RU183015U1

RU183015U1 - Intrusion detection tool

Info

Publication number: RU183015U1
Application number: RU2018107749U
Authority: RU
Inventors: Александр Васильевич Зуйков; Игорь Федорович Душа; Равиль Фикратович Зулькарнаев
Original assignee: Общество с ограниченной ответственностью "АСП Лабс"
Priority date: 2018-03-02
Filing date: 2018-03-02
Publication date: 2018-09-07

Abstract

Полезная модель относится к области информационных технологий, в частности к информационной безопасности, а именно к средствам обнаружения вторжений для предотвращения несанкционированного доступа, контроля трафика и предотвращения сетевых атак. Техническим результатом является повышение эффективности обработки сетевого трафика за счет предварительного распознавания новых устройств в сети и зашифрованного трафика. Средство обнаружения вторжений для обработки сетевого трафика, содержащее блок приема и разбора трафика, блок памяти и соединенные с ним блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий, блок защиты от сетевых атак, при этом блок приема и разбора трафика соединен с блоком выявления новых устройств, который в свою очередь соединен с блоком анализа зашифрованного трафика, а блок анализа зашифрованного трафика выполнен с возможностью идентифицирования протокола шифрования и основного протокола. 1 з.п. ф-лы, 1 ил.The utility model relates to the field of information technology, in particular to information security, and in particular to intrusion detection tools to prevent unauthorized access, control traffic and prevent network attacks. The technical result is to increase the processing efficiency of network traffic due to preliminary recognition of new devices on the network and encrypted traffic. An intrusion detection tool for processing network traffic, comprising a traffic reception and analysis unit, a memory unit and a unit for detecting new devices, an encrypted traffic analysis unit, a signature unit, an anomaly detection unit, a network attack protection unit, and a reception and analysis unit traffic is connected to a unit for detecting new devices, which in turn is connected to an encrypted traffic analysis unit, and an encrypted traffic analysis unit is configured to identify the encryption protocol and the basics th protocol. 1 s.p. f-ly, 1 ill.

Description

Полезная модель относится к области информационных технологий, в частности, к информационной безопасности, а именно к средствам обнаружения вторжений для предотвращения несанкционированного доступа, контроля трафика и предотвращения сетевых атак.The utility model relates to the field of information technology, in particular to information security, and in particular to intrusion detection tools to prevent unauthorized access, control traffic and prevent network attacks.

Сети связи, такие как Интернет, часто являются объектами сетевых атак, направленных на причинение вреда компьютерам путем их заражения или на получение конфиденциальной информации. Средства обнаружения вторжения являются одним из рубежей для обеспечения защиты информационных систем. Существующие подходы к обнаружению вторжений обычно делятся на две категории: обнаружение злоупотреблений и обнаружение аномалий. Обнаружение злоупотреблений обычно основано на базе сигнатур, но может защитить только от известных угроз и не способна обеспечить защиту от неизвестных ранее атак. Обнаружение аномалий основано на предварительном обучении и статистическом анализе для формирования образа нормального функционирования информационной системы. Его изменение считается проявлением аномального функционирования системы. Указанные методы до сих пор остаются одними из самых эффективных для предотвращения вторжений. Однако метод, основанный на сигнатурах, способен определить угрозу только на основе известной уязвимости, но не могут обеспечить защиты от неизвестных атак. Метод, основанный на статистике, способен обнаружить ранее неизвестную атаку (атаку нулевого дня), но при этом высока вероятность неправильного принятого решения, особенно в период обучения. Таким образом, существует необходимость в разработке устройства, которое было бы лишено указанных недостатков.Communication networks, such as the Internet, are often the targets of network attacks aimed at harming computers by infecting them or obtaining confidential information. Intrusion detection tools are one of the frontiers for securing information systems. Existing intrusion detection approaches typically fall into two categories: abuse detection and anomaly detection. Detection of abuses is usually based on signatures, but can only protect against known threats and is not able to provide protection against previously unknown attacks. Anomaly detection is based on prior training and statistical analysis to form the image of the normal functioning of the information system. Its change is considered a manifestation of the abnormal functioning of the system. These methods are still among the most effective in preventing intrusions. However, a signature-based method is able to identify a threat only based on a known vulnerability, but cannot provide protection against unknown attacks. A method based on statistics is able to detect a previously unknown attack (zero-day attack), but there is a high probability of an incorrect decision, especially during the training period. Thus, there is a need to develop a device that would be devoid of these disadvantages.

Из уровня техники известно решение по патенту US 9253201 В2, опубл. 02.02.2016, где раскрыта система и способ для определения сетевых аномалий. Согласно решению, система содержит процессор, который получает обучающий набор протокола передачи данных, имеющий ряд параметров, определение контента и структуры, связанных с каждым из ряда параметров, обучение вероятностной модели посредством использования определенных контента и структуры каждого ряда параметров, в которых величина и размер заданы для вероятностной модели, получение протокола передачи данных, имеющего ряд параметров, которые передаются от первого процессора ко второму процессору через компьютерную сеть, сравнение полученного протокола передачи данных с вероятностной моделью и определение, является ли сообщение протокола передачи данных аномальным.The prior art solution for the patent US 9253201 B2, publ. 02/02/2016, where the system and method for determining network anomalies are disclosed. According to the decision, the system contains a processor that receives a training set of a data transfer protocol that has a number of parameters, determining the content and structure associated with each of the number of parameters, training a probabilistic model by using specific content and structure of each series of parameters, in which the size and size are specified for a probabilistic model, obtaining a data transfer protocol having a series of parameters that are transmitted from the first processor to the second processor through a computer network, comparing the resulting data transfer protocol with the probabilistic model and the determination of whether the message is the data transfer protocol anomaly.

Недостатком такой системы является отсутствие возможности обнаружения атаки методом сигнатур, кроме того, отсутствует контроль устройств, между которыми происходит передача данных.The disadvantage of this system is the lack of the ability to detect attacks by the signature method, in addition, there is no control of devices between which data is transmitted.

В качестве прототипа выбран патент US 9525696 В2, опубл. 20.12.2016, в котором раскрыта система и способ для определения сетевых аномалий. Согласно решению, средство обработки сетевого пакета для реализации политики безопасности содержит множество аппаратных модулей для обработки сетевого трафика для выявления различным угроз. При этом в качестве модулей обработки трафика используются такие модули как: модуль сигнатур, модуль выявления аномалий и модуль выявлениях сетевых атак. Каждый из модулей выполнен с возможностью пропуска идентифицированного пакета, соответствующего политике безопасности компании.As a prototype selected patent US 9525696 B2, publ. 12/20/2016, which discloses a system and method for determining network anomalies. According to the solution, the network packet processing tool for implementing the security policy contains a plurality of hardware modules for processing network traffic to detect various threats. At the same time, such modules as the signature module, the anomaly detection module, and the network attack detection module are used as traffic processing modules. Each of the modules is configured to skip the identified package corresponding to the company’s security policy.

К недостаткам прототипа относится невозможностью выявления и идентификация зашифрованного трафика, а также определения типа зашифрованного трафика и типа передаваемых данных.The disadvantages of the prototype include the inability to detect and identify encrypted traffic, as well as determining the type of encrypted traffic and the type of data transmitted.

Решаемая техническая задача при разработке устройства заключается в создании средства обнаружения вторжения, способного распознавать зашифрованный тип трафика в процессе обработке сетевого трафика.The technical problem to be solved when developing the device is to create an intrusion detection tool capable of recognizing the encrypted type of traffic in the process of processing network traffic.

Техническим результатом полезной модели является повышение эффективности обработки сетевого трафика за счет предварительного распознавания новых устройств в сети и зашифрованного трафика.The technical result of the utility model is to increase the efficiency of processing network traffic due to preliminary recognition of new devices on the network and encrypted traffic.

Заявленный технический результат достигается за счет того, что средство обнаружения вторжений для обработки сетевого трафика содержит блок приема и разбора трафика, блок памяти и соединенные с ним блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий, блок защиты от сетевых атак, при этом блок приема и разбора трафика соединен с блоком выявлениях новых устройств, который в свою очередь соединен с блоком анализа зашифрованного трафика, а блок анализа зашифрованного трафика выполнен с возможностью идентифицирования протокола шифрования и основного протокола.The claimed technical result is achieved due to the fact that the intrusion detection tool for processing network traffic contains a traffic reception and analysis unit, a memory unit and a unit for detecting new devices connected to it, an encrypted traffic analysis unit, a signature unit, an anomaly detection unit, a network protection unit attacks, while the traffic reception and analysis unit is connected to the unit for detecting new devices, which in turn is connected to the encrypted traffic analysis unit, and the encrypted traffic analysis unit is executed with the ability to identify the encryption protocol and the main protocol.

Полезная модель поясняется чертежом, на котором представлена блок-схема средства обнаружения вторжений.The utility model is illustrated in the drawing, which shows a block diagram of an intrusion detection tool.

Средство обнаружения вторжения включает в себя блок 1 приема и разбора сетевого трафика, блок 2 выявления новых устройств, блок 3 анализа зашифрованного трафика, блок 4 сигнатур, блок 5 выявления аномалий, блок 6 защиты от сетевых атак, и блок 7 памяти. Блок 7 памяти предназначен для хранения различной информации и набора правил в соответствии с информационной политикой безопасности и соединен с блоком выявления новых устройств, блоком анализа зашифрованного трафика, блоком сигнатур, блоком выявления аномалий и блоком сетевых атак.The intrusion detection tool includes a block 1 for receiving and analyzing network traffic, a block 2 for detecting new devices, a block 3 for analyzing encrypted traffic, a block 4 for signatures, a block 5 for detecting anomalies, a block 6 for protecting against network attacks, and a block 7 for memory. The memory unit 7 is designed to store various information and a set of rules in accordance with the information security policy and is connected to the unit for detecting new devices, the unit for analyzing encrypted traffic, the signature block, the unit for detecting anomalies, and the block for network attacks.

Блок 1 приема и разбора сетевого трафика служит для сбора сетевого трафика на канальном уровне, то есть трафика, поступающего из глобальной сети Интернет или трафика, который проходит внутри сети предприятия, например, по локальной сети и для его дальнейшего разбора в соответствии со структурой пакета стека IP/TCP. Для разбора пакета могут быть использованы средства для разбора пакетов на сетевом и транспортном, либо на сетевом, транспортном и прикладном уровнях. Первым делом, входящий трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля, нормализуя, если требуется. Полученные декодированные, разархивированные и нормализованные поля протоколов затем последовательно проверяются блоками (2-6) на наличие в сетевом трафике сетевых атак или вредоносной активности.Block 1 receiving and parsing network traffic is used to collect network traffic at the data link layer, that is, traffic coming from the global Internet or traffic that passes within the enterprise network, for example, through a local network and for its further analysis in accordance with the structure of the stack packet IP / TCP To parse a packet, tools can be used to parse packets at the network and transport, or at the network, transport, and application levels. First of all, incoming traffic is split into TCP, UDP or other transport streams, after which parsers mark them and break them into high-level protocols and their fields, normalizing if necessary. The received decoded, unzipped, and normalized protocol fields are then sequentially checked by blocks (2-6) for network attacks or malicious activity in network traffic.

Блок 2 выявления новых устройств служит для идентификации и контроля сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например, IP адресом, MAC адресом, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Таким образом, передача сетевого трафика осуществляется только между идентифицированными устройствами. Решение о пропуске или блокировке исходящего или входящего трафика принимается блоком 2 выявления новых устройств на основе наличия идентификатора сетевого устройства в блоке 7 памяти. Если идентификатор, характеризующий сетевое устройство, содержится в блоке 7 памяти, то трафик пропускается, в ином случае, происходит блокировка трофика. В некоторых случаях, правила обработки трафика могут быть настроены так, что если данные сетевого устройства не содержатся, то он будет пропущен с пометкой на вход блока 3 анализа зашифрованного трафика, где будет приниматься решение о пропуске или блокировке трафика.Block 2 for identifying new devices serves to identify and control network devices between which data is exchanged and transmitted over the network. A network device can be identified on the network by its network address, for example, IP address, MAC address, URI (Uniform Resource Identifier), or any other network identifier. Thus, the transmission of network traffic is carried out only between identified devices. The decision to skip or block outgoing or incoming traffic is made by block 2 detecting new devices based on the identifier of the network device in block 7 of the memory. If the identifier characterizing the network device is contained in the memory unit 7, then the traffic is skipped, otherwise, the trophy is blocked. In some cases, the rules for processing traffic can be configured so that if the data of the network device is not contained, it will be skipped with a mark on the input of the encrypted traffic analysis unit 3, where a decision will be made whether to allow or block traffic.

Все чаще для передачи данных используется зашифрованный трафик, в связи с чем, возможность извлечения информации ограничена. Для этого, средство обнаружения вторжений содержит блок 3 бинарного анализа зашифрованного трафика, который служит для идентификации зашифрованных пакетов данных (IPsec, SSH, TLS, SSL и др.) в TCP/IP сетях: Блок 3 может быть снабжен специальным программным модулем определения второстепенных характеристик установленного соединения посредством статистических и вероятностных методов анализа, передаваемых данных, например, системой обнаружения скрытых каналов. Из зашифрованного трафика можно получить некоторую информацию, в первую очередь, из незашифрованной фазы инициализации, а также из зашифрованной фазы транспортного уровня. Почти все сетевые протоколы обеспечивают безопасную передачу данных с помощью шифрования, содержащего незашифрованную фазу инициализации. Поскольку данные, обмениваемые на этом этапе, не зашифрованы, их можно легко извлечь и использовать для мониторинга сетевого трафика. Кроме того, могут быть получены согласованные данные параметров соединения, такие как использование определенных комплектов шифров и версий протокола. Это позволяет пассивно различать конкретные операционные системы, веб-браузеры и другие приложения вместе с их версиями, поскольку они работают с определенными шифрами и не поддерживают другие наборы криптографических примитивов. Из защищенного сетевого трафика может быть извлечена информация об уникальных идентификаторах одноранговых узлов на фазе аутентификации. Примером извлечения информации из узлов связи может служить фаза аутентификации протокола SSL/TLS. Сервер и/или клиент отправляют свои сертификаты Х.509 друг другу, чтобы проверить их идентификаторы на этом этапе. Этот сертификат содержит открытый ключ, подписанный доверенным удостоверяющим центром, который дополняется информацией о партнере и эмитенте. На этом этапе также может быть проведена проверка сертификатов, являются ли они действительными и содержат ли они надлежащие алгоритмы безопасности для выполнения локальных политик безопасности. Пакеты сетевого трафика обычно состоят из незашифрованной части пакета (тип контента, версия, длина пакета, направление и временная метка пакета) и зашифрованной части, которой обычно является полезная нагрузка. Почти каждый протокол, поддерживающий шифрование и, использует свой уникальный формат пакета. Таким образом, знание этих форматов позволяет различать и идентифицировать отдельные протоколы путем проверки полезной нагрузки пакета. Для этого используются алгоритмы сравнения строк или регулярных выражений с конкретными шаблонами протоколов. Также существует множество различных методов, которые используются в анализе зашифрованного трафика, например, методы С4.5, k-средних, скрытая марковская модель, Multi-Objective Genetic Algorithm(MOGA), AdaBoost, RIPPER, Support Vector Machine (SVM), NaiveBayes и др. Эти методы не требуют знания структуры пакета протокола шифрования. Опираясь на эталонные математические оценки, данные методы позволяют не только проанализировать зашифрованный трафик, но и получить сведения об используемом протоколе по данным из служебных полей пакетов, которые, как правило, не шифруются. Отсюда большинство методов классификации не только идентифицируют протокол шифрования (IPsec, SSH, TLS, SSL и др.), но и основной протокол (HTTP, SMTP, РОР3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ и др.). Кроме того, также может быть вычислена энтропия заголовков пакетов и полезной нагрузки для классификации различных типов передаваемых данных: текст, изображение, видео, аудио, кодированный текст Base64, кодированное изображение Base64, сжатый и зашифрованный трафик. В предпочтительном варианте энтропия рассчитывается только для полезной нагрузки. Таким образом, блок 3 анализа зашифрованного трафика разрешает допустимые пакеты, например, использующих доверенный сертификат, поддерживающих определенный протокол, тип передаваемых данных и соответствующих остальным политикам информационной безопасности компании, блокируя все остальные.Increasingly, encrypted traffic is used for data transmission, and therefore, the ability to extract information is limited. For this, the intrusion detection tool contains a block 3 of binary analysis of encrypted traffic, which is used to identify encrypted data packets (IPsec, SSH, TLS, SSL, etc.) in TCP / IP networks: Block 3 can be equipped with a special software module for determining secondary characteristics established connection by means of statistical and probabilistic methods of analysis, transmitted data, for example, a system for detecting covert channels. Some information can be obtained from encrypted traffic, primarily from the unencrypted initialization phase, as well as from the encrypted phase of the transport layer. Almost all network protocols provide secure data transmission using encryption, which contains an unencrypted initialization phase. Since the data exchanged at this stage is not encrypted, it can be easily extracted and used to monitor network traffic. In addition, consistent connection parameter data can be obtained, such as using specific cipher suites and protocol versions. This allows you to passively distinguish between specific operating systems, web browsers and other applications with their versions, since they work with certain ciphers and do not support other sets of cryptographic primitives. From secure network traffic, information about the unique identifiers of peers in the authentication phase can be extracted. An example of extracting information from communication nodes is the authentication phase of the SSL / TLS protocol. The server and / or client send their X.509 certificates to each other to verify their identifiers at this point. This certificate contains a public key signed by a trusted certification authority, which is supplemented by information about the partner and issuer. At this point, certificates can also be checked to see if they are valid and whether they contain the appropriate security algorithms to implement local security policies. Network traffic packets usually consist of the unencrypted portion of the packet (content type, version, packet length, direction and timestamp of the packet) and the encrypted portion, which is usually the payload. Almost every protocol that supports encryption and uses its own unique packet format. Thus, knowledge of these formats makes it possible to distinguish and identify individual protocols by checking the payload of a packet. For this, algorithms are used to compare strings or regular expressions with specific protocol templates. There are also many different methods that are used in the analysis of encrypted traffic, for example, C4.5 methods, k-means, hidden Markov model, Multi-Objective Genetic Algorithm (MOGA), AdaBoost, RIPPER, Support Vector Machine (SVM), NaiveBayes and etc. These methods do not require knowledge of the structure of the encryption protocol packet. Based on reference mathematical estimates, these methods allow not only to analyze encrypted traffic, but also to obtain information about the protocol used from data from service fields of packets, which, as a rule, are not encrypted. Hence, most classification methods not only identify the encryption protocol (IPsec, SSH, TLS, SSL, etc.), but also the main protocol (HTTP, SMTP, POP3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ, etc.). In addition, the entropy of packet headers and payload can also be calculated to classify various types of transmitted data: text, image, video, audio, Base64 encoded text, Base64 encoded image, compressed and encrypted traffic. In a preferred embodiment, entropy is calculated only for the payload. Thus, block 3 of the analysis of encrypted traffic allows valid packets, for example, using a trusted certificate, supporting a certain protocol, the type of data transferred and corresponding to other information security policies of the company, blocking all others.

Как было указано выше, большинство сетевых атак определяется сигнатурным методом. Для этого средство обнаружения вторжений содержит блок 4 сигнатур, который при проверке пакета обращается к блоку 7 памяти с сигнатурами известных атак. В данной заявке под сигнатурой понимается непрерывная конечная последовательность байтов, необходимая и достаточная для однозначной идентификации угроз. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 7 памяти принимается решение о блокировке пакета. В предпочтительном варианте сравнение содержимого исследуемых пакетов проводится не напрямую, а по их контрольным суммам, что позволяет существенно снизить количество хранящихся записей об известных вирусах. Специалисту в данной области технике должно быть понятно, что для повышения эффективности угроз база известных вирусов должна постоянно обновляться, так как ежедневно появляются новые вредоносные коды и угрозы.As stated above, most network attacks are determined by the signature method. For this, the intrusion detection tool contains a signature block 4, which, when checking the packet, refers to the memory block 7 with signatures of known attacks. In this application, a signature refers to a continuous finite sequence of bytes necessary and sufficient for the unique identification of threats. If any code of the program being viewed matches the known virus code in memory block 7, a decision is made to block the package. In a preferred embodiment, the contents of the studied packages are not compared directly, but by their checksums, which can significantly reduce the number of stored records of known viruses. A person skilled in the art should understand that in order to increase the effectiveness of threats, the database of known viruses must be constantly updated, as new malicious codes and threats appear daily.

Блок 5 выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Примерами аномалий могут являться внезапное увеличение интернет-трафика (в том числе и в ночное время суток), изменение структуры трафика (например, увеличение шифрованного трафика) в сравнении с обычными ежедневными показателями или же отличие пары: IP и порт от обычной и др. Вся информация об обычном трафике может храниться в блоке 7 памяти. При проверке поступающего сетевого трафика блок 5 аномалий обращается к блоку 7 памяти и в случае если пакеты трафика не содержат аномалий, то принимается решение о пропуске пакетов.Block 5 detecting anomalies reveals a significant deviation of network traffic from the usual traffic profile. Anomaly analysis involves training and statistical analysis to build and update normal traffic. Examples of anomalies can be a sudden increase in Internet traffic (including at night), a change in the structure of traffic (for example, an increase in encrypted traffic) compared to normal daily rates, or the difference between a pair: IP and port from normal, etc. All normal traffic information may be stored in the memory unit 7. When checking the incoming network traffic, the anomaly block 5 refers to the memory block 7 and if the traffic packets do not contain anomalies, then a decision is made to pass the packets.

Блок 6 защиты от сетевых атак обеспечивает улучшенное обнаружение известных уязвимостей в сети и типовых сетевых атак, таких как Flooding, DoS, (ARP, DNS и иной), Spoofing, WinNuke и др. Работа блока 6 защиты от сетевых атак во многом схожа с работой блока 4 сигнатур и определяет последовательность событий, являющихся признаком нарушения и характерных для сигнатуры сетевой атаки. Сигнатура сетевой атаки практически не отличается от сигнатуры вируса и представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, могут быть одновременно установлены противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага. Наличие строки «GET.cgi-bin./etc/passwd» в области данных HTTP-пакета свидетельствует об эксплуатации уязвимости типа PathTraversal. Наконец, в заголовке TCP пакета может быть установлен порт назначения 139 и флаг ООВ (Out of Band), что является признаком атаки WinNuke. Обнаружив сетевую атаку, блок 6 защиты от сетевых атак блокирует любую сетевую активность атакующего хоста.Block 6 of protection against network attacks provides improved detection of known vulnerabilities in the network and typical network attacks, such as Flooding, DoS, (ARP, DNS and others), Spoofing, WinNuke, etc. The operation of block 6 of protection against network attacks is very similar to that of block of 4 signatures and determines the sequence of events that are a sign of violation and characteristic of the signature of a network attack. The signature of a network attack is practically the same as the signature of a virus and is a set of signs that distinguish a network attack from other types of network traffic. For example, conflicting TCP packet flags can be set at the same time: SYN and FIN. This combination of flags is used in many attacking programs to bypass filters and monitors that only check the setting of a single SYN flag. The presence of the string “GET.cgi-bin./etc/passwd” in the data area of the HTTP package indicates the exploitation of a vulnerability like PathTraversal. Finally, the destination port 139 and the Out of Band flag can be set in the TCP packet header, which is a sign of a WinNuke attack. Upon detecting a network attack, block 6 protection against network attacks blocks any network activity of the attacking host.

Ниже приведен пример осуществления полезной модели.The following is an example implementation of a utility model.

Блок 1 приема и разбора трафика собирает весь поступающей трафик из внешней глобальной сети Интернет и из внутренней локальной сети. После чего трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля - нормализуя, если требуется. А затем осуществляется анализ данных пакетов от IP до HTTP и DCERPC на наличие уязвимостей. Полученные декодированные, разжатые и нормализованные поля протоколов затем проверяются блоком 2 выявления новых устройств, блоком 3 анализа зашифрованного трафика, блоком 4 сигнатур, блоком 5 выявления аномалий и блоком 6 защиты от сетевых атак на наличие в сетевом трафике сетевых атак или вредоносной активности. Блок 1 приема и разбора трафика последовательно соединен с блоком 2 выявления новых устройств, который осуществляет контроль и идентификацию сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например: IP адрес, MAC адрес, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Блок 2 выявления новых устройств принимает решение о следовании трафика на основе наличия идентификатора сетевого устройства в блоке 7 памяти. Если идентификатор, характеризующий сетевое устройство содержится в блоке 7 памяти, то трафик пропускается, в ином случае происходит блокировка трофика. Пропущенный трафик из блока 2 поступает в последовательно соединенный с ним блок 3 анализа зашифрованного трафика, который служит для идентификации зашифрованных пакетов данных (IPsec, SSH, TLS, SSL и др.) в TCP/IP сетях. Блок 3 анализа зашифрованного трафика осуществляет получение из незащищенной и защищенной фазы инициализации различной информации, такой как: тип контента, версия, длина пакета, направление, временная метка пакета, сведения о шифрах, сертификатов, версия и формат протокола и др. Кроме того, блок 3 может осуществлять расчет энтропии заголовки пакета и полезной нагрузки. На основании полученных данных может быть идентифицирован протокол шифрования (IPsec, SSH, TLS, SSL и др.), основной протокол (HTTP, SMTP, РОР3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ и др.) и тип передаваемых данных: текст, изображение, видео, аудио, кодированный текст Base64, кодированное изображение Base64, сжатый и зашифрованный трафик. Блок 3 анализа зашифрованного трафика разрешает допустимые пакеты, соответствующие политики информационной безопасности компании. Доверенный трафик из блока 3 поступает на дальнейшую последовательную обработку блоком 4 сигнатур, блоком 5 выявления аномалий и блоком 6 защиты от сетевых атак, которые могут быть расположены в любом порядке. Таким образом средство обнаружения вторжений предусматривает обработку сетевого трафика последовательно соединенными блоками 2-6. В рассматриваемом примере доверенный трафик из блока 3 поступает в блок 4 сигнатур. Блок 4 сигнатур при проверке пакета обращается к блоку 7 памяти, который содержит известные сигнатуры. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 7 памяти, блок 4 сигнатур принимает решение в блокировке трафика. В ином случае, если трафик прошел проверку блоком 4, то он поступает на вход блока 5 выявления аномалий. Блок 5 выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. При проверке поступающего сетевого трафика блок 5 выявления аномалий обращается к блоку 7 памяти для сравнения данных характеризующих обычный трафик. В случае если пакеты трафика не содержат аномалий, то они поступают на вход блока 6 защиты от сетевых атак, в ином случае блокируются. Блок 6 защиты от сетевых атак обеспечивает улучшенное обнаружение известных уязвимостей в сети и типовых сетевых атак, таких как Flooding, DoS, (ARP, DNS и иной), Spoofing, WinNuke и др. на основе их сигнатур. Сигнатура сетевой атаки представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Обнаружив сетевую атаку, блок 6 защиты от сетевых атак блокирует любую сетевую активность атакующего хоста. При этом существенным является предварительное распознавание зашифрованного трафика, поскольку некоторые сетевые атаки (DDoS, trojans) могут использовать метод шифрования трафика. Например, Back Orifice trojan или Barbwire DDoS осуществляют шифрование команд, передаваемых между клиентом и сервером, с использованием алгоритма blowfish. Методы выявления такого рода атак ограничиваются анализом заголовков сетевых пакетов и сетевая атака может быть не обнаружена.Block 1 receiving and analyzing traffic collects all incoming traffic from the external global Internet and from the internal local network. After that, the traffic is divided into TCP, UDP or other transport streams, after which the parsers mark them and divide them into high-level protocols and their fields - normalizing if necessary. And then it analyzes the packet data from IP to HTTP and DCERPC for vulnerabilities. The received decoded, expanded, and normalized protocol fields are then checked by block 2 for detecting new devices, block 3 for analyzing encrypted traffic, block 4 signatures, block 5 for detecting anomalies, and block 6 for protecting against network attacks for network attacks or malicious activity in network traffic. The traffic reception and analysis unit 1 is connected in series with the new device detection unit 2, which monitors and identifies network devices between which data is exchanged and transmitted over the network. A network device can be identified on the network by its network address, for example: IP address, MAC address, URI (Uniform Resource Identifier) or any other network identifier. Unit 2 for detecting new devices makes a decision about following the traffic based on the presence of the identifier of the network device in block 7 of the memory. If the identifier characterizing the network device is contained in the memory unit 7, then the traffic is skipped, otherwise the trophy is blocked. The passed traffic from block 2 goes to the encrypted traffic analysis block 3 connected to it, which is used to identify encrypted data packets (IPsec, SSH, TLS, SSL, etc.) in TCP / IP networks. Block 3 of the analysis of encrypted traffic receives various information from the unprotected and protected initialization phase, such as: content type, version, packet length, direction, timestamp of the packet, information about ciphers, certificates, protocol version and format, etc. In addition, the block 3 can calculate entropy packet headers and payloads. Based on the received data, the encryption protocol (IPsec, SSH, TLS, SSL, etc.), the main protocol (HTTP, SMTP, POP3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ, etc.) and the type of transmitted data can be identified Data: text, image, video, audio, Base64 encoded text, Base64 encoded image, compressed and encrypted traffic. Block 3 analysis of encrypted traffic allows valid packets corresponding to the company's information security policy. The trusted traffic from block 3 is sent for further sequential processing by the signature block 4, the anomaly detection block 5, and the network attack protection block 6, which can be located in any order. Thus, the intrusion detection tool provides for processing network traffic in series connected blocks 2-6. In this example, trusted traffic from block 3 enters block 4 of signatures. The signature block 4, when checking the packet, refers to the memory block 7, which contains the known signatures. If any code of the program being viewed matches the known virus code in memory block 7, signature block 4 makes a decision to block traffic. Otherwise, if the traffic was tested by block 4, then it goes to the input of block 5 for detecting anomalies. Block 5 detecting anomalies reveals a significant deviation of network traffic from the usual traffic profile. Anomaly analysis involves training and statistical analysis to build and update normal traffic. When checking incoming network traffic, the anomaly detection unit 5 refers to the memory unit 7 to compare data characterizing normal traffic. If the traffic packets do not contain anomalies, then they go to the input of block 6 of the protection against network attacks, otherwise they are blocked. Block 6 of protection against network attacks provides improved detection of known vulnerabilities in the network and typical network attacks, such as Flooding, DoS, (ARP, DNS and others), Spoofing, WinNuke, etc. based on their signatures. A network attack signature is a set of attributes that distinguish a network attack from other types of network traffic. Upon detecting a network attack, block 6 protection against network attacks blocks any network activity of the attacking host. At the same time, preliminary recognition of encrypted traffic is essential, since some network attacks (DDoS, trojans) can use the traffic encryption method. For example, Back Orifice trojan or Barbwire DDoS encrypt commands transmitted between the client and server using the blowfish algorithm. Methods for detecting such attacks are limited to analyzing network packet headers and a network attack may not be detected.

Таким образом средство обнаружения вторжений, содержащий блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий и блок защиты от сетевых атак обеспечивает высокую эффективность в обнаружении сетевых угроз и уязвимостей.Thus, the intrusion detection tool, which contains a block for detecting new devices, a block for analyzing encrypted traffic, a signature block, a block for detecting anomalies, and a block against network attacks provides high efficiency in detecting network threats and vulnerabilities.

Claims

1. An intrusion detection tool for processing network traffic, comprising a traffic reception and analysis unit, a memory unit and a unit for detecting new devices, an encrypted traffic analysis unit, a signature unit, an anomaly detection unit, a network attack protection unit, and a receiving unit and traffic analysis is connected to a unit for detecting new devices, which in turn is connected to an encrypted traffic analysis unit, and an encrypted traffic analysis unit is configured to identify an encryption protocol and basically different protocol.

2. The tool according to claim 1, characterized in that the encrypted traffic analysis unit is configured to identify the type of transmitted data based on the calculation of the entropy of the packet header and the payload.