RU2812087C1 - System and method for analysing incoming traffic flow - Google Patents

System and method for analysing incoming traffic flow Download PDF

Info

Publication number
RU2812087C1
RU2812087C1 RU2023114575A RU2023114575A RU2812087C1 RU 2812087 C1 RU2812087 C1 RU 2812087C1 RU 2023114575 A RU2023114575 A RU 2023114575A RU 2023114575 A RU2023114575 A RU 2023114575A RU 2812087 C1 RU2812087 C1 RU 2812087C1
Authority
RU
Russia
Prior art keywords
block
traffic
network
dpi
packets
Prior art date
Application number
RU2023114575A
Other languages
Russian (ru)
Inventor
Владимир Сергеевич Черешнев
Виктор Евгеньевич Самохвалов
Алексей Юрьевич Пуц
Павел Викторович Пеников
Владимир Владимирович Садовников
Егор Русланович Васьков
Original Assignee
Общество с ограниченной ответственностью "ИнфоВотч АРМА"
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "ИнфоВотч АРМА" filed Critical Общество с ограниченной ответственностью "ИнфоВотч АРМА"
Application granted granted Critical
Publication of RU2812087C1 publication Critical patent/RU2812087C1/en

Links

Abstract

FIELD: computer technology.
SUBSTANCE: traffic flow analysis system contains a block for receiving and preliminary analysis of network traffic, a block for identifying new devices, a device for deep inspection of DPI packets, a signature block and a memory block, wherein the receiving and preliminary analysis block is connected to the device for deep inspection of DPI packets and is configured to perform preliminary analysis of incoming traffic flow, and if the traffic belongs to an already established connection, then the packet can be passed without filtering.
EFFECT: expanding the arsenal of technical means and systems for ensuring information security of a computer network.
10 cl, 3 dwg

Description

ОБЛАСТЬ ТЕХНИКИTECHNICAL FIELD

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности за счет предварительного анализа входящего потока трафика о принадлежности трафика к ранее установленному соединению.The invention relates to computer technology and the field of information security through preliminary analysis of the incoming traffic flow to determine whether the traffic belongs to a previously established connection.

УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE ART

Из уровня техники известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплексы аппаратных или программных средств, осуществляющие контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правиламиFrom the state of the art, means of protecting the perimeter of a local (corporate) computer network are known, referred to as a firewall, firewall, firewall, firewall - complexes of hardware or software that monitor and filter network packets passing through it in accordance with specified rules

Аналогом предлагаемого решения является «Система защиты компьютерных сетей от несанкционированного доступа», раскрытая в патенте RU2607997, МПК G06F 15/163, опубликованном 11.01.2017, при этом система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра.An analogue of the proposed solution is the “System for protecting computer networks from unauthorized access”, disclosed in patent RU2607997, IPC G06F 15/163, published on January 11, 2017, while the system for protecting computer networks from unauthorized access is a firewall filter connected between two computer networks such such that all exchange of information between said networks is limited by filtering rules, wherein the firewall contains at least two network interfaces for exchanging data between clients of the first computer network and the second computer network of the two above computer networks, wherein it further comprises a node traffic processing, including a control device that provides input of traffic filtering rules and storage of information about filtering rules, a traffic analysis device that ensures compliance of incoming information with filtering rules, as well as a switching device through which the specified network interfaces are connected to each other and which ensures the passage of information allowed by the rules filtering information between network interfaces and blocking information not permitted by filtering rules, while the filtering rules prohibit the transit transmission of any packets between the specified network interfaces except those that have allowed signs and addressing parameters in their headers, the form of the information part of the packet corresponding to the template stored in memory firewall, as well as request or response parameters corresponding to the set of allowed values stored in the firewall memory.

Известна «Вычислительная сеть с межсетевым экраном и межсетевой экран», раскрытая в патенте RU2214623, МПК G06F 15/163, G06F 15/173, опубликованном 20.10.2003, которая относится к области обеспечения информационной безопасности и, в частности, касается аппаратно-программных компонент межсетевых экранов, используемых для предотвращения несанкционированного доступа и обмена информацией между различными абонентами компьютерных сетей. Технический результат заключается в повышении информационной безопасности за счет неиспользования или полного сокрытия сетевых интерфейсов устройства защиты. Межсетевой экран для локальных вычислительных сетей содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов. Межсетевой экран после обработки пакета в соответствии с правилами фильтрации сохраняет без изменений информацию о физическом и логическом адресах отправителя каждого из пакетов, содержащуюся в их заголовках. Программа управления не назначает сетевым интерфейсам логических адресов и не передает в связанные с ними сетевые сегменты информацию об их физических адресах. Чтобы обеспечить внесение изменений в правила фильтрации, межсетевой экран содержит специальный интерфейс управления, причем любые изменения параметров фильтрации могут осуществляться исключительно через интерфейс управления.The “Computer network with a firewall and firewall” is known, disclosed in the patent RU2214623, IPC G06F 15/163, G06F 15/173, published on October 20, 2003, which relates to the field of information security and, in particular, concerns hardware and software components firewalls used to prevent unauthorized access and exchange of information between different subscribers of computer networks. The technical result is to increase information security by not using or completely hiding the network interfaces of the security device. A firewall for local area networks contains at least two network interfaces for packet switching of data between segments of a computer network, performed in accordance with a packet filtering program. After processing the packet in accordance with the filtering rules, the firewall retains without changes the information about the physical and logical addresses of the sender of each packet contained in their headers. The management program does not assign logical addresses to network interfaces and does not transmit information about their physical addresses to the network segments associated with them. To allow changes to filtering rules, the firewall contains a special management interface, and any changes to filtering parameters can only be made through the management interface.

Основными недостатками известных аналогов является, то, что для защиты узлов сети от проникновения через уязвимости или для защиты от загрузки пользователями вредоносных программ, в том числе вирусов, а также для защиты от внутренних угроз и от утечки данных в аналогах не предусмотрено применение способа контроля установленных соединений и анализа входящего потока трафика на предмет его принадлежности к ранее установленному соединению.The main disadvantages of the known analogues are that to protect network nodes from penetration through vulnerabilities or to protect against users downloading malicious programs, including viruses, as well as to protect against internal threats and data leakage, the analogues do not provide for the use of a method for monitoring installed connections and analysis of the incoming traffic flow to determine whether it belongs to a previously established connection.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF INVENTION

Технический результат изобретения заключается в расширении арсенала технических средств и систем обеспечения информационной безопасности вычислительной сети за счет применения эффективной системы анализа потока трафика o принадлежности трафика к ранее установленному соединению.The technical result of the invention is to expand the arsenal of technical means and systems for ensuring information security of a computer network through the use of an effective system for analyzing traffic flow about whether the traffic belongs to a previously established connection.

Указанный технический результат достигается системой анализа потока трафика o принадлежности трафика к ранее установленному соединению, разбора пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях, разбиения полученных данных из пакетов на кластеры, принятия решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов, выявления отклонений сетевого трафика, соответствующего правилам обработки, от обычного профиля трафика пакетов, уточнения установленных правил для обработки сетевых пакетов.The specified technical result is achieved by a system for analyzing traffic flow o the belonging of traffic to a previously established connection, parsing packets to obtain data from packets at the link, network, transport and application levels, dividing the received data from packets into clusters, making decisions on each packet in clusters based on established rules for processing network packets, identifying deviations of network traffic that corresponds to processing rules from the usual packet traffic profile, clarifying established rules for processing network packets.

В предпочтительном варианте реализации система анализа потока трафика содержит блок приема и предварительного анализа сетевого трафика, блок выявления новых устройств, устройство глубокой инспекции пакетов (deep packet inspection, DPI), блок сигнатур, и блок памяти, при этом, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов (deep packet inspection, DPI) и выполнен с возможностью предварительного анализа входящего потока трафика. Если устройством глубокой инспекции пакетов (DPI) установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации (Synchronize sequence numbers, SYN) и подтверждения (Acknowledgement field is significant, AСК), то пакет может быть пропущен без фильтрации.In a preferred embodiment, the traffic flow analysis system contains a block for receiving and preliminary analysis of network traffic, a block for identifying new devices, a deep packet inspection (DPI) device, a signature block, and a memory block, while the receiving and preliminary analysis block connected to a deep packet inspection (DPI) device and capable of preliminary analysis of the incoming traffic flow. If the deep packet inspection (DPI) device determines that the traffic belongs to an already established connection, that is, such packets with the Synchronize sequence numbers (SYN) and acknowledgment field is significant (ACK) flags have already passed through the control unit, then the packet can be passed without filtering.

В одном из вариантов реализации система содержит графический интерфейс пользователя, на который отправляют результаты работы для проверки системным администратором.In one embodiment, the system includes a graphical user interface to which the results of the work are sent for review by the system administrator.

В случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов. Устройство DPI осуществляет разбор пакетов со спецификацией Интернет протокола (Internet protocol, IP) для получения данных на канальном, сетевом, транспортном и прикладном уровнях.If the packet belongs to a new connection, it is sent to the DPI device for packet parsing. The DPI device parses Internet protocol (IP) specification packets to obtain data at the data link, network, transport, and application layers.

В одном из вариантов реализации устройство DPI способно извлекать известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера.In one embodiment, the DPI device is capable of retrieving known application protocols in use, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes.

В одном из вариантов реализации системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполнены с возможностью буферизации данных для их временного хранения.In one of the embodiments of the traffic flow analysis system, the block for receiving and preliminary analysis of network traffic is configured to buffer data for temporary storage.

Примером извлекаемых устройством DPI данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, a также LLC, значение сервисных флагов, значение TCP «окна».An example of data retrieved by a DPI device is: obtaining physical host addresses (MAC address), network protocol type (IPv4 and IPv6), source and destination host IP addresses, transport protocol type (IP, ICMP, RIP, DDP, ARP and others) , source and destination port numbers, as well as LLC, value of service flags, TCP “window” value.

Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие известные протоколы.Examples of application layer data include remote access and resource sharing protocols, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, and other well-known protocols.

Устройство DPI имеет встроенную базу данных сигнатур с характеристиками для сопоставления анализируемых пакетов трафика, что позволяет точно определить анализируемое приложение или протокол.The DPI device has a built-in signature database with characteristics to match analyzed traffic packets, allowing you to accurately identify the application or protocol being analyzed.

Для дополнения базы данных сигнатур характеристик новыми приложениями и протоколами, база данных сигнатур характеристик выполнена с возможностью обновления и уточнения.To complement the performance signature database with new applications and protocols, the performance signature database is designed to be updated and refined.

Применение системы и способа с предварительным анализом входящего потока трафика позволяет существенно снизить время проверки пакетов данных, особенно в тех случаях, в которых это наиболее важно.The use of a system and method with preliminary analysis of the incoming traffic flow can significantly reduce the time for checking data packets, especially in those cases in which it is most important.

Так, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он, обычно, равняется 25 секундам. В случае, если время будет превышено, то данный трафик будет относиться к новому соединению.For example, a delay of more than 150 milliseconds is unacceptable for two-way voice conversations and may result in communication breakdown. The acceptable time interval for no traffic can also be set; by default it is usually 25 seconds. If the time is exceeded, this traffic will refer to a new connection.

Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал отсутствия трафика. Таким образом, могут быть получены данные прикладного уровня, a также связанные с ними метаданные каждого сетевого пакета.In addition, for each type of traffic and/or protocol, the user can choose to set its own permissible time interval for no traffic. In this way, the application layer data as well as the associated metadata of each network packet can be obtained.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Фиг.1 отображает блок-схему системы обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением. FIG. 1 shows a block diagram of a system for processing traffic using a firewall system in accordance with the present invention.

Фиг.2 отображает блок-схему способа обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением и информационных потоков между блоками системы. FIG. 2 shows a flow diagram of a method for processing traffic by a firewall system in accordance with the present invention and information flows between units of the system.

Фиг.3 отображает архитектуру системы межсетевого экрана в соответствии с настоящим изобретением. FIG. 3 depicts the architecture of a firewall system in accordance with the present invention.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION

Изобретение представляет собой комплекс аппаратно-программных средств, обеспечивающих реализацию системы анализа потока трафика, которая в соответствии с Фиг.1 содержит следующие блоки:The invention is a set of hardware and software tools that ensure the implementation of a traffic flow analysis system, which, in accordance with Figure 1 , contains the following blocks:

• 11 – блок приема и предварительного анализа сетевого трафика; • 11 – block for receiving and preliminary analysis of network traffic;

• 12 – устройство глубокой инспекции пакетов DPI (deep packet inspection); • 12 – deep packet inspection device DPI;

• 13 – блок кластеризации данных; • 13 – data clustering block;

• 14 – блок памяти; • 14 – memory block;

• 15 – блок журнала регистрации; • 15 – log block;

• 16 – графический интерфейс пользователя, содержится в одном из вариантов реализации системы. • 16 – graphical user interface, contained in one of the system implementation options.

Блок 11 приема и предварительного анализа сетевого трафика соединен с устройством 12 DPI и выполнен с возможностью предварительного анализа входящего потока трафика. Если установлено, что трафик принадлежит уже установленному соединению, то есть через блок 11 приема и предварительного анализа сетевого трафика уже проходили такие пакеты с флагами SYN и AСК, то пакет может быть пропущен без фильтрации. Block 11 for receiving and preliminary analysis of network traffic is connected to DPI device 12 and is capable of preliminary analysis of the incoming traffic flow. If it is determined that the traffic belongs to an already established connection, that is, such packets with the SYN and ACK flags have already passed through block 11 for receiving and preliminary analysis of network traffic, then the packet can be passed without filtering.

Устройство 12 DPI осуществляет разбор пакетов со спецификацией протокола IP для получения данных на канальном, сетевом, транспортном и прикладном уровнях. Устройство 12 DPI выполнено с возможностью извлечения из трафика используемых протоколов приложений, туннелированных IP-адресов, имен пользователей, имен файлов, HTTP-ссылок и URL-адресов запроса, кодов возврата сервера.The DPI device 12 parses IP protocol specification packets to obtain data at the link, network, transport and application layers. The DPI device 12 is configured to extract used application protocols, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes from the traffic.

Примерами извлекаемых из потока трафика данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, a также LLC, значение сервисных флагов, значение TCP «окна». Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие.Examples of data extracted from a traffic flow include: obtaining physical host addresses (MAC address), network protocol type (IPv4 and IPv6), source and destination host IP addresses, transport protocol type (IP, ICMP, RIP, DDP, ARP and others ), source and destination port numbers, as well as LLC, value of service flags, TCP “window” value. Examples of application layer data include remote access and resource sharing protocols, such as HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, and others.

Таким образом, могут быть получены данные прикладного уровня, a также связанные с ними метаданные каждого сетевого пакета. Устройство 12 DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.In this way, the application layer data as well as the associated metadata of each network packet can be obtained. A 12 DPI device has its own unique characteristics, which are recorded in the built-in signature database. Comparison of a sample from the database with the analyzed traffic allows you to accurately determine the application or protocol. But as new applications and protocols appear periodically, the signature database also needs to be updated to ensure high identification accuracy.

Блок 13 кластеризации данных служит для разбиения данных пакетов на группы (кластеры) схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа.Data clustering block 13 is used to divide data packets into groups (clusters) of similar objects to simplify further data processing and decision making. In this case, each group of data can have its own analysis method applied.

Функционирование системы межсетевого экранирования определяется набором правил, например, Suricata (Suricata - это основанная на открытом исходном коде система обнаружения вторжений (IDS) и система предотвращения вторжений (IPS), разработана Фондом открытой информационной безопасности (OISF)), которые могут храниться в блоке 14 памяти. Для каждого кластера создают и устанавливают свои правила обработки, отличные от других кластеров. Таким образом, формируют цепочки, в которые перенаправляют кластеры для последующей обработки.The operation of a firewall system is determined by a set of rules, such as Suricata (Suricata is an open source intrusion detection system (IDS) and intrusion prevention system (IPS) developed by the Open Information Security Foundation (OISF)), which can be stored in block 14 memory. For each cluster, they create and set their own processing rules, different from other clusters. Thus, chains are formed into which clusters are redirected for subsequent processing.

Для работы системы достаточно создать одно общее правило для конкретного кластера, a затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Кроме того, информация по любому пакету одновременно направляется в блок 15 журнала регистрации. Также система анализа потока трафика настроена так, чтобы пакеты не отбрасывались, a направлялись в блок 13 для последующей повторной кластеризацией в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на фигуре не обозначен) блок 11 приема и предварительного анализа сетевого трафика выполняет проверку, что такой пакет уже проходил, и проставляет отметку, чтобы при повторной кластеризации пакет при сортировке был помещен в другой кластер, и только после повторной обработки был отброшен. Периодически выполняют уточнение установленных правил обработки сетевого пакета в зависимости от проходящего трафика и образующихся кластеров.For the system to work, it is enough to create one general rule for a specific cluster, and then redirect clusters from it into separate chains. Clusters can also be redirected from one own chain to another. This allows you to optimize the processing of network traffic, since each packet from the cluster is processed according to its own rules. In addition, information on any package is simultaneously sent to block 15 of the log book. Also, the traffic flow analysis system is configured so that packets are not discarded, but are sent to block 13 for subsequent re-clustering if any inconsistencies with the rules are detected. Based on the temporary storage of files in a buffer (not indicated in the figure), block 11 for receiving and preliminary analysis of network traffic checks that such a packet has already passed through and makes a mark so that when re-clustering the packet is sorted, it will be placed in another cluster, and only after reprocessing was discarded. Periodically, the established rules for processing a network packet are refined depending on the passing traffic and the resulting clusters.

В предпочтительном варианте изобретения система межсетевого экранирования содержит графический интерфейс пользователя 16. В этом случае существует возможность не отбрасывать пакеты, a направлять в графический интерфейс пользователя 16, где он будет проверяться системным администратором. Всю информацию o сетевом трафике системный администратор может взять непосредственно из блока 15 журнала регистрации, он также может пропустить пакет вручную и направить его в блок 11 приема и предварительного анализа сетевого трафика, a затем внести уточнении o пакете в блок 15 журнала регистрации.In a preferred embodiment of the invention, the firewall system includes a graphical user interface 16 . In this case, it is possible not to discard the packets, but to forward them to the graphical user interface 16 , where it will be checked by the system administrator. The system administrator can take all the information about network traffic directly from block 15 of the log, he can also skip the packet manually and send it to block 11 for receiving and preliminary analysis of network traffic, and then add clarification about the packet to block 15 of the log.

Блок 15 журнала регистрации собирает данные o каждом пакете (в том числе и отброшенных), которые поступают от устройства 12 DPI.Log block 15 collects data about each packet (including dropped ones) that comes from device 12 DPI.

В предпочтительном варианте реализации изобретения данными для анализа выступают метаданные. Хранение метаданных без реального контента составляет приблизительно 1/100 степени сжатия по сравнению с необработанным сетевым трафиком и значительно увеличивает количество хранимой информации o пакетах.In a preferred embodiment of the invention, the data for analysis is metadata. Storing metadata without actual content is approximately 1/100th the compression ratio of raw network traffic and significantly increases the amount of packet information stored.

Преимуществом предлагаемой системы является также то, что информация o выявленных нетипичных пакетах в блоке 13 кластеризация может быть сразу направлена в блок 15 журнала регистрации.The advantage of the proposed system is also that information about identified atypical packets in clustering block 13 can be immediately sent to log block 15 .

В одном из сценариев использования систему анализа потока трафика применяют в качестве способа и/или системы обнаружения вторжений (СOВ).In one use case, a traffic flow analysis system is used as an intrusion detection method and/or system (ID).

Способ анализа потока трафика реализуемый с помощью блока приема и предварительного анализа сетевого трафика, в котором выполняют прием и анализ поступившего трафика, который соединен с блоком выявления новых устройств, устройством глубокой инспекции пакетов DPI, блоком сигнатур и блоком памяти, отличающийся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI, блоком памяти и соединёнными с ним блоком выявления новых устройств и блоком сигнатур, при этом блок приема и разбора трафика соединен с блоком выявления новых устройств.A method for analyzing traffic flow is implemented using a block for receiving and preliminary analysis of network traffic, in which incoming traffic is received and analyzed, which is connected to a block for identifying new devices, a device for deep inspection of DPI packets, a signature block and a memory block, characterized in that the receiving block and preliminary analysis is connected to a deep packet inspection device DPI, a memory block and a block for detecting new devices and a signature block connected to it, while the block for receiving and parsing traffic is connected to a block for identifying new devices.

Способ обнаружения вторжения в соответствии с Фиг.2 выполняют в комплексе аппаратно-программных средств, представляющем собой систему анализа потока трафика, которая включает в себя следующие блоки:The intrusion detection method in accordance with Figure 2 is performed in a hardware and software complex, which is a traffic flow analysis system, which includes the following blocks:

• 21 – блок приема и разбора сетевого трафика; • 21 – block for receiving and parsing network traffic;

• 22 – блок выявления новых устройств; • 22 – block for identifying new devices;

• 23 – блок сигнатур; • 23 – signature block;

• 24 – блок памяти. • 24 – memory block.

Блок 24 памяти предназначен для хранения различной информации и наборов правил в соответствии с информационной политикой безопасности и соединен с блоком выявления новых устройств и блоком сигнатур.The memory block 24 is designed to store various information and sets of rules in accordance with the information security policy and is connected to a block for identifying new devices and a signature block.

Блок 21 приема и разбора сетевого трафика служит для сбора сетевого трафика на канальном уровне, то есть трафика, поступающего из глобальной сети Интернет или трафика, который проходит внутри сети предприятия, например, по локальной сети и для его дальнейшего разбора в соответствии со структурой пакета стека IP/TCP. Для разбора пакета могут быть использованы средства для разбора пакетов на сетевом и транспортном, либо на сетевом, транспортном и прикладном уровнях. Первым делом, входящий трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля, нормализуя, если требуется. Полученные декодированные, разархивированные и нормализованные поля протоколов затем последовательно проверяются блоками 22 и 23 на наличие в сетевом трафике сетевых атак или вредоносной активности.Block 21 for receiving and parsing network traffic is used to collect network traffic at the data link level, that is, traffic coming from the global Internet or traffic that passes within the enterprise network, for example, over a local network and for its further parsing in accordance with the structure of the stack packet IP/TCP. To parse a packet, packet parsing tools can be used at the network and transport layers, or at the network, transport and application layers. First, incoming traffic is broken down into TCP, UDP or other transport streams, after which the parsers label them and break them down into high-level protocols and their fields, normalizing if necessary. The resulting decoded, decompressed and normalized protocol fields are then sequentially checked by blocks 22 and 23 for the presence of network attacks or malicious activity in the network traffic.

Блок 22 выявления новых устройств служит для идентификации и контроля сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например, IP адресом, MAC адресом, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Таким образом, передача сетевого трафика осуществляется только между идентифицированными устройствами. Решение o пропуске или блокировке исходящего или входящего трафика принимается блоком 22 выявления новых устройств на основе наличия идентификатора сетевого устройства в блоке 24 памяти. Если идентификатор, характеризующий сетевое устройство, содержится в блоке 24 памяти, то трафик пропускается, в ином случае, происходит блокировка трафика.Block 22 for identifying new devices is used to identify and control network devices between which data is exchanged and transmitted on the network. A network device can be identified on a network by its network address, such as an IP address, MAC address, URI (Uniform Resource Identifier) or any other network identifier. Thus, network traffic is transmitted only between identified devices. The decision to allow or block outgoing or incoming traffic is made by block 22 for identifying new devices based on the presence of a network device identifier in memory block 24 . If the identifier characterizing the network device is contained in the memory block 24 , then the traffic is allowed; otherwise, the traffic is blocked.

Для определения сетевых атак система обнаружения вторжений содержит блок 23 сигнатур, который при проверке пакета обращается к блоку 24 памяти с сигнатурами известных атак.To determine network attacks, the intrusion detection system contains a signature block 23 , which, when checking a packet, accesses a memory block 24 with signatures of known attacks.

Под сигнатурой понимается непрерывная конечная последовательность байтов, необходимая и достаточная для однозначной идентификации угроз. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 24 памяти принимается решение o блокировке пакета. В предпочтительном варианте сравнение содержимого исследуемых пакетов проводится не напрямую, a по их контрольным суммам, что позволяет существенно снизить количество хранящихся записей об известных вирусах. Специалисту в данной области технике должно быть понятно, что для повышения эффективности угроз база известных вирусов должная постоянно обновляться, так как ежедневно появляются новые вредоносные коды и угрозы.A signature is a continuous finite sequence of bytes that is necessary and sufficient for unambiguous identification of threats. If any code of the program being viewed matches a known virus code in memory block 24 , a decision is made to block the package. In the preferred embodiment, the contents of the packets under study are compared not directly, but using their checksums, which can significantly reduce the number of stored records about known viruses. It will be clear to one skilled in the art that to improve the effectiveness of threats, the database of known viruses must be constantly updated, as new malicious codes and threats appear daily.

Сигнатура сетевой атаки практически не отличается от сигнатуры вируса и представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, могут быть одновременно установлены противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага. Наличие строки «GET.cgi-bin./etc/passwd» в области данных HTTP-пакета свидетельствует об эксплуатации уязвимости типа PathTraversal. Наконец, в заголовке TCP пакета может быть установлен порт назначения 139 и флаг OOВ (Out of Band), что является признаком атаки WinNuke.The signature of a network attack is practically no different from the signature of a virus and is a set of characteristics that allows one to distinguish a network attack from other types of network traffic. For example, conflicting TCP packet flags: SYN and FIN can be set simultaneously. This combination of flags is used in many attack programs to bypass filters and monitors that only check the setting of a single SYN flag. The presence of the line “GET.cgi-bin./etc/passwd” in the data area of the HTTP packet indicates the exploitation of a PathTraversal type vulnerability. Finally, the TCP packet header may have the destination port 139 and the OOB (Out of Band) flag set, which is a sign of a WinNuke attack.

В соответствии с Фиг.3 в системе анализа потока трафика в соответствии с настоящим изобретением могут быть реализованы так же дополнительные функции:In accordance with Figure 3, in the traffic flow analysis system in accordance with the present invention, additional functions can be implemented:

• 30 – пакетная фильтрация; • 30 – packet filtering;

• 31 – маршрутизация; • 31 – routing;

• 32 – функция обнаружения вторжения (СОВ или IDS по промышленным протоколам); • 32 – intrusion detection function (IDS or IDS according to industrial protocols);

• 33 – создания отказоустойчивого кластера; • 33 – creating a failover cluster;

• 34 – потокового антивируса; • 34 – streaming antivirus;

• 35 – управления и настройки сетевых интерфейсов; • 35 – management and configuration of network interfaces;

• 36 – виртуальной частной сети (virtual private network, VPN); • 36 – virtual private network (VPN);

• 37 – интеграции с Active Directory; • 37 – integration with Active Directory;

• 38 – системы доменных имен (Domain Name System, DNS); • 38 – domain name systems (Domain Name System, DNS);

• 39 – функция вeб-сepвера. • 39 – web server function.

Claims (10)

1. Система анализа потока трафика содержит блок приема и предварительного анализа сетевого трафика, блок выявления новых устройств, устройство глубокой инспекции пакетов DPI, блок сигнатур и блок памяти, отличающаяся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI и выполнен с возможностью предварительного анализа входящего потока трафика, при этом если устройством глубокой инспекции пакетов DPI установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации SYN и подтверждения AСК, то пакет может быть пропущен без фильтрации.1. The traffic flow analysis system contains a block for receiving and preliminary analysis of network traffic, a block for identifying new devices, a device for deep inspection of DPI packets, a signature block and a memory unit, characterized in that the block for receiving and preliminary analysis is connected to a device for deep inspection of DPI packets and is executed with the possibility of preliminary analysis of the incoming traffic flow, and if the DPI deep packet inspection device determines that the traffic belongs to an already established connection, that is, such packets with the SYN synchronization and ACK confirmation flags have already passed through the control unit, then the packet can be passed without filtering. 2. Система по п.1, в которой дополнительно реализован графический интерфейс пользователя.2. The system according to claim 1, in which a graphical user interface is additionally implemented. 3. Система по п.1, в которой в случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов, которое осуществляет разбор пакетов со спецификацией интернет-протокола для получения данных на канальном, сетевом, транспортном и прикладном уровнях.3. The system according to claim 1, in which if the packet belongs to a new connection, then it is sent to a DPI device for parsing packets, which parses packets with the Internet Protocol specification to obtain data on the link, network, transport and application levels. 4. Система по п.1, в которой устройство DPI способно извлекать известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера.4. The system of claim 1, wherein the DPI device is capable of retrieving known application protocols in use, tunneled IP addresses, user names, file names, HTTP links and request URLs, server return codes. 5. Система по п.1, в которой системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполнены с возможностью буферизации данных для их временного хранения.5. The system according to claim 1, in which the traffic flow analysis systems of the reception and preliminary analysis of network traffic are configured to buffer data for temporary storage. 6. Способ анализа потока трафика, реализуемый с помощью блока приема и предварительного анализа сетевого трафика, в котором выполняют прием и анализ поступившего трафика, который соединен с блоком выявления новых устройств, выполняющим идентификацию и контроль осуществляющих обмен и передачу данных в сети сетевых устройств, устройством глубокой инспекции пакетов DPI, с помощью которого выполняют сопоставление образцов из базы с анализируемым трафиком и определяют приложение или протокол, которые затем последовательно проверяют полученные декодированные, разархивированные и нормализованные поля протоколов с применением блока сигнатур и блока памяти на наличие в сетевом трафике сетевых атак или вредоносной активности, отличающийся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI и выполнен с возможностью предварительного анализа входящего потока трафика, при этом, если устройством глубокой инспекции пакетов DPI установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации SYN и подтверждения AСК, то пакет может быть пропущен без фильтрации.6. A method for analyzing traffic flow, implemented using a block for receiving and preliminary analysis of network traffic, in which incoming traffic is received and analyzed, which is connected to a block for identifying new devices, which identifies and controls network devices exchanging and transmitting data in the network, the device deep inspection of DPI packets, with the help of which they compare samples from the database with the analyzed traffic and determine the application or protocol, which then sequentially checks the resulting decoded, decompressed and normalized protocol fields using a signature block and a memory block for the presence of network attacks or malicious code in the network traffic activity, characterized in that the receiving and preliminary analysis unit is connected to a DPI deep packet inspection device and is capable of preliminary analysis of the incoming traffic flow, and if the DPI deep packet inspection device determines that the traffic belongs to an already established connection, that is, through the block control has already passed such packets with the SYN synchronization and ACK confirmation flags, then the packet can be passed without filtering. 7. Способ по п.6, в котором отправляют результаты работы на графический интерфейс пользователя.7. The method according to claim 6, in which the results of the work are sent to the graphical user interface. 8. Способ по п.6, в котором в случае, если пакет относится к новому соединению, то он направляется на устройство DPI для разбора пакетов, которое осуществляет разбор пакетов со спецификацией интернет-протокола для получения данных на канальном, сетевом, транспортном и прикладном уровнях.8. The method according to claim 6, wherein if the packet refers to a new connection, it is sent to a DPI packet parsing device, which parses Internet Protocol specification packets to obtain data on the link, network, transport and application levels. 9. Способ по п.6, в котором устройство DPI извлекает известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера.9. The method of claim 6, wherein the DPI device retrieves known application protocols in use, tunneled IP addresses, user names, file names, HTTP links and request URLs, server return codes. 10. Способ по п.6, в котором блок приема и предварительного анализа сетевого трафика системы анализа потока трафика выполняет буферизацию данных для их временного хранения.10. The method according to claim 6, in which the network traffic receiving and preliminary analysis unit of the traffic flow analysis system buffers data for temporary storage.
RU2023114575A 2023-06-02 System and method for analysing incoming traffic flow RU2812087C1 (en)

Publications (1)

Publication Number Publication Date
RU2812087C1 true RU2812087C1 (en) 2024-01-22

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) * 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control
US20110060851A1 (en) * 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core
US20150334090A1 (en) * 2014-05-13 2015-11-19 Sonicwall, Inc. Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
US20160072684A1 (en) * 2013-02-11 2016-03-10 Vmware, Inc. Distributed deep packet inspection
RU2697698C2 (en) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Method of processing network traffic using firewall method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) * 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control
US20110060851A1 (en) * 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core
US20160072684A1 (en) * 2013-02-11 2016-03-10 Vmware, Inc. Distributed deep packet inspection
US20150334090A1 (en) * 2014-05-13 2015-11-19 Sonicwall, Inc. Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
RU2697698C2 (en) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Method of processing network traffic using firewall method

Similar Documents

Publication Publication Date Title
US7706378B2 (en) Method and apparatus for processing network packets
EP3420487B1 (en) Hybrid hardware-software distributed threat analysis
US7610375B2 (en) Intrusion detection in a data center environment
US7486673B2 (en) Method and system for reassembling packets prior to searching
EP2739003B1 (en) Systems and methods to detect and respond to distributed denial of service (DDoS) attacks
EP1873992B1 (en) Packet classification in a network security device
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US8320372B2 (en) Processing of packet fragments
US20070022479A1 (en) Network interface and firewall device
US20050229246A1 (en) Programmable context aware firewall with integrated intrusion detection system
US8060927B2 (en) Security state aware firewall
US20070022474A1 (en) Portable firewall
MXPA04005464A (en) Multi-layered firewall architecture.
WO2006069041A2 (en) Network interface and firewall device
KR101553264B1 (en) System and method for preventing network intrusion
US8006303B1 (en) System, method and program product for intrusion protection of a network
Mukkamala et al. A survey on the different firewall technologies
KR101281160B1 (en) Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
KR20200109875A (en) Harmful ip determining method
RU2812087C1 (en) System and method for analysing incoming traffic flow
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
CN110581843B (en) Mimic Web gateway multi-application flow directional distribution method
Jawahar et al. Application Controlled Secure Dynamic Firewall for Automotive Digital Cockpit
RU2697698C2 (en) Method of processing network traffic using firewall method
US20230367875A1 (en) Method for processing traffic in protection device, and protection device