Библиографическое описание:

Оладько В. С., Микова С. Ю., Нестеренко М. А., Садовник Е. А. Причины и источники сетевых аномалий // Молодой ученый. — 2015. — №22. — С. 158-161.



 

Рассмотрена проблема обеспечения безопасности корпоративных сетей организаций. В качестве основных причин нарушения безопасности и утечек информации разного уровня доступа, в организации, выделены действия злоумышленника. Показано, что для своевременного предотвращения атак злоумышленника и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети. Поскольку именно регулярный мониторинг состояния сети, позволит своевременно обнаруживать и отслеживать сетевые аномалии, а также проводить их подробный анализ, с целью выявления причин и источников аномалии. Проанализированы основные причины возникновения аномалий в сетевом трафике, к которым относят: сетевые атаки, ошибки пользователей, сбои и отказы аппаратного обеспечения, дефекты программного обеспечения, повреждения каналов связи. Рассмотрены способы проявления сетевых аномалий: видимые аномалии и аномалии, не имеющие видимых признаков. Выделены источники возникновения сетевых аномалий. Сделан вывод, что наиболее опасным источником сетевых аномалий являются действия злоумышленника. Показана и подробно проанализирована причинно-следственная связь между аномалиями и наиболее распространенными сетевыми атаками. Сделан вывод о возможности применения описания связи между атаками и аномалиями при написании правил и шаблонов алгоритмов обнаружения аномалий и атак.

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

 

Настоящее время характеризуется активным развитием интернет-технологий и появлением большого числа гетерогенных и распределенных систем, которые повсеместно используются организациями (государственными и частными) при реализации бизнес — процессов и предоставлении услуг. В данных системах и сетях ежедневно обрабатывается, передается и хранится информация различного уровня доступа, к которой получает локальный и/или удаленный доступ множество пользователей. Зафиксированное число утечек информации и атак злоумышленника на информационные и сетевые ресурсы ежегодно возрастает. Так по данным исследований аналитического центра компании InfoWatch за 2014 год [2] и первое полугодие 2015 года [3], число утечек информации в мире выросло на 22 %, в России — на 73 %, при этом более 39 % утечек приходиться именно на сеть, которая занимает лидирующее положение среди всех каналов. Поэтому, актуальной является задача обеспечения безопасности сетей и ресурсов организаций от утечек и угроз различной природы и характера.

В соответствии с [1], для своевременного предотвращения атак и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети и контролировать появления сетевых аномалий, поскольку именно они являются одним из основных признаков сбоев в работе сети и/или вторжения злоумышленника. Анализируя причины возникновения, источники и степень опасности сетевой аномалии, можно своевременно выявить нарушение и снизить риски от его последствий. Анализ литературных источников [4 — 6] показывает, что сетевые аномалии могут возникать по причинам, связанным с деятельностью злоумышленников, некомпетентностью и ошибками пользователей, неисправностью аппаратуры, повреждением каналов связи и дефектами программного обеспечения.

Существуют видимые аномалии, проявляющиеся в некорректной работе информационно-вычислительной системы в текущий момент времени и аномалии, не имеющие видимых признаков в текущий момент времени, но которые могут привести к сбоям спустя значительное время. При этом наиболее опасными являются аномалии, которые возникают в результате проведения сетевой атаки. При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение доступа к конкретным данным или ресурсу. Поэтому сетевые атаки могут проводиться в несколько этапов и отличаться разным уровнем сложности. Например, некоторые виды атак требуют большое количество вычислительных ресурсов и высокого уровня подготовки злоумышленника, другие способен осуществить рядовой пользователь, даже не предполагающий, какие последствия может принести его деятельность. Следовательно, для минимизации ущерба от возможного вторжения в систему и своевременного предотвращения атаки на ранних стадиях проведения, важно четко выявлять в обнаруженной аномалии признаки атаки и проводить оценку возможных последствий.

В таблице 1 представлена разработанная причинно-следственная связь между атаками злоумышленников, сетевыми аномалиями и их последствиями для безопасности сети организации.

Таблица 1

Причины и последствия возникновения аномалий в сетевом трафике, источником которых является активность злоумышленника

Причина возникновения аномалии (источник)

Вид проявления аномалии

Последствия

Атаки на уровне приложений

эксплуатация известных уязвимостей и ошибок в программном обеспечении, сканирование и доступ к портам, ассоциированным с уязвимыми приложениями

злоумышленники могут получить доступ к АРМ пользователя сети, повысить привелегии, получить административный доступ

Авторутеры

скачек в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего IP-адреса

установка rootkit и использование системы для автоматизации процесса вторжения, позволяет злоумышленнику просканировать сотни тысяч систем за короткий промежуток времени

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS)

наблюдается интенсивный поток трафика с множества IP-адресов на порты маршрутизаторов и серверов

происходят нарушения нормального функционирования системы, нарушается доступность данных и сервисов, которые обычно дополняются нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений.

TCP SYN Flood

создание большого числа частично открытых соединений, увеличения числа SYN-пакетов

нарушения нормального функционирования системы

Атаки «Ping of Death»

получении слишком больших IP-пакетов.

сбой, отказ, зависание и перезагрузка системы

Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)

генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей.

Stacheldraht

появление нелегального зашифрованного трафика,генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов

Атаки «IP spoofing»

подмена IP-адресов источника на адреса из доверенных зон

злоумышленник внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять

Атаки «Man-in-the-middle»

перехват сетевых пакетов, протоколов маршрутизации и транспортных протоколов, искажение передаваемых данных и включение новой информации в сетевые сессии

кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика — для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии

Сетевая разведка

запросы к DNS-серверу, сканирование диапазона IP-адресов (ping sweeps) и сканирование портов

злоумышленники могут найти открытые порты, изучить характеристики приложений, выполняющихся на хостах

Сниффинг пакетов

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP, POP3 и т. д.), например имен пользователей и пароли, переключение потоков трафика с одного сетевого устройства (службы) на другое

злоумышленник может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время

Атаки на пароли

подделка IP-пакетов и прослушивание пакетов, скачек в трафике по потокам/с, с несколькими пакетами от одного доминирующего IP-адреса

злоумышленники могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных

Port redirection attacks

переадресация сетевого трафика, падение в байтах или пакетах в одном потоке трафика и выброс в другом.

Передача злоумышленниками через межсетевой экран нелегального трафика

Вирусные и троянские атаки

выброс в трафике без доминирующего адреса назначения, но с одним или несколькими доминирующими портами назначения

примером вируса является программа, которая, удаляет некоторые сетевые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить.

Trust exploitation attacks

происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети

атака на внутреннюю сеть

 

Описанная авторами причинно-следственная связь может использоваться в процессе анализа обнаруженных аномалий, и в качестве основы для пополнения баз знаний и создания шаблонов, правил и сценариев алгоритмов обнаружения аномалий и атак.

По результатам проведенного исследования, можно сделать следующие выводы:

-                   для поддержания требуемого уровня безопасности корпоративной сети организации необходимо проводить регулярный мониторинг состояния сети и выявлять аномалии в сетевом трафике;

-                   обнаруженные аномалии следует подвергать тщательному анализу, с целью выявления их источника и причин возникновения;

-                   наиболее часто возникающие в сетевом трафике аномалии являются признаком проводимой злоумышленником атаки на объекты и ресурсы корпоративной сети;

-                   сетевые аномалии столь же разнообразны, как и сетевые атаки, поэтому между их признаками необходимо устанавливать связь.

 

Литература:

 

  1.                Багров Е.В. Мониторинг и аудит информационной безопасности на предприятии//Вестник Волгоградского государственного университета. Серия 10: Инновационная деятельность. 2011. — № 5. С. 54 — 56.
  2.                Глобальное исследование утечек конфиденциальной информации в 2014 году//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_global_report_2014.pdf (дата обращения 03.11.2015).
  3.                Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2015_half_year.pdf (дата обращения 03.11.2015).
  4.                Шелухин О. И., Сакалема Д.Ж., Филинова А.С.. Обнаружение вторжений и компьютерные сети., / О.И. Шелухин — М.: Горячая линия-Телеком, 2013. — 220 с.
  5.                Theuns Verwoerd, Ray Hunt Intrusion detection techniques and approaches // Computer Communications. 2002. — № 25. — P. 1356-1365.
  6.                Herve Debar, Marc Dacier, Andreas Wespi, Towards a taxonomy of intrusion detection systems // Computer Networks. 1999. — № 31. — P. 805-822.
Основные термины (генерируются автоматически): сетевых аномалий, мониторинг состояния сети, регулярный мониторинг состояния, обнаружения аномалий, сетевые аномалии, сетевом трафике, сетевые атаки, сети организации, алгоритмов обнаружения аномалий, атак злоумышленника, видимые аномалии, устойчивости функционирования сети, функционирования сети организации, возникновения аномалий, обеспечения безопасности, действия злоумышленника, утечек информации, сетевом трафике аномалии, предотвращения атак злоумышленника, аномалии признаки атаки.

Обсуждение

Социальные комментарии Cackle