Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Прогнозирование трассы сетевой атаки методами продукционных моделей Сетевые угрозы в условиях современной компьютеризации

§1 Постановка задачи исследования Цель работы - разработка и исследование немногоагентной системы обнаружения аномального поведения в сети с последующим выявлением наиболее вероятной трассы сетевой атаки. | 5-7 марта, 2012 PAGE 2 |"IT Security for the Next Generation", Тур Россия и СНГ

§1 Постановка задачи исследования PAGE 3 |"IT Security for the Next Generation", Тур Россия и СНГ | 5-7 марта, 2012 Решение следующих задач 1.Разработка набора правил продукционной модели обнаружения атак 2.Разработка набора продукционных правил для определения трассы атаки 3.Разработка модуля распознавания угроз на основе продукционных правил 4.Исследование эффективности предложенных правил

§2 Метод обнаружения вторжений Классификации систем обнаружения вторжений | 5-7 марта, 2012 PAGE 4 |"IT Security for the Next Generation", Тур Россия и СНГ Системы обнаружения вторжений По методу обнаружения Поведенческий Интеллектуальный По поведению после обнаружения Активное Пассивное По источнику аудита Регистрационн ые файлы хоста Результаты аудита Сетевые пакеты По частоте использования Непрерывный мониторинг Периодический анализ

§2 Метод обнаружения вторжений Типовая структура системы обнаружения вторжений | 5-7 марта, 2012 PAGE 5 |"IT Security for the Next Generation", Тур Россия и СНГ Модуль управления Модуль управления данных Модули датчики Модуль Выявления атак Модуль реагирования Информационная система

§2 Метод обнаружения вторжений Этапы работы разрабатываемой системы | 5-7 марта, 2012 PAGE 6 |"IT Security for the Next Generation", Тур Россия и СНГ Захват пакетов Фильтрация и сборка пакетов Определение атаки Определение возможной трассы атаки

§2 Метод обнаружения вторжений Структура разрабатываемой системы | 5-7 марта, 2012 PAGE 7 |"IT Security for the Next Generation", Тур Россия и СНГ Модуль управления Модуль хранения данных Модуль сборки пакетов Модуль подсчёта статистики Модуль продукционной экспертной оценки Модуль выявления атак Информационная система

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 8 |"IT Security for the Next Generation", Тур Россия и СНГ Продукционная модель будет использовать следующие наборы правил для обнаружения вторжений: Правила распознавания параметров, соответствующих параметрам сетевой атаки Правила определения целевого узла в соответствии с выбранной атакой Правила определения трассы атаки с учётом полученных данных ранее задействованных правил

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 9 |"IT Security for the Next Generation", Тур Россия и СНГ Правила первого типаПравила второго типаПравила третьего типа IP адреса Номера портов Необычный состав пакета Параметры атаки Маркеры важности результатов первого блока Заданная топология сети Маркеры важности результатов правил первого блока Маркеры важности результатов правил второго блока Заданная топология сети

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 10 |"IT Security for the Next Generation", Тур Россия и СНГ Перехват пакета IP адреса Размер пакета Протокол Флаги Syn flood Прослушив ание Маркер важности Трасса атаки

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 11 |"IT Security for the Next Generation", Тур Россия и СНГ Перехват пакета count=recv(sock,buffer,sizeof(buffer),0); If(count!=0) { } IP адреса Размер пакета Протокол Флаги

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 12 |"IT Security for the Next Generation", Тур Россия и СНГ { statistic.addres=ip.receiver; statistic.size=strlen(buffer); statistic.prot=ip. iph_protocol; if(tcp.syn==1) statistic.syn++; if(tcp.fin==1) statistic.fin++; } IP адреса Размер пакета Протокол Флаги

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 13 |"IT Security for the Next Generation", Тур Россия и СНГ { if(statistic.syn>1 && statistic.fin==1) } Syn flood Прослушивание Маркер важности if(statistic.prot==IPPROTO_ICMP && statistic.size== 0x10000) Маркер важности statistic.marker=10; statistic.marker=9;

§3 Применение продукционной модели для обнаружения атак и выявления трассы | 5-7 марта, 2012 PAGE 14 |"IT Security for the Next Generation", Тур Россия и СНГ If(statistic.marker==10 || statistic.marker==9) { out_trace(statistic.addres,statistic.marker); } Трасса атаки

§4 Процесс выявления трассы атаки | 5-7 марта, 2012 PAGE 15 |"IT Security for the Next Generation", Тур Россия и СНГ host1 host2 host5 host12 host1- host2-host5-host12: marker 9:P=0,9 host1- host2-host5-host9-host12: marker 9:P=0,8 host1- host2-host5-host10-host12: marker 9:P=0,7 host1- host2-host5-host9-host10-host12: marker 9:P=0,6 host1- host2-host5-host10-host9-host12: marker 9:P=0,5 HOSTS={h1,h2,h3,h4,h5,…,hn} h={Protocols,Ports,FA} h1 h2={Protocols,Ports,FA} if(h1 h2 > h3 h4 ) h1 h2 host9 host10

Результаты | 5-7 марта, 2012 PAGE 16 |"IT Security for the Next Generation", Тур Россия и СНГ virtualhost1 virtualhost3 virtualhost7 attacker Тип атаки: Syn FLOOD Трасса: attacker-virtualhost3-virtualhost7:10:0,9

Thank You Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012