Е.Л. ДРУЖИНИН , А.М. САМОХИН , Е.М. КУВШИНОВ

УДК 001(06) Телекоммуникации и новые информационные технологии…
Е.Л. ДРУЖИНИН1, А.М. САМОХИН1, Е.М. КУВШИНОВ
Московский инженерно-физический институт (государственный университет),
1ЗАО «КОНТУР Софт», Москва
СТРУКТУРИЗАЦИЯ СЕТЕВЫХ ПОТОКОВ ДАННЫХ
ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В РАБОТЕ
ПРИЛОЖЕНИЙ
В данной статье рассматриваются основные концепции разработки
программного компонента структуризации сетевого трафика в сетях, работающих
на основе стека протоколов TCP/IP. Разработка ведется Лабораторией Сетевых
Технологий ЦНИТ МИФИ в рамках создания Системы Аудита Вычислительной
Сети (САВС).
В связи с активным развитием сетей в настоящее время всё острее
становится проблема адекватной защиты от удаленных воздействий
злоумышленников.
Существующие системы обнаружения сетевых атак имеют низкую
эффективность при решении данной проблемы, т.к. используют, в
основном, сигнатурные принципы обнаружения.
Обнаружение
сетевых
атак,
связанных
с
получением
неавторизованного доступа к удаленным ресурсам, возможно на разных
этапах их осуществления: на этапе проникновения злоумышленника и на
этапе дальнейшего использования захваченного ресурса. Это требует
тщательного анализа сетевых потоков данных, особенно, полей данных
сетевых пакетов.
Для решения этой задачи в Лаборатории Сетевых Технологий ЦНИТ
МИФИ разрабатывается Система Аудита Вычислительной Сети (САВС).
На данный момент, САВС обеспечивает поиск аномалий на основе
анализа информации из заголовков протокола Ethernet и протоколов
сетевого и транспортного уровней стека TCP/IP.
Для повышения эффективности выявления сетевых атак необходим
анализ на уровне прикладных протоколов, т.е. необходимо оценивать
поля данных пакетов.
Наличие следов атаки на прикладном уровне (уровне приложений)
предложено выявлять путем оценивания типа протокола прикладного
уровня (по содержимому полей данных пакетов) и сопоставления этой
информации с параметрами используемого протокола транспортного
уровня.
______________________________________________________________________
ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10
57
УДК 001(06) Телекоммуникации и новые информационные технологии…
Оценка типа протокола прикладного уровня возможна после
структуризации и сохранения полей данных сетевых пакетов. Эту задачу
решает Сетевой Агент – программный компонент САВС.
В ходе исследований были предложены и реализованы в Сетевом
Агенте принципы структуризации полей данных сетевых пакетов.
Структуризация, выполняемая им, основана на выявлении и
упорядочивании ключевых команд прикладных протоколов.
По результатам анализа документов RFC были созданы словари
уникальных сигнатур протоколов HTTP, SMTP, POP3, IMAP4, FTP,
службы DNS, а также, по результатам исследования командной оболочки
Linux (bash) и Windows (CMD), – словари команд оболочек UNIX и
Windows. Найденные сигнатуры позволяют достаточно точно определить
используемый в соединении протокол прикладного уровня. Сами
сигнатуры классифицированы и находятся в базе данных САВС, что
облегчает их дальнейший анализ.
Функционирование Сетевого Агента в высоко загруженной 100 Мб
сети показало его недостаточную производительность на системе с
процессором AMD Athlon XP 2600+. В данный момент производится
оптимизация алгоритмов поиска:

сигнатуры команд организованы в виде дерева для того,
чтобы избежать поиска заведомо отсутствующих сигнатур
– это резко сокращает время поиска;

процедура поиска сигнатуры переписывается на языке
ассемблера.
Учитывая распространённость серверов на базе процессоров intel Xeon
с технологией Hyper Treading, а также появления в ближайшем будущем
2х ядерных процессоров (AMD Opteron и intel Pentium 4, Pentium M),
возможна
оптимизация
кода
программы
для
повышения
производительности Сетевого Агента путем распределения нагрузки
между процессорами.
По результатам работы Сетевого Агента в реальной сети выполняется
корректировка словарей команд: изымаются неинформативные команды и
добавляются новые.
______________________________________________________________________
ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10
58