Новости МирТесен

voinkiber@bk.ru


ОБНАРУЖЕНИЕ СКРЫТОГО СКАНИРОВАНИЯ ПОРТОВ В ПОТОКОВОМ РЕЖИМЕ СЕТЕВОГО ТРАФИКА

Поделиться:

Корпоративные данные являются ценным активом, который должен быть защищен от несанкционированного доступа и манипуляции. Поэтому компании используют различные механизмы безопасности, такие как брандмауэры или системы обнаружения вторжений (IDS) для защиты своих данных. Большинство из этих операционных систем безопасности сигнатурные и не могут обнаруживать или предотвращать новые сценарии атак достаточно хорошо. Для достижения этой цели необходим гибкий метод, способный выявлять новые атаки, используя и, наконец, обобщая известное поведение.

Мы пользуемся преимуществом того факта, что сценарии атаки часто следуют общей последовательности этапов. Можно классифицировать пять фаз атаки, а именно: разведка, сканирование, получение доступа, поддержка доступа и отслеживание треков.

На этапе сканирования злоумышленники часто используют сканирование портов, чтобы идентифицировать хосты или сети, в которые они хотят проникнуть.
Обычно сканирование портов инициирует огромное количество запросов к различным портам или IP-адресам в течение короткого периода времени.
Такое сканирование портов можно легко обнаружить с помощью простых механизмов, таких как подсчет количества запрашиваемых портов для каждого исходного IP-адреса. Однако, серьезные злоумышленники медленно сканируют свои цели, чтобы избежать подозрений. Медленный означает в этом контексте, что злоумышленник не отправляет проверочные пакеты постоянно. Напротив, злоумышленники отправляют тестовые пакеты на хост, например, только каждые 15 секунд или каждые 5 минут. Следовательно,обнаружение скрытого сканирования портов является более сложной задачей. Благодаря тому факту, что сканирование является важной фазой в типичном сценарии атаки, крайне важно обнаруживать медленное сканирование портов для выявления новых атак.

Обнаружение скрытого сканирования портов должно учитываться при обнаружении вторжений и угроз изнутри.
Сканирование портов как таковое не наносит никакого ущерба, но часто является предвестником атак, может нанести серьезный вред. Таким образом, данная статья способствует раннему обнаружению атак, а именно уже на начальной стадии на этапе сканирования.
Сетевые потоки предоставляют метаданные о сетевых соединениях между оконечными устройствами. Информация в данных, основанных на потоке, значительно сжата по сравнению с данными на основе пакетов. Следовательно, обнаружение скрытого сканирования портов является более сложным, но объем данных для анализа и, следовательно, проблемы конфиденциальности уменьшаются.
Анализ сканирования портов. При активном сканировании портов злоумышленник идентифицирует сетевые узлы и службы путем передачи тестовых пакетов. Существует множество различных методов сканирования портов, и поведение злоумышленников и жертв зависит от этих методов. Далее мы сосредоточимся на основных характеристиках методов сканирования портов.
Сканирование портов можно широко разделить на горизонтальное и вертикальное сканирование. Вертикальные сканирования используются для определения открытых портов одного хоста, в то время как более распространенные горизонтальные сканирования используются для идентификации хостов для определенного открытого порта.
TCP. Наиболее распространенным типом сканирования портов TCP является SYN-Scan. Здесь злоумышленник отправляет первоначальный запрос SYN трехстороннего рукопожатия жертве. Затем жертва отправляет ответ SYN-АСК злоумышленнику, если порт открыт, или ответ RST, если порт закрыт. Чтобы предотвратить записи журнала на хосте жертвы, злоумышленник обычно не выполняет 3-Way-Handshake для открытых портов. Поэтому этот тип сканирования часто называют скрытным SYN-сканированием. FIN-сканирование — это еще один метод TCP сканирования, который отправляет сообщения FIN вместо сообщений SYN для обхода правил брандмауэра. Если такой запрос направлен на закрытый порт, жертва отправляет ответ RST. Если открыт открытый порт, жертва не дает ответа.
Другими методами TCP-Scan являются, например, Сканирование АСК или XMAS, которые отправляют различные комбинации флагов TCP в начальном запросе TCP.
UDP. UDP-сканирование значительно отличается от ТСР-сканирования. Если злоумышленник обращается к открытый порт UDP, жертва не обязательно выдает ответ. Однако подобное поведение наблюдается, когда брандмауэр блокирует запрос. Если злоумышленник отправляет запрос на закрытый порт UDP, жертва обычно отвечает сообщением о недоступности ICMP. Зачастую операционные системы ограничивают количество недоступных сообщений ICMP одним сообщением в секунду.
В заключение, наблюдаемый сетевой трафик на основе потоков значительно различается для разных методов сканирования портов.
Выявление жертв, кажется, легче, чем идентификация злоумышленников, поскольку жертвы следуют правилам протокола, а злоумышленники меняют свое поведение, чтобы обмануть механизмы, безопасности. Кроме того, запросы на сканирование портов к закрытым, портам, кажется, легче обнаружить, чем запросы на открытие портов из-за ненормального поведения жертвы.
Данные на основе потока Данные на основе потока предоставляют метаинформацию о сетевых соединениях между конечной точкой устройства и могут быть легко захвачены на сетевых устройствах, таких как коммутаторы. Поток определяется как последовательность пакетов с некоторыми общими свойствами, которые проходят через сетевое устройство.

Традиционно все пакеты, имеющие общие свойства Source IP Address, Source Port, Destination IP-адрес, порт назначения и транспортный протокол объединяются в один поток. Мы используем потоки в формате NetFlow, который следует этой стратегии агрегации. Сканирование портов в первую очередь стремится к идентификации открытых портов на конкретном хосте или при обнаружении различных хостов с определенным открытым портом. Поскольку IP-адрес назначения и порт назначения являются свойствами агрегации, порт сканирования вызывает отдельный поток для каждого целевого хоста или целевого порта.
Потоки отображаются в однонаправленном или двунаправленном формате. Однонаправленные потоки представляют сводку всех пакетов от хоста А к хосту В, которые имеют одинаковые свойства. Пакеты от хоста В к хосту А агрегируются в другом однонаправленном потоке. Напротив, один двунаправленный поток включает в себя сводку обоих, переданных пакетов от хоста А к хосту В, а также от хоста В к хосту А. Двунаправленные потоки содержат больше информация, но асимметричная маршрутизация в магистралях организации может исказить информацию в двунаправленных потоках. Поэтому в этой работе используются однонаправленные потоки в формат.
NetFlow имеет активное и неактивное время ожидания для потоков.
Неактивное время ожидания прекращает поток, если в течение а секунд не получено никаких дополнительных пакетов. Активное время ожидания прерывает поток, если он был открыт более, чем за р секунд. По умолчанию NetFlow использует значения а = 15 и |3 = 1800.
Таблица 1 показывает типичные атрибуты в однонаправленных данных на основе потока.
Краткое изложение предлагаемых подходовНа рис. 1 представлен обзор предлагаемых подходов и показан общий рабочий процесс.
Отправной точкой двух подходов обнаружения является неограниченный поток данных на основе потока, который получен от сетевых устройств, таких как брандмауэры, маршрутизаторы или коммутаторы. На первом этапе мы используем дополнительные знание структуры сети для обогащения потока данных дополнительной информацией. Мы помечаем информацию, если IP-адрес источника (назначения) является внутренним, или внешним для каждого потока. Для этого требуется так называемый файл информации о сети, который должен быть установлен экспертом домена и должен содержать все IP-адреса подсети сети организации. После этого мы собираем потоки через временные окна во втором шаге предварительной обработки. Это помогает нам противостоять проблеме, связанной с тем, что сканирование портов характеризуется последовательностью потоков, а не одним потоком.
Результатом второго шага является генерация сетевых событий. Эти сетевые события используются в качестве входных объектов для наших двухпортовых подходов обнаружения сканирования. Первый подход UPSD не контролируется и использует последовательную проверку гипотез. Второй подход контролируется и использует алгоритмы классификации. Оба подхода обрабатывают входящие сетевые события в режиме реального времени и в зависимости от их результатов генерируются предупреждения о сканировании портов или нет.

Создание сетевых событий. Злоумышленники используют сканирование портов для сбора информации о сети. Их цель — узнать об открытых портах, которые они могут использовать на последующих этапах. Следовательно, злоумышленники чаще обращаются к закрытым портам или несуществующим IP-адресам, чем к легальным клиентам при сканировании всей сети на наличие открытых портов. Мы используем эту эвристику для построения сетевых событий с соответствующими атрибутами для обнаружения сканирования портов. В дальнейшем, мы используем дополнительные знания о структуре сети. Более конкретно, мы храним все внутренние IP-адреса и все известные открытые порты TCP для внутренних IP-адресов. Последние достигается путем записи любой комбинации IP-адреса источника и порта источника (от 0 до 1024) для которого может быть установлено действительное ТСР-соединение.
Заключение В этой статье мы предлагаем два подхода к обнаружению скрытого сканирования портов в потоковом режиме сетевых данных. Оба подхода используют одну и ту же инновационную цепочку предварительной обработки, которая также является основным вкладом этой работы. Эта цепочка предварительной обработки собирает данные для каждого сетевоготрафика на основе потока хоста через временные окна и ооогащает потоки дополнительной информацией о структуре сети (например, IP-адрес источника внутренний или внешний). Затем, обогащенные и собранные потоки используются для вычисления новых объектов — которые мы назвали сетевыми событиями — с соответствующими атрибутами для обнаружения сканирования портов. Эти сетевые события используются в качестве входных данных для наших подходов обнаружения: UPSD (Обнаружение сканирования портов без присмотра) и SPSD (Сканирование портов с контролем) UPSD использует последовательное тестирование гипотез, тогда как SPSD основано на алгоритмах классификации. Оба подхода уменьшают объем данных за счет преобразования потоков в сетевые события, которые одновременно сводят к минимуму усилия по анализу для экспертов по безопасности.
Вывод: мы оценили, наши подходы экспериментально на наборе данных CIDDS-001. Результаты показывают, что оба подхода способны обнаруживать медленное сканирование портов с очень низкой частотой ложных тревог. В будущем мы намерены расширить оценку предлагаемых подходов с реальной сетью данные и предстоящие наборы данных оценки.
Кроме того, мы хотим исследовать использование дополнительных знаний предметной области на других этапах атаки.

1 комментарий для “ОБНАРУЖЕНИЕ СКРЫТОГО СКАНИРОВАНИЯ ПОРТОВ В ПОТОКОВОМ РЕЖИМЕ СЕТЕВОГО ТРАФИКА”

  1. Николай С.:

    Да, действительно большинство брандмауэров сейчас уже не может защитить от сканирования портов с помощью ICMP. Это очень большая проблема. И, судя по статье, очень хорошо, что работа в этом направлении ведется. Сейчас появилась еще одна неприятность: NULL-сканирование. Хорошо бы и в этом направлении проводить работу.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Новости МирТесен