутизатором и межсетевым экраном);

3.     Мониторинг каждого узла сети: IDPS ведет сбор информации об IP-адресе, операционной системе, предоставляемых сервисах с использованием IP-протокола и т.д.;

4.     Регистрация событий: IDPS сохраняет в журнале регистрации время инцидента, источник TCP-, UDP-, ICMP-трафика, IP-адрес источника/получателя, уровень воздействия на сетевую единицу, число байт и пакетов, которыми обменялись узлы при подключении и т.д.;

5.     Возможности предотвращения инцидентов: при обнаружении аномального режима работы IDPS может разорвать текущий сеанс TCP, ограничить число попыток подключения узла, реконфигурировать себя, межсетевой экран, маршрутизатор и т.д.

Применение IDPS, анализирующей данные в соответствие с вышеописанной методикой, позволяет формировать и адаптировать представление о нормальном поведении системы, обнаруживать и предотвращать DOS-атаки.

В настоящее время задача обнаружения сетевых аномалий с помощью ИНС однозначно не разрешена. Приведенная методика позволяют перейти на более подробный уровень рассмотрения решений в данной области.

 

Литература:

1.     Стивен Норткат, Дуди Новак, Обнаружение нарушений безопасности в сетях.

2.     А. Лукацкий. Анатомия распределенной атаки. PCWeek/RE, №5, 2007.

3.     М.Мамаев, С.Петренко, Технологии защиты информации в Интернете.

4.     Brandon Craig Rhodes, James A. Mahaffey, Multiple Self-Organizing Maps for Intrusion Detection.

5.     NIST Spesial Publication 800-94. Guide to Intrusion Detection and Prevention Systems (IDPS).