УДК 004

Аналитический обзор средств искусственного интеллекта для анализа сетевого трафика на предмет кибератак

Куликова Ольга Витальевна – кандидат физико-математических наук, доцент кафедры Кибербезопасности информационных систем Донского государственного технического университета.

Пинигин Андрей Сергеевич – магистрант Донского государственного технического университета.

Аннотация: В статье описывается краткая информация, взятая из первой главы магистерской диссертации, которая посвящена аналитическому обзору средств искусственного интеллекта для анализа сетевого трафика на предмет кибератак. Рассматривается актуальность проблемы, виды существующих атак, а также существующие способы предотвращения кибератак.

Ключевые слова: кибербезопасность информационных систем, использование средств искусственного интеллекта в кибербезопасности, кибератаки.

Введение

В современных реалиях даже при наличии самых надежных брандмауэров могут возникнуть серьезные бреши в защите, с помощью которых может пройти нежелательный трафик. Тем более, когда даже самые обычные пользователи могут обойти брандмауэры, используя процессы, в ходе которых можно создать логическое соединение между двумя конечными точками посредством инкапсуляции различных сетевых протоколов в сети, использовать специальные средства для скрытия информации об ip-адресе компьютера для внешних ссылок и VPN или же другие различные действия, способствующие возникновению дыр в защите.

Отслеживание и анализ внутреннего сетевого периметра предприятия или организации – является всегда хорошей практикой. Однако по статистике взломов внутренние сети выбранных жертв злоумышленники проходят в течении одного - двух суток, а в некоторых случаях в сеть можно проникнуть меньше чем за 30 минут. Поэтому очень важно контролировать внутренний трафик сети в котором нежелательные лица, в случае их успешного проникновения в сеть, смогут перемещаться от устройства к устройству.

В связи с этим, методы анализа сетевого трафика являются важными и необходимыми компонентами обеспечения безопасности внутренней сети организаций.

Использование системы безопасности, позволяющей анализ внутрисетевого трафика может помочь проверить целесообразность используемых правил межсетевого экрана, получить ценные сведения о передаваемых данных в открытом, не зашифрованном виде, определить использование скрытых туннелей внутри сети, а также других моментов, которые требуют наличие глубокого анализа и разбора сетевого трафика.

Виды атак

Перед началом рассмотрения угроз, их классификации и способов борьбы с ними, необходимо дать определение понятию сетевая атака.

Сетевая атака – неправомерное действие, целью которого может являться захват контроля над целевой вычислительной системой, повышение прав доступа, либо дестабилизация этой системы, отказ в обслуживании, а также получение данных пользователей этой системы [1].

Существует множество видов кибератак, которые непрерывно совершенствуются, объединяются, становясь сложнее и хитрее, чтобы обойти современные системы защиты. Их можно классифицировать по-разному, например, по типу уязвимости, или же по портам, а также по цели их нанесения.

Для простоты представления виды кибератак и целей их нанесения можно сопоставить с уровнями сетевой модели OSI.

Open Systems Interconnection (OSI) – принятый стандарт передачи данных по сети. Это сетевая модель, разработанная международной организацией по стандартизации (ISO). Данная модель описывает процесс взаимодействия устройств в распределенных компьютерных сетях, состоящая из 7 уровней. Каждый уровень сетевой модели выполняет свои определенные функции.

На рисунке 1 представлены уровни сетевой модели OSI и часто использующиеся атаки на определенном уровне:

1

Рисунок 1. Распределение атак по уровням модели OSI.

Exploit

Exploit – называется программа, кусок кода или скрипт, который способен получить выгоду от найденной в системе целевой жертвы уязвимости.

Эксплойт, в зависимости от назначения, можно подразделить на следующие группы:

  • Эксплойт сервиса;
  • Эксплойт клиента;
  • Эксплойт привилегий.

Эксплойты сервиса – эксплойты входящие в данную группу атакуют службы, которые работая в фоновом режиме могут прослушивать сетевые соединения. Атакующий, успешно получивший доступ к компьютеру целевой жертвы, может взаимодействовать с данными службами для получения своей выгоды без ведома жертвы.

Эксплойты клиента – также называемый клиентский экспойт. Экспойты, входящие в данную группу, сфокусированы на атаках клиентских приложений, которые в свою очередь, взаимодействуют с получаемыми данными от компьютера-сервера. Использование данных эксплойтов заключается в том, что клиентское приложение активно работает с данными, полученными из сети, и атакующий может в своих целях манипулировать этими данными, тем самым принести вред пользователю или владельцу этих данных.

Эксплойты привилегий – основной задачей эксплойтов данной группы является повышение уже имеющихся в системе прав.

Phishing

Phishing или фишинг – разновидность социальной инженерии, попытка с использованием различных психологических приемов обманным путем заставить пользователей ввести свои данные или нажать на вредоносную ссылку, которая может содержать зараженное вложение, целью которого является кража личной информации. Самым явным примером фишинга является массовая спам рассылка электронных писем или личных сообщений от имени популярных людей, брендов или именитых сервисов.

В зависимости от цели фишинговые атаки можно разделить на следующие группы: адресный фишинг и уэйлинг или целевой фишинг – в целевом фишинге для обмана жертвы так же как и в обычном фишинге используются электронные письма, однако данный метод фишинга, в отличие от обычного фишинга, нацелен на конкретного пользователя или группу пользователей.

Адресный фишинг нацелен на группу лиц, а уэйлинг направлен на конкретного человека, занимающего высокий должностной пост. Прежде чем проводить данный метод фишинга в исполнение атакующие тщательно изучают выбранную жертву и ищут слабые точки, которые можно использовать для успешного окончания фишинга.

Клон-фишинг – данный вид фишинга отличается от адресного и уйлинга тем, что мошенники не выдают себя за брэнд или конкретное лицо, а копируют реальное электронное письмо легитимной организации и заменяют ссылки организации на свои. Данные ссылки перенаправлют пользователя на мошеннические сайты, на которых обманным путем заставляют ни о чем не подозревающих пользователей ввести свои учетные данные.

Hijacking

Hijacking или префиксная атака – преднамеренная генерация поддельной информации о маршруте и причин изменения этого маршрута.

Первым вариантом для чего атакующий может использовать данный метод является объявление маршрутов с целью нарушить работу служб, которые работают поверх IP-пространства, охватываемого маршрутами или с целью перехватить трафик для анализа конфиденциальной информации передающейся этим службам.

Вторым вариантом является объявление маршрутов с созданным путем, чтобы использовать поддельные соединения на известных сайтах.

Третьим самым серьезным вариантом является использование данного метода для перехвата трафика, манипулированием пакетами этого трафика или использование не использующихся маршрутов для генерации спама.

DoS атака

DoS атака – атака на вычислительную систему, целью которой является полный или частичный отказ в работе всей системы. Причинами совершения данного вида атак в основном являются отвлечение с целью выполнения работ по проникновению, недобросовестная конкуренция, политические мотивы, шпионаж, хактивизм или же вымогательства.

DoS атаки условно можно подразделить на следующие группы:

  • атаки на сетевые ресурсы;
  • атаки на инфрастуктуру;
  • атаки на транспортный уровень;
  • атаки на механизмы протоколов;
  • атаки на сервисы прикладного уровня.

Атака на сетевые ресурсы – атаки, цель которых является исчерпание канальной емкости самой атакуемой системы, а также ее поставщиков доступа, транзитных операторов связи. Это самый классический и распространенный вариант атаки. Примером такой атаки является UPD-flood.

Атака на инфраструктуру – вид DoS атак, цель которых является нарушения штатного режима работы маршрутизаторов, межсетевых экранов и прочего служебного оборудования. Примером такой атаки является SYN-flood.

Атака на транспортный уровень – вид DoS атаки, в которой на разных этапах проведения атаки задействовано TCP – соединение, в силу того, что протокол допускает использование атакующим алгоритма установления и закрытия TCP-соединения. В качестве примера, входящего в группу атак на транспортный уровень, можно привести TCP Connection Flood. В основном, когда проводятся атаки типа DoS – атаки проводятся как раз на транспортный уровень [2]. 

Атаки на встроенные механизмы протоколов SSL/TLS – вид атак, в котором целью атакующего может стать воздействие на протоколы SSL/TLS

Примером атаки, входящей в данный вид атак, является атака на процесс установки SSL/TLS взаимодействия, сутью которой будет отправка «мусорных» пакетов серверу.

Атаки на сервис прикладного уровня – вид атак, которые взаимодействуют с приложением и затрагивают протоколы HTTP, HTTPS, DNS, FTP и прочие прикладные протоколы.

Атаки на сервис прикладного уровня также можно подразделить на следующие виды атак:

  • атаки Low and Slow или медленные атаки малого объема;
  • атаки мусорных запросов;
  • атаки, имитирующие поведение легитимного пользователя.

Man in the middle (MITM)

Man in the middle (MITM) – атака, в процессе которой атакующий внедряется в уже существующий процесс связи между конечными точками и перехватывает данные путем прослушивания или же притворяется одним из легальных участников. Данный вид атак, как правило является частью комплексных целевых атак. В основном целью проведения атаки человека по середине являются конфиденциальные данные, которые злоумышленник при успешном проведении атаки использует в своих целях.

Ниже приведены некоторые приемы совершения атаки MITM:

  • перехват Wi-Fi;
  • перехват сеанса;
  • подмена HTTPS;
  • отравления ARP-кэша.

Перехват Wi-Fi – эта разновидность MITM атаки, в процессе которой атакующие прослушивают трафик в незащищенных местах или же сами создают Wi-Fi сети с целью обманом заставить людей подключиться, чтобы украсть учетные данные или другую интересующую их информацию.

Перехват сеанса – эта разновидность MITM атаки, в процессе которой атакующий наблюдает за пользователем, который авторизуется на каком-либо сайте или сервисе. После успешной авторизации ничего не подозревающего пользователя, атакующий крадет cookie-файл этого пользователя. Благодаря полученному cookie-файлу активного сеанса, злоумышленник может войти в учетную запись от имени пользователя и выполнять различные действия в своих интересах.

Подмена HTTPS – разновидность MITM атаки в процессе которой злоумышленники перенаправляют своих жертв на свои сайты, которые ничем не отличаются от сайтов с действующими сертификатами аутентификации. Различие между сайтами лишь в URL- адресе, а именно в кодировке Юникод.

Отравление ARP-кэша – разновидность MITM атаки, в процессе которой атакующий вводит в систему протокола разрешения адресов или же ARP ложную информацию.

Целью ввода ложной информации является обманным путем заставить компьютер пользователя принять компьютер атакующего за сетевой шлюз. В результате чего после подключения к сети компьютера пользователя, атакующий сможет получать весь сетевой трафик и передавать его по своему реальному месту назначения.

Пользователь ничего не заподозрит, а атакующий сможет увидеть и проанализировать все данные, которые принимаются и передаются пользователем [3].

Spoofing

Spoofing – вид атаки, в большинстве случаев целью которой является получение доступа к конфиденциальной информации, распространение вредоносного ПО или же обход доступа контроля сети.

Spoofing атаки могут быть реализованы в разных форматах, быть одним из этапов крупной цепочки атак, а так же сочетать в себе другие виды атак.

Spoofing атаки можно подразделить на следующие виды:

  • Caller ID Spoofing;
  • IP Spoofing;
  • ARP Spoofing;
  • DNS Server Spoofing;
  • GPS Spoofing;
  • Extension Spoofing.

Caller ID Spoofing или спуфинг с подменой номера вызывающего абонента – вид спуфинга, целью которого является использование ложной информации для изменения идентификатора вызывающего абонента.

Caller ID он же идентификатор вызывающего абонента – идентификатор, позволяющий получателю телефонного звонка определить личность звонящего.

В основном атаки Caller ID Spoofing проходят с помощью VoIP, который позволяет по своему выбору создавать имя идентификатора, а также номер телефона вызывающего абонента.

Использование данного вида спуфинга позволяет телефонным мошенникам обходить блокировки своего реального номера, или скрывать свою личность.

IP Spoofing – вид атаки, целью которой является обманным путем заставить компьютер целевой жертвы принять за надежный источник, что означает, что весь вредоносный контент, который будет посылать атакующий, будет доходить и приниматься пользователем.

DNS Server Spoofing он же суфинг с подменой DNS-сервера или «отравление кэша» – целью данного вида спуфинга является перенаправление трафика пользователя на поддельные IP-адреса.

GPS Spoofing – сутью данного вида спуфинга является передача поддельных сигналов GPS-приемнику, которые заменяют настоящие.

Extension Spoofing или спуфинг с подменой расширения – используется чтобы замаскировать вредоносный код.

Sniffing

Sniffing – метод мониторинга трафика проходящего по сети. Сутью данного метода является перехват данных, которые передаются в рамках прослеживаемой атакующим сети. Обычно, снифинг является лишь одним из начальных этапов большой цепочки кибератак [4].

Способы предотвращения атак

Улучшение или же разработка новых средств и методов информационной безопасности, как и поиск новых методов уязвимости не стоит на месте.

Это своего рода игра в кошки-мышки, в которой обе стороны не перестают вести сражение и упорно совершенствуют свои методы борьбы.

Так, по оценке Cyber Security Ventures, к 2025 году ущерб от киберпреступлений составит более 10,5 триллиона долларов, и с каждым годом только будет продолжать расти.

Данную тенденцию также подтверждают отчеты интерпола, в которых оценивается воздействие Covid-19 на киберпреступность.

В связи с Covid-19 возросла зависимость людей по всему миру от интернета, которая в свою очередь создает новые возможности для кибератак, поскольку многие сервисы и предприятия не обеспечивали должного уровня развития безопасности своей сети и данных пользователей.

Для того чтобы обезопасить себя от кибератак можно воспользоваться существующими системами обнаружения (IDS) и предотвращения (IPS) вторжений и другие программные или аппаратно-программные средства для обнаружения действий злоумышленников [5].

Межсетевой экран

Межсетевой экран – это программные или аппаратно-программный комплекс, предназначением которого является фильтрация исходящего и входящего трафика. Межсетевой экран позволяет анализировать параметры сетевого соединения.

Межсетевые экраны – являются базовым уровнем защиты и зачастую, представлены в виде составляющей современных средств защиты.

Межсетевые экраны позволяют:

  1. скрывать структуру внутренней сети от глобальной сети интернет;
  2. не допускать проникновения в сеть организации небезопасного трафика;
  3. отслеживать состояние сети;
  4. блокировать передачу трафика на основе протоколов, портов отправки, а также других иных параметров.

Instrusion Detection System (IDS)

IDS – система обнаружения вторжений, предназначенная для выявления сетевых атак и аномалий. Система отслеживает трафик, сравнивая его с имеющейся БД обычной сетевой активности и возможных сетевых атак.

Данная система обнаруживает атаки и уведомляет администратора, но не предотвращает сами атаки. Ниже представлены некоторые факторы, которые IDS позволяет обнаружить:

  1. неавторизованный доступ к данным;
  2. функционирование сканеров портов;
  3. аномальную активность;
  4. нарушение политик безопасности.

Instrusion Prevetion System (IPS)

IPS – система обнаружения и автоматизированного противодействия вторжениям. Данная система способна сопоставить трафик с известными паттернами сетевых атак с целью выявить аномалии в сети, а также автоматически отвечать на угрозы.

NTA и NDR системы

Network Traffic Analysis и Network Detection and Response – системы, предназначением которых является перехват и анализ сетевого трафика, ретроспективного изучения сетевых событий, обнаружения сложных целевых атак и реагирования на них.

Данные системы очень сложны и задействуют множество различных техник и методов, одним из которых является машинное обучение, что в свою очередь позволяет адаптироваться к среде и проводить работу в сетях любого масштаба независимо от особенностей сети.

Список литературы

  1. Шелухин О. И. Сакалема Д.Ж, Филинова А.С. Обнаружение вторжений в компьютерной сети// Горячая линия-телеком 2013.
  2. Информация про Dos атаки [Электронный ресурс] // URL: https://habr.com/ru/articles/701482/ (дата обращения 15.10.2022).
  3. Информация про MITM атаки [Электронный ресурс] // URL: https://habr.com/ru/companies/varonis/articles/526632/ (дата обращения 17.10.2022).
  4. Информация про снифинг и его применение [Электронный ресурс] // URL:https://progr-system.ru/wp-content/uploads/Sec2/70-ПонятиеСниффингаСнифферы.pdf#:~:text=Сниффинг%20(от%20англ.%20sniff%20–,устройство%20и%20исходящую%20из%20него (дата обращения 10.11.2022).
  5. Информация про различные системы обнаружения вторжений [Электронный ресурс] // URL: https://cloud.ru/ru/warp/blog/ips-i-ids-sistemy (дата обращения 01.02.2023).

Интересная статья? Поделись ей с другими: