Ваши комментарииОбратная связь
![[ICT SBRAS]](/picture/copan/ict-logo.gif){kind=logo}
[Головная страница]
[Конференции]
Сегодня вирусные атаки являются одной из первостепенных угроз информационной безопасности. Такие действия наносят финансовый ущерб, а также позволяют реализовать многие другие опасные угрозы. По сведениям аналитиков американской компании PC Tools Россия сейчас является лидером в распространении компьютерных вирусов, вредоносного и шпионского программного обеспечения. Поэтому актуальная задача сегодня – исследование цифровых информационных сетей, как сложных структур с целью разработки новых эффективных методов обнаружения компьютерных вирусов и червей.
Традиционно выделяется три основных класса методов обнаружения вредоносного программного обеспечения: сигнатурный, статистический и эвристический. В отдельный класс следует выделить новый метод, основанный на анализе характеристик (а не содержимого) передаваемого по сети трафика. Сигнатурные, статистические и эвристические методы обладают существенными недостатками. Они требуют высоких затрат вычислительных мощностей аппаратного обеспечения, пропускают вирусы не внесённые в сигнатурные базы антивирусного программного обеспечения и существенно замедляют работу операционных систем. Это вызвано тем, что при использовании данных методов требуется анализировать исполняемый код непосредственно, либо отслеживать поведение исследуемых программ в виртуальном окружении.
Для описания функционирования цифровых информационных сетей в период распространения компьютерных червей традиционно применяют эпидемиологические модели. Но они позволяют лишь наблюдать динамику роста числа заражённых узлов сети и не отображают важных сетевых параметров: способность сети передавать пользовательскую и служебную информацию и т.д. Авторами была разработана собственная модель функционирования цифровой информационной сети, учитывающая перечисленные недостатки.
Для проверки корректности предложенной модели выполнено компьютерное моделирование, результаты которого показывают, что модель отражает характер поведения разнородного трафика в проблемных сетях, согласуясь с экспериментальными данными, полученными в ходе анализа распространения реальных сетевых червей.
Предложенная модель позволила оценить влияние распространения саморазмножающихся пакетов на количество и качество передачи информации по сети. Практический интерес представляет тот факт, что вторжение зловредного программного кода в цифровую информационную сеть изменяет ряд характеристик передаваемого по сети трафика, по которым можно отследить потенциально опасную активность.
Характеристиками, пригодными для выявления такой активности являются: интенсивность пересылки отдельных пактов, интенсивность пересылки небольших очередей пакетов и интенсивность попыток установить соединение отдельными хостами, распределение IP- и MAC-адресов источника и назначения в передаваемых пакетах, размеры передаваемых пакетов, типы пакетов (принадлежность к определённым протоколам). Однако для достаточно надёжного детектирования вредоносной активности и сведения риска ложного срабатывания к минимуму в данном случае часто требуется некоторая «калибровка», составление сигнатур распространения известных червей, что сужает область применения данных алгоритмов обнаружения сетевых атак и делает уязвимыми сети для новых (не внесённых в базу) червей. Авторы предлагают исключить параметры, варьирующиеся для конкретных реализаций червя, и добавить характеристики пересылки информационных пакетов внутри маршрутизаторов и коммутаторов: количество отбрасываемых пакетов в единицу времени, заполненность буферов пересылки, нагрузка оборудования.
Таким образом, можно увеличить количество параметров, идентифицирующих сетевую атаку и в случае обнаружения вредоносных пакетов, игнорировать такие пакеты, освобождая мощности оборудования для пересылки нормального трафика. После идентификации источника распространения зловредного трафика возможна его локализация и изоляция. Такого рода мониторинг потенциально опасной активности может производиться на небольшом количестве ключевых узлов сети без участия конечных пользователей. Это повышает надёжность системы обнаружения сетевых атак и предоставляет администратору возможность повысить управляемость сети.
Примечание. Тезисы докладов публикуются в авторской редакции
|
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск
Дата последней модификации: 06-Jul-2012 (11:52:52)