способ обнаружения устройств локальной вычислительной сети, функционирующих в режиме захвата сетевого трафика
Классы МПК: | H04L12/403 с централизованным управлением, например опрос G06F17/18 для обработки статистических данных |
Автор(ы): | Бочков Максим Вадимович (RU), Козачок Андрей Васильевич (RU) |
Патентообладатель(и): | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) (RU) |
Приоритеты: |
подача заявки:
2007-05-07 публикация патента:
10.09.2009 |
Изобретение относится к вычислительной технике и может быть использовано в автоматизированных средствах защиты информации с целью мониторинга локальных вычислительных сетей для обнаружения компьютерных атак на ресурсы вычислительной сети. Техническим результатом изобретения является снижение числа ложных тревог по результатам анализа времени отклика узлов сети и повышение вероятности обнаружения рабочих станций, функционирующих в режиме захвата сетевого графика. Способ обнаружения устройств локальной вычислительной сети, функционирующих в режиме захвата сетевого графика, заключается в том, что для обнаружения устройств используют контролирующий узел сети, в котором задают пороговое значение коэффициента корреляции, затем определяют время отклика рабочих станций, находящихся в сети, циклически осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и фиксируют загрузку сети, после этого определяют коэффициент корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого графика. 3 ил.
Формула изобретения
Способ обнаружения устройств локальной вычислительной сети, функционирующих в режиме захвата сетевого трафика, заключающийся в том, что для обнаружения устройств используют контролирующий узел сети, с помощью которого определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов, получают ICMP-ответы и определяют время между отправкой ICMP-запроса и приемом ICMP-ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и одновременно с этим определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после широковещательной рассылки ICMP-пакетов и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика, отличающийся тем, что перед осуществлением широковещательной рассылки в сети в контролирующем узле задают пороговое значение коэффициента корреляции, а затем циклически осуществляют широковещательную рассылку ICMP-пакетов и фиксируют загрузку сети, после этого определяют коэффициенты корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае, если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика.
Описание изобретения к патенту
Изобретение относится к области вычислительной техники и может быть использовано в автоматизированных средствах защиты информации с целью мониторинга (мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30]) локальных вычислительных сетей для обнаружения компьютерных атак на ресурсы вычислительной сети.
Известен «способ контроля подключения сетевого оборудования к среде распространения сигналов локальных вычислительных сетей стандартов IEEE 802.3 10-BASE-2, 10-BASE-5» по патенту РФ № 2277261, классы G06F 12/14, G06F 11/00, H04L 9/00
от 9.03.2005. Данный способ включает следующую последовательность действий. Через среду распространения сигналов локальной вычислительной сети пропускают зондирующий сигнал и анализируют его параметры после прохождения, в качестве зондирующего сигнала используют гармонический сигнал с частотой и уровнем, не влияющими на работу локальной вычислительной сети, а контроль подключения сетевого оборудования к среде распространения сигналов локальной вычислительной сети осуществляют посредством сравнения задержки фазы зондирующего сигнала, вносимой текущей конфигурацией сетевого оборудования, относительно эталонной задержки фазы, для чего зондирующий сигнал пропускают по среде распространения, начиная с одного ее края, на другом краю среды распространения зондирующий сигнал принимают и фиксируют задержку фазы зондирующего сигнала после прохождения среды распространения сигналов локальной вычислительной сети при подключении к ней только легитимного сетевого оборудования, которую принимают эталонной, далее сравнивают задержку фазы зондирующего сигнала, вносимую текущей конфигурацией сетевого оборудования, относительно эталонной задержки фазы, устраняют влияние явления сетевой коллизии, сигнализируют по факту неравенства текущей и эталонной фазовых задержек, применяют способ в условиях как наличия сетевого трафика в сети, так и при обесточенной локальной вычислительной сети.
Недостатком данного способа является то, что невозможно обнаружить легитимные устройства локальной вычислительной сети, функционирующие в режиме захвата сетевого трафика. В аналоге применяют ограниченную совокупность сред распространения сигналов локальных вычислительных сетей.
Известен способ пассивного определения задержки в сетевом устройстве, описанный в "Method and apparatus for passively calculating latency for a network appliance" по патенту US № 6868069, классы H04L 12/2, H04L 12/24, H04L 1/24, от 16.01.2001. Суть данного способа заключается в том, что фиксируют пакет, поступающий на устройство, сохраняют первую метку времени для поступающего пакета, фиксируют исходящий пакет от сетевого устройства и сохраняют вторую метку времени, сопоставляют входящий и исходящий пакеты и на основе разности меток времени определяют задержку в сетевом устройстве.
Недостатком данного способа является то, что не определены конкретные протоколы, которые необходимо использовать при определении задержки в сетевом устройстве.
Известен способ контроля состояния сети, описанный в заявке US 2001/0005360 A1, 28.06.2001, H04L 1/00, 8 с., в котором циклически осуществляют широковещательную рассылку ICMP-пакетов и определяют текущую пропускную способность среды распространения сигналов и перегрузку сети.
Недостатком данного способа является отсутствие учета текущей производительности рабочих станций в компьютерной сети и определения устройств локальной вычислительной сети, функционирующего в режиме захвата сетевого трафика.
Известен способ вычисления канального показателя, описанный в заявке US 2005/0259766 A1, 24.11.2002, H04L 27/06, 12 с., в котором заранее задают пороговое значение коэффициента корреляции значений параметров загрузки сети, в случае если коэффициент корреляции превышает пороговое значение, принимают соответствующее решение.
Недостатком данного способа является его применимость только к беспроводным средам передачи сообщений и использование для принятия решения частного вида коэффициентов корреляции: коэффициентов автокорреляции.
Наиболее близким по своей технической сущности к заявленному, выбранным в качестве прототипа, является способ, описанный в Susid, Daniel. An evaluation of network based sniffer detection; Sentinel. Göteborg, Department of Informatics. 2004. - 55 p. В данном способе рассматривается метод обнаружения пакетного анализатора сетевого трафика в сети, построенной по стандарту Ethernet, основанный на измерении времени ответов устройств, находящихся в режиме захвата сетевого трафика. Данный способ включает в себя следующую последовательность действий. Определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов и по принятым ICMP-ответам на запросы определяют время между отправкой запроса и приемом ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, не существующего в зондируемой сети, и снова определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после загрузки и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика.
Недостатком этого способа является то, что не осуществляется оценка изменения времени отклика рабочей станцией в сети при увеличении загрузки домена коллизий, а также в случае, если на рабочей станции осуществляются вычисления. Данные недостатки обуславливают возникновение большого числа ложных тревог.
Технический результат изобретения - снижение числа ложных тревог по результатам анализа контролирующим узлом времени отклика узлов сети, путем введения в способ процедуры циклической широковещательной загрузки локальной сети ICMP-пакетами; вычисления коэффициентов корреляции времени отклика рабочих станций и интенсивности загрузки сети и сравнения их с введенным пороговым значением.
Сущность изобретения заключается в том, что для обнаружения устройств используют контролирующий узел сети, с помощью которого определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов, получают ICMP-ответы и определяют время между отправкой ICMP-запроса и приемом ICMP-ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и одновременно с этим определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после широковещательной рассылки ICMP-пакетов и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика, перед осуществлением широковещательной рассылки в сети в контролирующий узел сети введен дополнительный сетевой адаптер, определяющий время отклика рабочих станций в сети, в контролирующем узле задают пороговое значение коэффициента корреляции, а затем с помощью основного сетевого адаптера контролирующего узла сети циклически осуществляют широковещательную рассылку ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и с отсутствующим полем данных и фиксируют загрузку сети, одновременно с этим при помощи дополнительного сетевого адаптера контролирующего узла сети определяют время отклика рабочих станций, после этого определяют коэффициенты корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика.
Заявленный способ поясняется на фиг.1, где изображены контролирующий узел с применяемыми сетевыми адаптерами - 0, рабочие станции: 1 - N-1 и узел сети N, функционирующий в режиме захвата сетевого трафика.
На фиг.2 отображается блок-схема алгоритма, реализующего функцию обнаружения рабочих станций, находящихся в режиме захвата сетевого трафика.
A.1 - А.3 - операции по определению времени отклика рабочих станций в сети.
A.1 - операция посылки дополнительным сетевым адаптером контролирующего узла сети ICMP-запросов узлам вычислительной сети.
А.2 - операция приема ICMP-ответов от узлов сети.
А.3 - операция определения времени между посылкой ICMP-запросов и приемом ICMP-ответов.
А.4 - операция задания порогового коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп.
А.5 - А.9 - процедура накопления статистики.
А.5 - операция широковещательной рассылки основным сетевым адаптером контролирующего узла сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети.
А.6 - операция определения интенсивности загрузки сети ICMP-пакетами µ[i] на i-м шаге процедуры накопления статистики, заключающаяся в определении производительности основного сетевого адаптера контролирующего узла сети при проведении им операции А5.
А.7 - А.9 - операции по определению времени отклика рабочих станций в сети. - вектор времени отклика рабочих станций сети на i-м шаге процедуры накопления статистики.
А.10 - условие накопления достаточной статистики i=K.
А.11 - процедура вычисления коэффициентов корреляции значений параметров загрузки сети и времени отклика рабочих станций.
Оценка коэффициента корреляции j-й рабочей станции вычисляется в соответствии с выражением:
где - производительность j-й рабочей станции на i-м шаге процедуры накопления статистики;
- оценка среднего значения производительности j-й рабочей станции в сети;
- оценка средней интенсивности загрузки сети ICMP-пакетами.
А.12 - сравнение полученных оценок коэффициентов корреляции с пороговым значением коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп и при переход к операции А.13.
А.13 - принятие решения о функционировании j-й рабочей станции в режиме захвата сетевого трафика.
А.14 - условие окончания процедуры обнаружения устройств локальной вычислительной сети, функционирующих в режиме анализа сетевого трафика.
Заявленный способ реализуется в виде программно-аппаратного комплекса, характеризующегося следующими особенностями:
1. Для получения заявленного технического результата в контролирующем узле сети введен дополнительный сетевой адаптер. Основной сетевой адаптер осуществляет загрузку сети ICMP пакетами, а дополнительный - определяет время отклика рабочих станций в сети. Таким образом, исключено влияние процесса загрузки сети на процесс мониторинга текущего времени отклика рабочих станций.
2. Конкретизирован тип применяемых для загрузки ЛВС ICMP пакетов (фиг.3) и оптимизирована структура передаваемого пакета путем исключения избыточных данных из тела пакета. Программно-аппаратная реализация большего числа устройств сети, функционирующих в режиме захвата сетевого трафика, предполагает анализ полей заголовков передаваемых пакетов и, в зависимости от конкретных целей нарушителя, полей данных некоторых видов сетевых протоколов. Таким образом, путем введения в способ циклической рассылки ICMP-пакетов с оптимизированной структурой и отсутствующим полем данных существует возможность снизить загрузку среды распространения сигналов локальной сети и повысить время отклика (загрузку сетевых адаптеров) узлов сети, функционирующих в режиме анализа сетевого трафика.
На этапе функционирования при помощи дополнительного сетевого адаптера контролирующего узла сети осуществляют определение времени отклика рабочих станций в локальной вычислительной сети (блоки A.1 - А.3 фиг.2) путем определения времени между посылкой ICMP-запросов (блок А.1 фиг.2) и приемом ICMP-ответов (блок А.2 фиг.2). После этого задают пороговое значение коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп (блок А.4 фиг.2). При помощи основного сетевого адаптера контролирующего узла сети осуществляют загрузку сети ICMP-пакетами с полем адресата, не существующего в зондируемой сети и отсутствующим полем данных (блок А.5 фиг.2), фиксируют загрузку сети µ[i] (блок А.6 фиг.2) и одновременно с этим при помощи дополнительного сетевого адаптера контролирующего узла сети определяют время отклика рабочих станций (блоки А.7 - А.9 фиг.2). Процедура накопления достаточной статистики (блоки А.5 - А.9 фиг.2) осуществляется K раз. Вычисляют корреляционные коэффициенты для каждой j-й рабочей станции в сети
(блок A.11 фиг.2). Сравнивают их с пороговым значением rдоп (блок А.12 фиг.2). По результатам сравнения при принимают решение о функционировании узла сети в режиме захвата сетевого трафика (блок А.13 фиг.2). В случае если рабочие станции, функционирующие в режиме анализа трафика, отсутствуют, в сети снова может осуществляться процедура накопления статистики (блок А.14 фиг.2).
Путем введения в способ дополнительных операций осуществления циклической широковещательной загрузки локальной вычислительной сети контролирующим узлом, определения коэффициентов корреляции времени отклика рабочих станций и интенсивности загрузки сети и сравнения их с введенным пороговым значением достигается учет задержек в сети, вызванных загруженностью домена коллизий, а также учет зависимости скорости обработки запросов устройств сети от реальных задач, выполняемых во время определения времени отклика, что в свою очередь приводит к снижению числа ложных тревог по результатам анализа времени отклика узлов сети контролирующим узлом.
Класс H04L12/403 с централизованным управлением, например опрос
Класс G06F17/18 для обработки статистических данных