Система обнаружения вторжений для мобильной сети

УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
А.Г. ЛЫСЕНКО, А.Ю. ШЕВЁЛКИН
Санкт-Петербургский государственный политехнический университет
СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
ДЛЯ МОБИЛЬНОЙ СЕТИ
Рассмотрена проблема отсутствия должной защиты мобильных сетей. Предложен подход к построению системы обнаружения вторжений для мобильных
узлов. Разработана архитектура системы обнаружения вторжений.
Современная жизнь характеризуется повышенной деловой активностью. Любая, сколь угодно полезная информация не может быть использована, если отсутствуют каналы связи для её передачи и приема. Поэтому бурное развитие современных технологий не в последнюю очередь
обусловлено совершенствованием средств коммуникации. Необходимость
обладания информацией в определенное время, уменьшение сроков её
доставки, возможность оперативной передачи и приема делает мобильную связь неотъемлемым атрибутом действительности. Однако с распространением беспроводных сетей стало ясно, что их незащищенность становится препятствием для дальнейшего развития.
Одним из способов решения этой проблемы является использование
системы обнаружения вторжений (СОВ). В данной статье мы будем рассматривать мобильные сети (беспроводные сети без инфраструктуры или
MANET-сети), которые характеризуются тем, что топология сети может
часто и непредсказуемо изменяться, а функции маршрутизации выполняются на каждом узле.
Создаваемая система обнаружения вторжений для сети MANET должна принимать решения с использованием сигнатурного и статистического
методов. Связано это с тем, что некоторые атаки на мобильные сети имеют четко выраженные сигнатуры, и если они обнаруживаются в базе данных, то можно поднимать тревогу. С другой стороны, у многих атак очевидных сигнатур нет, зато они вызывают отклонения от нормальной работы сети на нижних уровнях стека протоколов. Отклонение может быть
малозаметным, например, несколько пришедших не по порядку кадров,
или выросшая в несколько раз нагрузка. Поскольку не существует двух
одинаковых беспроводных сетей, то эффективное применение СОВ в мобильных сетях возможно только после длительного периода обучения.
Только собрав значительный объем статистических данных о работе конкретной сети, можно решить, что является аномальным поведением, а что
ISBN 5-7262-711-4. XIV Всероссийская научная конференция
85
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
- нет, и идентифицировать проблемы со связью, ошибки пользователей
или атаки.
С учетом вышесказанного предлагается архитектура СОВ для Мобильных сетей, представленная на рис. 1. На схеме показано, что в модуле
обнаружения атак выделяются уровни модели OSI и присутствует механизм обмена сообщениями с агентами СОВ на других узлах сети. Все
данные об обнаруженных атаках, сигнатуры, параметры и настройки хранятся в подсистеме хранения данных.
Модули
обнаружения атак
по уровням
Высшие
уровни
Транспортный
уровень
Сетевой
уровень,
маршрутизация
Канальный и
физический
уровень
Глобальный
модуль
накопления
данных и
обработки
Модуль
реакции
Модуль
обмена
сообщениями
Локальный
модуль
накопления
данных и
обработки
Программноаппаратная среда
Модуль
сбора
данных
Различные источники данных
Подсистема
хранения
сигнатур,
настроек,
данных аудита
параметров, и
т.д.
Таблица
маршрутизации
Мониторинг
среды передачи
Статистика ядра
и драйверов
Пакеты
данных
Рис. 1. Архитектура агента СОВ для сети MANET
Внедрение персональных систем обнаружения вторжений, безусловно,
отразится на безопасности мобильных сетей. Во-первых, это позволит
снизить потери от атак отказа в обслуживании, которые с учетом ограниченной пропускной способностью канала, являются крайне опасными. Вовторых, сделает всю сеть более защищенной.
ISBN 5-7262-711-4. XIV Всероссийская научная конференция
86