Обнаружение вторжений в компьютерные сети (сетевые аномалии)

Москва
Горячая линия - Телеком
2013

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
     Ш44 

Р е ц е н з е н т ы :  доктор техн. наук, профессор, академик РАЕН, декан 
факультета «Кибернетика и информационная безопасность НИЯУ 
МИФИ»  С. В. Дворянкин; доктор техн. наук, профессор, зав. кафедрой 
«Информационная безопасность телекоммуникационных систем» ЮФУ  
К. Е. Румянцев; доктор техн. наук, профессор кафедры «Информационная безопасность и автоматизация» МТУСИ  С. С. Звежинский; канд. 
техн. наук, доцент кафедры «Информационная безопасность» МГТУ 
им Н. Э. Баумана  Р. А. Бельфер; 
Шелухин О. И., Сакалема Д. Ж., Филинова А. С. 

 Ш44         Обнаружение вторжений в компьютерные сети (сетевые 
аномалии). Учебное пособие для вузов. / Под ред. профессора 
О. И. Шелухина – М.: Горячая линия–Телеком, 2013. – 220 с: ил. 
ISBN 978-5-9912-0323-4. 

Даны основные определения и понятия в области систем обнаруже
ния вторжений и компьютерных атак. Рассмотрены принципы построения 
и структура систем обнаружения вторжений. Анализируются способы 
развертывания, достоинства и недостатки существующих систем обнаружения вторжений. Центральное место в книге уделено методам обнаружения сетевых аномалий. Рассмотрены методы кратномасштабного вейвлет- и мультифрактального анализа алгоритмов обнаружения аномальных вторжений. Проведен анализ статистических, интеллектуальных, иммунных, нейросетевых и других алгоритмов обнаружения аномалий. 
Для студентов, обучающихся по направлению подготовки бакалавров 
и магистров 210700 – «Инфокоммуникационные технологии и системы 
связи», может быть полезно аспирантам и студентам, обучающимся по 
группе специальностей направления «Информационная безопасность» и 
специалистам в области защиты информации и безопасности инфокоммуникаций. 

ББК 32.973.2-018.2я73 

Учебное издание 

Шелухин Олег Иванович, Сакалема Домингуш Жайме,  

Филинова Анастасия Сергеевна  

Обнаружение вторжений в компьютерные сети (сетевые аномалии) 
Учебное пособие для вузов 

Редактор  Ю. Н. Чернышов 
Компьютерная верстка  Ю. Н. Чернышова 
Обложка художника  О. Г. Карповой 

Подписано к печати 07.02.2013.  Формат 60×88 1/16. Усл. печ. л.  13,75.  Изд. № 13323.  Тираж 500 экз. (1-й завод 200 экз.) 

ISBN 978-5-9912-0323-4     ©  О. И. Шелухин, Д. Ж. Сакалема, А. С. Филинова, 2013 
                                                     ©  Издательство «Горячая линия–Телеком», 2013 

ПРЕДИСЛОВИЕ

Важнейшим атрибутом нашего времени является глобальная
информационная интеграция, основанная на построении компьютерных сетей масштаба предприятия и их объединении посредством
Интернета.
Сложность логической и физической организации современных
сетей приводит к объективным трудностям при решении вопросов
управления и защиты сетей. В процессе эксплуатации компьютерных сетей администраторам приходится решать две главные задачи:
• диагностировать работу сети и подключенных к ней серверов,
рабочих станций и соответствующего программного обеспечения;
• защищать информационные ресурсы сети от несанкционированной деятельности хакеров, воздействий вирусов, сетевых червей
и т. п., т. е. обеспечивать их конфиденциальность, целостность и
доступность.
При решении задач, связанных с диагностикой и защитой сетевых ресурсов, центральным вопросом является оперативное обнаружение состояний сети, приводящих к потере полной или частичной
ее работоспособности, уничтожению, искажению или утечке информации, являющихся следствием отказов, сбоев случайного характера или результатом получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности. Раннее
обнаружение таких состояний позволит своевременно устранить их
причину, а также предотвратит возможные катастрофические последствия.
Для их обнаружения используется большой спектр специализированных систем.
Так, при решении проблем диагностики сетей применяются средства систем управления, анализаторы сетевых
протоколов, системы нагрузочного тестирования, системы сетевого
мониторинга. Проблемы защиты информационных ресурсов сетей
решаются с помощью межсетевых экранов (firewall), антивирусов,
систем обнаружения атак (СОВ) (Intrusion Detection System, IDS),
систем контроля целостности, криптографических средств защиты.

Предисловие

Характерными особенностями использования этих систем является либо их периодическое и кратковременное применение для решения определенной проблемы, либо постоянное использование, но
со статическими настройками.
В результате методы анализа, используемые в современных системах, направлены на обнаружение
известных и точно описанных типов воздействий, но зачастую оказываются не в состоянии обнаружить их модификации или новые
типы, что делает их использование малоэффективным.
Таким образом, на сегодняшний день очень актуальной задачей
является поиск более эффективных методов выявления недопустимых событий (аномалий) в работе сети, являющихся следствием технических сбоев или несанкционированных воздействий. Основным
требованием к этим методам является возможность обнаружения
произвольных типов аномалий, в том числе новых, а также воздействий, распределенных во времени.
Это направление научных исследований является очень молодым. Первые работы, посвященные данной проблеме, были опубликованы в 90-х годах прошлого столетия.
В настоящий момент исследования в этой области ведутся крупными зарубежными коммерческими компаниями.
Общий подход,
лежащий в основе этих исследований, заключается в поиске методов
анализа, позволяющих выявлять аномальные состояния информационных ресурсов в виде отклонений от обычного («нормального»)
состояния. Эти отклонения могут являться результатами сбоев в
работе аппаратного и программного обеспечения, а также следствиями сетевых атак хакеров. Такой подход теоретически позволит
обнаруживать как известные, так и новые типы проблем. От эффективности и точности аппарата, определяющего «нормальное» состояние и фиксирующего отклонение, зависит в целом эффективность
решения вопросов диагностики и защиты сетевых ресурсов.
Особую важность на текущий момент представляет проблема обнаружения аномальных состояний в работе сети, имеющих распределенный во времени характер (АРВ). АРВ могут являться следствиями
специально маскируемых сетевых атак злоумышленников, скрытых
аппаратно-программных сбоев, новых вирусов и т. п.
В основу учебного пособия положен курс лекционных, практических и лабораторных занятий для студентов МТУСИ, обучающихся по магистерским программам «Программно-защищенные инфокоммуникации» в рамках направлений «Инфокоммуникационные
технологии и системы связи», а также «Информатика и вычислительная техника».

КОМПЬЮТЕРНЫЕ АТАКИ

1.1. Основные определения и понятия

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации [1].
Устранение уязвимости информационной системы приводит к
устранению и самой возможности реализации атак.
Существует три типа атак:
Разведка.
Эти атаки включают ping sweeps, передачу DNSзоны, разведку с помощью e-mail, сканирование TCP- или UDPпортов и, возможно, анализ общественно доступных серверов с целью нахождения cgi-дыр.
Эксплойт (exploit — использовать в своих интересах, злоупотреблять). Это компьютерная программа, фрагмент программного
кода или последовательность команд, использующие уязвимости в
программном обеспечении и применяемые для проведения атаки на
вычислительную систему [9]. Целью атаки может быть как захват
контроля над системой (повышение привилегий), так и нарушение
её функционирования (DoS-атака). Нарушители будут использовать
преимущества скрытых возможностей или ошибок для получения
несанкционированного доступа к системе.
Отказ в обслуживании (Denial of Service, DoS). При такой
атаке нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск.
. Традиционная модель атаки строится по принципу «один к одному» или «один ко многим», т. е. атака исходит
из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т. д.) ориентированы
именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты,

Глава 1

которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т. д. Однако такая модель не справляется с распределенными атаками.
В модели распределенной атаки используются иные принципы.
В отличие от традиционной модели в распределенной модели используются отношения «многие к одному» и «многие ко многим».
Распределенные атаки основаны на «классических» атаках типа «отказ в обслуживании», а точнее на их подмножестве, известном как Flood- или Storm-атаки (указанные термины можно перевести как «шторм», «наводнение» или «лавина»). Смысл данных
атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он
«захлебнется» в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. Однако в случае, если
пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно
сконфигурирован, к «успеху» такая атака не приведет. Но распределенная атака происходит уже не из одной точки Internet, а сразу
из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя.
Получили распространение следующие типы атак:
удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или BackOrifice;
локальное проникновение (local penetration). Атака, которая
приводит к получению несанкционированного доступа к узлу, на
котором она запущена. Например, GetAdmin;
удаленный отказ в обслуживании (remote denial of service).
Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или trin00;
локальный отказ в обслуживании (local denial of service).
Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой
атаки является «враждебный» апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.

1.2. Классификация атак

Существуют различные типы классификации атак. Например,
деление на пассивные и активные, внешние и внутренние, умышлен

Компьютерные атаки
7

Таблица 1.1
Основные типы аномалий в IP-сетях

Тип аноОписание
Характеристики

малии

Альфааномалия

Необычно высокий уровень
трафика типа точка-точка

Выброс в представлении трафика
байты/с, пакеты/с по одному доминирующему потоку источник — назначение. Небольшая продолжительность (до 10 минут)

DoS-,
DDoSатака

Распределенная атака типа
отказ в обслуживании на
одну жертву

Выброс в представлении трафика пакеты/с, потоки/с, от множества источников к одному адресу
назначения

Перегрузка

Необычно высокий спрос
на один сетевой ресурс или
сервис

Скачок в трафике по потокам/с к
одному доминирующему IP-адресу
и доминирующему порту. Обычно
кратковременная аномалия

Сканирование
сети/
портов

Сканирование сети по определенным открытым портам
или сканирование одного
хоста по всем портам с целью поиска уязвимостей

Скачок в трафике по потокам/с, с
несколькими пакетами в потоках от
одного доминирующего IP-адреса

Деятельность
червей

Вредоносная программа,
которая самостоятельно распространяется по сети и использует уязвимости операционных систем

Выброс в трафике без доминирующего адреса назначения, но всегда с
одним или несколькими доминирующими портами назначения

Точкамультиточка

Распространение контента
от одного сервера многим
пользователям

Выброс в пакетах, байтах от доминирующего источника к нескольким
назначениям, все к одному (одним)
хорошо известным портам

Отключения

Сетевые неполадки, которые
вызывают падение в трафике между одной парой
источник-назначение

Падение в трафике по пакетам, потокам и байтам обычно до нуля. Может быть долговременным и включать все потоки источник-назначение
от или к одному маршрутизатору

Переключения
потока

Необычное переключение
потоков трафика с одного
входящего маршрутизатора
на другой

Падение в байтах или пакетах в одном потоке трафика и выброс в другом. Может затрагивать несколько
потоков трафика

ные и неумышленные. Самым естественным и явным образом можно классифицировать существующие актуальные аномалии по типу
источника или причины их возникновения. Пример такой классификации приведен на рис 1.1.
В табл. 1.1 представлены основные типы сетевых аномалий, их
описание и основные характеристики. Приведенная систематизация
данных об атаках и этапах их реализации дает необходимый базис
для понимания технологий обнаружения атак.

Глава 1

Рис. 1.1. Классификация аномалий в IP-сетях по типу

1.3. Этапы реализации атак

Можно выделить следующие этапы реализации атаки:
• предварительные действия перед атакой или «сбор информации»;
• собственно «реализация атаки»;
• завершение атаки.
Обычно, когда говорят об атаке, подразумевают именно второй
этап, забывая о первом и последнем. Сбор информации и завершение атаки («заметание следов») в свою очередь также могут являться атакой и могут быть разделены на три этапа.

1.3.1. Сбор информации

Сбор информации — основной этап реализации атаки. Именно
на данном этапе эффективность работы злоумышленника является залогом «успешности» атаки. Сначала выбирается цель атаки и
собирается информация о ней:
• тип и версия операционной системы;
• открытые порты и запущенные сетевые сервисы;
• установленное системное и прикладное программное обеспечение и его конфигурация и т. д..
Затем идентифицируются наиболее уязвимые места атакуемой
системы, воздействие на которые приводит к нужному злоумыш

Компьютерные атаки
9

леннику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не
только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами
под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим — нет. От
того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство
реализации будет выбрано и т. д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например, атака SYN-Flood. Сеансовый
уровень отвечает за процедуру установления начала сеанса и подтверждение (квитирование) прихода каждого пакета от отправителя
получателю. В Интернете протоколом сеансового уровня является
протокол TCP (он занимает 4 и 5 уровни модели OSI). В отношении сеансового уровня очень широко распространена специфичная
атака класса «отказ в сервисе», основанная на свойствах процедуры
установления соединения в протоколе TCP. Она получила название
SYN-Flood (flood — большой поток).
При попытке клиента подключиться к серверу, работающему
по протоколу TCP (а его используют более 80 % информационных
служб, в том числе HTTP, FTP, SMTP, POP3), он посылает серверу пакет без информации, но с битом SYN, установленным в 1 в
служебной области пакета — запросом на соединение. По получении такого пакета сервер обязан выслать клиенту подтверждение
приема запроса, после чего с третьего пакета начинается собственно
диалог между клиентом и сервером. Одновременно сервер может
поддерживать в зависимости от типа сервиса от 20 до нескольких
тысяч клиентов.
При атаке типа SYN-Flood злоумышленник начинает на своей
ЭВМ создавать пакеты, представляющие собой запросы на соединение (т. е. SYN-пакеты) от имени произвольных IP-адресов (возможно даже несуществующих) на имя атакуемого сервера по порту
сервиса, который он хочет приостановить. Все пакеты будут доставляться получателю, поскольку при доставке анализируется только
адрес назначения. Сервер, начиная соединение по каждому из этих
запросов, резервирует под него место в своем буфере, отправляет
пакет-подтверждение и начинает ожидать третьего пакета клиента
в течение некоторого промежутка времени (1...5 секунд).
Пакетподтверждение уйдет по адресу, указанному в качестве ложного отправителя в произвольную точку Интернета и либо не найдет ад

Глава 1

ресата вообще, либо чрезмерно «удивит» операционную систему на
этом IP-адресе (поскольку она никаких запросов на данный сервер
не посылала) и будет просто проигнорирован. А вот сервер, при достаточно небольшом потоке таких запросов, будет постоянно держать свой буфер заполненным ненужными ожиданиями соединений, и
даже SYN-запросы от настоящих легальных пользователей не будут
помещаться в буфер; сеансовый уровень просто не знает и не может
узнать, какие из запросов фальшивые, а какие настоящие и могли
бы иметь больший приоритет.
Традиционные средства защиты, такие, как межсетевые экраны
или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно «забывая»
о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и
дорогих средств защиты.
Пример тому — распределенные атаки.
Логично было бы, чтобы средства защиты начинали работать еще
на первом этапе, т. е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью
предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации,
т. е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак
впредь.
В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например, для
отказа в обслуживании подробно анализируется атакуемая сеть, в
ней выискиваются лазейки и слабые места; для хищения информации основное внимание уделяется незаметному проникновению на
атакуемые узлы при помощи обнаруженных ранее уязвимостей.

1.3.2. Основные механизмы реализации атак

Первый этап реализации атак — это сбор информации об атакуемой системе или узле. Он включает такие действия как определение
сетевой топологии, типа и версии операционной системы атакуемого
узла, а также доступных сетевых и иных сервисов и т. п. Эти действия реализуются различными методами.
. На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким
областям, например, относятся узлы Internet-провайдера «жертвы»
или узлы удаленного офиса атакуемой компании.
На этом этапе