УДК 004.056

Модель обнаружения вредоносных трафиков и предотвращения вторжений в ЛВС

Тураев Саиджон Эркинович – аспирант Национального исследовательского университета ИТМО

Научный руководитель Заколдаев Данил Анатольевич – кандидат технических наук, доцент Национального исследовательского университета ИТМО

Аннотация: Основной целью защиты от вредоносных программ является обнаружения и предотвращения вредоносных трафиков вторжений в ЛВС. В данной статье приводится программное или аппаратное средство, автоматизирующее обнаружение вторжений вредоносного трафика в локальных вычислительных сетях. Проводится обнаружение вторжений – это процесс мониторинга и последующего анализа событий в компьютерной системе или сети с целью выявления среди них инцидентов, нарушающих установленные политики и/или стандарты безопасности. Система обнаружения вторжений (СОВ) – это программное или аппаратное средство, автоматизирующее обнаружение вторжений. Эти работы не учитывают методы графических моделей обнаружения вредоносных программ и не раскрывают всех недостатков этих методов. В настоящее время необходимо оценить методы обнаружения вредоносных программ, чтобы определить наиболее эффективный метод обнаружения вредоносных программ.

Ключевые слова: моделирование, трафик, программное обеспечение, ЛВС, вредоносный трафик, система обнаружения вторжений.

По способу обнаружения системы разделяют на сигнатурные (signature-based) и аномальные (anomaly-based) Первые выявляют сетевые атаки посредством поиска предварительно подготовленных шаблонов (паттернов) в трафике, поступающем в подсеть или на отдельный компьютер. Сигнатурные системы, таким образом, способны обнаруживать лишь известные виды атак, тогда как не встречавшимся ранее атакам они ничего не могут противопоставить. Аномальные системы напротив ориентированы на выявление новых атак: общая идея подхода состоит в применении методов машинного обучения для построения модели безопасного поведения и последующего сравнения этой модели с наблюдаемым поведением. Аномальные системы обычно характеризуются большим числом ложноположительных срабатываний.

Вторжение на ЛВС предприятия проще всего и эффективнее отследить на уровне межсетевого экрана, устанавливаемого на сетевом сервере. Он отслеживает внешний трафик по какому-либо алгоритму и пресекает возможность проникновения внешних угроз. Не вдаваясь в подробности работы сетевого экрана, в модели будем оценивать его эффективность с помощью вероятности пропуска вредоносных пакетов из поступающего внешнего трафика.

Модель системы создадим в системе имитационного моделирования Anylogic версии 8.4.0 PLE. Для этого создадим новый проект с именем «Вторжение» (рис.1).

1

Рис.1 Проект «Вторжение» в Anylogic

Для моделирования основного потока и вредоносного трафика введем источника сообщений Streamи Spy (рис.2).

2

Рис.2 Объекты – источники сообщений

Активность вредоносного трафика будем моделировать с помощью динамической переменной int_mean. При выходе из источника параметр vip для нормального потока получает значение 1, для аномального вредоносного трафика vip=0.

Оба этих источника образуют единый поток, поступающий в буфер сетевого сервера queue (рис.3).

3

Рис.3 Потоки, входящие в буфер сетевого сервера

Сервер осуществляет обработку входящего трафика по существующим средствам защиты. Время этой обработки моделируется блоком delay (рис.3).

4

Рис.4. Обработка входящего потока сервером

На основании заложенных правил обнаружения шпионских пакетов сервер отправляет входящие пакеты либо во внутреннюю сеть, либо сбрасывает их с определенной алгоритмом обнаружения вероятностью. Эта процедура имитируется блоком принятия решений selectOutput (рис.4).

5

Рис.5 Модель принятия решений

В реальности сервер принимает решение о пакете на основании заложенных в него правил: диапазон разрешенных или запрещенных адресов, известных сигнатур и т. д. В нашей модели выполняется анализ параметра vip пакета и, с некоторой вероятностью, пакет все же попадает во внутреннюю сеть. Этим моделируется несовершенство алгоритма обнаружения вредоносного трафика. Правило принятия решения моделируется выражением vip ==1 || (vip==0 && randomTrue(0.2)), где 0.2 определяет эффективность алгоритма обнаружения вредоносной атаки. Внутренняя ЛВС моделируется блоком sink. Отброшенные пакеты блоком sink1.

Полная модель системы приведена на рис.6.

6

Рис.6 Модель обнаружения вредоносного трафика

Для возможности оперативного управления поведением модели введем некоторые элементы для изменения параметров интенсивности вредоносного трафика, объема входного буфера сервера (рис.7). Вероятность пропуска шпионских пакетов во внутреннюю сеть будем определять параметром функции randomTrue (чем меньше это значение, тем эффективнее обнаруживается вредоносный трафик).

7

Рис.7 Элементы управления

Для сбора статистики введем столбцовые диаграммы (рис.8).

8

Рис.8 Отображение статистики

Здесь столбец spy показывает количество обезвреженных шпионских пакетов, столбец stream показывает число пакетов, прошедших в ЛВС, столбец lost соответствует числу шпионских пакетов, необнаруженных системой защиты.

Таким образом, модель полностью сформирована. Запуск модели осуществляется из меню (рис.9). Модель позволяет проводить эксперименты с различными значениями параметров. Прогон модели с исходными значениями параметров приведен на рис.10.

9

Рис.9 Запуск модели

10

Рис.10. Анимация эксперимента

Список литературы

  1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
  2. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
  3. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
  4. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.
  5. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра- М, 2018. - 160 c.
  6. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
  7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 - Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ, 2008. - 558 c.
  8. Запечников, С.В. Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защите: Учебник для вузов. / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ, 2006. - 536 c.
  9. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие для вузов. / А.А. Малюк. - М.: Горячая линия -Телеком, 2004. - 280 c.
  10. Мельников, Д.А. Информационная безопасность открытых систем: учебник / Д.А. Мельников. - М.: Флинта, 2013. - 448 c.