RU2812087C1 - System and method for analysing incoming traffic flow - Google Patents
System and method for analysing incoming traffic flow Download PDFInfo
- Publication number
- RU2812087C1 RU2812087C1 RU2023114575A RU2023114575A RU2812087C1 RU 2812087 C1 RU2812087 C1 RU 2812087C1 RU 2023114575 A RU2023114575 A RU 2023114575A RU 2023114575 A RU2023114575 A RU 2023114575A RU 2812087 C1 RU2812087 C1 RU 2812087C1
- Authority
- RU
- Russia
- Prior art keywords
- block
- traffic
- network
- dpi
- packets
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 10
- 238000004458 analytical method Methods 0.000 claims abstract description 29
- 238000001914 filtration Methods 0.000 claims abstract description 16
- 238000007689 inspection Methods 0.000 claims abstract description 14
- 238000005206 flow analysis Methods 0.000 claims abstract description 11
- 230000000694 effects Effects 0.000 claims abstract description 3
- 239000000872 buffer Substances 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims 2
- 238000005516 engineering process Methods 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 12
- 241000700605 Viruses Species 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 241001501944 Suricata Species 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000005352 clarification Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Abstract
Description
ОБЛАСТЬ ТЕХНИКИTECHNICAL FIELD
Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности за счет предварительного анализа входящего потока трафика о принадлежности трафика к ранее установленному соединению.The invention relates to computer technology and the field of information security through preliminary analysis of the incoming traffic flow to determine whether the traffic belongs to a previously established connection.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE ART
Из уровня техники известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплексы аппаратных или программных средств, осуществляющие контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правиламиFrom the state of the art, means of protecting the perimeter of a local (corporate) computer network are known, referred to as a firewall, firewall, firewall, firewall - complexes of hardware or software that monitor and filter network packets passing through it in accordance with specified rules
Аналогом предлагаемого решения является «Система защиты компьютерных сетей от несанкционированного доступа», раскрытая в патенте RU2607997, МПК G06F 15/163, опубликованном 11.01.2017, при этом система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра.An analogue of the proposed solution is the “System for protecting computer networks from unauthorized access”, disclosed in patent RU2607997, IPC G06F 15/163, published on January 11, 2017, while the system for protecting computer networks from unauthorized access is a firewall filter connected between two computer networks such such that all exchange of information between said networks is limited by filtering rules, wherein the firewall contains at least two network interfaces for exchanging data between clients of the first computer network and the second computer network of the two above computer networks, wherein it further comprises a node traffic processing, including a control device that provides input of traffic filtering rules and storage of information about filtering rules, a traffic analysis device that ensures compliance of incoming information with filtering rules, as well as a switching device through which the specified network interfaces are connected to each other and which ensures the passage of information allowed by the rules filtering information between network interfaces and blocking information not permitted by filtering rules, while the filtering rules prohibit the transit transmission of any packets between the specified network interfaces except those that have allowed signs and addressing parameters in their headers, the form of the information part of the packet corresponding to the template stored in memory firewall, as well as request or response parameters corresponding to the set of allowed values stored in the firewall memory.
Известна «Вычислительная сеть с межсетевым экраном и межсетевой экран», раскрытая в патенте RU2214623, МПК G06F 15/163, G06F 15/173, опубликованном 20.10.2003, которая относится к области обеспечения информационной безопасности и, в частности, касается аппаратно-программных компонент межсетевых экранов, используемых для предотвращения несанкционированного доступа и обмена информацией между различными абонентами компьютерных сетей. Технический результат заключается в повышении информационной безопасности за счет неиспользования или полного сокрытия сетевых интерфейсов устройства защиты. Межсетевой экран для локальных вычислительных сетей содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов. Межсетевой экран после обработки пакета в соответствии с правилами фильтрации сохраняет без изменений информацию о физическом и логическом адресах отправителя каждого из пакетов, содержащуюся в их заголовках. Программа управления не назначает сетевым интерфейсам логических адресов и не передает в связанные с ними сетевые сегменты информацию об их физических адресах. Чтобы обеспечить внесение изменений в правила фильтрации, межсетевой экран содержит специальный интерфейс управления, причем любые изменения параметров фильтрации могут осуществляться исключительно через интерфейс управления.The “Computer network with a firewall and firewall” is known, disclosed in the patent RU2214623, IPC G06F 15/163, G06F 15/173, published on October 20, 2003, which relates to the field of information security and, in particular, concerns hardware and software components firewalls used to prevent unauthorized access and exchange of information between different subscribers of computer networks. The technical result is to increase information security by not using or completely hiding the network interfaces of the security device. A firewall for local area networks contains at least two network interfaces for packet switching of data between segments of a computer network, performed in accordance with a packet filtering program. After processing the packet in accordance with the filtering rules, the firewall retains without changes the information about the physical and logical addresses of the sender of each packet contained in their headers. The management program does not assign logical addresses to network interfaces and does not transmit information about their physical addresses to the network segments associated with them. To allow changes to filtering rules, the firewall contains a special management interface, and any changes to filtering parameters can only be made through the management interface.
Основными недостатками известных аналогов является, то, что для защиты узлов сети от проникновения через уязвимости или для защиты от загрузки пользователями вредоносных программ, в том числе вирусов, а также для защиты от внутренних угроз и от утечки данных в аналогах не предусмотрено применение способа контроля установленных соединений и анализа входящего потока трафика на предмет его принадлежности к ранее установленному соединению.The main disadvantages of the known analogues are that to protect network nodes from penetration through vulnerabilities or to protect against users downloading malicious programs, including viruses, as well as to protect against internal threats and data leakage, the analogues do not provide for the use of a method for monitoring installed connections and analysis of the incoming traffic flow to determine whether it belongs to a previously established connection.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF INVENTION
Технический результат изобретения заключается в расширении арсенала технических средств и систем обеспечения информационной безопасности вычислительной сети за счет применения эффективной системы анализа потока трафика o принадлежности трафика к ранее установленному соединению.The technical result of the invention is to expand the arsenal of technical means and systems for ensuring information security of a computer network through the use of an effective system for analyzing traffic flow about whether the traffic belongs to a previously established connection.
Указанный технический результат достигается системой анализа потока трафика o принадлежности трафика к ранее установленному соединению, разбора пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях, разбиения полученных данных из пакетов на кластеры, принятия решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов, выявления отклонений сетевого трафика, соответствующего правилам обработки, от обычного профиля трафика пакетов, уточнения установленных правил для обработки сетевых пакетов.The specified technical result is achieved by a system for analyzing traffic flow o the belonging of traffic to a previously established connection, parsing packets to obtain data from packets at the link, network, transport and application levels, dividing the received data from packets into clusters, making decisions on each packet in clusters based on established rules for processing network packets, identifying deviations of network traffic that corresponds to processing rules from the usual packet traffic profile, clarifying established rules for processing network packets.
В предпочтительном варианте реализации система анализа потока трафика содержит блок приема и предварительного анализа сетевого трафика, блок выявления новых устройств, устройство глубокой инспекции пакетов (deep packet inspection, DPI), блок сигнатур, и блок памяти, при этом, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов (deep packet inspection, DPI) и выполнен с возможностью предварительного анализа входящего потока трафика. Если устройством глубокой инспекции пакетов (DPI) установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации (Synchronize sequence numbers, SYN) и подтверждения (Acknowledgement field is significant, AСК), то пакет может быть пропущен без фильтрации.In a preferred embodiment, the traffic flow analysis system contains a block for receiving and preliminary analysis of network traffic, a block for identifying new devices, a deep packet inspection (DPI) device, a signature block, and a memory block, while the receiving and preliminary analysis block connected to a deep packet inspection (DPI) device and capable of preliminary analysis of the incoming traffic flow. If the deep packet inspection (DPI) device determines that the traffic belongs to an already established connection, that is, such packets with the Synchronize sequence numbers (SYN) and acknowledgment field is significant (ACK) flags have already passed through the control unit, then the packet can be passed without filtering.
В одном из вариантов реализации система содержит графический интерфейс пользователя, на который отправляют результаты работы для проверки системным администратором.In one embodiment, the system includes a graphical user interface to which the results of the work are sent for review by the system administrator.
В случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов. Устройство DPI осуществляет разбор пакетов со спецификацией Интернет протокола (Internet protocol, IP) для получения данных на канальном, сетевом, транспортном и прикладном уровнях.If the packet belongs to a new connection, it is sent to the DPI device for packet parsing. The DPI device parses Internet protocol (IP) specification packets to obtain data at the data link, network, transport, and application layers.
В одном из вариантов реализации устройство DPI способно извлекать известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера.In one embodiment, the DPI device is capable of retrieving known application protocols in use, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes.
В одном из вариантов реализации системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполнены с возможностью буферизации данных для их временного хранения.In one of the embodiments of the traffic flow analysis system, the block for receiving and preliminary analysis of network traffic is configured to buffer data for temporary storage.
Примером извлекаемых устройством DPI данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, a также LLC, значение сервисных флагов, значение TCP «окна».An example of data retrieved by a DPI device is: obtaining physical host addresses (MAC address), network protocol type (IPv4 and IPv6), source and destination host IP addresses, transport protocol type (IP, ICMP, RIP, DDP, ARP and others) , source and destination port numbers, as well as LLC, value of service flags, TCP “window” value.
Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие известные протоколы.Examples of application layer data include remote access and resource sharing protocols, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, and other well-known protocols.
Устройство DPI имеет встроенную базу данных сигнатур с характеристиками для сопоставления анализируемых пакетов трафика, что позволяет точно определить анализируемое приложение или протокол.The DPI device has a built-in signature database with characteristics to match analyzed traffic packets, allowing you to accurately identify the application or protocol being analyzed.
Для дополнения базы данных сигнатур характеристик новыми приложениями и протоколами, база данных сигнатур характеристик выполнена с возможностью обновления и уточнения.To complement the performance signature database with new applications and protocols, the performance signature database is designed to be updated and refined.
Применение системы и способа с предварительным анализом входящего потока трафика позволяет существенно снизить время проверки пакетов данных, особенно в тех случаях, в которых это наиболее важно.The use of a system and method with preliminary analysis of the incoming traffic flow can significantly reduce the time for checking data packets, especially in those cases in which it is most important.
Так, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он, обычно, равняется 25 секундам. В случае, если время будет превышено, то данный трафик будет относиться к новому соединению.For example, a delay of more than 150 milliseconds is unacceptable for two-way voice conversations and may result in communication breakdown. The acceptable time interval for no traffic can also be set; by default it is usually 25 seconds. If the time is exceeded, this traffic will refer to a new connection.
Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал отсутствия трафика. Таким образом, могут быть получены данные прикладного уровня, a также связанные с ними метаданные каждого сетевого пакета.In addition, for each type of traffic and/or protocol, the user can choose to set its own permissible time interval for no traffic. In this way, the application layer data as well as the associated metadata of each network packet can be obtained.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
Фиг.1 отображает блок-схему системы обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением. FIG. 1 shows a block diagram of a system for processing traffic using a firewall system in accordance with the present invention.
Фиг.2 отображает блок-схему способа обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением и информационных потоков между блоками системы. FIG. 2 shows a flow diagram of a method for processing traffic by a firewall system in accordance with the present invention and information flows between units of the system.
Фиг.3 отображает архитектуру системы межсетевого экрана в соответствии с настоящим изобретением. FIG. 3 depicts the architecture of a firewall system in accordance with the present invention.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION
Изобретение представляет собой комплекс аппаратно-программных средств, обеспечивающих реализацию системы анализа потока трафика, которая в соответствии с Фиг.1 содержит следующие блоки:The invention is a set of hardware and software tools that ensure the implementation of a traffic flow analysis system, which, in accordance with Figure 1 , contains the following blocks:
• 11 – блок приема и предварительного анализа сетевого трафика; • 11 – block for receiving and preliminary analysis of network traffic;
• 12 – устройство глубокой инспекции пакетов DPI (deep packet inspection); • 12 – deep packet inspection device DPI;
• 13 – блок кластеризации данных; • 13 – data clustering block;
• 14 – блок памяти; • 14 – memory block;
• 15 – блок журнала регистрации; • 15 – log block;
• 16 – графический интерфейс пользователя, содержится в одном из вариантов реализации системы. • 16 – graphical user interface, contained in one of the system implementation options.
Блок 11 приема и предварительного анализа сетевого трафика соединен с устройством 12 DPI и выполнен с возможностью предварительного анализа входящего потока трафика. Если установлено, что трафик принадлежит уже установленному соединению, то есть через блок 11 приема и предварительного анализа сетевого трафика уже проходили такие пакеты с флагами SYN и AСК, то пакет может быть пропущен без фильтрации. Block 11 for receiving and preliminary analysis of network traffic is connected to DPI device 12 and is capable of preliminary analysis of the incoming traffic flow. If it is determined that the traffic belongs to an already established connection, that is, such packets with the SYN and ACK flags have already passed through block 11 for receiving and preliminary analysis of network traffic, then the packet can be passed without filtering.
Устройство 12 DPI осуществляет разбор пакетов со спецификацией протокола IP для получения данных на канальном, сетевом, транспортном и прикладном уровнях. Устройство 12 DPI выполнено с возможностью извлечения из трафика используемых протоколов приложений, туннелированных IP-адресов, имен пользователей, имен файлов, HTTP-ссылок и URL-адресов запроса, кодов возврата сервера.The DPI device 12 parses IP protocol specification packets to obtain data at the link, network, transport and application layers. The DPI device 12 is configured to extract used application protocols, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes from the traffic.
Примерами извлекаемых из потока трафика данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, a также LLC, значение сервисных флагов, значение TCP «окна». Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие.Examples of data extracted from a traffic flow include: obtaining physical host addresses (MAC address), network protocol type (IPv4 and IPv6), source and destination host IP addresses, transport protocol type (IP, ICMP, RIP, DDP, ARP and others ), source and destination port numbers, as well as LLC, value of service flags, TCP “window” value. Examples of application layer data include remote access and resource sharing protocols, such as HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, and others.
Таким образом, могут быть получены данные прикладного уровня, a также связанные с ними метаданные каждого сетевого пакета. Устройство 12 DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.In this way, the application layer data as well as the associated metadata of each network packet can be obtained. A 12 DPI device has its own unique characteristics, which are recorded in the built-in signature database. Comparison of a sample from the database with the analyzed traffic allows you to accurately determine the application or protocol. But as new applications and protocols appear periodically, the signature database also needs to be updated to ensure high identification accuracy.
Блок 13 кластеризации данных служит для разбиения данных пакетов на группы (кластеры) схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа.Data clustering block 13 is used to divide data packets into groups (clusters) of similar objects to simplify further data processing and decision making. In this case, each group of data can have its own analysis method applied.
Функционирование системы межсетевого экранирования определяется набором правил, например, Suricata (Suricata - это основанная на открытом исходном коде система обнаружения вторжений (IDS) и система предотвращения вторжений (IPS), разработана Фондом открытой информационной безопасности (OISF)), которые могут храниться в блоке 14 памяти. Для каждого кластера создают и устанавливают свои правила обработки, отличные от других кластеров. Таким образом, формируют цепочки, в которые перенаправляют кластеры для последующей обработки.The operation of a firewall system is determined by a set of rules, such as Suricata (Suricata is an open source intrusion detection system (IDS) and intrusion prevention system (IPS) developed by the Open Information Security Foundation (OISF)), which can be stored in block 14 memory. For each cluster, they create and set their own processing rules, different from other clusters. Thus, chains are formed into which clusters are redirected for subsequent processing.
Для работы системы достаточно создать одно общее правило для конкретного кластера, a затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Кроме того, информация по любому пакету одновременно направляется в блок 15 журнала регистрации. Также система анализа потока трафика настроена так, чтобы пакеты не отбрасывались, a направлялись в блок 13 для последующей повторной кластеризацией в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на фигуре не обозначен) блок 11 приема и предварительного анализа сетевого трафика выполняет проверку, что такой пакет уже проходил, и проставляет отметку, чтобы при повторной кластеризации пакет при сортировке был помещен в другой кластер, и только после повторной обработки был отброшен. Периодически выполняют уточнение установленных правил обработки сетевого пакета в зависимости от проходящего трафика и образующихся кластеров.For the system to work, it is enough to create one general rule for a specific cluster, and then redirect clusters from it into separate chains. Clusters can also be redirected from one own chain to another. This allows you to optimize the processing of network traffic, since each packet from the cluster is processed according to its own rules. In addition, information on any package is simultaneously sent to block 15 of the log book. Also, the traffic flow analysis system is configured so that packets are not discarded, but are sent to block 13 for subsequent re-clustering if any inconsistencies with the rules are detected. Based on the temporary storage of files in a buffer (not indicated in the figure), block 11 for receiving and preliminary analysis of network traffic checks that such a packet has already passed through and makes a mark so that when re-clustering the packet is sorted, it will be placed in another cluster, and only after reprocessing was discarded. Periodically, the established rules for processing a network packet are refined depending on the passing traffic and the resulting clusters.
В предпочтительном варианте изобретения система межсетевого экранирования содержит графический интерфейс пользователя 16. В этом случае существует возможность не отбрасывать пакеты, a направлять в графический интерфейс пользователя 16, где он будет проверяться системным администратором. Всю информацию o сетевом трафике системный администратор может взять непосредственно из блока 15 журнала регистрации, он также может пропустить пакет вручную и направить его в блок 11 приема и предварительного анализа сетевого трафика, a затем внести уточнении o пакете в блок 15 журнала регистрации.In a preferred embodiment of the invention, the firewall system includes a graphical user interface 16 . In this case, it is possible not to discard the packets, but to forward them to the graphical user interface 16 , where it will be checked by the system administrator. The system administrator can take all the information about network traffic directly from block 15 of the log, he can also skip the packet manually and send it to block 11 for receiving and preliminary analysis of network traffic, and then add clarification about the packet to block 15 of the log.
Блок 15 журнала регистрации собирает данные o каждом пакете (в том числе и отброшенных), которые поступают от устройства 12 DPI.Log block 15 collects data about each packet (including dropped ones) that comes from device 12 DPI.
В предпочтительном варианте реализации изобретения данными для анализа выступают метаданные. Хранение метаданных без реального контента составляет приблизительно 1/100 степени сжатия по сравнению с необработанным сетевым трафиком и значительно увеличивает количество хранимой информации o пакетах.In a preferred embodiment of the invention, the data for analysis is metadata. Storing metadata without actual content is approximately 1/100th the compression ratio of raw network traffic and significantly increases the amount of packet information stored.
Преимуществом предлагаемой системы является также то, что информация o выявленных нетипичных пакетах в блоке 13 кластеризация может быть сразу направлена в блок 15 журнала регистрации.The advantage of the proposed system is also that information about identified atypical packets in clustering block 13 can be immediately sent to log block 15 .
В одном из сценариев использования систему анализа потока трафика применяют в качестве способа и/или системы обнаружения вторжений (СOВ).In one use case, a traffic flow analysis system is used as an intrusion detection method and/or system (ID).
Способ анализа потока трафика реализуемый с помощью блока приема и предварительного анализа сетевого трафика, в котором выполняют прием и анализ поступившего трафика, который соединен с блоком выявления новых устройств, устройством глубокой инспекции пакетов DPI, блоком сигнатур и блоком памяти, отличающийся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI, блоком памяти и соединёнными с ним блоком выявления новых устройств и блоком сигнатур, при этом блок приема и разбора трафика соединен с блоком выявления новых устройств.A method for analyzing traffic flow is implemented using a block for receiving and preliminary analysis of network traffic, in which incoming traffic is received and analyzed, which is connected to a block for identifying new devices, a device for deep inspection of DPI packets, a signature block and a memory block, characterized in that the receiving block and preliminary analysis is connected to a deep packet inspection device DPI, a memory block and a block for detecting new devices and a signature block connected to it, while the block for receiving and parsing traffic is connected to a block for identifying new devices.
Способ обнаружения вторжения в соответствии с Фиг.2 выполняют в комплексе аппаратно-программных средств, представляющем собой систему анализа потока трафика, которая включает в себя следующие блоки:The intrusion detection method in accordance with Figure 2 is performed in a hardware and software complex, which is a traffic flow analysis system, which includes the following blocks:
• 21 – блок приема и разбора сетевого трафика; • 21 – block for receiving and parsing network traffic;
• 22 – блок выявления новых устройств; • 22 – block for identifying new devices;
• 23 – блок сигнатур; • 23 – signature block;
• 24 – блок памяти. • 24 – memory block.
Блок 24 памяти предназначен для хранения различной информации и наборов правил в соответствии с информационной политикой безопасности и соединен с блоком выявления новых устройств и блоком сигнатур.The memory block 24 is designed to store various information and sets of rules in accordance with the information security policy and is connected to a block for identifying new devices and a signature block.
Блок 21 приема и разбора сетевого трафика служит для сбора сетевого трафика на канальном уровне, то есть трафика, поступающего из глобальной сети Интернет или трафика, который проходит внутри сети предприятия, например, по локальной сети и для его дальнейшего разбора в соответствии со структурой пакета стека IP/TCP. Для разбора пакета могут быть использованы средства для разбора пакетов на сетевом и транспортном, либо на сетевом, транспортном и прикладном уровнях. Первым делом, входящий трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля, нормализуя, если требуется. Полученные декодированные, разархивированные и нормализованные поля протоколов затем последовательно проверяются блоками 22 и 23 на наличие в сетевом трафике сетевых атак или вредоносной активности.Block 21 for receiving and parsing network traffic is used to collect network traffic at the data link level, that is, traffic coming from the global Internet or traffic that passes within the enterprise network, for example, over a local network and for its further parsing in accordance with the structure of the stack packet IP/TCP. To parse a packet, packet parsing tools can be used at the network and transport layers, or at the network, transport and application layers. First, incoming traffic is broken down into TCP, UDP or other transport streams, after which the parsers label them and break them down into high-level protocols and their fields, normalizing if necessary. The resulting decoded, decompressed and normalized protocol fields are then sequentially checked by blocks 22 and 23 for the presence of network attacks or malicious activity in the network traffic.
Блок 22 выявления новых устройств служит для идентификации и контроля сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например, IP адресом, MAC адресом, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Таким образом, передача сетевого трафика осуществляется только между идентифицированными устройствами. Решение o пропуске или блокировке исходящего или входящего трафика принимается блоком 22 выявления новых устройств на основе наличия идентификатора сетевого устройства в блоке 24 памяти. Если идентификатор, характеризующий сетевое устройство, содержится в блоке 24 памяти, то трафик пропускается, в ином случае, происходит блокировка трафика.Block 22 for identifying new devices is used to identify and control network devices between which data is exchanged and transmitted on the network. A network device can be identified on a network by its network address, such as an IP address, MAC address, URI (Uniform Resource Identifier) or any other network identifier. Thus, network traffic is transmitted only between identified devices. The decision to allow or block outgoing or incoming traffic is made by block 22 for identifying new devices based on the presence of a network device identifier in memory block 24 . If the identifier characterizing the network device is contained in the memory block 24 , then the traffic is allowed; otherwise, the traffic is blocked.
Для определения сетевых атак система обнаружения вторжений содержит блок 23 сигнатур, который при проверке пакета обращается к блоку 24 памяти с сигнатурами известных атак.To determine network attacks, the intrusion detection system contains a signature block 23 , which, when checking a packet, accesses a memory block 24 with signatures of known attacks.
Под сигнатурой понимается непрерывная конечная последовательность байтов, необходимая и достаточная для однозначной идентификации угроз. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 24 памяти принимается решение o блокировке пакета. В предпочтительном варианте сравнение содержимого исследуемых пакетов проводится не напрямую, a по их контрольным суммам, что позволяет существенно снизить количество хранящихся записей об известных вирусах. Специалисту в данной области технике должно быть понятно, что для повышения эффективности угроз база известных вирусов должная постоянно обновляться, так как ежедневно появляются новые вредоносные коды и угрозы.A signature is a continuous finite sequence of bytes that is necessary and sufficient for unambiguous identification of threats. If any code of the program being viewed matches a known virus code in memory block 24 , a decision is made to block the package. In the preferred embodiment, the contents of the packets under study are compared not directly, but using their checksums, which can significantly reduce the number of stored records about known viruses. It will be clear to one skilled in the art that to improve the effectiveness of threats, the database of known viruses must be constantly updated, as new malicious codes and threats appear daily.
Сигнатура сетевой атаки практически не отличается от сигнатуры вируса и представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, могут быть одновременно установлены противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага. Наличие строки «GET.cgi-bin./etc/passwd» в области данных HTTP-пакета свидетельствует об эксплуатации уязвимости типа PathTraversal. Наконец, в заголовке TCP пакета может быть установлен порт назначения 139 и флаг OOВ (Out of Band), что является признаком атаки WinNuke.The signature of a network attack is practically no different from the signature of a virus and is a set of characteristics that allows one to distinguish a network attack from other types of network traffic. For example, conflicting TCP packet flags: SYN and FIN can be set simultaneously. This combination of flags is used in many attack programs to bypass filters and monitors that only check the setting of a single SYN flag. The presence of the line “GET.cgi-bin./etc/passwd” in the data area of the HTTP packet indicates the exploitation of a PathTraversal type vulnerability. Finally, the TCP packet header may have the destination port 139 and the OOB (Out of Band) flag set, which is a sign of a WinNuke attack.
В соответствии с Фиг.3 в системе анализа потока трафика в соответствии с настоящим изобретением могут быть реализованы так же дополнительные функции:In accordance with Figure 3, in the traffic flow analysis system in accordance with the present invention, additional functions can be implemented:
• 30 – пакетная фильтрация; • 30 – packet filtering;
• 31 – маршрутизация; • 31 – routing;
• 32 – функция обнаружения вторжения (СОВ или IDS по промышленным протоколам); • 32 – intrusion detection function (IDS or IDS according to industrial protocols);
• 33 – создания отказоустойчивого кластера; • 33 – creating a failover cluster;
• 34 – потокового антивируса; • 34 – streaming antivirus;
• 35 – управления и настройки сетевых интерфейсов; • 35 – management and configuration of network interfaces;
• 36 – виртуальной частной сети (virtual private network, VPN); • 36 – virtual private network (VPN);
• 37 – интеграции с Active Directory; • 37 – integration with Active Directory;
• 38 – системы доменных имен (Domain Name System, DNS); • 38 – domain name systems (Domain Name System, DNS);
• 39 – функция вeб-сepвера. • 39 – web server function.
Claims (10)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2812087C1 true RU2812087C1 (en) | 2024-01-22 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080077705A1 (en) * | 2006-07-29 | 2008-03-27 | Qing Li | System and method of traffic inspection and classification for purposes of implementing session nd content control |
US20110060851A1 (en) * | 2009-09-08 | 2011-03-10 | Matteo Monchiero | Deep Packet Inspection (DPI) Using A DPI Core |
US20150334090A1 (en) * | 2014-05-13 | 2015-11-19 | Sonicwall, Inc. | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) |
US20160072684A1 (en) * | 2013-02-11 | 2016-03-10 | Vmware, Inc. | Distributed deep packet inspection |
RU2697698C2 (en) * | 2017-12-27 | 2019-08-16 | Общество с ограниченной ответственностью "АСП Лабс" | Method of processing network traffic using firewall method |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080077705A1 (en) * | 2006-07-29 | 2008-03-27 | Qing Li | System and method of traffic inspection and classification for purposes of implementing session nd content control |
US20110060851A1 (en) * | 2009-09-08 | 2011-03-10 | Matteo Monchiero | Deep Packet Inspection (DPI) Using A DPI Core |
US20160072684A1 (en) * | 2013-02-11 | 2016-03-10 | Vmware, Inc. | Distributed deep packet inspection |
US20150334090A1 (en) * | 2014-05-13 | 2015-11-19 | Sonicwall, Inc. | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) |
RU2697698C2 (en) * | 2017-12-27 | 2019-08-16 | Общество с ограниченной ответственностью "АСП Лабс" | Method of processing network traffic using firewall method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7706378B2 (en) | Method and apparatus for processing network packets | |
EP3420487B1 (en) | Hybrid hardware-software distributed threat analysis | |
US7610375B2 (en) | Intrusion detection in a data center environment | |
US7486673B2 (en) | Method and system for reassembling packets prior to searching | |
EP2739003B1 (en) | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks | |
EP1873992B1 (en) | Packet classification in a network security device | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US8320372B2 (en) | Processing of packet fragments | |
US20070022479A1 (en) | Network interface and firewall device | |
US20050229246A1 (en) | Programmable context aware firewall with integrated intrusion detection system | |
US8060927B2 (en) | Security state aware firewall | |
US20070022474A1 (en) | Portable firewall | |
MXPA04005464A (en) | Multi-layered firewall architecture. | |
WO2006069041A2 (en) | Network interface and firewall device | |
KR101553264B1 (en) | System and method for preventing network intrusion | |
US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
Mukkamala et al. | A survey on the different firewall technologies | |
KR101281160B1 (en) | Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same | |
KR20200109875A (en) | Harmful ip determining method | |
RU2812087C1 (en) | System and method for analysing incoming traffic flow | |
Pilli et al. | Data reduction by identification and correlation of TCP/IP attack attributes for network forensics | |
CN110581843B (en) | Mimic Web gateway multi-application flow directional distribution method | |
Jawahar et al. | Application Controlled Secure Dynamic Firewall for Automotive Digital Cockpit | |
RU2697698C2 (en) | Method of processing network traffic using firewall method | |
US20230367875A1 (en) | Method for processing traffic in protection device, and protection device |