Содержание к диссертации
Введение
ГЛАВА 1. Актуальные аспекты исследования процессов защиты информации в компьютерных сетях и постановка задачи исследования 12
1.1 Современные подходы к обеспечению безопасности информации в компьютерных сетях 12
1.1.1 Методы и средства защиты информации в современных компьютерных сетях 13
1.1.2 Угрозы сетевым средствам защиты информации 23
1.1.3 Скрытный режим функционирования сетевых средств защиты 25
1.2 Особенности и характеристики сетевых процессов при решении задач защиты информации 26
1.2.1 Самоподобие сетевых процессов 27
1.2.2 Статистические характеристики трафика 31
1.2.3 Особенности, влияющие на результаты измерений и синтез моделей сетевых процессов 33
1.3 Модели процессов в компьютерных сетях, учитывающие особенности реализации средств защиты информации 35
1.3.1 Модели сетевого трафика, используемые для описания работы МЭ 35
1.3.2 Описание процессов в узлах сети в классе моделей СМО 41
1.3.3 Постановка задачи исследования 44
Выводы 46
ГЛАВА 2. Разработка модели транспортного соединения при учете изменений состояния среды передачи 48
2.1 Характеристики и параметры трафика на основе анализа экспериментальных данных 48
2.1.1 Анализ непрерывных и дискретных случайных процессов, связанных с изменением состояния среды передачи 48
2.1.2 Проверка гипотезы о характере распределения результатов измерений параметров транспортного TCP соединения 51
2.1.3 Инвариантные характеристики трафика и возможность обеспечения режима скрытной фильтрации... 57
2.2 Описание характеристик сетевых процессов для построения модели МЭ 61
2.2.1 Диффузионная аппроксимация процессов в СМО 61
2.2.2 Модель МЭ как СМО типа G/D/1 67
2.2.3 Статистические характеристики МЭ и их использование для реализации режима скрытной фильтрации 70
2.3 Модель транспортного соединения протокола TCP 75
2.3.1 Логико-динамическая модель транспортного соединения 75
2.3.2 Использование логико-динамической модели для описания процессов изменения состояния транспортного соединения 88
2.3.3 Статистические характеристики и особенности применения модели транспортного соединения при решении задач скрытной фильтрации 96
Выводы 99
ГЛАВА 3. Метод параметрической настройки мэ в режиме скрытной фильтрации 101
3.1 Параметрическая модель МЭ функционирующего в режиме скрытной фильтрации 101
3.1.1 Учет интенсивности поступления данных и размера буфера МЭ 101
3.1.2 Метод расчета инвариантной характеристики для режима скрытной фильтрации 102
3.1.3 Параметрические условия существования режима скрытной фильтрации 103
3.2 Методика параметрической настройки МЭ для обеспечения режима скрытной фильтрации... 104
3.2.1 Выбор параметров МЭ для обеспечения режима скрытной фильтрации 104
3.2.2 Оценка точности выполнения режима скрытной фильтрации 105
3.2.3 Условия реализации режима скрытной фильтрации для МЭ с несколькими сетевыми интерфейсами 107
3.3 Методика применения разработанных моделей для анализа процессов и оценки характеристик трафика при решении задач защиты информации 109
3.3.1 Описание трафика как совокупности сетевых потоков, формируемых различными протоколами 109
3.3.2 Оценки характеристик трафика на основе данных регистрации МЭ 110
3.3.3 Методика применения МЭ в режиме скрытной фильтрации 111
Выводы ИЗ
ГЛАВА 4. Идентификация состояния защищенной компьютерной сети 114
4.1 Средства регистрации процессов при решении задач защиты информации на базе МЭ 114
4.1.1 Подсистема регистрации межсетевого экрана, функционирующего в режиме скрытной фильтрации .114
4.1.2 Идентификация состояния на основе регистрируемых данных 115
4.1.3 Структура базы данных системы идентификации и анализа регистрируемой информации МЭ 118
4.2 Разработка программного обеспечения идентификации и анализа регистрируемой информации МЭ 121
4.2.1 Функции и особенности взаимодействия компонентов системы идентификации и анализа регистрируемой информации МЭ 121
4.2.2 Описание классов и структура данных 126
4.2.3 Система управления доступом к регистрируемой информации 129
4.3 Методика идентификации состояния сети с использованием МЭ в режиме сетевого анализатора
134
4.3.1 Функционирование МЭ в режиме контроля состояния сетевой среды 134
4.3.2 Функции доступа к регистрируемым данным состояния сетевой среды 136
4.3.3 Иерархическая организация запросов и методы агрегирования данных 137
Выводы 140
Заключение 142
Приложение а 145
Список литературы 146
- Особенности, влияющие на результаты измерений и синтез моделей сетевых процессов
- Проверка гипотезы о характере распределения результатов измерений параметров транспортного TCP соединения
- Условия реализации режима скрытной фильтрации для МЭ с несколькими сетевыми интерфейсами
- Структура базы данных системы идентификации и анализа регистрируемой информации МЭ
Введение к работе
Средства обеспечения информационной безопасности являются важнейшей составляющей современных информационных систем. Повсеместное внедрение персональных компьютеров, локальных и глобальных вычислительных сетей, связанных в единую инфраструктуру передачи данных, обостряет проблему использования сетевых средств защиты информации. Для обеспечения информационной безопасности в современных высокоскоростных компьютерных сетях широкое распространение получили методы защиты, использующие межсетевые экраны (МЭ). Основная функция МЭ реализуется на основе контроля параметров заголовков сетевых пакетов или состояния виртуальных соединений с целью принятия решения об их пропуске или удалении.
Исследованию проблем обеспечения безопасности информации, выработки новых подходов к построению защищенных информационных систем и способов организации средств защиты в компьютерных сетях посвящены работы А.Я. Городецкого, B.C. Заборовского, Д.П. Зегжды, Л.М. Ухлинова, А.Ю. Щербакова и других.
Одной из угроз, рассматриваемой при создании информационных систем, является несанкционированное воздействие на устройства защиты, в частности атаки на МЭ. Для отражения угроз такого типа в компьютерных сетях применяется режим скрытного функционирования устройств защиты.
Применимо к МЭ скрытность функционирования достигается за счет того, что фильтрующие интерфейсы не имеют сетевых (IP-адресов) и физических (МАС) адресов. Отсутствие адресов позволяет защитить МЭ от несанкционированных воздействий, основанных на использовании адресной информации. При этом локализация МЭ возможна по косвенным признакам, связанным с анализом особенностей их функционирования. К таким признакам, например, относятся статистические характеристики потоков пакетов, которые проходят через МЭ и доступны для непосредственного измерения. Более высокого уровня безопасности МЭ можно достичь, если в процессе работы будет обеспечиваться скрытность его функционирования не только на уровне адресной информации, но и на уровне доступных для измерения статистических характеристик сетевых процессов (трафика).
Реализация такого режима функционирования МЭ определяется возможностями влияния на статистические и динамические характеристики сетевых процессов, связанных с организацией виртуальных транспортных TCP соединений. Во многих исследованиях для описания свойств сетевых процессов предлагается использовать характеристики статистического самоподобия или масштабной инвариантности трафика, которые в современной литературе принято называть фрактальными. Одной из таких характеристик является показатель Херста Я, с помощью которого описывается отличная от марковских процессов статистическая зависимость между отсчетами значений сетевого трафика в различные моменты времени. Из результатов большого числа исследований известно, что для современных компьютерных сетей значение Н соответствует диапазону 0,6-Ю,8. Это обстоятельство указывает на то, что для описания сетевых процессов непосредственное использование моделей, разработанных в рамках теории систем массового обслуживания (СМО), невозможно, поскольку для них #=0,5.
Актуальной научно-технической задачей, от решения которой зависит возможность реализации режима скрытной фильтрации, является разработка моделей трафика, позволяющих выбирать параметры МЭ, при которых значение Н для потока пакетов на входе и на выходе МЭ остается неизменным. Решение этой задачи позволит идентифицировать фрактальные характеристики трафика и осуществить выбор параметров МЭ, при которых обеспечивается его функционирование в скрытном режиме, что повышает надежность функционирования и уровень безопасности информационных систем в целом.
Цель диссертации
Целью диссертации является обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации на основе разработки и исследования моделей сетевых процессов, используемых для идентификации фрактальных характеристик трафика и позволяющих выбрать параметры МЭ, при которых обеспечивается его функционирование в режиме скрытной фильтрации.
Для достижения поставленной цели решались следующие основные задачи:
1. Разработка методов описания процессов в компьютерных сетях, используемых для построения моделей трафика с учетом свойств масштабной инвариантности.
2. Разработка модели транспортного TCP соединения, используемой для идентификации параметров состояния сетевой среды и исследования влияния алгоритма управления передачей пакетов на фрактальные характеристики трафика.
3. Разработка метода выбора параметров МЭ, для реализации режима скрытной фильтрации с учетом фрактальных характеристик трафика.
4. Разработка архитектуры программного комплекса идентификации трафика и анализа регистрируемой информации МЭ с целью выбора параметров его настройки.
Методы исследований
В работе использованы методы статистической обработки данных, теории случайных процессов, математического моделирования, процедурного и объектно-ориентированного программирования.
Основные научные результаты и их новизна
В диссертации получены следующие основные научные и практические результаты:
Предложен метод описания процессов на уровне виртуальных транспортных соединений с учетом фрактальных свойств потока пакетов.
Разработана модель TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причины возникновения фрактальных свойств сетевых процессов.
Разработан метод параметрической настройки МЭ, осуществляющих фильтрацию трафика в скрытном режиме, с учетом фрактальных характеристик трафика.
Разработана архитектура и реализованы основные компоненты программного комплекса идентификации и анализа регистрируемой информации для обеспечения скрытной фильтрации трафика сетевыми средствами защиты, в частности МЭ.
Положения, выносимые на защиту
На основе результатов диссертационного исследования сформулированы следующие положения, выносимые на защиту:
Модель транспортного TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причину возникновения фрактальных свойств сетевых процессов.
Метод выбора параметров МЭ, для реализации фильтрации трафика в скрытном режиме с учетом фрактальных характеристик сетевых потоков.
Архитектура программных средств идентификации и анализа регистрируемой информации МЭ, а также структура используемой базы данных, соответствующая иерархической связанности сетевых протоколов.
Практическая ценность работы заключается в том, что разработанные модели и методы описания процессов возможно использовать как для создания сетевых средств защиты информации, так и для оценки влияния фрактальных свойств процессов на производительность протоколов транспортного уровня. В основу диссертационной работы положены результаты, полученные автором в период с 2004 по 2007 год, в ходе выполнения научно-исследовательских и опытно-конструкторских работ на кафедре «Телематика» факультета при ЦНИИ РТК ГОУ ВПО «СПбГПУ» и при разработке программного обеспечения анализа регистрируемых данных МЭ, осуществляющих фильтрацию трафика в скрытном режиме и используемых в Федеральной таможенной службе РФ, Министерстве образования и науки, а также в других учреждениях.Внедрение результатов
Результаты проведенных исследований нашли практическое применение в разработках, в которых автор принимал личное участие:
1. Разработанное программное обеспечение используется в таможенных органах РФ в рамках проекта «Сопровождение средств сетевой безопасности при интеграции локальных сетей таможенных органов».
2. Разработанные программные средства анализа параметров трафика при использовании МЭ внедрены в эксплуатацию в Федеральной таможенной службе РФ, ФГУ ГНИЙ ИТТ «Информика», ОАО «Ленэнерго», правительстве Ленинградской области.
Апробация и публикация результатов работы
Результаты, полученные в диссертационной работе, докладывались на семинаре «Проблемы современных информационно-вычислительных систем» в МГУ им. М.В. Ломоносова, а также на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 7 статей, в том числе 2 на международных конференциях.
Структура и объем диссертации
Диссертационная работа общим объемом 153 стр. состоит из введения, четырех глав, заключения и списка литературы (включая 59 рисунков, 3 таблицы и списка литературы из 64 наименований).
В первой главе рассмотрены угрозы безопасности характерные для современных информационных систем, методы и средства защиты информации в компьютерных сетях и проведен анализ актуальных вопросов, связанных с исследованием сетевых процессов.
Во второй главе рассмотрено влияние фрактальных свойств, связанных со свойством статистического самоподобия вторых моментов трафика. Определены количественные и качественные характеристики трафика, при этом модель МЭ представлена в виде СМО с фрактальным входным потоком, а модель транспортного TCP соединения использована для описания его фрактальных свойств.
В третьей главе представлен метод параметрической настройки, обеспечивающий функционирование МЭ в режиме скрытной фильтрации и учитывающий фрактальные свойства процессов.
В четвертой главе представлена архитектура и программный комплекс идентификации и анализа состояния сети на основе регистрируемой информации межсетевого экрана в скрытном режиме. Для идентификации состояния сети используется МЭ в режиме сетевого анализатора.
В заключении сформулированы результаты работы.
Особенности, влияющие на результаты измерений и синтез моделей сетевых процессов
При исследовании процессов в компьютерных сетях в контексте обеспечения информационной безопасности важным является обоснование их математических моделей. Эти модели должны адекватно отражать свойства реальных процессов, протекающих в компьютерных сетях, а также допускать их исследование известными теоретическими методами [6,17]. Достаточно широкий обзор моделей сетевых процессов приведен в [7,10,50,55].
Рассмотренные далее модели сетевых процессов являются наиболее типичными в практике исследований с учетом реальных режимов работы и во многих случаях могут являться базовыми при формировании более сложных моделей.
Винеровский процесс
Винеровский процесс является математической моделью броуновского движения (БД) или случайного блуждания (СБ) с непрерывным временем.
Случайное блуждание состоит в том, что последующее положение, которое займет процесс, равно предыдущему положению плюс случайное перемещение, величину которого выбирают из произвольного распределения, неизменного для любого состояния процесса. Таким образом, последовательность {SJ -есть случайное блуждание, если Sw=Xl+X2+... + Xn=S +Xn,n = l,2..., (1.1) где S0=0, a J,,X,,... - последовательность независимых одинаково распределенных случайных величин. Считается, что определение промежутков времени между переходами из состояния п в п+1 произвольно, поэтому случайные блуждания являются частным случаем полумарковских процессов (т.е. процессов, у которых распределение времени нахождения в отдельных состояниях отличается от геометрического). Примером такого блуждания является броуновское движение. Случайное блуждание в соответствии с (1.1) является процессом с независимыми приращениями.
Рассмотрим определение винеровского процесса. Случайный процесс W(г) называется винеровским, если выполняются следующие условия:
1. И (0) = 0;
2. W{t) - процесс с независимыми приращениями;
3. W(t)-W(s) N(0,t-s), для любых 0 / s o, где N(0,t-s)- нормальное распределение со средним 0 и дисперсией t-s.
Основные функции винеровского процесса: Wit) - гауссовский процесс; W(f) - марковский процесс ; M[W(t)] = Q; D[W(t)] = t2", где показатель Херста Я = 1/2; K[W(t),W(s)] = mm(t,s).
W{t) - нестационарный процесс, дисперсия которого растет по мере роста t, хотя приращения этого процесса стационарны. При значении показателя Херста Я 1/2 процесс W{t) представляет собой фрактальное броуновское движение (ФБД).
Марковские процессы
Марковские процессы составляют класс математических моделей, аппроксимирующих широкий спектр случайных процессов и позволяют решать многие задачи благодаря хорошо разработанному математическому аппарату. В этот класс включают гауссовкие и негауссовские, непрерывные и импульсные процессы. Основные виды марковских процессов классифицируются в соответствии с задаваемыми значения на временных и числовых множествах. В зависимости от того, непрерывные или дискретные значения принимает случайная величина на множествах X и ее аргумента Т, различают следующие виды Марковских процессов:
- марковские цепи - дискретный процесс с дискретным временем;
- непрерывный процесс с дискретным временем - случайные последовательности с непрерывными значениями;
- дискретный процесс - дискретный случайный процесс с непрерывным временем;
- непрерывный процесс.
Приведем общее определение марковского процесса. Случайный процесс (0 te(0,T), называется марковским, если для любых п моментов времени из интервала (О,Г) г, г2 ... /„ для условных распределений вероятностей справедливо соотношение
РШ х„ \ tnA) = x„_v..., t{) x,} = P{ tn) xn\ tnA) = xnA}.
Данная запись означает, что при фиксированном состоянии процесса в настоящий момент времени ta_x будущее для момента времени tn не зависит от прошлого в моменты /л_2,.../,. Общим для рассматриваемых процессов является свойство, позволяющее представить многомерные вероятностные характеристики в виде произведения одномерной начальной вероятности P(xutx) на n-\ условных вероятностей перехода n(x„t, ,._,, ,_,), где индекс п соответствует моменту t„, Ptf(tn) = „...,(/,) = ,} = Р(хи1х)\[я{х де,.,,/,.,). Наиболее подробно с изложением теории марковских процессов и вопросами практического применения можно ознакомиться в работах [7,14,36,37].
Проверка гипотезы о характере распределения результатов измерений параметров транспортного TCP соединения
По внешнему виду полученных из временных рядов гистограмм сложно сделать вывод о соответствии полученных данных какому-либо закону распределения. Хорошо известны критерии для проверки гипотез о типе закона распределения вида: где а - фиксированный вектор параметров. Здесь а либо оценивается по выборке, либо отсутствует (как, например, в критерии Колмогорова). Важно, что проверяемый закон задается однозначно, то есть имеет простую гипотезу.
Более сложной является задача, где нужно установить факт принадлежности распределения X к некоторому семейству распределений с какими-либо параметрами а,,...,а/} принадлежащих некоторому множеству Q. f - теоретический закон распределения, задаваемый с точностью до значений параметров alf...,a,. Гипотеза (2.2) является сложной - в отличие от (2.1). f(x) - жестко не фиксируется, а лишь ограничивается, а лишь ограничивается пределами некоторого множества. Задачу (2.2) называют задачей проверки типа распределения. Этот тип задается видом функции теоретического закона fix; а) и множеством Q.
Из задач на проверку типа распределения достаточно хорошо изучена задача для двухпараметрического семейства где fix) - задается, параметр ах называют параметром сдвига, а параметр а2 - параметром масштаба. Можно рассмотреть частный случай (2.4), где а2 = 1 (только сдвиг), либо ах=0 (только масштаб). Второй случай интересен для показательного закона. Формула (2.4) означает, что х = а2х0+а1. (2.5)
То есть выясняется, может ли выборка соответствовать случайной величине, полученной из стандартной случайной величины х0, распределенной по закону f0, с помощью некоторого преобразования вида (2.5).
Сформулированная задача возможна в двух вариантах. В первом варианте задается одна выборка Xv...,Xn, все элементы которой распределены по закону вида (2.4). То есть здесь закон распределения X, - одинаков, элементы Х.х независимы. Это обычная постановка для математической статистики. Считаем, что (2.4) выполняется и примем
Наиболее подробный обзор критериев показательности можно найти в работе [60]. Иногда осуществляется преобразование показательной выборки к нормальной, а затем применяется хорошо разработанные критерии нормальности (критерий Шапиро-Уилка [41]).
Соответствующий критерий называют WE - критерий [41]. Данный критерий прост и хорошо разработан, однако он не самый мощный и не учитывает все нюансы показательного распределения.
Поэтому дадим обзор некоторых подходов, изложенных в работах [27,53,58,60,61,62]. Разработан ряд специальных критериев на основе общих критериев согласия, в которые вносятся уточнения, вытекающие из конкретного вида теоретического закона (2.9).
В работе [52] предлагается статистика Колмогорова - Смирнова -Лиллиефорса Наиболее мощные критерии экспоненциальное используют тонкие свойства показательного распределения. Чаще всего применяют нормированные спейсинги ;=( + l-0k)-Vi)L (2Л7) где 1 і п, x{i) - обозначает і-ю порядковую статистику. Формально х(0) = 0, для случая (2.9) все X - независимы и одинаково распределены по тому же закону, что и X,. Это свойство является характеризационным для распределения (2.9). Если выборка {х имеет распределение (2.9), то тогда \Х }"Ы имеет точно такое же распределение. Большинство специальных критериев показательности имеет вид где х =-Ух есть средний нормированный спейсинг.
Экспериментальные данные были проверены критериями Колмогорова-Смирнова и Шапиро-Уилка W.
Условия реализации режима скрытной фильтрации для МЭ с несколькими сетевыми интерфейсами
Рассмотрим процесс обработки трафика. Пакеты передаются на сетевую карту и сохраняются в буфере. Когда буфер наполняется, карта вызывает прерывание и драйвер сетевой карты копирует данные из буфера карты (mbufs) в память ядра. После того как пакет передан в mbuf, время выполнения всех дальнейших операций, проводимых с пакетом не зависит от его размера, так как производится анализ только его заголовка. Если пакет необходимо пропустить, то пакет будет передан драйверу сетевой карты, который извлечет его из mbuf и передаст в линию.
Большинство этих операций имеет сравнительно высокую стоимость из расчета на один пакет, но очень низкую стоимость исходя из размера пакета. Следовательно, обработка большого пакета лишь ненамного дороже обработки маленького пакета.
Некоторые ограничения накладываются аппаратными средствами. Например, машины класса ІЗ 86 не обрабатывают более чем 10,000 прерываний в секунду, независимо от скорости процессора, что вызвано ограничениями архитектуры. Некоторые сетевые адаптеры генерируют одно прерывание на каждый пакет. Следовательно, узел начнет терять пакеты, когда их количество превысит приблизительно 10 000 пакетов в секунду. Другие карты, например, более дорогие, гигабитные имеют большие встроенные буферы, что позволяет им связывать несколько пакетов в одно прерывание. Следовательно, выбор аппаратных средств может наложить некоторые ограничения на производительность [11].
В среде передачи Ethernet максимальный размер кадра, который может быть передан или принят адаптером, составляет 1538 байт, в который входят:
- начало кадра, 8 байт;
- Ethernet заголовок, 14 байт;
- данные, до 1500 байт;
- контрольная сумма, 4 байта;
- межпакетный интервал, 12 байт.
Контроллер способен принимать и отправлять полные Ethernet кадры:
- для 1 Гбит/с - каждые 12.3 микросекунды или, примерно, 81000 кадров в секунду (1,000,000,000/1538/8 81000);
- для 100 Мбит/с - каждые 123 микросекунды или, примерно, 8100 кадров в секунду (100,000,000/1538/8 8100).
При нормальной работе сети не все пакеты имеют полный размер, поэтому их реальное количество может составлять гораздо большее значение. Обработка пакетов на такой скорости требует значительной производительности, поэтому от эффективности работы физического уровня зависит не только скорость передачи в сеть, но и состояние системы в целом.
Работу сетевого интерфейса можно разделить на 2 этапа - это прием/передача пакетов и размещение их в буферах. Оба эти процесса взаимосвязаны между собой - перед тем как пакет будет отправлен в сеть, сначала он помещается в буфер сетевой карты, а в случае приема пакета из сети, наоборот.
Драйвер выделяет буферы в физической памяти, где сетевая карта сохраняет вновь прибывшие пакеты. Для определения размера выделяемой памяти используются, как правило, 2 параметра - это количество буферов (один буфер -один пакет), которые задаются в конфигурации сетевой карты, и максимальный размер передаваемого сегмента (Maximum Transfer Unit MTU). Последний параметр используется драйвером для определения, количества памяти, которое необходимо выделить под один буфер. Если MTU не использовать, то может случиться, что выделенный буфер окажется меньше, чем принимаемый пакет, или выделенной памяти окажется больше. Например, некоторые сетевые адаптеры для MTU 1500 выделяют по 2048 байт. Получается, если выставить количество буферов в 5000 для входящих пакетов, то драйвер выделит примерно 10 Мбайт памяти [12].
3.3 Методика применения разработанных моделей для анализа процессов и оценки характеристик трафика при решении задач защиты информации
3.3.1 Описание трафика как совокупности сетевых потоков, формируемых различными протоколами
Функционирование МЭ с одним входным и одним выходным интерфейсами может быть представлено в виде СМО типа G/D/1. В условиях высокой интенсивности трафика модель описания СМО основана на диффузионной аппроксимации входного потока G. В этом случае, входной трафик N(t) аппроксимируется выражением N(t) к + 4kWH(t), где Л- интенсивность, WH(t) фрактальное броуновское движение с функцией распределения Щ ч - н г—е , где Н - показатель Херста. Поскольку производительность центрального процессора МЭ много больше производительности сетевых интерфейсов, т.е. время обработки пакетов является постоянной величиной, в модели МЭ процедура обслуживания D аппроксимируется детерминированным законом.
Структура базы данных системы идентификации и анализа регистрируемой информации МЭ
Регистрируемые данные межсетевого экрана сохраняются в базе данных [47] (рис. 4.2), которая содержит таблицы с информацией о зарегистрированных пакетах, сессиях и событиях, происходящих на межсетевых экранах, а также таблицу со статистической информацией о пакетах и список межсетевых экранов, от которых поступает регистрируемая информация.
1 Рис. 4.2 Структура базы данных Наименование и назначение всех таблиц, входящих в состав базы данных регистрируемой информации, приведены в таблице 4.1.
Разработка программного обеспечения идентификации и анализа регистрируемой информации МЭФункции и особенности взаимодействия компонентов системы идентификации и анализа регистрируемой информации МЭ
Система идентификации и анализа регистрируемой информации межсетевого экрана предназначена для преобразования, отображения, идентификации и анализа информации о событиях, происходящих в процессе работы межсетевого экрана и пакетах/сессиях, проходящих через его фильтрующие интерфейсы. Система включает в свой состав две подсистемы: конвертации и хранения и визуализации. Общая схема представлена на рисунке 4.3.
Подсистема конвертации и хранения. Данная подсистема реализована на языке высокого уровня C++ в виде однопоточного приложения - службы, которая осуществляет конвертацию бинарных файлов регистрации и распределение записей о пакетах и событиях по таблицам базы данных (ПАКЕТЫ, ЕТН, IP, TCP, UDP, ICMP, ARP, IPX, СЕССИИ, СОБЫТИЯ).
База данных реализована при использовании библиотека SQlite, которая представляет собой кросс-платформенную встраиваемую библиотеку, реализующую стандарт SQL 92. SQLite не использует парадигму клиент-сервер, то есть ядро SQLite не является отдельно работающим процессом, с которым взаимодействует программа, а предоставляет библиотеку, с которой программа компонуется и ядро становится составной частью программы. Таким образом, в качестве протокола обмена используются вызовы функций (API) библиотеки SQLite. Такой подход уменьшает накладные расходы, время отклика и упрощает программу. SQLite хранит всю базу данных (включая определения, таблицы, индексы и данные) в единственном стандартном файле на том компьютере, на котором исполняется программа. Простота реализации достигается за счёт того, что перед началом исполнения транзакции весь файл, хранящий базу данных, блокируется. Несколько процессов или потоков могут одновременно читать данные из одной базы. Запись в базу можно осуществить только в том случае, если никаких других запросов в данный момент не обслуживается, в противном случае попытка записи оканчивается неудачей, и в программу возвращается код ошибки (вариантом обработки данного события является автоматическое повторение попыток записи в течение заданного интервала времени).
Подсистема визуализации. Данная подсистема реализована в виде графического интерфейса для работы с базой данных, в котором можно производить запросы и сохранять полученные отчеты. При реализации использовалась библиотека классов wxWidgets.
wxWidgets - кроссплатформенная библиотека на языке C++, представляющая классы для графических управляющих элементов, а также полный набор вспомогательных классов для решения наиболее типичных задач при разработке приложений. wxWidgets поддерживает следующие платформы: Windows 95/98/ME, Windows NT, Windows 2000, Windows XP, Pocket PC, Smartphone; Unix с GTK+ 1 и GTK+ 2; Unix с XI1; Unix с MoliffLesstif; MacOS; OS/2 (beta); PalmOS.
