Введение к работе
з
Актуальность проблемы. Большинство современных компьютерных сетей состоят из сегментов, объединенных на втором уровне модели OSI. Это упрощает адресацию и позволяет узлам обмениваться данными без применения протоколов сетевого уровня. Самыми нестабильными участками в таких сетях являются сегменты уровня доступа. Они больше всего подвержены дестабилизирующему воздействию конечных узлов, так как их несанкционированные действия могут привести к неработоспособности всего сегмента. Повышение защищенности и надежности работы этого уровня является одной из важнейших задач.
В зависимости от размера сети и политики проектирования количество узлов, работающих в одном сегменте, может доходить до тысячи. Это упрощает проведение атак, направленных на вывод из строя оборудования и каналов связи. Использование технологии виртуальных сетей (VLAN) позволяет уменьшить размеры сегментов, но не избавиться от них вовсе.
Наличие единого широковещательного домена внутри сегмента приводит к тому, что любой пакет, отправленный на широковещательный или групповой адрес, размножается коммутаторами по всем направлениям и должен быть обработан каждым узлом, даже если он ему не предназначен. В результате снижается пропускная способность каналов связи, повышается вычислительная нагрузка на узлы сети и возникает возможность дестабилизировать работу всего сегмента. Следовательно, является актуальной задача обнаружения воздействий на сеть, заключающихся в интенсивной многоадресной рассылке потоков данных, и снижения их влияния на качество предоставляемых услуг. В качестве источников таких воздействий могут выступать:
- действия злоумышленников, например, атака arp-flood на таблицу mac-адресов коммутаторов;
сбои в работе сетевого оборудования или протоколов, например, широковещательный шторм, вызванный некорректной работой протокола STP;
нежелательные приложения, производящие интенсивную широковещательную рассылку, например: широковещательные чаты и сетевые игры.
Целью диссертационной работы является повышение защищенности и надежности функционирования компьютерной сети за счет автоматизации процесса обнаружения дестабилизирующего широковещательного трафика на основе анализа сетевой статистики.
Задачи исследований. Поставленная цель достигается решением следующих задач:
Разработка алгоритмов мониторинга сети и обработки статистических данных.
Исследование критериев, используемых для поиска похожих последовательностей трафика, с целью автоматизации процесса определения связей между устройствами в сети.
Разработка метода, позволяющего в автоматическом режиме строить логическую топологию сети, для определения зоны поражения и источника атаки.
Разработка математических моделей показателей, используемых для обнаружения широковещательного шторма и его источника.
Разработка метода обнаружения дестабилизирующего широковещательного трафика в сети на основе анализа интенсивностей потоков данных, позволяющего расширить возможности современных средств выявления аномалий.
Методы исследования базируются на теории вероятностей и математической статистики, теории алгоритмов, теории вычислительных систем и сетей.
Научная новизна результатов, полученных автором, заключается в следующем:
Разработан метод, позволяющий в автоматическом режиме строить логическую топологию сети.
Предложены математические модели, используемые для поиска широковещательного шторма и его источника.
Разработан новый метод обнаружения интенсивных широковещательных потоков трафика в сети.
Практическая значимость работы. Предложенные методы и разработанные приложения повышают безопасность и расширяют возможности по обнаружению аномалий благодаря выявлению дестабилизирующих широковещательных потоков трафика в сети. Созданные механизмы позволяют повысить информированность системных администраторов и специалистов по сетевой безопасности о процессах, происходящих в компьютерных сетях. Результаты проведенных исследований могут быть использованы в системах мониторинга и сбора статистики в качестве основы для создания новых функциональных модулей. Разработанные методы могут применяться для динамического построения топологии, что позволяет автоматизировать процессы обнаружения и локализации источников угроз безопасности, связанных с несанкционированным воздействием на сетевую инфраструктуру или неисправностью оборудования.
Реализация и внедрение результатов работы. Результаты диссертационной работы применяются на практике при эксплуатации компьютерной сети организации оборонно-промышленного комплекса ОАО «Научно-производственное предприятие «Радар ммс». Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов
обнаружения и противодействия вторжениям в вычислительных сетях военного назначения», применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере «Разработка способа и системы адаптивного управления передачей потоковых данных», а также в учебных курсах кафедры Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО по разделу специальной дисциплины для подготовки специалистов по организации и технологии защиты информации по специальности № 090103.65. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».
Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 9 всероссийских и международных конференциях и семинарах. В 2007/2008 учебном году Будько М.Ю. назначена стипендия Президента Российской Федерации. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».
Публикации. По теме диссертационной работы опубликовано 15 печатных работ, в том числе 5 статей в научных журналах и сборниках, 3 из которых входят в перечень ведущих периодических изданий, 9 статей в трудах научных конференций. Получено решение Роспатента о выдаче патента на изобретение.
Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы, включающего 105 наименований. Основная часть работы изложена на 122 страницах. Работа содержит 21 рисунок и 5 таблиц.
