Устройство обнаружения и защиты от аномальной активности на сети передачи данных

Авторы патента:

H04L12 - Сети переключения сигналов (передачи данных) (соединение запоминающих устройств, устройств ввода-вывода или центральных процессоров или передача информации или других сигналов между указанными устройствами G06F 13/00)

G06F15/16 - сочетание двух или более вычислительных машин, каждая из которых снабжена по меньшей мере арифметическим устройством, программным устройством и регистром, например для одновременной обработки нескольких программ (схемы интерфейсов для специализированных устройств ввода-вывода G06F 3/00; мультипрограммное оборудование G06F 9/46; передача цифровых данных вообще H04L, например, в компьютерных сетях H04L 12/00; выборка данных H04Q)

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных, а именно к устройствам обнаружения и противодействия сетевым атакам, методом анализа трафика сети на предмет аномальной активности и вредоносного трафика, с целью дальнейшей фильтрации или блокирования вредоносного трафика. Предложено устройство обнаружения и защиты от аномальной активности на сети передачи данных. Сущность, которого заключается в применении устройства осуществляющего анализ сетевой активности сети передачи данных, а так же осуществляющего анализ и фильтрацию самого трафика, проходящего по сети передачи данных. Техническим результатом, обеспечиваемым представленным техническим решением, является эффективное и своевременное обнаружение сетевых атак, направленных на вывод из рабочего состояния защищаемых сетевых сервисов, а также эффективное противодействие данным сетевым атакам, путем фильтрации и блокирования вредоносного трафика, участвующего в сетевых атаках на защищаемый сетевой сервис.

ОБЛАСТЬ ТЕХНИКИ

УРОВЕНЬ ТЕХНИКИ

Современные сети передачи данных часто сталкиваются с проблемой сетевых атак, которые широко используются злоумышленниками в глобальных сетях, сетях провайдеров и не только. Одними из множества таких атак являются атаки по распространению вредоносных программ (вирусов), атаки по перехвату паролей, атаки по сканированию сетей и операционных систем, а так же атаки «наводнения» сети, такие как атаки отказа сервиса (denial of service или просто DoS) и их разновидности. Атаки подобного рода, являются одними из самых сложных, в части противодействия самой атаке. Так как их основной задачей не является повреждение какой-либо информации. Главной задачей данных атак - является вывод из рабочего состояния атакуемого сервиса, путем истощения его производительных ресурсов, таких так доступная память, полоса пропускания канала связи, количество поддерживаемых клиентских подключений, истощение производительности процессора и других ресурсов, необходимых для работоспособности сервиса. Результатом данных атак, чаще всего, является невозможность предоставления сервиса легальным пользователям. В качестве атакуемого сервиса может выступать как отдельный компьютер, так и целая сеть.

Из предшествующего уровня техники известны технические решения в виде антивирусных продуктов, продуктов по ограничению доступа к сети посредством использования правил доступа, а так же систем предупреждения вторжений, которые осуществляют подготовительные действия, помогающие защитить ресурсы сети от определенного спектра известных атак. Все эти решения, требуют постоянного обновления и контроля актуальности имеющейся информации о существующих атаках.

Известно техническое решение по установке сетевого экрана для защиты сети от вредоносного трафика (патент SECURE COMPUTER NETWORK WITH A NETWORK SCREEN, US 20020087889 A1, G06F 11/30, опубликовано 04.06.2002; патент ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН RU 2214623, G06F 15/163 опубликовано 20.10.2003). Также известно устройство по обеспечению сетевой безопасности (патент NETWORK SECURITY APPLIANCE US 20120151558 A1, G06F 21/00, опубликовано 14.06.2012). Самым главным недостатком, предложенных решений по части защиты сети передачи данных, является то, что данная система способна предупредить сетевую атаку, только посредством установленных правил доступа в сеть.

Также известно техническое решение, в котором реализован метод защиты сети от атак, использующий сенсоры, установленные в сети (патент System and method for reducing false positives during detection of network attacks, US 8151341 B1, H04L 29/06 опубликовано 03.04.2012). В данном техническом решении основным средством определения атаки и вредоносного трафика, являются сенсоры, которые установлены в сети и на основании информации, поступающей с данных сенсоров, принимается решение о наличии в сетевом трафике вредоносного трафика атаки. Недостатками данного технического решения является, защита конкретного компьютера сети, а так же то, что для обнаружения и предупреждения сетевых атак и аномалий, система не использует ничего кроме сенсоров. Поэтому данное решение не является системой, способной анализировать, фильтровать и блокировать вредоносный трафик в сетях передачи данных различного масштаба и назначения.

РАСКРЫТИЕ ПОЛЕЗНОЙ МОДЕЛИ

Технической задачей, на решение которой направленно заявляемое техническое решение, является анализ и обработка сетевого трафика, с целью выявления аномальной активности на сети, эффективное обнаружение сетевых атак, направленных на выведение из рабочего состояния различных сетевых сервисов, а также эффективное противодействие данным сетевым атакам.

Данная задача решается за счет того, что заявляемое устройство обнаружения и защиты от аномальной активности на сети передачи данных, характеризующееся тем, что содержит модуль анализа сетевой активности, определяющий проявление аномальной активности на сети передачи данных, используя для этого информацию, передаваемую в сети передачи данных протоколами Netflow, SNMP, BGP, их модификациями и аналогами, а также накопленную, в процессе работы заявляемого устройства, статистическую информацию, находящуюся в хранилище статистических данных; модуль анализа трафика и модуль фильтрации трафика, которые в процессе своей работы анализируют трафик сети передачи данных, фильтруют и блокируют вредоносный трафик, определенный модулем анализа сетевой активности и определенный при анализе трафика сети передачи данных, применяя алгоритмы обнаружения вредоносного и нежелательного трафика на основе анализа служебной информации протоколов и передаваемой информации, сопоставления ее со стандартами, отслеживания особенности протоколов, обнаружения отклонений от накопленной статистики, а так же используя загружаемые и динамически определяемые шаблоны вредоносного трафика, которые хранятся в хранилище типовых аномалии и типовых поведенческих профилей полезного трафика; модуль ввода/вывода, который осуществляет прием и передачу анализируемого трафика и статистической информации сети передачи данных, которые передаются на модули анализа сетевой активности, анализа трафика и фильтрации трафика, для обработки, анализа, фильтрации и блокирования; а также модуль управления, выполняющий, настройку, контроль и изменение режимов работы заявляемого устройства. В качестве способа подключения к сети передачи данных, могут быть использованы способы подключения модуля ввода/вывода в разрыв сети передачи данных и подключение к устройству изменения пути прохождения трафика. В качестве вариантов исполнения данного устройства могут быть: устройство обнаружения и защиты от аномальной активности на сети передачи данных без модуля анализа сетевой активности, осуществляющее непрерывный анализ и фильтрацию трафика; устройство обнаружения и защиты от аномальной активности на сети передачи данных без модулей анализа и фильтрации сетевого трафика, в котором модуль анализа сетевой активности при обнаружении аномалии в сетевом трафике, выдает только оповещение об аномальной активности.

Техническим результатом, обеспечиваемым приведенной совокупностью признаков, является эффективное и своевременное обнаружение сетевых атак, направленных на вывод из рабочего состояния защищаемых сетевых сервисов, а также эффективное противодействие данным сетевым атакам, путем фильтрации и блокирования вредоносного трафика, участвующего в сетевых атаках на защищаемый сетевой сервис.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Сущность заявляемого технического решения поясняется чертежами, на которых изображены:

На Фиг.1 - Структурная схема устройства обнаружения и защиты от аномальной активности на сети передачи данных;

На Фиг.2 - Блок схема процесса работы модуля анализа сетевой активности;

На Фиг.3а - График количества обращений к сервису, при нормальном поведении сети передачи данных;

На Фиг.3б - График количества обращений к сервису, при аномальном поведении сети передачи данных;

На Фиг.4 - Блок схема процесса работы по анализу и фильтрации трафика.

ОСУЩЕСТВЛЕНИЕ ПОЛЕЗНОЙ МОДЕЛИ

Устройство обнаружения и защиты от аномальной активности на сети передачи данных имеет структурную схему, показанную на Фиг.1. Само заявляемое устройство 100 имеет в своем составе модуль ввода/вывода 101, который обеспечивает подключение заявляемого устройства, либо напрямую в разрыв, между контролируемой 110 и внутренней (защищаемой) 130 сетями передачи данных, либо к устройству захвата и перенаправления трафика 120, которое перенаправляет необходимый трафик на заявляемое устройство. Также посредством модуля ввода вывода 101, заявляемое устройство принимает статистическую информацию о сети передачи данных посредством протоколов NetFlow, SNMP, BGP, их модификаций и аналогов, а так же обменивается маршрутной информацией по протоколу маршрутизации BGP 108, что в дальнейшем позволяет применить методы анализа трафика. Так же в состав устройства входят: модуль анализа сетевой активности 102, который соединен с хранилищем статистических данных 105; модуль анализа трафика 103, соединенный с хранилищем типовых аномалий и типовых поведенческих профилей полезного трафика 106, который применяет методы анализа трафика и определения сетевых атак в самом передаваемом трафике; модуль фильтрации трафика 104, который на основании управляющих сигналов модулей анализа трафика и анализа сетевой активности, применяет методы фильтрации и блокирования вредоносного трафика. Еще одним элементом заявляемого устройства, является модуль управления 107, на который возложены функции настройки и контроля работы заявляемого устройства. На Фиг.1 так же показана внешняя сеть 140, которая не является контролируемой сетью. То есть, у заявляемого устройства нет возможности получить какую-либо полезную информацию о сети, но которая является источником трафика, с большой долей вероятности содержащего вредоносный трафик или трафик, участвующий в сетевой атаке на защищаемую сеть.

Далее будет рассмотрена, более подробно, работа каждого модуля. Работа модулей будет рассматриваться на уровне доступном для специалиста, имеющего базовые знания в сетевых технологиях. Детализация рассмотрения будет не более чем на уровне логики работы каждого модуля, что достаточно для понимания основных принципов работы заявляемого устройства.

Одной из функций заявляемого устройства, является анализ сетевой активности контролируемой сети. Главной целью данной функции - является выявление аномального поведения сети, путем анализа статистических данных, получаемых от активного оборудования контролируемой сети 110, которое передает статистическую информацию 108 посредством протоколов NetFlow, SNMP, BGP, их модификаций и аналогов, и из хранилища статистических данных 105, данные в котором накапливаются в процессе работы заявляемого устройства. Выполнение данной функции возложено на модуль анализа сетевой активности 102. Данный модуль представляет собой программно-аппаратный блок, процесс работы которого представлен в виде блок-схемы на Фиг.2 и будет рассмотрен далее более подробно. В первую очередь модуль анализа сетевой активности 102 производит инициализацию работы 201, руководствуясь настройками, которые передает ему модуль управления заявляемого устройства. Данная процедура представляет собой установку начальных параметров, таких как опрашиваемые узлы сети, параметры опроса, настройки хранилища, в которое сохраняется получаемая информация, настройки протоколов NetFlow, SNMP, BGP, их модификации и аналогов, загружается информация об известных уязвимостях, шаблонах атак, известных сетях, распространяющих вредоносный трафик. Операции, выполняемые модулем анализа сетевой активности при инициализации работы, не ограничиваются представленным набором. Данный набор приведен в качестве примера, с целью пояснения задач, которые выполняются при инициализации. Далее процесс работы разделяется на несколько независимо выполняемых процедур, основной целью которых является сбор и накопление информации о сети, используя различные способы и протоколы, такие как NetFlow, SNMP, BGP, их модификации и аналоги, а так же комбинации различных способов. Следует отметить, что сбор и накопление информации происходит непрерывно, на протяжении всего времени работы модуля. Рассмотрим выполнение данных процедур более подробно на примере сбора и накопления информации по протоколу NetFlow. Данная процедура 202, выполняет функцию по получению, структурированию и сохранению информации, передаваемой по протоколу Neflow, в хранилище статистических данных. Данная информация включает в себя, все данные, которые позволяет собрать протокол. Этими данными могут быть адреса источников и получателей, порты, количество переданной информации, сетевые порты на которые передаются и с которых принимаются пакеты данных, а также остальные параметры, которые передаются по данному протоколу. Накопленная информация, позволяет в дальнейшем анализировать трафик и сравнивать его с накопленными данными. Данное использование помогает определить аномальную активность на сети, используя различные методы, такие как проверка наличия шаблонов аномалий в трафике, отклонение поведения сети от среднестатистического поведения, которое определяется путем анализа накопленной информации и текущего трафика, определение превышения порогов поведения сети по различным типам трафика, постоянный анализ и корректировка профилей поведения. Данный список применяемых методов не является окончательным, и служит только в качестве примера, который показывает широкий спектр применяемых методов определения аномальной активности, которые используют в качестве основного источника информации, передаваемые и накапливаемые посредством протокола NetFlow данные 202.

Основной принцип выполнения процедуры сбора и накопления информации по протоколу SNMP 203, не имеет существенных различий с процедурой 202. Так же как и в случае с протоколом Netflow, процедурой 203 производится сбор и сохранение статистической информации сети, для дальнейшего анализа данной информации при определении и выявлении аномальной активности трафика.

Процедура получения маршрутной информации и статистики по протоколу BGP 204 несколько отличается от процедур 202 и 203. Основная задача остается той же самой, что и в случае с протоколами SNMP и Netflow. Но сам процесс выполнения данной процедуры несколько отличается. В процедурах 202 и 203 основной способ получения информации это структурирование и анализ параметров сети, которые передают используемые протоколы. В случае с протоколом BGP выполняется процедура получения маршрутной информации со всех маршрутизаторов, в которых произведена настройка на передачу и обмен маршрутной информацией с заявляемым устройством. После того как маршрутная информация будет собрана, она может применяться для выявления аномалий и атак, путем отслеживания изменений данной информации в сети, признаком атак в данном случае будет являться аномальное поведение маршрутной информации, например слишком частое и необоснованное изменение маршрутов.

После того как объем статистической информации сети, необходимый для анализа и выявления аномалий текущего трафика, собран. Модуль анализа сетевой активности начинает процедуру анализа текущего трафика 205. Основной принцип выполнения данной процедуры заключается в получении текущей информации посредством протоколов Netflow, SNMP, BGP, их модификаций и аналогов и просмотр данной информации, для сравнения с информацией, которая накоплена в хранилище статистической информации. Процедура сравнения 206 выполняется с применением различных статических либо динамических методов, которые позволяют, опираясь на накопленную статистику и получаемую текущую информацию сети, определить появление аномальной активности. Рассмотреть основной принцип работы данных методов можно на следующем примере. Допустим, в защищаемой сети существует сетевой сервис, который предоставляет услуги сетевого ресурса, он имеет определенный сетевой адрес. Заявляемое устройство непрерывно анализирует и накапливает статистику трафика, на основе которой строится график сетевых обращений в зависимости от времени. Данный график показан на Фиг.3а. Модуль рассчитывает среднее значение обращений и, на основе данного значения, выставляет динамически определяемый порог количества обращений в единицу времени 301. Если данный порог не превышается, как показано на Фиг.3а, то модуль, на этапе анализе присутствия аномалии 207, принимает решение о том, что трафик не является аномальным. Если аномалии в трафике не выявлены, модуль продолжает анализировать трафик и накапливать статистическую информацию, корректируя динамически определяемый порог 301. В случае, когда количество обращений к сервису резко возрастает 302, как показано на Фиг.3б и превышает динамически установленный порог 301, модуль анализа трафика принимает решение о наличии аномалии и переходит к этапу предупреждения об аномальной активности и выдаче управляющих сигналов для фильтрации и блокирования аномального трафика 208. Весь процесс работы модуля происходит непрерывно. Модуль постоянно накапливает статистику, анализирует трафик на предмет аномальной активности и в случае появления аномалий принимает действия, которые были предусмотрены на этапе инициализации.

Далее будет рассмотрена работа модуля анализа трафика 103 и модуля фильтрации трафика 104, процесс которой показан на Фиг.4. Два данных модуля непосредственно участвуют в определении вредоносного трафика, его фильтрации и блокировании. Они могут работать как совместно с модулем анализа сетевой активности 102, получая от него управляющие сигналы, так и отдельно от него, постоянно выполняя анализ и фильтрацию проходящего через них трафика. На этапе 401 происходит установка начальных параметров, данные параметры устанавливаются модулем управления заявляемого устройства и используются модулем анализа трафика, для инициализации работы. На этапах 402-404, происходит постоянная проверка и сбор параметров сетевых пакетов, составление статистики трафика и поведенческих профилей. Вся собранная и составленная информация сохраняется в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика 106, которое показано на Фиг.1. Данная информация будет в дальнейшем использоваться при определении аномалии и выявлении сетевой атаки. На этапе 403 происходит определение наличия аномальной активности трафика. Это может происходить двумя путями. Либо принимается управляющее воздействие модуля анализа сетевой активности 102 и параметры аномального трафика, в случае если данный модуль присутствует, либо модуль анализа трафика сам принимает решение о наличии аномальной активности, в случае если модуль анализа сетевой активности не используется. Во втором случае, трафик должен постоянно проходить через заявляемое устройство. На этапе 403 модулем анализа трафика используются эвристические алгоритмы, которые на основе имеющихся данных в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика и получаемого трафика определяют аномальное поведение. После проведения определения аномальной активности, принимается решение о наличии аномалии 404. Если аномальной активности не определено, то этапы 402-404 будут повторяться циклически. Если аномальная активность зафиксирована, то работа переходит к определению атаки и противодействия ей. Первым этапом по противодействию сетевой атаке, является обнуление счетчика уровня атаки 405, который ведется модулем анализа трафика и служит для контроля уровня фильтрации трафика, участвующего в атаке. На этапе применения имеющихся шаблонов 406, модуль анализа трафика определяет присутствие шаблонов сетевых аномалий в трафике. Модуль анализа трафика использует различные типы шаблонов, которые находятся в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика. Данные шаблоны хранятся в иерархическом порядке от более до менее ограниченных. После определения аномалии, в течение короткого промежутка времени, модуль анализа трафика проверяет факт продолжения аномалии и принимает решение о том, является ли аномалия временной 407. Если аномалия является временной и в течение короткого промежутка времени, установленного модулем управления заявляемого устройства, аномалия закончилась, то модуль анализа трафика переходит к этапу 401, и процесс поиска аномальной активности в сети возобновляется. Если аномальная активность продолжается, то модуль анализа трафика 103 переходит к выдаче управляющих сигналов на модуль фильтрации трафика 104, для осуществления фильтрации трафика по шаблонам 408, которые были определены на этапе 406. Модуль анализа трафика 103 направляет модулю фильтрации трафика 104 определенный набор шаблонов аномалий, который основывается на значении счетчика уровня атаки. Когда данный счетчик имеет минимальное значение, модуль фильтрации применяет узкий спектр шаблонов для фильтрации, с целью минимизации вероятности блокирования и фильтрации полезного трафика. При увеличении значения данного счетчика 411, спектр применяемых шаблонов аномалий постепенно расширяется. Модуль анализа трафика, проверяет трафик после фильтрации, с целью определения эффективности фильтрации трафика. Данная проверка проводится на этапе 409. Если при данной проверке модуль анализа трафика принимает решение о том, что, не смотря на применение фильтрации, сетевая атака продолжается, модуль анализа трафика переходит к определению об изменении уровня атаки 410. Изменение уровня атаки, в данном контексте, означает, что совместно с определенной ранее атакой, появилась еще одна атака, либо определенная атака имеет несколько уровней. Если модуль анализа трафика принимает решение об изменении уровня атаки, то он переходит к этапу 406, на котором применяет шаблоны аномалий к новой атаке. Если же на этапе 410 принимается решение о том, что второй атаки не присутствует, то уровень атаки не изменился. Однако фильтрация трафика не имела должного эффекта и атака продолжается. Основываясь на этом решении, модуль анализа трафика увеличивает значения счетчика уровня атаки. После этого процесс снова переходит к этапу 406, с более высоким значением счетчика уровня атаки. И на основании данного счетчика, модулем анализа трафика выбирается более широкий спектр шаблонов аномалий, и модуль фильтрации применяет более жесткое фильтрование трафика, основываясь на значении счетчика уровня атаки. Данный процесс будет повторяться до тех пор, пока атака не будет успешно отфильтрована, либо пока счетчик уровня атаки не достигнет своего максимального значения, которое установлено модулем управления заявляемого устройства на этапе 401, при установке начальных параметров. Во втором случае, если счетчик достиг своего максимального значения, а фильтрация не эффективна, то модуль анализа трафика может выдать управляющий сигнал модулю фильтрации о блокировании всего трафика, идущего по определенному протоколу на определенный порт или с определенного адреса. Если модуль анализа трафика определяет, что фильтрация успешна и атака в отфильтрованном трафике отсутствует, то модуль анализа трафика переходит к этапу мониторинга трафика 412. На данном этапе модуль анализа трафика анализирует и сравнивает трафик, идущий из сети, и трафик, идущий после фильтрации. Для определения завершения атаки, решения о котором принимается на этапе 413. Если принимается решение о том, что атака продолжается, то модуль переходит на этап 410, и процесс определения атаки повторяется. Если принимается решения о том, что атака прекратилась, и аномальная активность отсутствует, то модуль анализа трафика переходит на этап завершения фильтрации 414. На данном этапе выдается управляющий сигнал на модуль фильтрации о прекращении фильтрации трафика, после этого весь процесс переходит к этапу 401, где сверяются начальные параметры с текущими параметрами, и снова начинается процесс по анализу трафика и определению аномальной активности 402-403. В данных этапах работы и состоит основной принцип выполнения фильтрации трафика посредством модуля фильтрации 104 и модуля анализа трафика 103.

Таким образом, заявляемое устройство осуществляет эффективное и своевременное обнаружение аномального поведения сетевого трафика и выявление в нем сетевых атак, направленных на вывод из рабочего состояния защищаемых сетевых сервисов, а также эффективное противодействие данным сетевым атакам, путем фильтрации и блокирования вредоносного трафика, участвующего в сетевых атаках на защищаемый сетевой сервис.

1. Устройство обнаружения и защиты от аномальной активности на сети передачи данных, характеризующееся тем, что содержит модуль анализа сетевой активности, определяющий проявление аномальной активности на сети передачи данных, используя для этого информацию, передаваемую в сети передачи данных протоколами Netflow, SNMP, BGP, их модификациями и аналогами, а также накопленную в процессе работы заявляемого устройства статистическую информацию, находящуюся в хранилище статистических данных; модуль анализа трафика и модуль фильтрации трафика, которые в процессе своей работы анализируют трафик сети передачи данных, фильтруют и блокируют вредоносный трафик, определенный модулем анализа сетевой активности и определенный при анализе трафика сети передачи данных, применяя алгоритмы обнаружения вредоносного и нежелательного трафика на основе анализа служебной информации протоколов и передаваемой информации, сопоставления ее со стандартами, отслеживания особенности протоколов, обнаружения отклонений от накопленной статистики, а также используя загружаемые и динамически определяемые шаблоны вредоносного трафика, которые хранятся в хранилище типовых аномалии и типовых поведенческих профилей полезного трафика; модуль ввода/вывода, который осуществляет прием и передачу анализируемого трафика и статистической информации сети передачи данных, которые передаются на модули анализа сетевой активности, анализа трафика и фильтрации трафика, для обработки, анализа, фильтрации и блокирования; а также модуль управления, выполняющий настройку, контроль и изменение режимов работы заявляемого устройства.

2. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что модуль ввода/вывода подключается в разрыв сети передачи данных.

3. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что модуль ввода/вывода подключается к устройству изменения пути прохождения трафика.

4. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что отсутствует модуль анализа сетевой активности, а модули анализа и фильтрации трафика осуществляют непрерывный анализ и фильтрацию трафика.

5. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что отсутствуют модули анализа и фильтрации трафика, а модуль анализа сетевой активности, при обнаружении аномалии в сетевом трафике, выдает только оповещение об аномальной активности.