|
Сетевым сканером принято называть программу поиска незащищенных ip-адресов и (или) tcp/udp-портов. На этапе разработки алгоритмов для обнаружения сканеров следует принять решение по следующим вопросам. Во-первых, необходимо уметь отличать активную программу от сканера. Во-вторых, необходимо определить, какая степень детализации объекта сканирования требуется. Например, это множество портов одного локального адреса или это один порт множества смежных адресов. В-третьих, необходимо решить, какое время требуется наблюдать за работой активной программы, прежде чем принять решение, является ли она сканером. Наконец, нужно определить, какое сканирование считать враждебным.
Программа, реализующая работу алгоритма, должна обрабатывать в реальном времени большие объемы исходных данных. Это обусловлено тем, что задача обнаружения сканеров является скорее задачей экспресс анализа сетевого трафика, нежели его количественного учета. Поэтому следует учитывать специфику собираемой информации, которая, во-первых, имеет фиксированный и зачастую очень короткий период значимости и во-вторых, результаты анализа обновляются чаще, чем их читают и используют. Информация об обнаруженных сканерах (точнее, ip-адреса хостов, на которых исполняются сканеры) в первую очередь, предназначена сетевым администраторам, поскольку вмешиваться в работу сети и осуществлять какой либо тюнинг является их прерогативой.
Алгоритмы анализа можно условно разделить на две группы. Первая группа использует метрику - N подозрительных событий за время T (базовый метод), вторая использует методы теории вероятностей и математической статистики. Базовые методы имеют недостатки. Трудно правильно выбрать порог, а от этого зависит число устройств, ложно принятых за сканеры, и число не выявленных сканеров. Также сложно выявить сканеры, которые посылают запросы в случайном темпе или используют большие временные задержки в своей работе. Такое поведение невозможно зафиксировать с помощью метрики N/T. Возникает необходимость в использовании методов второй группы.
Следует отметить, что программы обнаружения сканеров, нужно снабдить знаниями об активных устройствах исследуемой сети, - заранее сформировать множество адресов сетевых устройств, являющихся легальными, активными источниками и получателями данных. Примеры, таких устройств: dns, proxy и web серверы. Эти знания позволяют ускорить работу программы обнаружения и сократить число ложных результатов.
Примечание. Тезисы докладов публикуются в авторской редакции
Ваши комментарииОбратная связь |
![[ICT SBRAS]](/picture/copan/ict-logo.gif){kind=logo}
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск