Содержание к диссертации
Введение
1 Обзор существующих методов и алгоритмов мониторинга вычислительных сетей 9
1.1 Понятие и задачи сетевого мониторинга 9
1.2 Методы мониторинга вычислительных сетей 11
1.3 Системы сетевого мониторинга 16
1.4 Методы анализа стека протоколов TCP/IP и их применение в задачах сетевого мониторинга 19
1.5 Выводы по первой главе 34
2 Исследование и разработка методов и алгоритмов идентификации версии ОС удаленного узла, основанных на анализе временных характеристик TCP 36
2.1 Алгоритм Франка Вейсета (RING) 37
2.2 Метод Грега Талека 45
2.3 Метод и алгоритмы ИОС, основанные на совместном анализе временных и функциональных характеристик TCP/IP (TCP-FTA) 49
2.4 Настройка классификатора на базе метода опорных векторов для использования в составе TCP-FTA 65
2.5 Анализ эффективности метода TCP-FTA в сравнении с существующими методами ИОС 83
2.6 Выводы по второй главе 89
3 Возможности практического применения метода TCP-FTA 91
3.1 Временная модель процесса повторных передач потерянных пакетов данных стеком протоколов TCP/IP 91
3.2 Система мониторинга целостности сетевой инфраструктуры, основанная на использовании метода TCP-FTA 93
3.3 Применение метода TCP-FTA в задачах аудита информационной безопасности 97
3.4 Выводы по третьей главе 99
4 Программная реализация системы мониторинга целостности ВС на основе метода TCP-FTA 101
4.1 Функциональные требования к ССМ 101
4.2 Реализация взаимодействия с сетью 102
4.3 Алгоритм конвейерного опроса узлов 103
4.4 Управление конфигурацией ССМ 110
4.5 Результаты испытаний в реальных условиях 111
4.6 Выводы по четвертой главе 113
Заключение 114
Список сокращений и обозначений 118
Список литературы
- Методы мониторинга вычислительных сетей
- Метод Грега Талека
- Система мониторинга целостности сетевой инфраструктуры, основанная на использовании метода TCP-FTA
- Управление конфигурацией ССМ
Введение к работе
Актуальность работы. В последние годы с ростом уровня автоматизации, проникновения информационных технологий во все сферы деятельности человека и значительным повышением требований отказоустойчивости и надежности к информационным системам важное значение приобретают вопросы разработки эффективных средств мониторинга и диагностики информационных систем. В связи с повсеместным использованием вычислительных сетей (ВС) и сетей передачи данных для организации взаимодействия как между отдельными рабочими станциями для передачи информации прикладного характера (например, при работе в глобальной сети Интернет), так и взаимодействия внутри замкнутых вычислительных кластеров, информационно-вычислительных комплексов обработки данных, корпоративных сетей и иных распределенных систем, основанных на использовании вычислительных сетей, остро встают вопросы мониторинга состояния подобных систем.
Классические системы мониторинга обеспечивают непрерывный мониторинг текущего состояния узлов, входящих в состав ВС, но в условиях современных всё более усложняющихся распределенных систем и жестких требований к их отказоустойчивости и надежности, а также защищенности и информационной безопасности, к современным системам сетевого мониторинга предъявляются также требования по обеспечению возможностей прогнозирования и диагностики состояния обслуживаемых информационных систем в краткосрочном и долгосрочном периодах, а также реализации комплексного мониторинга, включающего анализ не только текущего состояния узлов ВС на основе формальных показателей их работоспособности, но и комплексный анализ более широкого спектра характеристик функционирования системы и входящих в её состав узлов, а также прогнозирование и диагностику потенциальных проблем в защищенности системы или отдельных её узлов от различных типов внешних вмешательств. Актуальность данных вопросов рассмотрена, в частности, в работах Р. Г. Шыхалиева, а также В.В. Коренькова, А.В. Ужинского и др.
Кроме того, актуальными проблемами разработки систем сетевого мониторинга являются увеличение точности анализа состояния входящих в состав ВС узлов, т. е. обеспечение максимального соответствия показаний системы мониторинга реальному состоянию информационной системы, а также уменьшение интенсивности обмена служебным трафиком и минимизация влияния подсистемы мониторинга на функционирование других подсистем вычислительной сети или распределенной системы.
В связи с изложенным задачи исследования и разработки методов мониторинга и диагностики вычислительных сетей и распределенных систем, а также систем мониторинга на их основе в настоящее время являются актуальными.
Целью работы является разработка метода и алгоритмов мониторинга ВС, основанных на анализе временных закономерностей в работе стека протоколов TCP/IP, и построение системы сетевого мониторинга на их основе.
Для достижения поставленной цели были решены следующие задачи:
-
Исследование и анализ современных подходов к организации систем сетевого мониторинга (ССМ). Классификация и исследование методов и алгоритмов анализа характеристик функционирования стека протоколов TCP/IP удаленного сетевого узла, оценка существующих ССМ, использующих в своем составе методы и алгоритмы данного класса.
-
Разработка временной модели функционирования стека протоколов TCP/IP при отработке механизма повторных передач.
-
Разработка метода и алгоритмов анализа стека протоколов TCP/IP удаленного сетевого узла, основанных на совместном анализе временных и функциональных характеристик TCP/IP с использованием методов многоклассовой классификации в качестве аналитического средства.
4. Выбор классификатора для разработанных метода и алгоритмов; определение конфигурации выбранного классификатора, обеспечивающей наибольшую эффективность работы разработанных метода и алгоритмов.
-
Исследование и оценка разработанных алгоритмов и их применимости в ССМ; разработка алгоритма конвейерного опроса сетевых узлов.
-
Разработка комплекса программ, реализующих функции сетевого мониторинга на основе разработанных метода и алгоритмов, внедрение разработанных программных средств в реальную ССМ и исследование их работоспособности.
Объектом исследования в диссертационной работе являются процессы мониторинга и диагностики вычислительных сетей и построенных на их основе распределенных систем.
Предметом исследования являются методы анализа характеристик функционирования стека протоколов TCP/IP удаленных сетевых узлов и возможности их применения в системах сетевого мониторинга.
Методы исследования. Теоретическая часть работы выполнена на основе методов системного анализа, интеллектуального анализа данных и математической статистики. В экспериментальной и практической частях работы приме-
няются методы распределенных вычислений, численные методы, методы интеллектуального анализа данных.
Научная новизна полученных результатов заключается в следующем:
-
Разработана временная модель функционирования стека протоколов TCP/IP при отработке механизма повторных передач.
-
Разработан метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.
-
Определена конфигурация классификатора на базе метода опорных векторов (МОВ), обеспечивающая наибольшую эффективность работы разработанных алгоритмов.
-
На основе разработанной временной модели механизма повторных передач и результатов обобщения её реализаций для различных версий стека протоколов TCP/IP разработан алгоритм конвейерного опроса узлов сети.
Практическая значимость. Практическую ценность имеют следующие полученные автором результаты:
-
Методика идентификации версии стека протоколов TCP/IP на основе совместного анализа временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора.
-
Алгоритм конвейерного опроса узлов сети, предназначенный для извлечения значений анализируемых характеристик TCP/IP.
-
Программный комплекс мониторинга вычислительной сети, основанный на разработанных моделях и алгоритмах.
На защиту выносятся следующие основные результаты и положения:
-
Метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.
-
Конфигурация классификатора на базе МОВ, обеспечивающая наибольшую эффективность работы разработанных алгоритмов.
-
Алгоритм конвейерного опроса узлов сети, предназначенный для практического применения разработанных метода и алгоритмов.
-
Комплекс программ сетевого мониторинга, основанных на разработанных моделях и алгоритмах.
Апробация работы. Основные результаты работы докладывались и обсуждались на XVII Международной открытой научной конференции «Современ-
ные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем» (Воронеж, ноябрь 2011 г. - январь 2012 г.), VII международной научно-практической конференции «Перспективные разработки науки и техники» (Przemysl, Польша, 7-15 ноября 2011 г.), 64-й и 65-й научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ «ЛЭТИ» (Санкт-Петербург, январь-февраль 2011 г. и январь-февраль 2012 г. соответственно).
Достоверность научных положений и результатов работы подтверждается результатами вычислительных экспериментов, результатами испытаний разработанных программных средств в условиях реальных вычислительных сетей, а также апробацией основных положений работы на международных и российских конференциях.
Реализация и внедрение результатов. Теоретические и практические результаты работы внедрены в рамках НИР «Разработка системы гидроакустического мониторинга акватории на базе покровных антенн», выполняемой по заказу ОАО «Концерн «Океанприбор», в составе подсистемы сетевого мониторинга цифрового вычислительного комплекса обработки гидроакустических сигналов. Разработанный комплекс программ используется также в качестве ССМ корпоративной сети кафедры Математического обеспечения и применения ЭВМ Санкт-Петербургского государственного Электротехнического университета «ЛЭТИ». Результаты работы используются в рамках учебного процесса по дисциплинам «Сети и телекоммуникации» и «Сетевые технологии» для подготовки бакалавров и магистров по направлениям 231000 «Программная инженерия» и 010400 «Прикладная математика и информатика».
Публикации. По теме работы опубликованы 11 научных работ, среди которых 3 публикации в ведущих рецензируемых изданиях, рекомендованных ВАК, 1 монография, 2 учебно-методических издания и 1 учебное пособие.
Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения, списка сокращений и обозначений, библиографического списка, 3 приложений. Общий объем диссертации составляет 138 страниц, включая 31 рисунок и 16 таблиц. Библиографический список включает 102 наименования.
Методы мониторинга вычислительных сетей
Однако в связи с интенсивным развитием компьютерных сетей и всё больших требований по безопасности и отказоустойчивости на смену данному методу пришел метод последовательно-параллельного опроса. Основное его отличие от метода последовательного опроса состоит в том, что диапазон адресов разбивается на несколько групп, в каждой из которых параллельно реализуется последовательный интервальный опрос. Подобная организация процесса опроса узлов позволяет сократить время, затрачиваемое на мониторинг сети. Тем не менее, данный подход характеризуется следующими недостатками: при неправильном выборе числа групп система мониторинга работает или неэффективно (если количество групп меньше оптимального) или, в худшем случае, приводит к перегрузке сервера; затруднена адаптация к возможным изменениям в конфигурации сети, поскольку ССМ, организованная по принципу последовательно-параллельного опроса не полностью использует свободные ресурсы, когда это возможно.
В ряде случае современные ССМ используют метод «массовой рассылки» [11,15], суть которого заключается в первоначальной отправке запросов всем узлам ВС, состояние которых необходимо оценить, формировании очереди ответов и последующем последовательном анализе полученных данных. Данный метод является эффективным для малых и средних сетей, но не обеспечивает достоверности данных мониторинга для крупных корпоративных сетей. Это связано с тем, что между опросом устройства и обработкой информации может пройти значительное время, в течение которого состояние устройства может измениться. Кроме того, немаловажный недостаток заключается в том, что при использовании метода «массовой рассылки» могут возникать моменты генерации чрезмерного объема трафика, что способствует перегрузке сети. Наиболее эффективным и получившим широкое распространение в современных ССМ является метод событийного опроса. Его идея состоит в том, что на устройствах, являющихся объектами мониторинга, устанавливаются агенты, которые при любом изменении параметров наблюдаемых устройств пересылают на сервер мониторинга информацию о произошедших изменениях. Недостатком данного подхода является необходимость унификации интерфейсов агентов. Зачастую такие интерфейсы очень разнообразны, что препятствует применению событийного подхода для мониторинга широкого спектра разнообразных устройств. В процессе развития методов мониторинга метод событийного опроса трансформировался в две основные методики получения характеристик функционирования системы. В первой сенсоры (агенты) опрашиваются постоянно с определенной периодичностью, во второй - только при необходимости, например, после возникновения какого-либо события, либо агенты самостоятельно отправляют серверу мониторинга данные об изменившемся состоянии наблюдаемого узла.
По воздействию на сеть методы мониторинга делятся на две категории: пассивные и активные методы. К пассивным методам относится прослушивание и анализ сетевого трафика. Активные методы мониторинга подразумевает опрос сетевых узлов на предмет сбора информации об их состоянии, инициируемый ССМ. К данной группе методов мониторинга относятся протокол SNMP [16], использование некоторых типов ІСМР-сообщений, различные методы сканирования узлов сети на предмет получения сведений о запущенных на них службах и установленном ПО.
По критерию удаленности от анализируемой системы (сети) выделяют следующие группы методов [17,13]: 1. Ручной - подразумевает получение необходимых характеристик устройств при их визуальном осмотре или непосредственном физическом доступе к устройствам. 2. Удаленный - предполагает получение параметров устройства при обращении к нему с использованием тех или иных средств связи. З. Псевдоудаленный - предусматривает получение параметров устройства с использованием временного промежуточного хранилища данных. Реализуется следующим образом: a) запуск клиентского приложения на удаленном устройстве; b) размещение клиентским приложением полученных данных во временном накопителе на сетевом диске; c) обработка серверным приложением данных, хранящихся во временном накопителе. Современные ССМ строятся на основе удаленных методов сетевого мониторинга. Псевдоудаленный мониторинг применяется в небольших сетях и при мониторинге сугубо специфических параметров, характерных для конкретного устройства. Ручной опрос сети является устаревшим способом.
Для решения задачи анализа и интерпретации данных в составе ССМ используются разнообразные подходы [18]. Рассмотрим основные методы обработки и анализа данных, получившие широкое распространение в современных ССМ [19].
Иерархическая архитектура. В большинстве случаев для анализа используются данные различных уровней. Самый нижний из уровней содержит информацию об отдельных пакетах либо суммарную информацию о сетевом трафике. На следующем уровне существуют так называемые «bunches» - наборы пакетов, не всегда упорядоченные, и «landmarks» - наборы пакетов, относящиеся к определенному узлу. Наборы пакетов объединяются в последовательности, а они, в свою очередь, в подключения. Информация о подключениях представляет данные о трафике, а полная информация обо всем сетевом трафике дает представление об общем состоянии сети.
Метод Грега Талека
В связи с наличием отмеченных ранее недостатков алгоритма Франка Вей-сета и метода Грега Талека, заключающихся в возможной недостоверности результатов анализа, использование рассмотренных алгоритмов в качестве автономных средств ИОС в современных ВС представляется нецелесообразным. Автором предлагается метод ИОС, основанный на совместном анализе временных и функциональных характеристик стека протоколов TCP/IP целевого узла (далее - метод TCP-FTA) и сохраняющий преимущества алгоритма Франка Вейсета и метода Грега Талека - необходимость наличия только одного открытого TCP-порта на целевом узле, низкий уровень потребления трафика и низкую степень обнаружения системами IDS [64-66].
Для реализации функций ИОС инициируется TCP-соединение с анализируемым узлом и осуществляется сбор значений временных характеристик (сигнатура RING или ГТ). Далее осуществляется сбор функциональных характеристик TCP/IP. Векторы значений временных характеристик г размерностью ./V и функциональных характеристик F размерностью М объединяются в единый вектор признаков У размерностью D, где D = N + М, У = TN u FM, после чего вектор V передается для анализа многоклассовому классификатору, предварительно обученному на данных из эталонной базы сигнатур (Sf). Результатом классификации является номер R сигнатуры из базы сигнатур, наиболее близкой к сигнатуре V . Версия ОС, соответствующая результирующей сигнатуре R, является наиболее вероятной версией ОС, выполняющейся на анализируемом узле.
В качестве временных характеристик метод TCP-FTA предполагает использование сигнатур RING или ГТ. Выбор набора используемых функциональных характеристик определяется функциональными требованиями, поставленными при разработке метода TCP-FTA, а именно минимизацией уровня потребления трафика, прозрачностью для систем IDS и минимизацией требований по количеству открытых и/или закрытых портов TCP/UDP на целевом узле. Для формирования набора функциональных характеристик TCP/IP, используемых методом TCP-FTA, проведен сравнительный анализ по перечисленным критериям алгоритмов извлечения значений функциональных характеристик TCP/IP, используемых соответствующими методами ИОС и изложенных в 1.4.3. Результаты сравнительного анализа представлены в таблице 2.3.
Поставленным критериям удовлетворяют алгоритмы извлечения следующих функциональных характеристик TCP/IP: размер окна TCP, опции TCP, значения временной метки, поддержка функций ECN, значение бита дефрагмента-ции, время жизни пакета. Важной особенностью перечисленных характеристик является возможность их извлечения посредством анализа пакета SYN-ACK, передаваемого целевым узлом в рамках процедуры установления ТСР-соединения, инициирование которой необходимо для последующего получения сигнатуры RING или ГТ. Таким образом, процедуры извлечения значений функциональных и временных характеристик стека протоколов TCP/IP в рамках метода TCP-FTA могут быть объединены. Таблица 2.3 - Сравнительный анализ функциональных особенностей извлечения значений функциональных характеристик TCP/IP
ФункциональнаяхарактеристикаTCP/IP Требования к наличию открытых и закрытых портов TCP/UDP Количество передаваемых пакетов; ориентировочный объем трафика (байт) Типы передаваемых пакетов Прозрачность для систем IDS Размер окна TCP Один открытый порт TCP 2; 120 SYN SYN-ACK Высокая Опции TCP 2; 120 SYN SYN-ACK Высокая Алгоритм формированияISN Не менее 6; не менее 360 SYN SYN-ACK Низкая Значение временной метки 2; 120 SYN SYN-ACK Высокая Поддержка TCP Overlap Не менее 6; не менее 400 SYNSYN-ACKACKДанные Высокая Накопительное окно TCP Не менее 5; не менее 300 SYNSYN-ACKACKДанные Высокая Поддержка ECN 2; 120 SYN SYN-ACK Высокая Значение бита дефрагментации Не требуется или один открытый порт TCP Не менее 2; не менее 120 SYN/SYN-ACKили ICMP эхо-запрос/эхо-ответ Средняя Время жизни пакета Высокая Способ формирования идентификатора заголовка IP Один открытый порт TCP Не менее 6; не менее 300 SYN SYN-ACK Низкая
Известно [31], что важнейшими показателями, характеризующими версию ОС и стека протоколов TCP/IP сетевого узла являются размер окна и опции TCP, а также время жизни пакета. Поскольку алгоритмы извлечения значений перечисленных характеристик удовлетворяют требованиям, поставленным при разработке метода TCP-FTA, анализ данных характеристик в рамках метода TCP-FTA представляется целесообразным.
С целью определения целесообразности обработки в рамках метода TCP-FTA значений временной метки и бита дефрагментации был проведен анализ значений указанных характеристик в составе пакета SYN-ACK более чем 40 различных версий ОС различных семейств, включая Linux, Windows, FreeBSD, OpenBSD, NetBSD, Mac OS, Novell Netware, QNX, OS/2, Solaris. В результате исследования установлены следующие факты:
1. Бит дефрагментации не устанавливают следующие ОС: некоторые версии OpenBSD (в частности версии 3.0, 4.8, 5.3), OS/2 Warp 4, QNX 6.3, а также Windows Server 2003.
2. В случае поддержки временных меток нулевое значение временной метки устанавливают следующие ОС: QNX 6.3, Windows 2000, Windows ME, Windows Server 2003, Windows XP. Прочие ОС устанавливают значение временной метки, отличное от нуля.
Поскольку перечисленные ОС в сравнении с прочими проанализированными ОС характеризуются различающимися значениями основных функциональных характеристик (набора опций, размера окна и времени жизни пакета) и сигнатур RING и ГТ (см. 2.5), их идентификация с использованием метода ТСР-FTA может быть выполнена с высокой степенью достоверности, не зависящей от учета значений бита дефрагментации и временной метки. Таким образом, включение значений временной метки и бита дефрагментации в состав анализируемых функциональных характеристик стека протоколов TCP/IP в рамках метода TCP-FTA не является необходимым.
Анализ поддержки функций ECN не проводился. Современные реализации стека протоколов TCP/IP обеспечивают поддержку ECN, но данная функция является отключаемой, что позволяет пользователям вручную управлять её использованием [31]. Таким образом, факт наличия или отсутствия поддержки ECN не является отличительной характеристикой конкретной реализации стека протоколов TCP/IP и версии ОС, в связи с чем использование данной характеристики в рамках метода TCP-FTA не является целесообразным.
На основе вышесказанного сформирован перечень функциональных характеристик стека протоколов TCP/IP, используемых для анализа в рамках метода TCP-FTA, включающий следующие характеристики TCP/IP: набор опций и порядок их объявления, размер окна TCP, время жизни пакета (TTL). Дополнительно в состав анализируемых функциональных характеристик включено так же значение опции масштабирования окна (Window Scale, WS). Установлено, что в случае поддержки соответствующей опции значение WS может быть нулевым, либо отличным от нуля и динамически устанавливаемым ОС. При этом в ряде случаев различные версии ОС могут различаться методом TCP-FTA, оперирующим перечисленными выше функциональными характеристиками и сигнатурами RING и ГТ, только при условии учета значения WS (в частности, это справедливо для ОС Linux 2.6.4 и Linux 2.6.9, см. 2.5), что свидетельствует о целесообразности отдельного учета значения данного параметра.
Исходя из вышесказанного вектор функциональных характеристик TCP/IP, анализируемых в рамках метода TCP-FTA, выглядит следующим образом: F={T, W,S,0}, где Т- значение времени жизни пакета (TTL); W - характеристика использования анализируемым стеком протоколов TCP/IP функции масштабирования окна; S - значение размера окна TCP; О - код набора опций (каждой уникальной последовательности опций TCP ставится в соответствие целочисленный порядковый номер).
Система мониторинга целостности сетевой инфраструктуры, основанная на использовании метода TCP-FTA
В качестве вектора признаков используется вектор признаков TCP-FTA2 (см. таблицу 2.5), расширенный до шестнадцати значений анализируемых тай-маутов повторных передач потерянных пакетов. Таким образом, используемый вектор признаков выглядит следующим образом: {Т, W, S, О, A, D2, A, DA, А, А, А, А, А, Ао, Аь Аг, Аз, А4, As, Аб, RR}
Следует отметить, что для данного вектора признаков характерна неоднородность признаков. Так, набор {А, А, А, А, А, А, А, А, А, Ао, Аь Аг, Аз, А4, As, Аб} фактически представляет собой один составной признак. При этом входящие в его состав отдельные элементы занимают большую часть вектора признаков, что увеличивает значимость (вес) данного признака для алгоритма классификации и приводит к искажению результатов. Для достижения равномерности распределения признаков вектор признаков был расширен путем дублирования параметров Т, W, S, О, RR В составе вектора признаков до достижения количества значений данных параметров равного 16.
Исследование включает следующие основные этапы: 1. Формирование базы сигнатур TCP-FTA2 для различных ОС. 2. Тестирование разработанной программной реализации метода TCP-FTA и программных продуктов, реализующих функции ИОС, на ОС, входящих в сформированную базу сигнатур. 3. Обработка и анализ результатов.
Формирование базы сигнатур осуществляется также разработанным приложением. Приложение функционирует в консольном режиме, тип операции (добавление в базу сигнатур новой записи или идентификация версии ОС целевого узла) задается соответствующим аргументом команды запуска. В режиме обновления БД сигнатур вместо классификации полученного вектора признаков (см. рисунок 2.6, б) выполняется его сохранение в БД сигнатур, название ОС задается пользователем. БД сигнатур реализована тремя текстовыми файлами формата CSV, содержащими:
Сформированная база сигнатур TCP-FTA2 включает 36 наименований. В удобном для восприятия табличном виде полученная база сигнатур представлена в приложении Б.
В целях проведения исследования использовались инсталляции проанализированных ОС, созданные с использованием средств виртуализации, представленных программными продуктами Oracle VM VirtualBox 4.2.12 и VMware Workstation 9.0. Исследование эффективности алгоритма TCP-FTA2 проведено в сравнении с результатами работы следующих сетевых сканеров, реализующих активные методы ИОС: 1. NMap 6.25. NMap является наиболее распространенным средством ИОС, реализующим весь спектр активных методов ИОС, за исключением анализа временных характеристик TCP/IP [31]. Считается наиболее эффективным программным средством ИОС [68,86]. 2. XProbe2. Использует методы анализа ответов ICMP [79,87]. 3. SinFP2 и SinFP3. Основаны на анализе значений функциональных характеристик TCP/IP, извлекаемых из пакета SYN-ACK [72].
Для каждого теста формировалась обобщенная оценка точности предположения о версии ОС целевого узла каждой программной реализации, помимо непосредственно совпадения результата с действительной версией ОС учитывающая также результаты конкурирующих программных продуктов. Критерии установления соответствия между результатами процесса ИОС той или иной программной реализации для каждого теста и присвоенной ей оценкой в рамках данного теста выглядят следующим образом: 100% - правильно определена версия (диапазон версий или корневая версия), конкурирующие ПС не предлагают более точных результатов; 90% - правильно определена ОС и версия (диапазон версий или корневая версия), но результат неточен (результат включает несколько версий од ного поколения ОС данного семейства, или конкурирующие продукты предлагают более точные результаты). 80% - правильно определена ОС и версия, но результат неточен (результат включает несколько версий разных поколений ОС данного семейства). 70% - правильно определена ОС и поколение ОС, но неправильно определена версия. 60% - правильно определена ОС и версия, но результат включает несколько версий различных семейств ОС. ? 50% - правильно определено только семейство ОС. ? 25% - правильно определено только семейство ОС, но при этом результат включает несколько версий ОС из различных семейств. в 0% - результат неверен или ОС не определена. Сравнение точности результатов проанализированных программных реализаций ИОС основано на сравнении количества версий ОС, предлагаемых в качестве возможного результата. Так, например, результат «OpenBSD 3.5 - 4.8» можно охарактеризовать как менее точный, нежели «OpenBSD 4.0 - 4.8».
Под поколением ОС понимается группа версий, сходных по технологическим характеристикам. Для ОС семейства Windows поколения определяются внутренней нумерацией версий (NT 4.0, NT 5.0, NT 5.1, NT 6.0 и т.д.), для ОС Linux поколения задаются общеизвестным делением на группы версий, определяемые технологическими особенностями ядра: 2.2.x, 2.4.x, 2.6.0 - 2.6.5, 2.6.6 -2.6.17, 2.6.18 - 2.6.30, 2.6.Зх, 3.x. Поколения FreeBSD и NetBSD определяются номером корневой версии (6, 7, 8, 9), для ОС OpenBSD деление на поколения отсутствует. Поколение Mac OS X также определяется номером корневой версии (10.4, 10.5, 10.6, 10.7 и т.д.).
Под семействами ОС понимаются наиболее общие группы ОС: Windows, Linux, FreeBSD, OpenBSD, NetBSD, FreeBSD, Solaris, Mac OS X, OS/2, QNX, Novell, Android и др. Подробные результаты тестирования разработанной программной реализации TCP-FTA2 в сравнении с перечисленными программными средствами ИОС представлены в приложении В. Представлены результаты тестов, для которых совокупный набор результатов ИОС исследуемых программных реализаций является уникальным.
На основе полученных результатов определены обобщенные оценки точности результатов ИОС для каждой исследованной программной реализации. Помимо точности результатов был проведен также анализ уровня потребления сетевого трафика.
Все значения, представленные в таблице 2.9, являются усредненными показателями, полученными на основе данных, содержащихся в приложении В.
Полученные результаты демонстрируют превосходство алгоритма ТСР-FTA2 над NMap по критерию CR, являющемуся основным критерием эффективности методов ИОС. Значительное превосходство наблюдается также и по уровню потребления трафика. Программные реализации XProbe2, SinFP2 и SinFP3 демонстрируют низкую достоверность результатов и не являются кон-курентноспособными по сравнению с NMap и TCP-FTA.
Следует отметить, что в реальных условиях эффективность программных реализаций NMap и XProbe2 может быть ниже значений, представленных в таблице 2.8, поскольку XProbe2 функционирует только в том случае, если целевой узел отвечает на запрос ICMP типа «эхо-запрос», a NMap в своей работе использует открытые и закрытые порты TCP и UDP, количество и наличие которых на реальных сетевых узлах обычно минимизировано. В рамках же проведенного исследования анализируемые узлы были специально настроены на отправку запросов «эхо-ответ» в ответ на соответствующие запросы ICMP; кроме того, не предпринималось никаких действий по ограничению количества открытых портов TCP и UDP, поскольку специальная настройка анализируемых ОС после инсталляции не проводилась.
Как уже было отмечено, основным недостатком метода TCP-FTA являются значительные временные затраты на сбор анализируемых характеристик. Так, для ряда ОС (FreeBSD, OpenBSD, Mac OS, устаревшие версии Linux и др.) этот процесс может занять до 15-20 минут. Вместе с тем, в большинстве случаев практического применения методов ИОС (в частности, в задачах аудита информационной безопасности) более важными критериями являются достоверность результатов и минимизация влияния на процесс функционирования целевого узла, а также системы IDS и фильтрации трафика. Общеизвестны [55] серьезные недостатки NMap, заключающиеся в генерации значительного объема сетевого трафика и использовании некорректно сформированных сетевых пакетов, что приводит к срабатыванию систем IDS и в ряде случаев становится причиной нарушения работоспособности целевого узла. Эти недостатки подтверждаются в том числе и результатами проведенного исследования. Таким образом, во многих случаях практического применения методов ИОС программные реализации метода TCP-FTA, в частности, основанные на использовании алгоритма ТСР-FTA2, являются эффективной заменой NMap.
Управление конфигурацией ССМ
Основные результаты и выводы, полученные по итогам выполнения диссертационной работы, заключаются в следующем:
1. Проведены анализ задач сетевого мониторинга, исследование и классификация современных методов мониторинга ВС, использующихся в существующих ССМ, анализ архитектуры ССМ и их классификация. Определены существующие проблемы ССМ, подтверждена актуальность задач разработки новых методов мониторинга ВС.
2. Выполнено исследование существующих методов сбора информации о сетевых узлах, основанных на анализе особенностей функционирования стека протоколов TCP/IP. Проведен анализ применимости подобных методов в задачах сетевого мониторинга и обеспечения сетевой информационной безопасности, выявлены их недостатки. Недостатки существующих методов ИОС заключаются в генерации значительного объема сетевого трафика и использовании некорректно сформированных пакетов, что оказывает влияние на системы IDS и фильтрации трафика и в ряде случае на процесс функционирования целевого узла. Методы же, свободные от подобных недостатков, не обеспечивают достаточной достоверности результатов. Таким образом, существующие методы ИОС обладают ограниченными возможностями применения при решении реальных прикладных задач.
3. На основе проведенного исследования существующих методов ИОС, основанных на анализе временных характеристик функционирования стека протоколов TCP/IP, предложен метод ИОС TCP-FTA, основанный на совместном анализе функциональных и временных характеристик TCP/IP с использованием методов классификации и свободный от функциональных недостатков существующих получивших практическое применение методов ИОС.
4. Разработаны три алгоритма реализации предложенного метода, основанные на использовании метода опорных векторов в качестве классификатора и отличающиеся набором анализируемых характеристик (конфигурацией вектора признаков). Проведено практическое исследование, по результатом которого определен наиболее эффективный алгоритм из числа предложенных с точки зрения степени достоверности классификации. Таким алгоритмом является алгоритм TCP-FTA2, использующий в качестве вектора признаков значения функциональных характеристик TCP/IP и таймаутов повторных передач потерянных пакетов в ситуации потери пакетов при передаче данных по ТСР-соединению.
5. Определены конфигурации линейного, полиномиального, радиально-базисного и сигмоидального ядер МОВ, обеспечивающие наибольшую достоверность классификации векторов признаков для алгоритма TCP-FTA2. Таким образом, определена рекомендуемая конфигурация МОВ для практического применения алгоритма TCP-FTA2.
6. Разработана программная реализация алгоритма TCP-FTA2 и проведено практическое исследование её эффективности в сравнении с существующими программными реализациями активных методов ИОС. Результаты исследования свидетельствует о превосходстве алгоритма TCP-FTA2 по сравнению с существующими активными методами ИОС, получившими практическое применение, по критериям достоверности результатов и объему потребляемого сетевого трафика. В ходе исследования также сформирована база сигнатур ОС для алгоритма TCP-FTA2, насчитывающая 36 наименований, которая может быть использована при практическом применении алгоритма.
7. Предложена модель механизма повторных передач потерянных пакетов данных стеком протоколов TCP/IP. Модель МИН формализует процесс обмена сетевыми пакетами при реализации алгоритма TCP-FTA2 и может быть полезна при практическом внедрении алгоритма.
8. Предложена архитектура ССМ, основанной на использовании алгоритма TCP-FTA2 и предназначенной для мониторинга целостности конфигурации ВС.
9. Проведен анализ применимости метода TCP-FTA2 в задачах аудита ин формационной безопасности сетевых узлов, предложена модель соответствую щих программных средств аудита сетевых узлов.
10. Предложен способ настройки сервера мониторинга, функционирую щего под управлением ОС семейства Linux, для развертывания предложенной ССМ, заключающийся в специальном конфигурировании межсетевого экрана с целью запрета отправки пакетов RST в ответ на сетевые пакеты SYN-ACK от целевого узла, отправленные в ответ на пакеты SYN, сформированные средст вами ССМ в обход системных сокетов ОС сервера мониторинга.
11. Разработан алгоритм конвейерного опроса узлов сети, функционирующих под управлением ОС семейств Windows и Linux, предназначенный для использования в составе предложенной ССМ и позволяющий по сравнению с режимом последовательного опроса узлов значительно повысить количество узлов, мониторинг которых может осуществляться в однопоточном режиме.
12. Предложенная ССМ реализована на языке C++ и внедрена в эксплуатацию в составе реального программно-аппаратного комплекса сетевого мониторинга, о чем имеется соответствующий акт о внедрении. Проведены успешные испытания разработанной ССМ в реальных условиях.
При решении поставленных в диссертационной работе задач получены следующие основные научные и практические результаты:
1. Разработан метод идентификации версии стека протоколов TCP/IP удаленного сетевого узла, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием методов классификации, и набор реализующих его алгоритмов, использующих метод опорных векторов в качестве классификатора и различающихся конфигурацией вектора признаков.
2. Проведено экспериментальное исследование эффективности разработанных алгоритмов, по результатам которого определены наиболее эффективный алгоритм и набор конфигураций классификатора на базе МОВ, обеспечивающих наибольшую точность классификации для данного алгоритма.
