88812

Разработка методики анализа аномальности сетевого трафика на основе статистической обработки экспериментальных данных

Отчет о прохождении практики

Коммуникация, связь, радиоэлектроника и цифровые приборы

Обзор инструментов анализа сетевого трафика. Собрать необходимый материал по выбранной теме дипломного проекта: обосновать актуальность разрабатываемой методики; дать характеристику аномального состояния для автоматизированный системы и аномального сетевого трафика привести классификацию аномалий; провести обзор существующих методов регистрации сетевого трафика; провести обзор средств анализа сетевого трафика; собрать экспериментальные данные необходимые для выполнения выпускной...

Русский

2015-05-04

1.03 MB

16 чел.

Оглавление

Введение...........................................................................................................................3

1 Задание на преддипломную практику .......................................................................4

2 Дневник по преддипломной практик .........................................................................5

3 Характеристика предприятия......................................................................................6

3.1 Описание предприятия..............................................................................................6

3.2. Общая характеристика производственного процесса ..........................................7

3.3 Цели и задачи предприятия..................................................................................... 8

4 Актуальность разрабатываемой методики.................................................................9

5Характеристика аномалий в автоматизированной системе и сетевом трафике....9

6 Обзор методов регистрации сетевого трафика........................................................13

6.1  Методы мониторинга основанные на маршрутизаторе......................................13

6.1.1  Протокол простого сетевого мониторинга (SNMP), RFC 1157......................13

6.1.2  Удалённый мониторинг (RMON), RFS 1757....................................................13

6.1.3  Netflow, RFS 395413 ...........................................................................................14

6.2  Технологии не основанные на маршрутизаторах................................................14

6.2.1  Активный мониторинг .......................................................................................14

6.2.2  Пассивный мониторинг.......................................................................................14

6.2.3  Комбинированный мониторинг.........................................................................15

6.2.3.1  Просмотр ресурсов на концах сети (WREN).................................................15

6.2.3.2  Сетевой монитор с собственной конфигурацией (SCNM)...........................15

7 Обзор инструментов анализа сетевого трафика......................................................16

8 Сбор информации о сетевом трафике и его анализ.................................................18

Заключение.....................................................................................................................27

Список используемых источников .............................................................................28

Введение

Компьютерные сети играют значительную роль. Различные предприятия (частные или государственные), школы, университеты, простые пользователи с помощью сетей обмениваются информацией, обрабатывают  всевозможными способами, хранят её на различных сетевых ресурсах.

Но в то же время злоумышленники пытаются различными способами исказить обрабатываемую в этих сетях информацию. Цели преследуемые данными людьми различны (от банального доказательства собственного превосходства до хищения информации с целью получения выгоды). Злоумышленники осуществляют свои планы с помощью всевозможных вторжений в компьютерные сети. Поэтому понимание того, что есть вторжение в компьютерную сеть, что такое аномалии вызываемые этими вторжениями, является на сегодняшний день актуальной задачей. Решение данной задачи позволяет нам не "разбирать" последствия вторжения, а "отсекать" его ещё на подходах к системе, что существенно экономит экономические, технологические и психологические затраты.


1 Задание на преддипломную практику

Преддипломная практика является заключительной частью подготовки студентов - выпускников по специальности ВМКСС. Продолжительность практики - 6 недель.

Целью преддипломной практики является знакомство со структурой предприятия, с технологическим процессом, оборудованием, информационной технологией или другой организации в соответствии с местами преддипломной практики; знакомство с местом возможной работы, с современными аппаратно-программными средствами вычислительной техники; сбор практических материалов по теме выпускной квалификационной работы (ВКР).

На основании поставленных целей было выделено несколько задач:

1. Изучить историю развития предприятия и его структуру;

2. Приобрести знания о профессиональной деятельности предприятия:

  •  описать структуру предприятия;
  •  определить основные задачи, решаемые на предприятии.

3. Собрать необходимый материал по выбранной теме дипломного проекта:

  •  обосновать актуальность разрабатываемой методики;
  •  дать характеристику аномального состояния для автоматизированный системы и аномального сетевого трафика, привести классификацию аномалий;
  •  провести обзор существующих методов регистрации сетевого трафика;
  •  провести обзор средств анализа сетевого трафика;
  •  собрать экспериментальные данные необходимые для выполнения выпускной квалификационной работы;

4. Подготовить отчет по практике.


2 Дневник по преддипломной практике

График работ, выполненных за время прохождения преддипломной практики, представлен в таблице 2.1.

Таблица 2.1 – График выполненных работ

Дата

Описание выполненных работ

Отметки руководителя

23.02.15–26.02.15

Ознакомление с деятельностью предприятия. Ознакомление со структурой предприятия.

27.02.15–

02.03.15

Прохождение инструктажа и техники безопасности.

03.03.15–

05.03.15

Сбор общей информации о предприятии (история развития).

06.03.15–09.03.15

Поиск сведений, описывающих структуру и задачи, решаемые в организации.

10.03.15–

12.03.15

Разработка задач для преддипломной практики и плана работы над дипломным проектом.

13.03.15–

14.03.15

Разработка классификации аномального сетевого трафика

15.03.15–

17.03.15

Провести обзор методов регистрации сетевого трафика

18.03.15–19.03.15

Обзор средств анализа сетевого трафика

20.03.15–21.03.15

Оформление отчета по преддипломной практике.

Руководитель от организации Т.З. Аралбаев                 /                     /


3 Характеристика предприятия

3.1 Описание предприятия

1 июля 1993 года приказом № 149 был создан факультет электроники и вычислительной техники (ФЭиВТ). Деканом факультета был назначен завкафедройВТиПМ к.т.н., доцент П.Н. Ганский. В этот же день этого года на основе разделения кафедры ВТиПМ были созданы кафедры вычислительных машин, комплексов, систем и сетей (ВМКСС) (завкафедрой был назначен П.Н. Ганский) и кафедра программного обеспечения вычислительной техники и автоматизированных систем (ПОВТАС) (завкафедрой был назначен к.т.н., доцент В.Н. Тарасов).

В состав факультета вошли кафедры: промышленной электроники (завкафедрой — В.Д. Шевеленко), ВМКСС (завкафедрой — П.Н. Ганский); ПОВТАС (завкафедрой — В.Н. Тарасов), физики (завкафедрой — Л.А. Жураковский).

Активизируется информационная подготовка ППС. Активно выполняются разработки тренажеров и создание контрольно-обучающих программ по различным математическим методам (П.Н. Ганский, А.В. Хлуденев, А.Г. Реннер).

12 мая 1997 г. организован центр информационных технологий (ЦИТ, директор В.В. Быковский). Центр информационных технологий института был создан с выделением секторов: локальные вычислительные сети (ЛВС, завсектором — Е.П. Шабанов); автоматизированные средства и системы (АСС, завсектором — В.А. Красильникова); сектор ремонта и обслуживания вычислительной и множественной техники и технических средств (ВМТиТС, завсектором — И.П. Орлов), сектор программирования (ПО, завсектором — Я.М. Коновал), сектор электронной библиотеки (ЭБ, завсектором — В.Ю. Филиппов).

В 1997 г. на кафедре ВМКСС студентами первого выпуска специальности выполнены дипломные проекты по созданию компьютерной сети института: Румянцевым Евгением, Палевым Андреем, Шадриным Александром.более 60-ти сотрудников компании, обеспечивающих полный цикл работ: проектирование, комплектацию, СМР и ПНР. В инженерном плане сотрудники последовательно развивают компетенцию по решениям, востребованным нашими Заказчиками.

В этом же году был создан Институт энергетики, информатики и электроники на базе факультетов электротехнического и факультета электроники, информатики и вычислительной техники (директор института — Кирин В.Г.). Причин объединения таких больших и сложных факультетов, на мой взгляд, было две. Первая причина — приезд большой группы ученых из Казахстана, докторов наук и кандидатов, что не могло не повлиять на жизнь института и внесло некоторые коррективы в его организационные структуры. Второй причиной послужил, по моему глубокому убеждению, уход из института П.Н. Ганского. На мой взгляд — это была и есть большая потеря для института, для той специальности, которую он создавал, и которая, если смотреть правде в глаза, так и не встала на ноги без идеолога, без главного специалиста. Под руководством П.Н. Ганского проектировалось техническое оснащение 6-го корпуса (проектирование электросети, вентиляционных каналов, создание проектов размещения и оснащения лабораторий для специальности ВМКСС). В разные годы кафедрой ВМКСС заведовали: П.Н. Ганский, И.В. Матвейкин, Е.А. Корнев, В.Н. Тарасов, Т.З. Аралбаев. Кафедра ВМКСС несколько раз переименовывалась: в 2002 г. в кафедру вычислительной техники и приборостроения (завкафедрой — Е.А. Корнев); в 2004 г. — в кафедру вычислительной техники (завкафедрой — В.Н. Тарасов), с 2007 г. завкафедрой ВТ является Т.З. Аралбаев.

1 июня 1997 г. была создана кафедра информатики для подготовки учителей информатики. Следует отметить, что выпускники кафедры информатики, имея достаточно высокую подготовку в области технологии разработки компьютерных средств обучения, востребованы УСИТО, школами города и области. Выпускники кафедры работают в других городах, некоторые уехали в Германию. В нашем университете работали и работают: С.О. Репина, В.В. Запорожко, Г.М. Зверева. В.В. Запорожко и Г.М. Зверева занимаются научными исследованиями.

В 1997 г. состоялись первые выпуски специальностей ВМКСС и ПОВТАС[3].

3.2. Общая характеристика производственного процесса

В учебном заведении отмечено наличие различных структур управления, самоуправления, общественного управления, отражающих интересы всех участников учебно-образовательного процесса.

В Оренбургском государственном университете на кафедре вычислительной техникии защиты информации представлено множество различного оборудования:

Стенд сетевых технологий D-Link;

Стенд охранной и пожарной сигнализации;

Сервер;

ОКБ САПР Accord;

Паяльные станции и т.д.;

Различное программное обеспечение для изучения таких дисциплин как методы и средства защиты информации, сети ЭВМ и т.д.;

3.3 Цели и задачи предприятия

Основные задачи деятельности Оренбургского государственного университета.

1. Обеспечение государственного стандарта общего образования.

2. Формирование социокультурной образованной личности, готовой к творческому, умственному труду, создание условий для её самореализации и самоопределения.

Цели и задачи образовательного процесса.

1. Удовлетворение потребности личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования.

2. Удовлетворение потребности общества и государства в квалифицированных специалистах с высшим образованием и научно-педагогических кадрах высшей квалификации.

3. Организация и проведение фундаментальных и прикладных научных исследований и иных научно-технических, опытно-конструкторских работ, в том числе по проблемам образования.

4. Подготовка, переподготовка и повышение квалификации специалистов и руководящих работников.

5. Накопление, сохранение и приумножение нравственных, культурных и научных ценностей общества.

6.Распространение знаний среди населения, повышение его образовательного и культурного уровня.


4 Актуальность разрабатываемой методики

Сетевой мониторинг (мониторинг сети) — это сложная задача, требующая больших затрат сил, которая является жизненно важной частью работы сетевых администраторов. Администраторы постоянно стремятся поддержать бесперебойную работу своей сети. Если сеть «упадёт» хотя бы на небольшой период времени, производительность в компании сократится и (в случае организаций предоставляющих государственные услуги) сама возможность предоставления основных услуг будет поставлена под угрозу. В связи с этим администраторам необходимо следить за движением сетевого трафика и производительностью на всей сети и проверять, появились ли в ней бреши в безопасности.

5 Характеристика аномалий в автоматизированной системе и сетевом трафике

Для того чтобы дать понятие аномального состояния, в начале дадим определение  состояния и нормального состояния. Под состоянием будем понимать набор параметров которые характеризуют любую систему (например компьютерную). Под нормальным состоянием будем понимать такое состояние системы при котором она корректно выполняет все возложенные на неё функции.

В следствие вышесказанного, под аномальным состоянием будем понимать состояние при котором поведение системы отличается от нормального.

Аномальное состояния для автоматизированной системы (АС). Согласно ГОСТ, под АС понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.[1] Нас интересуют средства автоматизации деятельности, поскольку действия персонала в АС относятся к вопросам организационного обеспечения ИБ и, в рамках данной работы, рассматриваться не будут.

К средствам автоматизации можно отнести всевозможные аппаратно-программные средства, осуществляющие автоматический сбор, хранение и обработку информации.

Таким образом аномальное состояние АС - это такое состояние АС, при котором она перестает обрабатывать информацию должным образом. К примеру система перестает корректно осуществлять ввод/вывод информации, или  в системе наблюдается резкое падение/повышение производительности.

Аномальное состояние в сетевом трафике. Под сетевым трафиком понимается поток (или объем) информации, проходящей через канал связи или приходящийся на сайт/сервер. Трафик измеряется в битах и зависит от времени.

Следовательно аномальное состояние в сетевом трафике - состояние, при котором  значение функции f(t) в любой момент времени t отличается от нормального (выше/ниже нормального значения). К примеру работая в сети мы наблюдаем увеличение/уменьшение потока информации, никак не связанное с нашей работой в сети. Это может говорить о том, что осуществляется несанкционированная передача данных, то есть вторжение.

Известные сетевые аномалии  настолько разнообразны, что единой классификации они не поддаются. Поэтому предлагается классификация СА с точки зрения объекта воздействия – информационной системы, включающей программно-аппаратный комплекс и сетевую инфраструктуру. Классификация представлена на рисунке 1.

Рисунок 1 - Классификация аномалий

Программно-аппаратные аномалии.  Ошибки программного обеспечения компонентов ИС могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.

Ошибки конфигурирования переводят функциональные возможности компонентов ИС в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.

Нарушения производительности влекут за собой выход параметров ИС за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов ИС, так и деградирующее влияние отдельной подсистемы на весь комплекс.

Сетевые аномалии. Данные аномалии зависят от конкретного типа вторжения в сеть, следовательно они достаточно разнообразны и сложны в описании, к тому же они не имеют четко выраженного проявления, что еще больше затрудняет задачу их выявления.

В качестве примера приведу сетевую вирусную активность, поскольку аномалии вызванные этими вторжениями относительно легко обнаруживают себя.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису.

Датчики-сенсоры аномалий идентифицируют необычное поведение, аномалии в функционировании отдельного объекта — трудности их применения на практике связаны с нестабильностью самих защищаемых объектов и взаимодействующих с ними внешних объектов. В качестве объекта наблюдения может выступать сеть в целом, отдельный компьютер, сетевая служба (например, файловый сервер FTP), пользователь и т.д. Датчики срабатывают при условии, что нападения отличаются от "обычной" (законной) деятельности. Здесь появляется еще одно слабое место, характерное в большей степени для конкретных реализаций, заключающееся в некорректности определения "дистанции" отклонения наблюдаемого поведения от штатного, принятого в системе, и определении "порога срабатывания" сенсора наблюдения.

Меры и методы, обычно используемые в обнаружении аномалии, включают в себя следующие:

- пороговые значения: наблюдения за объектом выражаются в виде числовых интервалов. Выход за пределы этих интервалов считается аномальным поведением. В качестве наблюдаемых параметров могут быть, например, такие: количество файлов, к которым обращается пользователь в данный период времени, число неудачных попыток входа в систему, загрузка центрального процессора и т.п.  Пороги могут быть статическими и динамическими (т.е. изменяться, подстраиваясь под конкретную систему);

- статистические меры: решение о наличии вторжения делается по большому количеству собранных данных путем их статистической предобработки;

- параметрические: для выявления вторжения строится специальный "профиль нормальной системы" на основе шаблонов (т.е. некоторой политики, которой обычно должен придерживаться данный объект);

- непараметрические: здесь уже профиль строится на основе наблюдения за объектом в период обучения;

- меры на основе правил (сигнатур): они очень похожи на непараметрические статистические меры. В период обучения составляется представление о нормальном поведении объекта, которое записывается в виде специальных "правил". Получаются сигнатуры "хорошего" поведения объекта;

- другие меры: нейронные сети, генетические алгоритмы, позволяющие классифицировать некоторый набор видимых сенсору-датчику признаков.

В современных СОВ в основном используют первые два метода. Следует заметить, что существуют две крайности при использовании данной технологии:

- обнаружение аномального поведения, которое не является вторжением, и отнесение его к классу атак (ошибка второго рода);

- пропуск вторжения, которая не подпадает под определение аномального поведения (ошибка первого рода). Этот случай гораздо более опасен, чем ложное причисление аномального поведения к классу вторжений.

Поэтому при инсталляции и эксплуатации систем такой категории обычные пользователи и специалисты сталкиваются с двумя довольно нетривиальными задачами:

- построение профиля объекта — это трудно формализуемая и затратная по времени задача, требующая от специалиста безопасности большой предварительной работы, высокой квалификации и опыта;

- определение граничных значений характеристик поведения субъекта для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Обычно системы обнаружения аномальной активности используют журналы регистрации и текущую деятельность пользователя в качестве источника данных для анализа. Достоинства систем обнаружения атак на основе технологии выявления аномального поведения можно оценить следующим образом:

- системы обнаружения аномалий способны обнаруживать новые типы вторжений, сигнатуры для которых еще не разработаны;

- они не нуждаются в обновлении сигнатур и правил обнаружения атак;

- обнаружения аномалий генерируют информацию, которая может быть использована в системах обнаружения злоумышленного поведения.

Недостатками систем на основе технологии обнаружения аномального поведения являются следующие:

- системы требуют длительного и качественного обучения;

- системы генерируют много ошибок второго рода;

- системы обычно слишком медленны в работе и требуют большого количества вычислительных ресурсов.

6 Обзор методов регистрации сетевого трафика

6.1  Методы мониторинга основанные на маршрутизаторе

Методы мониторинга основанные на маршрутизаторе — жёстко заданы (вшиты) в маршрутизаторах и, следовательно, имеют низкую гибкость. Краткое описание наиболее часто используемых методов такого мониторинга приведены ниже. Каждый метод развивался много лет прежде чем стать стандартизованным способом мониторинга.

6.1.1  Протокол простого сетевого мониторинга (SNMP), RFC 1157

SNMP — протокол прикладного уровня, который является частью протокола TCP/IP. Он позволяет администраторам руководить производительностью сети, находить и устранять сетевые проблемы, планировать рост сети. Он собирает статистику по трафику до конечного хоста через пассивные датчики, которые реализуются вместе с маршрутизатором. В то время, как существуют две версии (SNMPv1 и SNMPv2), данный раздел описывает только SNMPv1. SNMPv2 построен на SNMPv1 и предлагает ряд усовершенствований, таких как добавление операций с протоколами. Стандартизируется ещё один вариант версии SNMP. Версия 3 (SNMPv3) находится на стадии рассмотрения.

6.1.2  Удалённый мониторинг (RMON), RFS 1757

RMON включает в себя различные сетевые мониторы и консольные системы для изменения данных, полученных в ходе мониторинга сети. Это расширение для SNMP информационной базы данных по управлению (MIB). В отличии от SNMP , который должен посылать запросы о предоставлении информации, RMON может настраивать сигналы, которые будут «мониторить» сеть, основанную на определённом критерии. RMON предоставляет администраторам возможности управлять локальными сетями также хорошо, как удалёнными от одной определённой локации/точки.

6.1.3  Netflow, RFS 3954

Netflow — это расширение, которое было представлено в маршрутизаторах Cisco, которые предоставляют возможность собирать IP сетевой трафик, если это задано в интерфейсе. Анализируя данные, которые предоставляются Netflow, сетевой администратор может определить такие вещи как: источник и приёмник трафика, класс сервиса, причины переполненности. Netflow включает в себя 3 компонента: FlowCaching (кеширующий поток), FlowCollector (собиратель информации о потокахи Data Analyzer (анализатор данных).

6.2  Технологии не основанные на маршрутизаторах

Хотя технологии, не встроенные в маршрутизатор всё же ограничены в своих возможностях, они предлагают большую гибкость, чем технологии встроенные в маршрутизаторы. Эти методы классифицируются как активные и пассивные.

6.2.1  Активный мониторинг

Активный мониторинг сообщает проблемы в сети, собирая измерения между двумя конечными точками. Система активного измерения имеет дело с такими метриками, как: полезность, маршрутизаторы/маршруты, задержка пакетов, повтор пакетов, потери пакетов, неустойчивая синхронизация между прибытием, измерение пропускной способности.

6.2.2  Пассивный мониторинг

Пассивный мониторинг в отличии от активного не добавляет трафик в сеть и не изменяет трафик, который уже существует в сети. Также в отличии от активного мониторинга, пассивный собирает информацию только об одной точке в сети. Измерения происходят гораздо лучше, чем между двумя точками, при активном мониторинге. Рис. 5 показывает установку системы пассивного мониторинга, где монитор размещён на единичном канале между двумя конечными точками и наблюдает трафик когда тот проходит по каналу.

6.2.3  Комбинированный мониторинг

После прочтения разделов выше, можно благополучно переходить к заключению о том, что комбинирование активного и пассивного мониторинга — лучший способ, чем использование первого или второго по отдельности. Комбинированные технологии используют лучшие стороны и пассивного, и активного мониторинга сред. Две новые технологии, представляющие комбинированные технологии мониторинга, описываются ниже. Это «Просмотр ресурсов на концах сети» (WREN) и «Монитор сети с собственной конфигурацией» (SCNM).

6.2.3.1  Просмотр ресурсов на концах сети (WREN)

WREN использует комбинацию техник активного и пассивного мониторинга, активно обрабатывая данные, когда трафик мал, и пассивно обрабатывая данные на протяжении времени большого трафика. Он смотрит трафик и от источника, и от получателя, что делает возможным более аккуратные измерения. WREN использует трассировку пакетов от созданного приложением трафика для измерения полезной пропускной способности. WREN разбит на два уровня: основной уровень быстрой обработки пакетов и анализатор трассировок пользовательского уровня.

6.2.3.2  Сетевой монитор с собственной конфигурацией (SCNM)

SCNM - это инструмент мониторинга, который использует связь пассивных и активных измерений для сбора информации на 3 уровне проникновения, выходящих маршрутизаторов, и других важных точек мониторинга сети. Среда SCNM включает и аппаратный, и программный компонент.

Аппаратное средство устанавливается в критических точках сети. Оно отвечает за пассивный сбор заголовков пакетов. Программное обеспечение запускается на конечной точке сети.

7 Обзор инструментов анализа сетевого трафика

Wireshark – это анализатор сетевого трафика. Его задача состоит в том, чтобы перехватывать сетевой трафик и отображать его в детальном виде. Анализатор сетевого трафика можно сравнить с измерительным устройством, которое используется для просмотра того, что происходит внутри сетевого кабеля, как например вольтметр используется электриками для того чтобы узнать что происходит внутри электропроводки (но, конечно, на более высоком уровне). В прошлом такие инструменты были очень дорогостоящими и проприетарными. Однако, с момента появления такого инструмента как Wireshark ситуация изменилась. Wireshark – это один из лучших анализаторов сетевого трафика, доступных на сегодняшний момент. Wireshark работает на основе библиотеки pcap. Библиотека Pcap (Packet Capture) позволяет создавать программы анализа сетевых данных, поступающих на сетевую карту компьютера. Разнообразные программы мониторинга и тестирования сети, сниферы используют эту библиотеку. Она написана для использования языка С/С++ так что другие языки, такие как Java, .NET и скриптовые языки использовать не рационально. Для Unix-подобных систем используют libpcap библиотеку, а для Microsoft Windows NT используют WinPcap библиотеку. Программное обеспечение сетевого мониторинга может использовать libpcap или WinPcap, чтобы захватить пакеты, путешествующие по сети и в более новых версиях для передачи пакетов в сети. Libpcap и WinPcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов содержащих сохранённые пакеты. Программы написанные на основе libpcap или WinPcap могут захватить сетевой трафик, анализировать его. Файл захваченного траффика сохраняется в формате, понятном для приложений, использующих Pcap.

MS Excel — знаменитая и, вероятно, самая популярная программа для работы с электронными таблицами при помощи графического интерфейса.

Достоинства: популярность; удобный интерфейс; простота освоения.

Недостатки: отсутствие какой-либо гибкости; ограниченный набор функций для анализа данных; наличие ограничений на количество строк в таблицах.

Для обмена данными таблицы с другими приложениями и внешними пользователями может использоваться Панель Web. Эта панель команд облегчает просмотр файлов Microsoft Excel и Office, связь с которыми устанавливается гиперссылками. Эта панель может работать вместе с программой просмотра Web. Таблица может создавать гиперссылки для перехода к другим файлам Office на компьютере пользователя, в сети Интранет или Интернет либо локальных сетях.

Для обеспечения безопасности Microsoft Excel может выводить предупреждение при открытии книг, содержащих макросы, в которых могут находиться вирусы. Для защиты от вирусов такие файлы могут быть открыты с отключением макросов.

Таблица 1 – Матричная модель отношений.

Программное

средство

Возможности

Wireshark

Excel

Кросплатформенность

+

Доступность

+

+

Анализ пакетов

+

Перехват трафика

+

Фильтр пакетов

+

+

Поиск пакетов

+

Подсчет статистики

+

Наличие математического аппарата

+

Построение графиков и диаграмм

+

Как видно из таблицы, чтобы провести успешный статистический анализ, нам потребуются два этих инструмента, поскольку, их функции дополняют друг друга.


8 Сбор информации о сетевом трафике и его анализ

Для того чтобы осуществить сбор данных  о сетевом трафике воспользуемся программным средством WireShark. Данный продукт представляет собой сетевой сканер (сниффер пакетов). Позволяет перехватывать сетевые пакеты и предоставляет о них полную информацию. Внешний вид программного продукта представлен на рисунке 2. Стоит отметить, что этот продукт предоставляется совершенно бесплатно.  

Рисунок 2 - Внешний вид программного средства

Чтобы приступить к сканированию выбираем тип сетевого подключения в разделе Capture и нажимаем кнопку Start. Если у пользователя возникли какие либо затруднения с использованием программного продукта он может Найти всю информацию в разделе Capture Help. Раздел Files позволит открыть уже сформированные лог файлы, содержащие результаты предыдущих сканирований. Раздел Online предоставляет информацию о продукте в сети Интернет.

Если пользователь хочет настроить параметры сканирования ему необходимо в строке управления выбрать пункт Capture > Options, где он может произвести все необходимые настройки, и затем ему останется только нажать кнопку Start. Окно данного меню представлено на рисунке 3.  

Рисунок 3 - окно настройки параметров сканирования

Рассказывать обо всех пунктах выше представленного меню не стоит, поскольку все галочки и кнопки подписаны и назначение их интуитивно понятно.

После того как произведены все настройки можно приступать к сканированию. Остановить сканирование можно в любой момент нажав на кнопке Stop в верху экрана программы. Пример сканирования сети представлен на рисунке 4.

Рисунок 4 - пример сканирования сетевого трафика

Из рисунка видно что программа показывает очередность прихода пакетов, время, IP-адреса источника и приемника пакетов тип протокола, его длину и сопроводительную информацию.  Так же в окне ниже расположена более подробная информация о каждом пакете. И в самом нижнем окне показано содержимое каждого пакета. Стоит отметить что при желании пользователь может настраивать расположение и само наличие этих окон, а также менять отображение содержимого в этих окнах по своему усмотрению.

Для данной работы было произведено два сканирования. Первый раз сканировалась обычная деятельность пользователя в сети. Полученные данные по сетевому трафику стали интерпретироваться, как обычная деятельность пользователя в сети.

Для получения аномального сетевого трафика был поставлен на скачивание файл большого объема. Это позволило сымитировать подобие DOS атаки. Для сканирования был выбран интервал времени в 260 секунд (он может быть любым, все зависит от количества нужных для обработки данных).

Для наглядности были построены графики нормального и аномального сетевого трафика. Для построения был использован стандартный инструмент Wire Shark - IO Graphs.

Графики нормального и аномального сетевого трафика представлены на рисунках 5 и 6 соответственно.

Рисунок 5 - график нормального сетевого трафика

Рисунок 6 - График аномального сетевого трафика

Для того чтобы провести анализ полученного нормального и аномального трафика в среде EXCEL  необходимо сохранить получившиеся данные в формате, который он сможет распознать и прочесть (стандартно WireShark сохраняет данные в доступном только ему формате).

Для этого в среде WireShark необходимо произвести следующие действия:

  1.  Для сохранения нажать «File – Export Packet Dissections – as “CSV” file…».
  2.  В появившемся окне введите название файла и добавьте туда расширение rtf
  3.  Открыть Excel, нажать открыть файл, выбрать параметр все файлы, найти сохраненный файл и запустить его.
  4.  Выбрать пункт с разделителями и нажать кнопку «Далее».
  5.  В поле «Символом-разделителем является:» установить галочку у слова «запятая», ниже отобразится результат, будет выглядеть как размеченная таблица.

Результат данных действий представлен на рисунке 7.

Рисунок 7 - Представление данных WireShark в среде Excel

Поскольку функции подсчета статистики в Excel работают с выборками ограниченного объема, данные были представлены в сжатом виде: был выбран промежуток времени в 260 секунд и разбит на интервалы по 20 секунд, для каждого интервала было подсчитано количество пакетов, пришедших за данный промежуток времени. Данный шаг так же был сделан потому, что основным критерием для поиска аномальности трафика является количество пакетов.

Сжатые данные и результаты расчетов статистики в среде Excel представлены на рисунках 8 и 9 соответственно.

Рисунок 8 - Результаты расчетов статистики нормального сетевого трафика в среде Excel

Рисунок 9 - Результаты расчета статистики аномального сетевого трафика в среде Excel

На рисунке:

max - максимальный элемент  для каждой из выборок, в среде Excel рассчитывается по формуле - МАКС(число1,число2,...);

min - минимальный элемент  для каждой из выборок, в среде Excel рассчитывается по формуле - МИН(число1,число2,...);

Математическое ожидание - это результат деления суммы всех значений  на их количество, в среде Excel рассчитывается по формуле - СРЗНАЧ(число1,число2,...).

Медиана - это значение, выше и ниже которого количество отличающихся значений одинаково, т. е. это центральное значение в последовательном ряду данных. Медиана не обязательно должна совпадать с конкретным значением. Совпадение происходит в случае нечетного числа значений (ответов), несовпадение – при четном их числе. В последнем случае медиана вычисляется как среднее арифметическое двух центральных значений в упорядоченном ряду, в среде Excel рассчитывается по формуле - МEДИАНА(число1,число2,...).

Размах - это интервал между максимальным и минимальным значениями признака. Определяется легко и быстро, но чувствителен к случайностям, особенно при малом числе данных, в среде Excel рассчитывается по формуле - МАКС-МИН.

Среднее отклонение  - это среднеарифметическое разницы (по абсолютной величине) между каждым значением в выборке и ее средним, в среде Excel рассчитывается по формуле - СРОТКЛ(число1,число2,...).

Дисперсия характеризует отклонения от средней величины в данной выборке. Вычисление дисперсии позволяет избежать нулевой суммы конкретных разниц не через их абсолютные величины, а через их возведение в квадрат, в среде Excel рассчитывается по формуле - ДИСП(число1,число2,...).

Стандартное отклонение. Из-за возведения в квадрат отдельных отклонений при вычислении дисперсии полученная величина оказывается далекой от первоначальных отклонений и потому не дает о них наглядного представления. Чтобы этого избежать и получить характеристику, сопоставимую со средним отклонением, проделывают обратную математическую операцию – из дисперсии извлекают квадратный корень. Его положительное значение и принимается за меру изменчивости, именуемую среднеквадратическим, или стандартным, отклонением, в среде Excel рассчитывается по формуле - СТАНДОТКЛОН(число1,число2,...).

Мода - это значение, наиболее часто встречающееся в выборке, т. е. значение с наибольшей частотой, в среде Excel рассчитывается по формуле - МОДА(число1,число2,...). Если все значения в группе встречаются одинаково часто, то считается, что моды нет. Поэтому в работе мода не вычисляется, поскольку количество элементов выборки небольшое и они встречаются одинаково часто.

Параметры HTTP, TCP и UDP показывают какое количество пакетов соответствующих типов поступило в систему пользователя, в среде Excel рассчитывается по формуле - СЧЁТЕСЛИ(поле;критерий).

Так же был рассчитан коэффициент парной корреляции (рисунок10) для аномального и нормального сетевого трафика. Данная величина используется для определения наличия взаимосвязи между двумя свойствами и в среде Excel рассчитывается по формуле - КОРЕЛ(массив1,массив2).

Рисунок 10 - Результат расчета коэффициента парной корреляции для нормального и аномального сетевого трафика в среде Excel.

Для того чтобы проанализировать результаты расчетов по полученным данным была построена таблица 2.

Таблица 2 - Статистические характеристики нормального и аномального

сетевого трафика

Статистические характеристики

Нормальный сетевой трафик

Аномальный сетевой трафик

Максимальное количество пакетов

1028

2170

Минимальное количество пакетов

399

546

Выборочное среднее (Математическое ожидание)

585

1164

Медиана

474

1034

Мода

-

-

Размах

629

1624

Среднее отклонение

181

303

Дисперсия

47497

175515

Стандартное отклонение

218

419

Количество HTTP пакетов

1496

1631

Количество TCP пакетов

4759

9015

Количество UDP пакетов

28

2353

Коэффициент корреляции

0,079702596

В таблице значения были округлены(в меньшую сторону), поскольку сетевой пакет неделим.  

Как видно из таблицы, можно сделать вывод о том, что:

  1.  для смоделированного аномального сетевого трафика максимальное количество пакетов за единицу времени в два раза выше по сравнению с нормальным сетевым трафиком;
  2.  минимальное количество пакетов для обоих типов трафика расходятся в небольшом диапазоне, поэтому учитывать этот параметр не следует;
  3.  математическое ожидание для аномального сетевого трафика в два раза выше по сравнению  с нормальным сетевым трафиком;
  4.  значение медианы в данном эксперименте для обоих трафиков примерно одинаковое, следовательно этот параметр учитываться не будет;
  5.  Среднее отклонение для аномального сетевого трафика практически в два раза выше, чем для нормального сетевого трафика;
  6.  Стандартное отклонение для аномального сетевого трафика также в два раза выше чем для нормального трафика.
  7.  Значение дисперсии в данном эксперименте можно не учитывать, поскольку данная величина вкладывается в значение стандартного отклонения.
  8.  Величину размаха для данного эксперимента можно не учитывать поскольку, было сказано что значение минимального количества пакетов учитываться не будет, а размах напрямую зависит от минимального количества пакетов.
  9.  экспериментом было показано, что IP-адреса источника и приемника для нормального и аномального сетевого трафика сходятся, поэтому данный параметр учитываться не будет.
  10.  Такие параметры как количество HTTP, TCP, UDP пакетов наглядно показывают, что в сети произошла несанкционированная передача данных, поскольку количество пакетов резко возросло.
  11.  Величина коэффициента корреляции указывает на то, взаимосвязи между двумя типами трафика нет, и это доказывает то, что один из типов сетевого трафика является аномальным.

Заключение

В ходе преддипломной практики были выполнены следующие задачи:

  •  была описана структура предприятия;
  •  были определены основные задачи, решаемые на предприятии.
  •  была обоснована актуальность разрабатываемой методики;
  •  дана характеристика аномального состояния для автоматизированный системы и аномального сетевого трафика, приведена классификация аномалий;
  •  проведен обзор существующих методов регистрации сетевого трафика;
  •  проведен обзор средств анализа сетевого трафика;
  •  собраны экспериментальные данные необходимые для выполнения выпускной квалификационной работы.

В результате прохождения преддипломной практики была поставлены:

Тема ВКР: Разработка методики анализа аномальности сетевого трафика на основе статистической обработки экспериментальных данных.

Цель ВКР: Повышение уровня защищенности сети за счет анализа аномального состояния сетевого трафика.

Задачи ВКР:

1. Обосновать актуальность разрабатываемой методики.

2. Провести обзор современных методов регистрации и анализа сетевого трафика.

3.   Разработать классификацию известных сетевых аномалий.

4.   Разработать классификацию современных методов обработки данных.

5.   Определить требования к разрабатываемой методике.

6.   Построить модель и алгоритм метода.

7. Построить модель выбора аппаратных и программных средств разрабатываемой методики.

8. Разработать руководство пользователя и персонала для работы с методикой.

9. Разработать меры безопасности и жизнедеятельности при работе с разрабатываемой методикой

10. Оценить экономические показатели проекта.

Список используемых источников

1) ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения"

2) "Классификация вторжений в ВС" // Электронный ресурс. Режим доступа: http://termash.ru/zashita_seti/infor_zashit8.htm

3) "Мониторинг и анализ поведения пользователей компьютерных систем" // И.В. Машечкин, М.И. Петровский, С.В. Трошин // Московский государственный университет им. Ломоносова //  119899, Россия, Москва, Воробъевы горы, строение 2

4) "Компьютерные атаки: что это такое и как защититься от них" // Э. Леннон // Электронный ресурс. Режим доступа: http://citforum.ru/internet/securities/secatt.shtml

5) "Обзор угроз безопасности беспроводных сетей" // Электронный ресурс. Режим доступа: http://comp-bez.ru/?p=874

6) "Модель сетевой безопасности. Классификация сетевых атак" // Электронный ресурс. Режим доступа: http://userdocs.ru/informatika/30440/index.html

7) "Класс удаленных атак на компьютерные сети." // Электронный ресурс. Режим доступа: http://rudocs.exdat.com/docs/index-44759.html?page=15

8) "Об атаках на компьютерные сети" // А. Лукацкий // Электронный ресурс. Режим доступа: http://www.i2r.ru/static/450/out_7802.shtml

9) "Безопасность глобальных сетевых технологий" // В.М.Зима, А.А.Молдовян, Н.А. Молдовян; // Электронный ресурс. Режим доступа: http://lib.znate.ru/docs/index-263879.html

10)  Jet Info №4, апрель 2007 г. // А.В. Аграновский (доктор техн. наук, профессор), Р.А. Хади (кандидат техн. наук ФГНУ НИИ "Спецвузавтоматика", г.Ростов-на-Дону)

11) Электронный ресурс. Режим доступа: http://ru.wikipedia.org

12) "Сетевые аномалии" // Э. Афонцев // Электронный ресурс. Режим доступа: http://www.vanderboot.ru/ether/anomal.php

13) "Статистический анализ сетевого трафика", Д.В. Бельков, Е.Н. Едемская, Л.В. Незамова, // Наукові праці ДонНТУ ISSN 1996-1588 // Серия "Інформатика, кібернетика та обчислювальна техніка" // выпуск 13(185), 2011

14) Первичная статистическая обработка данных, [Электронный ресурс] / Режим доступа: http://www.e-reading.ws/chapter.php/97792/38/Konovalova_Eksperimental'naya_psihologiya__konspekt_lekciii.html

15) Структура телетрафика и алгоритм обеспечения качества обслуживания при влиянии эффекта самоподобия, Петров В.В. // Структура телетрафика и алгоритм обеспечения качества обслуживания при влиянии эффекта самоподобия: автореферат диссертации,  В.В. Петров. – М., 2004. – 20 с.


 

А также другие работы, которые могут Вас заинтересовать

23671. Системы искусственного интеллекта. Изучение базовых команд и конструкций CLIPS 91.5 KB
  Решение: defrule datainput initialfact = printout t crlf Vvedite chislo dnei do zacheta tseloe znachenie: bind days read assert days days printout t crlf Vvedite chislo nesdelannyh laboratornyh rabot v bind works read assert works works printout t crlf Vvedite temperaturu na ulitse: bind temper read assert temper temper printout t crlf Est\' li na ulitse osadki da 1 net 0: bind rain read assert rain rain printout t crlf Is there any white rabbit da 1 net...
23672. Разработка гибридных интеллектуальных систем в среде MatLab 174.5 KB
  Постановка задачи: С помощью адаптивной сети нечеткого вывода аппроксимировать функцию: y = 2x2 Ход работы: Исходные данные для обучения нейросети: Структура нейросети имеет вид: Процесс обучения нейронной сети: Результат обучения нейронной сети: Число эпох 40 Значение ошибки 11296 Просмотр поверхности соответствующей системы нечеткого вывода: Правила сгенерированной системы нечеткого вывода: Результаты аппроксимации с помощью сети: x y Y y y δy 04 032 0322 0002000 0006250 16 512 59 0780000 0152344 28 1568 152 0480000...
23673. Изучение основных возможностей и базовых команд среды CLIPS 61 KB
  Исполнение пакетного файла Вызов редактора Инициализация конструкций Запуск МЛВ Выполнение одного шага вывода Активизация окна списка фактов Активизация окна агенды Для сброса среды CLIPS в исходное состояние используется команда clear или соответствующий пункт меню Execution. Представление фактов и работа с ними. Факты являются одной из основных форм представления информации в CLIPSсистемах и используются правилами для вывода новых фактов из имеющихся. Все текущие факты в CLIPS помещаются в список фактов factlist.
23674. КОНТРОЛЬ НАД ТРУДОВЫМ ПРОЦЕССОМ: ДЕЙСТВИЯ УПРАВЛЯЮЩИХ 173 KB
  Социология труда в советский период претендовала на роль ведущей отрасли социологического знания. Более того проявилась тенденция выдвинуть €œтруд€ на роль центральной объясняющей категории и представить вообще всю социологию как социологию труда11. К его основным элементам мы относим следующие: постановка целей; распределение функций между работниками; регулирование ритма и интенсивности труда; оценка объема и качества выполненных работ; дисциплинарные санкции; системы вознаграждения за труд. Втретьих и для нас в данном случае...
23675. ДЕЙСТВИЯ РАБОТОДАТЕЛЕЙ И СПРОС НА ТРУД 138 KB
  Они часто многое знают друг о друге перед тем как вступить в отношения занятости€ Марк Грановеттер €œСоциологические и экономические подходы к анализу рынка труда€ Лекция 12. ДЕЙСТВИЯ РАБОТОДАТЕЛЕЙ И СПРОС НА ТРУД Мы переходим к анализу проблем занятости обширной области притягивающей внимание таких дисциплин как социология труда и индустриальная социология трудовые отношения и социология профессий. Этими проблемами занятости €œведает€ и особый раздел экономической теории экономика труда €œlabor economics€. В отличие скажем от...
23676. ЧЕЛОВЕК В ДОМАШНЕМ ХОЗЯЙСТВЕ 84.5 KB
  Понятие домашнего хозяйства. Для экономистов сфера домашнего хозяйства является €œпериферией€ не первого и даже не второго порядков. Неоклассическая экономическая теория проводила жесткое различие между сферой производства в которой действовали фирмы и сферой потребления к которой безоговорочно относились домашние хозяйства. Тем не менее уже на пороге домашнего хозяйства мы сталкиваемся с проблемой: человек в таком хозяйстве может быть занят полный рабочий день и полную рабочую неделю но вправе ли мы считать его деятельность трудом Как...
23677. ПОДХОДЫ К ПРОБЛЕМАМ СОЦИАЛЬНОГО РАССЛОЕНИЯ 147.5 KB
  ПОДХОДЫ К ПРОБЛЕМАМ СОЦИАЛЬНОГО РАССЛОЕНИЯ В следующих двух лекциях мы рассмотрим проблемы социальной и экономической стратификации. И вроде бы они демонстрируют понимание того что экономические перспективы человека определяются не только уровнем материального благосостояния родителей но и €œсемейным капиталом€ который складывается из общественной репутации и социальных связей профессиональных навыков и культурных ценностей впитанных в соответствующей социальной среде. Какоето значение еще может иметь размер группы а тип социальной...
23678. МИР ХОЗЯЙСТВА: МОДЕЛИ ОДНОЛИНЕЙНОГО РАЗВИТИЯ 116.5 KB
  МИР ХОЗЯЙСТВА: МОДЕЛИ ОДНОЛИНЕЙНОГО РАЗВИТИЯ Экономика и общество связаны множеством прочных нитей. Базируясь на широком основании культурных властных и других социальных отношений экономика выступает таким образом как мир хозяйства. Каким бы конкретным вопросом не занимался исследователь не важно экономист или социолог он волейневолей всегда исходит из неких концептуальных предположений о том что представляет собой исследуемый мир хозяйства какое место занимает он в историческом процессе.
23679. СОЦИОЛОГИЧЕСКИЙ АНАЛИЗ ХОЗЯЙСТВЕННЫХ ИДЕОЛОГИЙ 156.5 KB
  Идеалысредства это способы их достижения в числе которых мы обнаруживаем: формы собственности и формы организации хозяйства характер и степень государственного вмешательства в экономику способы распределения благ и утверждения трудового порядка. Консерватизм не отвергает прав индивида как частного собственника а проводит принцип единонаследия майората как способ воспроизводства этой собственности поддерживает наследственные привилегии и принцип назначаемой сверху опеки со стороны собственника или сообщества государства. Ему...