Обнаружение скрытых каналов в сетях передачи данных Старовойтов Д.В., Мансуров Р.М. КГУ им. Ульянова-Ленина Содержание Обзорная информация Экспериментальное средство для создания скрытого канала Метод обнаружения Экспериментальные результаты Заключение Цель работы – разработать метод обнаружения пассивных скрытых каналов. Для этого было необходимо выполнить следующие задачи: Разработать и реализовать экспериментальное средство для создания скрытого канала для того, чтобы в последующем научиться его обнаруживать; Разработать средства для сбора оригинальных данных с наиболее популярных ОС; Непосредственно разработать метод обнаружения. Провести эксперименты и анализ полученных результатов с целью оценки эффективности разработанного метода Экспериментальное средство для создания ПСК Модуль «Отправитель» Модуль «Приёмник» Перехват пакетов Перехват пакетов Канал передачи данных Процесс подмены Метод обнаружения ПСК Рассматриваемые ОС: Windows 98, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, FreeBSD 7.1, Ubuntu 8.04, Mandriva 2009, Fedora 10. Метод обнаружения ПСК Метод основывается на построении искусственной нейронной сети, позволяющей создать модель по экспериментальным данным, без знания алгоритма генерации данных, что в ряде случаев является очень важным. Нейронные сети обладают свойствами обобщения и коррекции ошибки. Буфер пакетов P Обучающее множество IP пакет № 1 IP ID1 IP ID2 IP пакет № 2 IP ID2 IP ID3 IP пакет № 3 IP ID3 IP ID4 … … IP IDN-1 IP IDN … IP пакет № N-1 T IP пакет № N Коррекция весов Нет Искусственная нейронная сеть Вычисление ошибки Ошибка достаточно мала? Да Обучение нейронной сети Обучение Тестовое множество Буфер пакетов IP пакет №1 IP ID1 IP ID2 IP пакет №2 IP ID2 IP ID3 IP пакет №3 IP ID3 IP ID4 … … IP IDN-1 IP IDN … IP пакет № N-1 IP пакет № N Пакетный сниффер Контролируемая сеть Искусственная нейронная сеть (Модель генерации IP ID) Тестирование Дистанция Хэмминга Определение похожести пакетов Экспериментальные результаты Зависимость вероятности ошибки от размера нейронной сети Размер сети Элмана Ложное обнаружение скрытого канала Ложный пропуск скрытого канала 30х16 0% 0.0333% 40х16 0% 0% 50х16 0% 0% 100х16 0% 0% Результаты получены при 200 входных данных Экспериментальные результаты Зависимость точности распознавания от числа IP Id Число IP Id 50 200 600 1000 Ложное обнаружение скрытого канала 0% 0% 0% 0% Ложный пропуск скрытого канала 0.11% 0% 0% 0% В приведённых в этой и предыдущей таблице результатах скрытый канал составляет 20% от входных данных и передается не единым потоком Зависимость точности распознавания от числа изменённых IP Id Передача данных скрытого канала не единым потоком Процент изменённых IP Id 5% 10% 15% 20% 25% 30% Ложное обнаружение скрытого канала 0% 0% 0% 0% 0% 0% 99.94% 74% 15.09% 0.08% 0% 0% Ложный пропуск скрытого канала Передача данных скрытого канала единым потоком Процент изменённых IP Id 5% 10% 20% 30% 40% 50% Ложное обнаружение скрытого канала 0% 0% 0% 0% 0% 0% 99.97% 99.63% 48.36% 0.13% 0% 0% Ложный пропуск скрытого канала Заключение Эксперименты показывают, что разработанный метод обеспечивает высокую точность обнаружения пассивного скрытого канала. Анализ полученных результатов показал, что можно улучшить эффективность обнаружения, если учитывать особенность генерации идентификаторов и добавить дополнительные критерии. Можно отметить тот факт, что разработанный нами скрытый канал можно модернизировать, например: попытаться замаскировать его под нормальный поток данных, поэтому это должно быть учтено при разработке методов обнаружения в дальнейших наших исследованиях. Источники Тумоян Е.П., Сетевое обнаружение пассивных скрытых каналов передачи данных в протоколеTCP/IP/ Е.П. Тумоян, М.В. Аникеев // Информационное противодействие угрозам терроризма. – 2005. – № 5. – С. 6–36. Хайкин С. Нейронные сети. Полный курс.- М.:Вильямс, 2006 г. - 1104 стр The Implementation of Passive Covert Channels in the Linux Kernel / Rutkowska J. [Электронный ресурс]. – 2005. – Режим доступа: http://invisiblethings.org/papers.html. – Дата доступа: 20.02.2008. Steven J., Embedding Covert Channels into TCP/IP / Steven J. Murdoch and Stephen Lewis // University of Cambridge, Computer Laboratory [Электронный ресурс]. – 2005. – Режим доступа: http://www.datastronghold.com/index2.php?option=com_content&task=view&id=491&pop=1&p age=0. – Дата доступа: 20.04.2008. Снифферы, NDIS, RAW Sockets и проч. [Электронный ресурс]. – 2005. – Режим доступа: http://www.nestor.minsk.by/sr/2001/02/10210.html. – Дата доступа: 20.02.2008. Галатенко А., О скрытых каналах и не только / А. Галатенко [Электронный ресурс]. – 2005. – Режим доступа: http://sdteam.com/?tid=1645. – Дата доступа: 20.02.2008. Скрытые каналы // Jet Infosystems [Электронный ресурс]. – 2006. – Режим доступа: http://www.jetinfo.ru/2006/1/1/article1.1.200684.html. – Дата доступа: 17.10.2007. WinpkFilter 3.0// NT Kernel Resources [Электронный ресурс]. – 2008. – Режим доступа: http://www.ntkernel.com/products/winpkfilter.htm. – Дата доступа: 5.03.2007.