Денис Гамаюнов / Тимур Рзаев, 4 курс, sec-sem

На этом форуме публикуются и уточняются постановки задач студентам, а также отслеживается ход их выполнения

Модератор: staff

Закрыто
Рзаев Тимур
Выпускник
Сообщения: 2
Зарегистрирован: 16 дек 2008 05:41 pm
Контактная информация:

Денис Гамаюнов / Тимур Рзаев, 4 курс, sec-sem

Сообщение Рзаев Тимур »

Тема работы: Обнаружение аномалий поведения узлов и пользователей ЛВС

Расшифровка темы: Продолжение серии работ по распознаванию узлов и пользователей сети на основе пассивного анализа сетевого трафика.

В данной работе акцент сделан на анализе поведения пользователей и соответствующих им сетевых устройств в ЛВС. Для каждого сетевого объекта (или пользователя, человека) вводим понятие статического сетевого окружения и поведения. Сетевое окружение - это граф использования данным устройством (пользователем) ресурсов сети и внешних ресурсов, а также список соответствующих протоколов и идентифицирующих признаков. Окружение формируется на основе длительного наблюдения за устройством (пользователем). Пример: список хостов в Интернете, число заходов на которые с данного узла за неделю превышает некоторый порог (часто посещаемые сайты). Поведение сетевого объекта это последовательность взаимодействий с окружением в течение заданного временного диапазона (сутки, неделя, месяц). Гипотеза: поведение каждого объекта, в целом, циклично, устойчиво и поведение двух объектов в ЛВС отлично в достаточной степени, чтобы совпадение поведения считать поведением одного и того же объекта. Предполагается, что удобным способом представления поведения будет не цепочка взаимодействий, а вектор частот взаимодействия с каждым ресурсом из окружения по временным слотам.

Цель работы: Разработка и реализация системы обнаружения аномалий поведения сетевых объектов в ЛВС.

Постановка задачи: В рамках работы требуется разработать алгоритм построения профиля поведения сетевого объекта, реализовать систему сбора профилей, разработать и реализовать алгоритм сопоставления наблюдаемого поведения с базой известных профилей для ЛВС, протестировать систему в сети ЛВК.

Ожидаемый результат: Инструментальная система мониторинга сети, позволяющая на основе анализа поведения обнаруживать подключения неизвестных устройств и работу в сети неизвестных пользователей.
Рзаев Тимур
Выпускник
Сообщения: 2
Зарегистрирован: 16 дек 2008 05:41 pm
Контактная информация:

Сообщение Рзаев Тимур »

Студент: Рзаев Тимур 421 группа
Научный руководитель: к. ф-м. н. Гамаюнов Д.Ю.

Тема работы:
Обнаружение аномалий поведения узлов и пользователей ЛВС

Цель работы:
Разработка и реализация системы обнаружения аномалий поведения сетевых объектов в ЛВС.
Постановка задачи:
В рамках работы требуется разработать алгоритм построения профиля поведения сетевого объекта, реализовать систему сбора профилей, разработать и реализовать алгоритм сопоставления наблюдаемого поведения с базой известных профилей для ЛВС, протестировать систему в сети ЛВК.
Ожидаемый результат:
Инструментальная система мониторинга сети, позволяющая на основе анализа поведения обнаруживать подключения неизвестных устройств и работу в сети неизвестных пользователей.

Отчёт о работе за семестр
В рамках курсовой работы проверяется гипотеза: поведение каждого сетевого объекта, в целом, циклично, устойчиво и поведение двух объектов в ЛВС отлично в достаточной степени, чтобы совпадение поведения считать поведением одного и того же объекта.
Решение поставленной задачи в осеннем семестре было решено разделить на следующие части:
* Формализация поставленной задачи
* Формирование профиля сетевого объекта
* Изучение технических средств, необходимых для реализации поставленной задачи
* Выбор методов анализа поведения сетевого объекта

Формализация поставленной задачи
Дано: множество описаний известного поведения сетевых объектов, наблюдаемый сетевой объект
Требуется проверить, является ли поведение сетевого объекта известным, то есть содержащимся в множестве
описаний известного поведения сетевого объекта
Сетевой объект есть совокупность <аппаратура + ОС + ПО + пользователь данного компьютера>
Поведение есть частично упорядоченное множество траекторий взаимодействия данного сетевого объекта с другими объектами по различным протоколам (O,Xi,Pj)


Формирование профиля сетевого объекта
Будем придерживаться введенной в работе[5] терминологии:
Под отпечатком (англ. fingerprint) сетевого объекта будем понимать совокупность статических параметров сетевого объекта + поведение. Статические параметры получаются при сканировании сетевого объекта.
Под траекторией взаимодействия данного сетевого объекта с другими объектами будем понимать совокупность траекторий взаимодействия с другими сетевыми объектами по разным протоколам Набор параметров отпечатка сетевого объекта, введённый в работе[5], был модифицирован в соответствии с требованиями поставленной задачи. В его состав вошли:
* Поле User-Agent прикладного уровня http-запроса
* Параметры сетевого и транспортного уровней, описанные в работе[5]
* Timeskew
* Множество траекторий
Представляется в виде совокупности одномерных временных рядов

Такие параметры, как Timeskew, никак не участвующие в формировании поведения сетевого объекта, тем не менее, должны значительно упростить формирование базы профилей сетевого объекта на этапе обучения инструментального средства.

Изучение технических средств, необходимых для реализации поставленной задачи
Были рассмотрены средства сбора и анализа TCP/IP-пакетов, такие как tcpflow,tcpdump, wireshark и консольная реализация wireshark - tshark.
Tshark был выбран для решения поставленной задачи, как наиболее мощная из рассмотренных консольная реализация анализатора TCP/IP-трафика с поддержкой механизма профилей - определяемых пользователем фильтров пакетов на межсетевом уровне стека протоколов TCP/IP.

Применение аксиоматического подхода для анализа поведения сетевого объекта
Данная часть основана на идеях работ Васина Е.[4] и Коваленко Д., то есть на применении аксиоматического подхода для разметки временных рядов. В этих работах поиск участков аномального поведения сводится к поиску определённой последовательности аксиом, множество аксиом строится при помощи генетического алгоритма.

В контексте поставленной задачи, рассмотрим взаимодействие сетевого объекта с другими объектами как совокупность одномерных временных рядов взаимодействия по каждому потоколу в отдельности. Для каждого такого одномерного временного ряда построим системы аксиом при помощи генетического алгоритма построения систем аксиом[4]
Будем считать, что найдено известное поведение сетевого объекта (соответственно, наблюдаемый сетевой объект есть известный ранее сетевой объект), если для данного объекта для каждого одномерного временного ряда в базе известных профилей была найдена шаблонная последовательность аксиом.
В рамках курсовой был изучен принцип построения систем аксиом в работе[4] и рассмотрена реализация (в исходных кодах) средства построения систем аксиом.

Планируется на весенний семестр
* Реализовать систему сбора профилей, составить базу профилей
* Разработать и реализовать алгоритм сопоставления наблюдаемого поведения с базой известных профилей для ЛВС
* Протестировать систему в сети ЛВК

Литература
1
Wireshark user's guide
http://www.wireshark.org/download/docs/ ... ide-a4.pdf
2
Примеры модельного трафика Wireshark
http://wiki.wireshark.org/SampleCaptures
3
СУБД и Временные ряды
https://zigzag.lvk.cs.msu.ru:7813/secse ... aev/kurs4/
4
Алгоритмы распознавания аномалий в поведении сложных
динамических систем (Anomaly Detection Algorithms)
https://trac.lvk.cs.msu.ru/secsem/attac ... aev/kurs4/
5
Повышение качества результатов анонимного интернет-голосования
методом анализа сетевых объектов(studenikin-diploma)
https://trac.lvk.cs.msu.ru/secsem/attac ... aev/kurs4/
6
Timing Analysis of Keystrokes and Timing Attacks on SSH
https://trac.lvk.cs.msu.ru/secsem/attac ... aev/kurs4/
7
Profiling Internet BackboneTraffic: Behavior Models and Applications
http://www.sigcomm.org/sigcomm2005/paper-XuZha.pdf
Закрыто