Причины и источники сетевых аномалий | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Библиографическое описание:

Оладько, В. С. Причины и источники сетевых аномалий / В. С. Оладько, С. Ю. Микова, М. А. Нестеренко, Е. А. Садовник. — Текст : непосредственный // Молодой ученый. — 2015. — № 22 (102). — С. 158-161. — URL: https://moluch.ru/archive/102/23376/ (дата обращения: 19.12.2024).



 

Рассмотрена проблема обеспечения безопасности корпоративных сетей организаций. В качестве основных причин нарушения безопасности и утечек информации разного уровня доступа, в организации, выделены действия злоумышленника. Показано, что для своевременного предотвращения атак злоумышленника и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети. Поскольку именно регулярный мониторинг состояния сети, позволит своевременно обнаруживать и отслеживать сетевые аномалии, а также проводить их подробный анализ, с целью выявления причин и источников аномалии. Проанализированы основные причины возникновения аномалий в сетевом трафике, к которым относят: сетевые атаки, ошибки пользователей, сбои и отказы аппаратного обеспечения, дефекты программного обеспечения, повреждения каналов связи. Рассмотрены способы проявления сетевых аномалий: видимые аномалии и аномалии, не имеющие видимых признаков. Выделены источники возникновения сетевых аномалий. Сделан вывод, что наиболее опасным источником сетевых аномалий являются действия злоумышленника. Показана и подробно проанализирована причинно-следственная связь между аномалиями и наиболее распространенными сетевыми атаками. Сделан вывод о возможности применения описания связи между атаками и аномалиями при написании правил и шаблонов алгоритмов обнаружения аномалий и атак.

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

 

Настоящее время характеризуется активным развитием интернет-технологий и появлением большого числа гетерогенных и распределенных систем, которые повсеместно используются организациями (государственными и частными) при реализации бизнес — процессов и предоставлении услуг. В данных системах и сетях ежедневно обрабатывается, передается и хранится информация различного уровня доступа, к которой получает локальный и/или удаленный доступ множество пользователей. Зафиксированное число утечек информации и атак злоумышленника на информационные и сетевые ресурсы ежегодно возрастает. Так по данным исследований аналитического центра компании InfoWatch за 2014 год [2] и первое полугодие 2015 года [3], число утечек информации в мире выросло на 22 %, в России — на 73 %, при этом более 39 % утечек приходиться именно на сеть, которая занимает лидирующее положение среди всех каналов. Поэтому, актуальной является задача обеспечения безопасности сетей и ресурсов организаций от утечек и угроз различной природы и характера.

В соответствии с [1], для своевременного предотвращения атак и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети и контролировать появления сетевых аномалий, поскольку именно они являются одним из основных признаков сбоев в работе сети и/или вторжения злоумышленника. Анализируя причины возникновения, источники и степень опасности сетевой аномалии, можно своевременно выявить нарушение и снизить риски от его последствий. Анализ литературных источников [4 — 6] показывает, что сетевые аномалии могут возникать по причинам, связанным с деятельностью злоумышленников, некомпетентностью и ошибками пользователей, неисправностью аппаратуры, повреждением каналов связи и дефектами программного обеспечения.

Существуют видимые аномалии, проявляющиеся в некорректной работе информационно-вычислительной системы в текущий момент времени и аномалии, не имеющие видимых признаков в текущий момент времени, но которые могут привести к сбоям спустя значительное время. При этом наиболее опасными являются аномалии, которые возникают в результате проведения сетевой атаки. При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение доступа к конкретным данным или ресурсу. Поэтому сетевые атаки могут проводиться в несколько этапов и отличаться разным уровнем сложности. Например, некоторые виды атак требуют большое количество вычислительных ресурсов и высокого уровня подготовки злоумышленника, другие способен осуществить рядовой пользователь, даже не предполагающий, какие последствия может принести его деятельность. Следовательно, для минимизации ущерба от возможного вторжения в систему и своевременного предотвращения атаки на ранних стадиях проведения, важно четко выявлять в обнаруженной аномалии признаки атаки и проводить оценку возможных последствий.

В таблице 1 представлена разработанная причинно-следственная связь между атаками злоумышленников, сетевыми аномалиями и их последствиями для безопасности сети организации.

Таблица 1

Причины и последствия возникновения аномалий в сетевом трафике, источником которых является активность злоумышленника

Причина возникновения аномалии (источник)

Вид проявления аномалии

Последствия

Атаки на уровне приложений

эксплуатация известных уязвимостей и ошибок в программном обеспечении, сканирование и доступ к портам, ассоциированным с уязвимыми приложениями

злоумышленники могут получить доступ к АРМ пользователя сети, повысить привелегии, получить административный доступ

Авторутеры

скачек в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего IP-адреса

установка rootkit и использование системы для автоматизации процесса вторжения, позволяет злоумышленнику просканировать сотни тысяч систем за короткий промежуток времени

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS)

наблюдается интенсивный поток трафика с множества IP-адресов на порты маршрутизаторов и серверов

происходят нарушения нормального функционирования системы, нарушается доступность данных и сервисов, которые обычно дополняются нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений.

TCP SYN Flood

создание большого числа частично открытых соединений, увеличения числа SYN-пакетов

нарушения нормального функционирования системы

Атаки «Ping of Death»

получении слишком больших IP-пакетов.

сбой, отказ, зависание и перезагрузка системы

Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)

генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей.

Stacheldraht

появление нелегального зашифрованного трафика,генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов

Атаки «IP spoofing»

подмена IP-адресов источника на адреса из доверенных зон

злоумышленник внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять

Атаки «Man-in-the-middle»

перехват сетевых пакетов, протоколов маршрутизации и транспортных протоколов, искажение передаваемых данных и включение новой информации в сетевые сессии

кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика — для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии

Сетевая разведка

запросы к DNS-серверу, сканирование диапазона IP-адресов (ping sweeps) и сканирование портов

злоумышленники могут найти открытые порты, изучить характеристики приложений, выполняющихся на хостах

Сниффинг пакетов

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP, POP3 и т. д.), например имен пользователей и пароли, переключение потоков трафика с одного сетевого устройства (службы) на другое

злоумышленник может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время

Атаки на пароли

подделка IP-пакетов и прослушивание пакетов, скачек в трафике по потокам/с, с несколькими пакетами от одного доминирующего IP-адреса

злоумышленники могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных

Port redirection attacks

переадресация сетевого трафика, падение в байтах или пакетах в одном потоке трафика и выброс в другом.

Передача злоумышленниками через межсетевой экран нелегального трафика

Вирусные и троянские атаки

выброс в трафике без доминирующего адреса назначения, но с одним или несколькими доминирующими портами назначения

примером вируса является программа, которая, удаляет некоторые сетевые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить.

Trust exploitation attacks

происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети

атака на внутреннюю сеть

 

Описанная авторами причинно-следственная связь может использоваться в процессе анализа обнаруженных аномалий, и в качестве основы для пополнения баз знаний и создания шаблонов, правил и сценариев алгоритмов обнаружения аномалий и атак.

По результатам проведенного исследования, можно сделать следующие выводы:

-                   для поддержания требуемого уровня безопасности корпоративной сети организации необходимо проводить регулярный мониторинг состояния сети и выявлять аномалии в сетевом трафике;

-                   обнаруженные аномалии следует подвергать тщательному анализу, с целью выявления их источника и причин возникновения;

-                   наиболее часто возникающие в сетевом трафике аномалии являются признаком проводимой злоумышленником атаки на объекты и ресурсы корпоративной сети;

-                   сетевые аномалии столь же разнообразны, как и сетевые атаки, поэтому между их признаками необходимо устанавливать связь.

 

Литература:

 

  1.                Багров Е.В. Мониторинг и аудит информационной безопасности на предприятии//Вестник Волгоградского государственного университета. Серия 10: Инновационная деятельность. 2011. — № 5. С. 54 — 56.
  2.                Глобальное исследование утечек конфиденциальной информации в 2014 году//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_global_report_2014.pdf (дата обращения 03.11.2015).
  3.                Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2015_half_year.pdf (дата обращения 03.11.2015).
  4.                Шелухин О. И., Сакалема Д.Ж., Филинова А.С.. Обнаружение вторжений и компьютерные сети., / О.И. Шелухин — М.: Горячая линия-Телеком, 2013. — 220 с.
  5.                Theuns Verwoerd, Ray Hunt Intrusion detection techniques and approaches // Computer Communications. 2002. — № 25. — P. 1356-1365.
  6.                Herve Debar, Marc Dacier, Andreas Wespi, Towards a taxonomy of intrusion detection systems // Computer Networks. 1999. — № 31. — P. 805-822.
Основные термины (генерируются автоматически): аномалия, атака, сетевой трафик, регулярный мониторинг состояния сети, источник, программное обеспечение, сетевая атака, сеть, причинно-следственная связь, учетная запись.


Похожие статьи

Исследование нейросетевых технологий для выявления инцидентов информационной безопасности

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источ...

Подходы к управлению цифровыми рисками нефтегазовых компаний

Киберугрозы играют в нефтегазовом секторе весьма заметную роль. В этой среде высокого риска и с учетом таких огромных объемов работ безопасность всегда была важнейшим вопросом. Цифровые риски также оказывают существенное влияние на цепочку поставок в...

Компьютерные вирусы и антивирусные программы

Компьютерные вирусы являются одной из основных опасностей для защиты информационных данных. Это обусловлено серьезным уроном, причиненным информационным системам. В данной статье представлены некоторые базовые понятия о вирусах и проанализированы спо...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Методы обеспечения безопасности информационных систем, функционирующих в сети Интернет

В настоящее время огромное значение приобретает обеспечение безопасности удаленной работы в информационных системах. Встает вопрос не только об осуществлении защищенного соединения, но и создании различного рода ограничений на средства управления рас...

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Оценка эффективности систем с искусственным интеллектом в борьбе с киберпреступностью в Республике Узбекистан

В исследовании рассмотрено влияние искусственного интеллекта на мониторинг киберугроз в Узбекистане. Сравнивались данные о киберинцидентах за 2019 и 2023 годы, а также проведен опрос экспертов. Использование искусственного интеллекта значительно повы...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Анализ нескольких рисков безопасности в промышленных сетях

В данной работе представлены несколько типичных рисков безопасности в промышленных сетях, в основном включающих атаки на сетевые объекты, вирусы и вредоносное программное обеспечение, проанализированы управленческие и физические риски, а также предло...

Похожие статьи

Исследование нейросетевых технологий для выявления инцидентов информационной безопасности

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источ...

Подходы к управлению цифровыми рисками нефтегазовых компаний

Киберугрозы играют в нефтегазовом секторе весьма заметную роль. В этой среде высокого риска и с учетом таких огромных объемов работ безопасность всегда была важнейшим вопросом. Цифровые риски также оказывают существенное влияние на цепочку поставок в...

Компьютерные вирусы и антивирусные программы

Компьютерные вирусы являются одной из основных опасностей для защиты информационных данных. Это обусловлено серьезным уроном, причиненным информационным системам. В данной статье представлены некоторые базовые понятия о вирусах и проанализированы спо...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Методы обеспечения безопасности информационных систем, функционирующих в сети Интернет

В настоящее время огромное значение приобретает обеспечение безопасности удаленной работы в информационных системах. Встает вопрос не только об осуществлении защищенного соединения, но и создании различного рода ограничений на средства управления рас...

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Оценка эффективности систем с искусственным интеллектом в борьбе с киберпреступностью в Республике Узбекистан

В исследовании рассмотрено влияние искусственного интеллекта на мониторинг киберугроз в Узбекистане. Сравнивались данные о киберинцидентах за 2019 и 2023 годы, а также проведен опрос экспертов. Использование искусственного интеллекта значительно повы...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Анализ нескольких рисков безопасности в промышленных сетях

В данной работе представлены несколько типичных рисков безопасности в промышленных сетях, в основном включающих атаки на сетевые объекты, вирусы и вредоносное программное обеспечение, проанализированы управленческие и физические риски, а также предло...

Задать вопрос