Освіта у Львівській політехніці

Дослідження механізмів виявлення аномалій у трафіку мереж ТСР/ІР

Автор: Масюк Надія Андріївна

Кваліфікаційний рівень: магістр

Спеціальність: Системне адміністрування телекомунікаційних мереж

Інститут: Інститут телекомунікацій, радіоелектроніки та електронної техніки

Форма навчання: заочна

Навчальний рік: 2022-2023 н.р.

Мова захисту: українська

Анотація: Системи збору даних в інфокомунікаційних мережах призначені для вирішення цілого спектра завдань. Традиційно до цих завдань належить моніторинг стану мережі, визначення якості з’єднань та проблеми безпеки [1-3]. Найбільш цінними є ті методи обробки даних, що базуються на мережевих стандартах та протоколах. У сфері забезпечення мережевої безпеки необхідно удосконалювати технології збору та обробки даних про трафік для своєчасного виявлення аномальних станів [4,5]. Методи виявлення аномалій мережі можуть спиратися на традиційні мережеві інструменти, які аналізують дані на рівні пакетів або потоків на основі статистичного підходу. Нові типи деструктивних мережевих процесів розробляються постійно, причому методи нападу удосконалюються для застосування на всіх етапах мережного вторгнення. Тому нові способи визначення аномалій мережі необхідні, починаючи з початкового етапу мережевого вторгнення (сканування портів). Одне з досягнень останніх років полягає в пропозиції аналізувати вихідний трафік від захищуваного сервера і шукати в ньому пакети- відгуки певних типів для виявлення мережевих аномалій. Такий підхід значно скорочує обсяг даних, що підлягають аналізу. Зазначимо, що методи виявлення аномалій спираються на стандартні способи аналізу трафіку, такі як визначення типу та атрибутів мережевих пакетів. Таким чином, дослідження механізмів виявлення аномалій у мережах TCP/IP є актуальним. Метою магістерської кваліфікаційної роботи є підвищення ефективності процесу виявлення аномалій у мережах TCP/IP. Для досягнення поставленої мети у даній роботі потрібно вирішити такі основні завдання: 1. здійснити огляд основ процесу збору даних для завдань мережевої безпеки і моніторингу трафіку; 2. проаналізувати процес визначення аномальних станів мережі TCP/IP на основі кваліфікаційних ознак; 3. представити механізми виявлення мережевих вторгнень та здійснити їх тестування; 4. дослідити ефективність розроблених рішень для виявлення мережевих аномалій . Методи дослідження. У роботі використовувалися методи аналізу мережевого трафіку, теорії вимірювань, теорії ймовірностей та моделювання. Об’єкт дослідження –трафік мереж TCP/IP. Предмет дослідження – механізми виявлення аномальних мережевих станів. Наукова новизна отриманих результатів полягає у розробці методики для протидії мережевим атакам з DNS на основі визначених кваліфікаційних ознак, що дозволило створити утиліту Linux та SDN модуль для підвищення ефективності захисту сучасних мереж від різних атак. Практичне значення отриманих результатів полягає у можливості їх використання у сучасних мережах у виді програмних продуктів для підвищення точності визначення аномальних мережевих станів. У першому розділі розглянуто метрики продуктивності IP мереж. Наведена класифікація систем збору мережевих даних та систем виявлення вторгнень. Проаналізовано підходи щодо протидії скануванню портів, DDoS атакам типу TCP Flood та UDP Flood та DDoS атакам з посиленням. У другому розділі розглянуто утиліти, які вимірюють метрики продуктивності TCP/IP мереж, та здійснено їх порівняння. Визначено кваліфікаційні ознаки розглянутих мережевих аномалій, що дозволяє робити висновок про можливу атаку та визначати її джерело по вихідному трафіку, зібраному за невеликий проміжок часу . У третьому розділі розроблено методики протидії мережевим аномаліям на основі визначених кваліфікаційних ознак розпізнавання вторгнень, які реалізовано як два варіанти програмного забезпечення. На основі отриманих результатів показано, що використання розроблених механізмів захисту від сканування TCPпортів є ефективним, при цьому використання розробленого SDN модуля демонструє кращі результати, ніж утиліта Linux. У четвертому розділі здійснено дослідження ефективності розроблених рішень щодо захисту мереж від різних видів атак шляхом їх порівняння із системою Kaspersky та Snort. На основі проведених досліджень показано, що Kaspersky має недостатню ефективність захисту від сканування TCP портів .Отже, запропоновані захисні механізми діють ефективніше, оскільки визначають більшу частину портів, які піддаються скануванню порівняно з розглянутими популярними рішеннями. П’ятий розділ присвячено економічній оцінці процесу створення програмного продукту, основною функцією якого буде захищена передача трафіку з дотриманням вимог щодо показників якості на основі виявлення різноманітних аномалій. На основі здійснених обчислень показано доцільність впровадження такого рішення.