Анализ методов обнаружения аномалий для обнаружения сканирования портов | Статья в журнале «Молодой ученый»

Автор:

Рубрика: Информатика

Опубликовано в Молодой учёный №14 (148) апрель 2017 г.

Дата публикации: 09.04.2017

Статья просмотрена: 354 раза

Библиографическое описание:

Кожевникова И. С. Анализ методов обнаружения аномалий для обнаружения сканирования портов // Молодой ученый. — 2017. — №14. — С. 31-34. — URL https://moluch.ru/archive/148/41829/ (дата обращения: 16.10.2018).



Одним из проявлений процесса информатизации общества является масштабное развитие сетевых сервисов. Перед администраторами информационно–вычислительных систем, предоставляющих сервисы, стоит задача обеспечить управляемость и подотчётность этих систем, целостность, доступность и конфиденциальность данных, т. е. обеспечить штатное функционирование системы и максимально исключить факты нештатного функционирования — сетевые аномалии [1]. Сетевые аномалии имеют различные причины и могут быть связаны с деятельностью злоумышленников, некомпетентных пользователей, неисправностью аппаратуры и дефектами программного обеспечения. Существуют видимые аномалии, проявляющиеся непосредственно в некорректной работе информационно-вычислительной системы или аномалии могут и не иметь видимых признаков, но привести к сбоям через длительное время. Аномалии можно классифицировать следующим образом (рис. 1) [2].

схема аномалии.jpg

Рис. 1. Схема классификации сетевых аномалий

Как видно из классификации, одним из источников сетевых аномалий, нарушающих безопасность сети, является сканирование портов. Сканирование портов маршрутизаторов и персональных компьютеров пользователей позволяет злоумышленникам провести тщательную разведку сети перед атакой. Это позволяет злоумышленникам с большой точностью определить используемые в информационных системах приложения, взаимодействующие с сетью Интернет, чтобы подобрать подходящую уязвимость в программном обеспечении и эксплуатировать ее. Атаки, нацеленные на поиск уязвимых сетевых приложений, зачастую осуществляются с помощью сканирования портов на узлы ИС, имеющие прямой выход в сеть Интернет. В связи с этим вместе с антивирусными решениями, целесообразно применять средства обнаружения сканирования портов.

Основными последствиями сканирования портов являются:

  1. Получение списка открытых портов,
  2. Получение списка закрытых портов,
  3. Получение списка сервисов на портах хоста,
  4. Предположительное определение типа и версии ОС.

Не существует отдельного класса методов по обнаружению сканирования портов, обычно данная функция включена в системы обнаружения атак [3]. На рис. 2 представлена схема обнаружения сетевых аномалий [4] на основе показателей сетевого трафика.

Рис. 2. Схема обнаружения сетевых аномалий

Общий алгоритм выявления сетевых аномалий может быть описан следующим образом. Данными для анализа является сетевой трафик, представленный как набор сетевых пакетов, в общем случае фрагментированных на уровне IP. Собранные сырые данные в дальнейшем послужат источником при формировании необходимой информации для последующего анализа. Так, полученные данные могут быть агрегированы за определенный временной интервал и нормализованы с целью задания признаковых атрибутов общего вида, которые потребуются при построении текущего профиля активности. Созданный набор признаков сравнивается с набором характеристик нормальной деятельности объекта (пользователя или системы) — шаблоном нормального поведения [5]. Если наблюдается существенное расхождение сравниваемых параметров, то фиксируется сетевая аномалия. В противном случае происходит уточнение шаблона нормального поведения посредством изменения параметров его настройки с учетом текущего наблюдаемого профиля сетевой активности. Описанный выше алгоритм может включать несколько вариантов исполнения для реализации подсистемы проверки на соответствие шаблону нормального поведения. Простейшим из них является процедура сравнения с пороговой величиной, когда накопленные результаты, описывающие текущую сетевую активность, сравниваются с экспертно заданной числовой планкой. В этом подходе случай превышения значений рассматриваемых параметров указанной границы является признаком сетевой аномалии. Стоит отметить, что построение шаблона нормального поведения является трудоемкой задачей и зачастую не всегда выполнимой. Так, на практике оказывается, что не каждое аномальное поведение является атакой [6]. К примеру, администратор сети может применять отладочные утилиты, такие как ping, traceroute, mtr, для диагностики сетевого окружения. Действия подобного рода не преследуют каких-либо нелегальных умыслов, однако системы обнаружения аномалий распознают эту деятельность как аномальную сетевую активность.

Методов обнаружения аномалий существует огромное количество, а также их модификаций и разновидностей. Была предложена следующая схема классификации методов обнаружения аномалий, представленная на рис.3.

методы обнаружения аномалий классификация.jpg

Рис. 3. Классификация методов обнаружения аномалий

Был проведен анализ методов обнаружения аномалий по результатам которого составлена сравнительная таблица.

Таблица 1

Сравнительный анализ групп методов обнаружения аномалий

Критерий

Метод

Уровень наблюдения

Адаптивность

Верифицируемость

Устойчивость

Поведенческие методы

NIDS, HIDS, AIDS, Hybrid

+

+

Методы машинного обучения

NIDS, HIDS

+

+

Методы вычислительного интеллекта

NIDS, HIDS

+

+

В таблице используются обозначения уровня наблюдения появления аномалий в сети:

‒ HIDS — наблюдение на уровне операционной системы отдельного узла сети;

‒ NIDS — наблюдение на уровне сетевого взаимодействия объектов на узлах

‒ сети;

‒ AIDS — наблюдение на уровне отдельных приложений узла сети;

‒ Hybrid — комбинация наблюдателей разных уровней.

По результатам сравнительного анализа было выявлено, что поведенческие методы обладают высокой адаптивностью к новым данным и способны проводить наблюдение на всех выделенных уровнях сети, а следовательно, являются наиболее подходящими для выявления сканирования портов в сети.

Литература:

  1. Wang Y. A multinomial logistic regression modeling approach for anomaly intrusion detection // Computers & Security. 2005. vol. 24. Issue 8. pp. 662–674.
  2. Левонский Д. К., Фаткиева Р. Р. Разработка системы обнаружений аномалий сетевого трафика // Научный вестник НГТУ — 2014. — № 3. — с.108–114.
  3. Контрмеры: защита от сканирования портов [электронный ресурс] / Веб-безопасность, http://256bit.ru/Secure/Glava %202/Index6.html
  4. Сканирование портов компьютера [электронный ресурс] /Сергей Афанасьев, http://www.ixbt.com/cm/ports_security.shtml
  5. Никишова А. В. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность.. — 2011. — № 5. — С. 35–37.
  6. Guan Y., Ghorbani A. A., Belacel N. Y-means: a clustering method for intrusion detection // Canadian Conference on Electrical and Computer Engineering, 2003. vol. 2. pp. 1083–1086.
Основные термины (генерируются автоматически): HIDS, NIDS, AIDS, нормальное поведение, аномалия, сетевой трафик, сетевая аномалия, программное обеспечение, получение списка, схема обнаружения.


Похожие статьи

Причины и источники сетевых аномалий | Статья в журнале...

аномалия, сетевой трафик, атака, регулярный мониторинг состояния сети, сеть, источник, сетевая атака, программное обеспечение, причинно-следственная связь, учетная запись.

Применение машинного обучения для обнаружения сетевых...

Система обнаружения сигнатур идентифицирует шаблоны трафика данных или приложений которые считаются вредоносными, в то время как системы обнаружения аномалий и сравнивают деятельность с нормальным поведением.

Неконтролируемые методы машинного обучения при...

Real Time Intrusion Detection System Based on Self-Organized Maps and Feature Correlations.

Применение машинного обучения для обнаружения сетевых аномалий. Методы использования регулярных выражений для грамматических ситуаций Казахско-Английского машинного...

Обзор методов обнаружения аномалий в SQL-запросах к базам...

Intrusion detection systems: a survey and taxonomy.

Применение машинного обучения для обнаружения сетевых аномалий. Технология ADO и средства доступа к реляционным базам данных.

Системы сбора информации в аспекте кибербезопасности

– Режим обнаружения сетевых вторжений (NIDS), выполняющий обнаружение и анализ сетевого трафика.

– OSSEC, система обнаружения вторжений на основе хоста (HIDS). – Munin, для анализа трафика и обслуживания.

Разработка программного модуля для фильтрации сетевого...

Рис. 2. Блок-схема фильтрации сетевого трафика. Таким образом, при поиске аномалий объема сетевого трафика, необходимо использовать следующие характеристики: − величина отклонения реального трафика от прогнозируемого

Исследование нейросетевых технологий для выявления...

Keywords: intrusion detection systems, information security, neural networks, classification of network attacks. Введение. Системы обнаружения сетевых вторжений (СОВ) и выявления признаков компьютерных атак на информационные системы уже давно применяются как один...

Классификация IDS | Статья в журнале «Молодой ученый»

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой

Сетевая система обнаружения вторжений получает доступ к сетевому трафику...

Модели диагностики сетевых аномалий

Рассматривая сетевые аномалии, вызванные программно-аппаратными отклонениями, можно выделить методы диагностики сетевых аномалий

4. Высокая эффективность обнаружения сетевых аномалий. 5. Универсальность и обоснованность решений.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Причины и источники сетевых аномалий | Статья в журнале...

аномалия, сетевой трафик, атака, регулярный мониторинг состояния сети, сеть, источник, сетевая атака, программное обеспечение, причинно-следственная связь, учетная запись.

Применение машинного обучения для обнаружения сетевых...

Система обнаружения сигнатур идентифицирует шаблоны трафика данных или приложений которые считаются вредоносными, в то время как системы обнаружения аномалий и сравнивают деятельность с нормальным поведением.

Неконтролируемые методы машинного обучения при...

Real Time Intrusion Detection System Based on Self-Organized Maps and Feature Correlations.

Применение машинного обучения для обнаружения сетевых аномалий. Методы использования регулярных выражений для грамматических ситуаций Казахско-Английского машинного...

Обзор методов обнаружения аномалий в SQL-запросах к базам...

Intrusion detection systems: a survey and taxonomy.

Применение машинного обучения для обнаружения сетевых аномалий. Технология ADO и средства доступа к реляционным базам данных.

Системы сбора информации в аспекте кибербезопасности

– Режим обнаружения сетевых вторжений (NIDS), выполняющий обнаружение и анализ сетевого трафика.

– OSSEC, система обнаружения вторжений на основе хоста (HIDS). – Munin, для анализа трафика и обслуживания.

Разработка программного модуля для фильтрации сетевого...

Рис. 2. Блок-схема фильтрации сетевого трафика. Таким образом, при поиске аномалий объема сетевого трафика, необходимо использовать следующие характеристики: − величина отклонения реального трафика от прогнозируемого

Исследование нейросетевых технологий для выявления...

Keywords: intrusion detection systems, information security, neural networks, classification of network attacks. Введение. Системы обнаружения сетевых вторжений (СОВ) и выявления признаков компьютерных атак на информационные системы уже давно применяются как один...

Классификация IDS | Статья в журнале «Молодой ученый»

Системы обнаружения вторжений (Intrusion Detection System) — это совокупность программных

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой

Сетевая система обнаружения вторжений получает доступ к сетевому трафику...

Модели диагностики сетевых аномалий

Рассматривая сетевые аномалии, вызванные программно-аппаратными отклонениями, можно выделить методы диагностики сетевых аномалий

4. Высокая эффективность обнаружения сетевых аномалий. 5. Универсальность и обоснованность решений.

Задать вопрос