Библиографическое описание:

Оладько В. С., Микова С. Ю., Нестеренко М. А., Садовник Е. А. Причины и источники сетевых аномалий // Молодой ученый. — 2015. — №22. — С. 158-161.



 

Рассмотрена проблема обеспечения безопасности корпоративных сетей организаций. В качестве основных причин нарушения безопасности и утечек информации разного уровня доступа, в организации, выделены действия злоумышленника. Показано, что для своевременного предотвращения атак злоумышленника и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети. Поскольку именно регулярный мониторинг состояния сети, позволит своевременно обнаруживать и отслеживать сетевые аномалии, а также проводить их подробный анализ, с целью выявления причин и источников аномалии. Проанализированы основные причины возникновения аномалий в сетевом трафике, к которым относят: сетевые атаки, ошибки пользователей, сбои и отказы аппаратного обеспечения, дефекты программного обеспечения, повреждения каналов связи. Рассмотрены способы проявления сетевых аномалий: видимые аномалии и аномалии, не имеющие видимых признаков. Выделены источники возникновения сетевых аномалий. Сделан вывод, что наиболее опасным источником сетевых аномалий являются действия злоумышленника. Показана и подробно проанализирована причинно-следственная связь между аномалиями и наиболее распространенными сетевыми атаками. Сделан вывод о возможности применения описания связи между атаками и аномалиями при написании правил и шаблонов алгоритмов обнаружения аномалий и атак.

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

 

Настоящее время характеризуется активным развитием интернет-технологий и появлением большого числа гетерогенных и распределенных систем, которые повсеместно используются организациями (государственными и частными) при реализации бизнес — процессов и предоставлении услуг. В данных системах и сетях ежедневно обрабатывается, передается и хранится информация различного уровня доступа, к которой получает локальный и/или удаленный доступ множество пользователей. Зафиксированное число утечек информации и атак злоумышленника на информационные и сетевые ресурсы ежегодно возрастает. Так по данным исследований аналитического центра компании InfoWatch за 2014 год [2] и первое полугодие 2015 года [3], число утечек информации в мире выросло на 22 %, в России — на 73 %, при этом более 39 % утечек приходиться именно на сеть, которая занимает лидирующее положение среди всех каналов. Поэтому, актуальной является задача обеспечения безопасности сетей и ресурсов организаций от утечек и угроз различной природы и характера.

В соответствии с [1], для своевременного предотвращения атак и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети и контролировать появления сетевых аномалий, поскольку именно они являются одним из основных признаков сбоев в работе сети и/или вторжения злоумышленника. Анализируя причины возникновения, источники и степень опасности сетевой аномалии, можно своевременно выявить нарушение и снизить риски от его последствий. Анализ литературных источников [4 — 6] показывает, что сетевые аномалии могут возникать по причинам, связанным с деятельностью злоумышленников, некомпетентностью и ошибками пользователей, неисправностью аппаратуры, повреждением каналов связи и дефектами программного обеспечения.

Существуют видимые аномалии, проявляющиеся в некорректной работе информационно-вычислительной системы в текущий момент времени и аномалии, не имеющие видимых признаков в текущий момент времени, но которые могут привести к сбоям спустя значительное время. При этом наиболее опасными являются аномалии, которые возникают в результате проведения сетевой атаки. При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение доступа к конкретным данным или ресурсу. Поэтому сетевые атаки могут проводиться в несколько этапов и отличаться разным уровнем сложности. Например, некоторые виды атак требуют большое количество вычислительных ресурсов и высокого уровня подготовки злоумышленника, другие способен осуществить рядовой пользователь, даже не предполагающий, какие последствия может принести его деятельность. Следовательно, для минимизации ущерба от возможного вторжения в систему и своевременного предотвращения атаки на ранних стадиях проведения, важно четко выявлять в обнаруженной аномалии признаки атаки и проводить оценку возможных последствий.

В таблице 1 представлена разработанная причинно-следственная связь между атаками злоумышленников, сетевыми аномалиями и их последствиями для безопасности сети организации.

Таблица 1

Причины и последствия возникновения аномалий в сетевом трафике, источником которых является активность злоумышленника

Причина возникновения аномалии (источник)

Вид проявления аномалии

Последствия

Атаки на уровне приложений

эксплуатация известных уязвимостей и ошибок в программном обеспечении, сканирование и доступ к портам, ассоциированным с уязвимыми приложениями

злоумышленники могут получить доступ к АРМ пользователя сети, повысить привелегии, получить административный доступ

Авторутеры

скачек в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего IP-адреса

установка rootkit и использование системы для автоматизации процесса вторжения, позволяет злоумышленнику просканировать сотни тысяч систем за короткий промежуток времени

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS)

наблюдается интенсивный поток трафика с множества IP-адресов на порты маршрутизаторов и серверов

происходят нарушения нормального функционирования системы, нарушается доступность данных и сервисов, которые обычно дополняются нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений.

TCP SYN Flood

создание большого числа частично открытых соединений, увеличения числа SYN-пакетов

нарушения нормального функционирования системы

Атаки «Ping of Death»

получении слишком больших IP-пакетов.

сбой, отказ, зависание и перезагрузка системы

Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)

генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей.

Stacheldraht

появление нелегального зашифрованного трафика,генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов

Атаки «IP spoofing»

подмена IP-адресов источника на адреса из доверенных зон

злоумышленник внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять

Атаки «Man-in-the-middle»

перехват сетевых пакетов, протоколов маршрутизации и транспортных протоколов, искажение передаваемых данных и включение новой информации в сетевые сессии

кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика — для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии

Сетевая разведка

запросы к DNS-серверу, сканирование диапазона IP-адресов (ping sweeps) и сканирование портов

злоумышленники могут найти открытые порты, изучить характеристики приложений, выполняющихся на хостах

Сниффинг пакетов

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP, POP3 и т. д.), например имен пользователей и пароли, переключение потоков трафика с одного сетевого устройства (службы) на другое

злоумышленник может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время

Атаки на пароли

подделка IP-пакетов и прослушивание пакетов, скачек в трафике по потокам/с, с несколькими пакетами от одного доминирующего IP-адреса

злоумышленники могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных

Port redirection attacks

переадресация сетевого трафика, падение в байтах или пакетах в одном потоке трафика и выброс в другом.

Передача злоумышленниками через межсетевой экран нелегального трафика

Вирусные и троянские атаки

выброс в трафике без доминирующего адреса назначения, но с одним или несколькими доминирующими портами назначения

примером вируса является программа, которая, удаляет некоторые сетевые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить.

Trust exploitation attacks

происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети

атака на внутреннюю сеть

 

Описанная авторами причинно-следственная связь может использоваться в процессе анализа обнаруженных аномалий, и в качестве основы для пополнения баз знаний и создания шаблонов, правил и сценариев алгоритмов обнаружения аномалий и атак.

По результатам проведенного исследования, можно сделать следующие выводы:

-                   для поддержания требуемого уровня безопасности корпоративной сети организации необходимо проводить регулярный мониторинг состояния сети и выявлять аномалии в сетевом трафике;

-                   обнаруженные аномалии следует подвергать тщательному анализу, с целью выявления их источника и причин возникновения;

-                   наиболее часто возникающие в сетевом трафике аномалии являются признаком проводимой злоумышленником атаки на объекты и ресурсы корпоративной сети;

-                   сетевые аномалии столь же разнообразны, как и сетевые атаки, поэтому между их признаками необходимо устанавливать связь.

 

Литература:

 

  1.                Багров Е.В. Мониторинг и аудит информационной безопасности на предприятии//Вестник Волгоградского государственного университета. Серия 10: Инновационная деятельность. 2011. — № 5. С. 54 — 56.
  2.                Глобальное исследование утечек конфиденциальной информации в 2014 году//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_global_report_2014.pdf (дата обращения 03.11.2015).
  3.                Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2015_half_year.pdf (дата обращения 03.11.2015).
  4.                Шелухин О. И., Сакалема Д.Ж., Филинова А.С.. Обнаружение вторжений и компьютерные сети., / О.И. Шелухин — М.: Горячая линия-Телеком, 2013. — 220 с.
  5.                Theuns Verwoerd, Ray Hunt Intrusion detection techniques and approaches // Computer Communications. 2002. — № 25. — P. 1356-1365.
  6.                Herve Debar, Marc Dacier, Andreas Wespi, Towards a taxonomy of intrusion detection systems // Computer Networks. 1999. — № 31. — P. 805-822.

Обсуждение

Социальные комментарии Cackle