Анализ на трафика в телекомуникационни мрежи с цел засичане на прониквания | Защитена на: 28/06/2016
Р Е З Ю М Е Н А Д И П Л О М Н А Р А Б О Т А
на тема:
„Анализ на трафика в телекомуникационни мрежи с цел засичане на прониквания“
Изготвил: Виктор Максимов Митков, фак. № 24309,
Специалност: Защита на информацията в компютърни системи и мрежи
Катедра: “Софтуерни технологии” ,ФМИ, СУ “Св. Климент Охридски”
В съвременния цифров свят, нуждата от мрежова сигурност е повече от очевидна. Компаниите и организациите, притиснати от днешния забързан живот, са задължени да осигуряват множество услуги през Интернет и все по-трудно успяват да предпазят своята поверителна информация от външни лица. Всяка успешно проведена атака може да навреди много, затова инвестициите в мрежова сигурност растат всяка година.
Успешната защита налага необходимостта от съвкупност от правила и инструкции. В смисъла на защитата на телекомуникационните мрежи, правилата и инструкциите са алгоритми, които самата защита използва, за да анализира мрежовия трафик и да открие незаконни прониквания и аномалии. Въпросите свързани с това, как да се определят тези правила и инструкции и кои да са релевантните за следене функциите, са основна задача на автора в настоящия труд.
Разгледани са следните основни моменти:
- Определeни са основните особености на системата за засичане на прониквания (IDS- Intrusion Detection System) и как тя се интегрира в средата на телекомуникационните мрежи.
- Направен е преглед и анализ на мерките за определяне на функциите на системите за отчитане на прониквания.
- Анализирани са подходите за извличане на характеристиките на IDS системите, използвани от автора в този труд. Основните функциите, използвани при изследванията на мрежови системи за откриване на прониквания, в края на настоящата глава се анализират и резултатите, получени при реализацията на тези подходи.
- Описание и анализ на оценъчния процес на функциите и групите данни, използвани като основа за оценка на характеристиките, получени в процеса на изследването.
В първата глава е разгледана инфраструктурата на телекомуникационните мрежи. Предложено е разделениe на следните три под- мрежи: мрежа за достъп; основна мрежа и сервизна мрежа. Направено е подробно описание на характеристиките на всяка една подмрежа. Разгледани са най- често срещаните заплахи в телекомуникационните мрежи, класифицирани от Института за софтуерен инженеринг CERT (CERT- Division of the Software Engineering Institute (SEI)):
Предоставена е дефиниция на системата за откриване на проникване (IDS). Разгледани са техните основни особенности и структура. Предоставена е класификация на основните стратегии за защита използвани в IDS системите.
Във втората глава на дипломната работа са разгледани функционалните възможности на IDS системите. Те могат да прилагат както едновариантов подход, така и многовариантен подход за откриване на прониквания в зависимост от използвания алгоритъм. При едновариантния подход се анализира една променлива на системата. Това може да бъде, например, номер на порта (port number), използването на процесора на локална машина и др. При многовариантния подход се анализира комбинация от няколко характеристики/функции и тяхната взаимна корелация. В зависимост от метода, по който се избират функциите за IDS, те могат да бъдат разделени на две групи: „функции за избор” и „функции за намаляване”. Разгледани са подробно всеки един от двата метода. За съпоставка са предоставени функциите на мрежовия трафик следени от предшестващите версии на IDS системите.
В третата глава на дипломна работа са разгледани три подхода, за избор на функции от мрежовия трафик, които са важни за следене, с цел лесното откриване на атаки и аномалии. Това са: анализът на списъка от функции, описан в предходната глава; анализът на различните методи за атака и как те влияят на мрежовия трафик и оценката на друга съпътстваща информация, свързана с литературата на избраната от автора тема
В четвъртата глава на дипломната работа са предоставени експерименталните данни.
В лабораторна база данни Lincoln са наблюдавани различни сценарии за атаки, в следствие, на което са предоставени следните резултати:
- Скорост на откриване на атаки
- Изчисляване на процента на откриване на атаки, по-дълги от 60 секунди, Изчисляване на Процент на откриване на избрани атаки
- Процент на откриване на атаки, по-дълги от 60 секунди
- Брой на открити „Пробни атаки (Probe Attacks)”,
- Брой на открити “DoS” атаки)
Резултатите са предоставени в графичен вид.
В заключени са анализирани резултатите от изследването. Стига се до извода, че е възможно да се използват по-малки подгрупи от функции, за да се открие проникване в наблюдавания трафик.
Отбелязан е и факта, че са необходими допълнителни изследвания, за да се постигнат още по-добри резултати при откриването на аномалии. Ясно е, че в някои случаи резултатите са напълно противоположни на очакваните. За да се разбере причината, са необходими повече изследвания в тази област. Също така, тестването на подгрупи от функции трябва да се извършва с помощта на по-къс времеви прозорец. Ако, например, времевият прозорец бъде пет секунди, теоретично би следвало да е възможно да се открият и по-кратки атаки. Пробните атаки са добър пример за такива кратки атаки.
Освен това, инструментът за откриване на аномалии се използва по подразбиране и чрез използването само на един метод за откриване на аномалии. Тъй като целта на тази дипломна работа е да се направи оценка на изпълнението на различните подгрупи от функция, беше решено, че методът не е от значение от гледна точка на оценката на функцията и по този начин бе използван само един метод. Въпреки това прави впечатление, че методът също играе значителна роля в откриването на атаките. Например, локалният метод за откриване на аномалии позволява на потребителя да определи броя на клъстерите и праговете, които да бъдат използвани във фазата на откриване. Чрез тестване на различен брой групи за всяка категория атака, могат да се постигнат по-добри резултати.