Изобретение относится к области информационной безопасности, а именно к системе межсетевого экранирования, используемой для предотвращения несанкционированного доступа и обмена информацией между различными пользователями компьютерных сетей.
По мере появлений новых приложений и сетевых технологий передача данных становится все более сложной. Фильтрация сетевого трафика с сохранением высокого уровня безопасности при появление новых сетевых атак становится все более многогранной задачей. Кроме того, по мере возрастания скорости сетевого соединения все сложнее осуществлять контроль сетевого трафика без потерь пропускной способности и производительности. Вышеизложенные проблемы требуют сетевого оборудования, построенного на новых принципах обработки сетевого трафика. Эти устройства должны обладать высокой пропускной способностью, чтобы не происходило потерь сетевых пакетов, а также не было негативного воздействия при их обработке. Известные межсетевые экраны предназначены для решения только некоторых из упомянутых проблем. Они могут работать на высоких скоростях, но при этом высока вероятность пропуска сетевой атаки, или могут тщательно анализировать сетевые пакеты при низкой производительности процесса обработки. Для решения вышеуказанных проблем предлагается система межсетевого экранирования, в которой фильтрация сетевого трафика происходит по результатам кластеризации.
Известен межсетевой экран с фильтрацией трафика по мандатным меткам (RU 159041 U1, опубл. 27.01.2016), содержащий блок управления межсетевым экраном, осуществляющий принятие решений на основе правил фильтрации, на вход которого поступают сетевые пакеты; блок работы с мандатными метками, состоящий из блока разбора пакетов и блока принятия решения. На вход блока работы с мандатными метками с выхода блока управления межсетевым экраном поступает сетевой пакет и правила работы с сетевыми пакетами, содержащими мандатные метки, а на выход - решение на основе мандатных меток, которое передается на вход блока управления межсетевым экраном, после чего блок управления межсетевым экраном формирует окончательное решение о дальнейшем маршруте пакета.
Основным недостатком такого решения является то, что отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней. Также реализация устройств с политикой безопасности по мандатным меткам довольно сложна и требует значительных ресурсов вычислительной системы.
Известен автоматический межсетевой экран (RU 2580004 С2, опубл. 10.04.2016), представляющий собой совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, и позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов. Данный межсетевой экран содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровнях. Межсетевой экран также выполнен с возможностью пропускать весь трафик по уже установленным соединениям.
Недостатком такого экрана является то, что отсутствует возможность кластеризации данных, что приводит к усложнению обработки данных.
Прототипом предлагаемого изобретения является система и способ подготовки к работе межсетевого экрана в сети, раскрытые в US 2015089628 А1, опубл. 26.03.2015. Решение по прототипу предусматривает средства для мониторинга использования сети, настройки фильтрации контента, планирования часов доступа для определенных сетевых устройств и определения того, какие сетевые устройства могут подключаться к глобальной сети. Доступ к WAN может быть предоставлен или заблокирован, или ограничен на основе каждого сетевого устройства, используя такие параметры, как, но не ограничиваясь ими, например, время суток, характеристики ограничения и классификация содержимого, обслуживаемого целевым ресурсом.
Недостатком данного решения является невозможность отслеживать аномалии в сетевом трафике. Кроме того, классификация содержимого пакетов не является эффективной, поскольку правила распределения объектов по группам заранее заданы по определенным признакам, и в них не могут быть учтены изменения, происходящие в сети, при внесении которых необходимо перераспределять все классификационные группировки.
Решаемая техническая задача, по настоящему изобретению, заключается в создании системы межсетевого экранирования, работа которой одновременно основана на кластеризации данных и выявлении аномалий.
Техническим результатом предлагаемого изобретения является ускорение обработки сетевого трафика, основанной на кластеризации данных при одновременной тщательной его фильтрации за счет того, что каждый пакет проходит проверку набору правил, а также выявления аномалий.
Технический результат достигается за счет того, что система межсетевого экранирования содержит процессор, машиночитаемый носитель, блок управления, устройство DPI для разбора и получения данных на канальном, сетевом, транспортном и прикладном уровнях, блок принятий решений, блок памяти, блок аномалий и блок журнала регистрации, в которой блок кластеризации выполнен с возможностью разбиения полученных данных при разборе пакета на кластеры, а блок выявления аномалий выполнен с возможностью обучения на основе информации о трафике, хранящейся в блоке журнала регистрации.
Изобретение поясняется чертежом, на котором представлена структура системы межсетевого экранирования,
Согласно предлагаемому техническому решению, система межсетевого экранирования, структура которой показана на фиг. 1, содержит процессор (1), машиночитаемый носитель (2), блок (3) управления, устройство (4) DPI (deep packet inspection - глубокая фильтрация пакетов), блок (5) кластеризации данных, блок (6) принятий решений, блок (7) памяти, блок (8) выявления аномалий, блок (9) журнала регистрации. В предпочтительном варианте изобретения система также содержит графический пользовательский интерфейс (10).
Процессор (1) является процессором общего назначения и служит для выполнения инструкций обработки входящих пакетов на блок (3) управления и, хранящихся на машиночитаемом носителе (2). Машиночитаемый носитель может включать в себя любой носитель данных или средство связи, такие как, но не ограничиваясь ими, энергозависимые и энергонезависимые, съёмные и стационарные носители, реализованные любым способом или технологией для хранения и/или передачи информации, такой как машиночитаемые инструкции для компьютера, структуры данных, программные модули или другие данные, в том числе RAM, ROM, EEPROM, флэш-память или другую технологию памяти, CD-ROM , цифровой универсальный диск (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, ЗУ на магнитных дисках или другие магнитные запоминающие устройства или любой другой носитель, который может использоваться для хранения требуемой информации и к которому можно получить доступ с помощью системного устройства (процессора).
Блок (3) управления соединен с устройством (4) DPI и выполнен с возможностью предварительного анализа входящего потока трафика. Если установлено, что трафик принадлежит уже установленному соединению, то есть через блок (3) управления уже проходили такие пакеты с флагами SYN и АСК, то пакет может быть пропущен без фильтрации. В некоторых случаях это особенно важно, так как, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он обычно равняется 25 секундам. Если время будет превышено, то данный трафик будет относиться к новому соединению. Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал отсутствия трафика. Блок (3) управления может быть также выполнен с возможностью буферизации данных для их временного хранения. В случае если пакет относится к новому соединению, то он направляется в устройство (4) DPI для разбора пакетов. Устройство (4) DPI осуществляет разбор пакетов со спецификацией протокола IP для получения данных на канальном, сетевом, транспортном и прикладном уровнях. Устройство (4) DPI способно извлекать все используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера. Примерами данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, а также LLC, значение сервисных флагов, значение TCP «окна». Примерами данных прикладного уровня могут быть протоколы удаленного доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и др. Таким образом, могут быть получены данные прикладного уровня, а также связанные с ними метаданные каждого сетевого пакета. Устройство (4) DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.
Блок (5) кластеризации данных служит для разбиения данных пакетов на группы (кластеры) схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа. Блок (5) кластеризации данных может быть реализован на основе нейронных сетей.
Задачу кластеризации можно описать следующим образом. Пусть x - множество объектов (тип сетевого протокола, порт отправителя, порт получателя, название протокола и др.), y - множество номеров кластеров. Задана функция расстояния между объектами p(x, xi). Имеется конечная обучающая выборка объектов Xm={x1, …, xm}⊂X. Требуется разбить выборку на непересекающиеся подмножества, называемые кластерами, так, чтобы каждый кластер состоял из объектов, близких по метрике р, а объекты разных кластеров существенно отличались. При этом каждому объекту xi∈Xm приписывается номер кластера yi.
Для группировки данных могут быть использованы любые известные алгоритмы, например, иерархический, k-средних, с-средних, послойная кластеризация, нейронная сеть Кохонена. Как уже указывалось схожесть объектов определяется расстоянием, которое может быть определено любым известным методом, например: евклидово расстояние, квадрат евклидова расстояния, манхэттенское расстояние, расстояние Чебышева, степенное расстояние.
Таким образом подобные входные данные группируются в кластеры, а также могут быть выделены нетипичные объекты, которые не удается присоединить ни к одному из кластеров, что помогает выявить сетевые аномалии. Количество кластеров может быть произвольным или фиксированным, при этом перечень кластеров четко не задан и определяется в процессе работы в зависимости от поступающих данных.
Блок (6) принятий решений принимает решение по кластеру на основе правил обработки сетевых пакетов. Функционирование системы межсетевого экранирования определяется набором правил, например, IPtables или Suricata, которые могут храниться в блоке (7) памяти. Для каждого кластера могут быть созданы и установлены свои правила обработки, отличные от других кластеров, иными словами могут быть созданы определенные цепочки, в которые будут перенаправляться кластеры для последующей обработки. Таким образом, достаточно создать одно общее правило для конкретного кластера, а затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Затем на основе принятого решения пакет может быть направлен в блок (8) выявления аномалий для дальнейшей проверки пакета или же отброшен. Кроме того, информация по любому пакету одновременно направляется в блок (9) журнала регистрации. Также система межсетевого экранирования может быть настроена так, чтобы пакеты не отбрасывались, а направлялись в блок (3) принятия решений с последующей повторной кластеризацией в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на чертеже не обозначен) блок (1) управления может установить, что такой пакет уже проходил и поставить отметку, чтобы при повторной кластеризации он бы попал в другой кластер. И уже только после повторной обработки были отброшены. Периодически осуществляется уточнение установленных правил обработки сетевого пакета в зависимости от проходящего трафика и образующихся кластеров.
Блок (8) выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Примерами аномалий могут являться внезапное увеличение интернет-трафика (в том числе и в ночное время суток), изменение структуры трафика (например, увеличение шифрованного SSL трафика) в сравнении с обычными ежедневными показателями или же отличие пары: IP и порт от обычной и др. Вся информация об обычном трафике может храниться в блоке (9) журнала регистрации на основе которой может происходить обучение блока (8) выявления аномалий. Если пакет не содержит никаких аномалий, то он отправляется в блок (3) управления для дальнейшей маршрутизации, в ином случае он отбрасывается.
В предпочтительном варианте изобретения система межсетевого экранирования содержит графический пользовательский интерфейс (10). В этом случае, если пакет содержит аномалии, он не отбрасывается, а направляется в графический пользовательский интерфейс (10), где он будет проверяться системным администратором. Всю информацию о сетевом трафике системный администратор может взять непосредственно из блока (9) журнала регистрации, он также может пропустить пакет вручную и направить его в блок (3) управления, а затем внести уточнении о пакете в блок (9) журнала регистрации.
Блок (9) журнала регистрации собирает данные о каждом пакете (в том числе и отброшенных), которые поступают из блока (6) принятия решений. Эти данные также могут быть получены от устройства DPI. В предпочтительном варианте изобретения эти данные представляют собой метаданные. Хранение метаданных без реального контента составляет приблизительно 1/100 степени сжатия по сравнению с необработанным сетевым трафиком и значительно увеличивает количество хранимой информации о пакетах.
Преимуществом предлагаемой системы является также то, что информация о выявленных нетипичных пакетах в блоке (5) кластеризация может быть сразу направлена в блок (9) журнала регистрации, которая может быть использована для обучения блока (8) выявления аномалий.
Ниже приведен пример осуществления изобретения.
Машиночитаемый носитель (2) содержит набор инструкций исполняемые процессором (1) для осуществления способа обработки сетевого трафика. Когда сформированный IP-пакет попадает в систему межсетевого экранирования, блок (3) управления осуществляет предварительный анализ потока трафика. Если в результате анализа установлено, что пакет трафика принадлежит уже установленному соединению, то он пропускается без фильтрации. В ином случае он направляется в устройство (4) DPI для разбора пакета. Устройство Блок (4) DPI осуществляет разбор пакета на канальном, сетевом, транспортном и прикладном уровнях для получения множества данных, характеризующих пакеты, а именно: физические адреса хостов (MAC адрес), типы сетевых протоколов (IPv4 и IPv6), IP-адреса хостов источника и назначения, типы транспортных протоколов (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, LLC, значение сервисных флагов, значение TCP «окна», а также протоколов HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и др. Полученные данные направляются в блок (5) кластеризации. В указанном блоке подобные данные группируются на кластеры. Если в процессе кластеризации будут выявлены объекты, которые не удается присоединить ни к одному из кластеров, то все данные таких объектов направляется в блок (9) журнала регистрации. Далее кластеры направляются в блок (6) принятия решений. По каждому пакету в кластерах принимается решение на основе правил обработки сетевых пакетов, которые могут храниться в блоке (7) памяти. Как уже было указано, для каждого кластера могут быть установлены свои правила обработки. Кроме того, они также могут быть уточнены системным администратором. Каждый пакет из кластера проходит обработку в соответствии с правилами, на основе которых принимается решение о пропуске или блокировки пакета. Если пакет соответствует всем правилам, то он направляется для дальнейшей проверки в блок (8) выявления аномалий, в ином случае пакет отбрасывается. Также информация о каждом пакете из блока (6) принятий решение поступает в блок (9) журнала регистрации. Блок (8) выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Обучение происходит на основании данных блока (9) журнала регистрации, которые поступают из блока (5) кластеризации и блока (6) принятия решений. По результатам проверки пакет может быть отправлен для дальнейшей маршрутизации в блок (3) управления, если в нем не задержится отклонений или же пакет может быть отброшен, или, как указывалось выше, перенаправлен в графический пользовательский интерфейс (10), где он будет проверяться системным администратором в соответствии с информацией, находящейся в блоке (9) журнала регистрации. Специалисту в данной области техники должно быть понятно, что системный администратор может пропустить пакет ранее отброшенной блоком (6) принятия решений или блоком (8) выявления аномалий, а также вносить изменения в блок (9) журнала регистрации и блок (7) хранения, касающиеся содержимого обычного трафика и уточнение или создание новых правил обработки пакета соответственно.
название | год | авторы | номер документа |
---|---|---|---|
Способ обработки сетевого трафика с использованием межсетевого экранирования | 2017 |
|
RU2697698C2 |
Система и способ анализа входящего потока трафика | 2023 |
|
RU2812087C1 |
Способ глубокого разбора сетевых протоколов для анализа и фильтрации их содержимого | 2016 |
|
RU2640295C1 |
ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОГО ОБМЕНА ДАННЫМИ МЕЖДУ ТЕХНИЧЕСКИМИ СРЕДСТВАМИ ОКОНЕЧНЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ | 2023 |
|
RU2809234C1 |
ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ДЛЯ ОБМЕНА ДАННЫМИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ | 2020 |
|
RU2727090C1 |
АППАРАТНО-ВЫЧИСЛИТЕЛЬНЫЙ КОМПЛЕКС С ПОВЫШЕННЫМИ НАДЕЖНОСТЬЮ И БЕЗОПАСНОСТЬЮ В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ | 2013 |
|
RU2557476C2 |
Способ выявления аномалий в работе сети автоматизированной системы | 2020 |
|
RU2738460C1 |
Способ фильтрации сетевого трафика на основе правил с маской при пакетной коммутации | 2022 |
|
RU2795295C1 |
Способ мониторинга сетевой активности узлов компьютерной сети | 2023 |
|
RU2809918C1 |
СПОСОБ И СИСТЕМА ФОРМИРОВАНИЯ КЛАСТЕРОВ УЗЛОВ В КОМПЬЮТЕРНОЙ СЕТИ | 2023 |
|
RU2821054C1 |
Изобретение относится к области межсетевого экранирования, используемой для предотвращения несанкционированного доступа и обмена информацией между различными пользователями компьютерных сетей. Технический результат заключается в ускорении обработки сетевого трафика, основанной на кластеризации данных при одновременной тщательной его фильтрации за счет того, что каждый пакет проходит проверку набором правил, а также в выявлении аномалий. Технический результат достигается за счет предварительного анализа входящего потока трафика о принадлежности трафика к ранее установленному соединению, разбора пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях, разбиения полученных данных из пакетов на кластеры, принятия решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов, выявления отклонений сетевого трафика, соответствующего правилам обработки, от обычного профиля трафика пакетов, уточнения установленных правил для обработки сетевых пакетов. 2 н. и 1 з.п. ф-лы, 1 ил.
1. Система межсетевого экранирования, содержащая процессор, машиночитаемый носитель, блок (3) управления, устройство (4) глубокой фильтрации пакетов (DPI) для разбора и получения данных на канальном, сетевом, транспортном и прикладном уровнях, блок (5) кластеризации, блок (6) принятия решений, блок (7) памяти, блок (8) выявления аномалий интернет-трафика и блок (9) журнала регистрации, в которой процессор соединен с машиночитаемым носителем и блоком (3) управления, блок (3) управления соединен с устройством (4) глубокой фильтрации пакетов (DPI), блоком (6) принятия решений и блоком (8) выявления аномалий, устройство (4) глубокой фильтрации пакетов (DPI) соединено с блоком (5) кластеризации, блок (6) принятия решений соединен с блоком (7) памяти, с блоком (8) выявления аномалий и блоком (5) кластеризации, блок (8) выявления аномалий соединен с блоком (9) журнала регистрации, который соединен с блоком (5) кластеризации, при этом блок (3) управления выполнен с возможностью осуществлять управление потоком трафика, блок (5) кластеризации выполнен с возможностью разбиения полученных данных при разборе пакета на кластеры, блок (6) принятия решений выполнен с возможностью принимать решение по кластеру на основе правил обработки сетевых пакетов, блок (9) журнала регистрации выполнен с возможностью собирать данные о каждом пакете, блок (8) выявления аномалий интернет-трафика выполнен с возможностью обучения на основе информации о трафике, хранящемся в блоке (9) журнала регистрации.
2. Система по п. 1, отличающаяся тем, что информация для обучения поступает в блок (9) журнала регистрации из блока (5) кластеризации и блока (6) принятий решений.
3. Машиночитаемый носитель, содержащий набор инструкций, исполняемых процессором для осуществления способа обработки сетевого трафика, включающего в себя:
предварительный анализ входящего потока трафика о принадлежности трафика к ранее установленному соединению,
разбор пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях,
разбиение полученных данных из пакетов на кластеры,
принятие решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов,
выявление отклонений сетевого трафика, соответствующего правилам обработки, от обычного профиля трафика пакетов,
уточнение установленных правил для обработки сетевых пакетов.
Способ приготовления мыла | 1923 |
|
SU2004A1 |
Колосоуборка | 1923 |
|
SU2009A1 |
Способ декоративной отделки деревянных поверхностей изделий | 1957 |
|
SU113442A2 |
Колосоуборка | 1923 |
|
SU2009A1 |
Способ приготовления мыла | 1923 |
|
SU2004A1 |
US 6550012 B1, 15.04.2003. |
Авторы
Даты
2019-06-11—Публикация
2017-12-27—Подача