Основания для концептуального моделирования
Общепринятой, общеизвестной и безальтернативной на сегодняшний день моделью сетевого взаимодействия компьютерных сетей является модель OSI (Open Systems Interconnection) [29]. Модель OSI состоит из семи уровней [29, 119]. Каждый уровень выполняет свою непосредственную коммуникационную функцию для передачи данных (Рисунок 1.1).
Рисунок 1.1. Взаимодействие уровней модели OSI. По [30], с изменениями
Сетевой трафик как объект содержит в себе всю необходимую информацию о передаваемых данных в сети. Единицей информации при передаче данных является пакет, отправляемый одним сетевым устройством
другому [31]. Сетевой пакет может быть представлен некоторым сегментом данных, содержащим внутри себя определенные метаданные – такими как тип, размер, источник, пункт назначения и иными. Данные в зависимости от размера и используемого протокола передаются либо в одном пакете целиком, либо в нескольких разных, обычно следующих последовательно. Для того, чтобы пакет был успешно отправлен или обработан, соответствующие действия должны быть выполнены компьютерной сетью на всех уровнях модели OSI, от физического (уровень L1) до уровня приложений (уровень L7). Принимающий узел сети, успешно получив пакет от отправителя в штатном режиме, запрашивает у каждого уровня метаданные для следующего уровня вплоть до L7 [119].
Специалисты по информационной безопасности используют средства мониторинга компьютерной сети, которые строятся в первую очередь на анализе трафика [32]. В зависимости от характеристик сетевой атаки классификацию подходов к определению поведенческих характеристик той и иной атаки можно определить на модели OSI, с первоочередным определением протокола передачи данных. Для детектирования в зависимости от сложности атаки используется различные подходы к глубине анализа трафика на уровнях модели OSI. Подходы делятся на три уровня: глубокий (L1-L7), средний (L1-L5) и поверхностный анализ (L1-L3), что отражено на Рисунке 1.2.
Рисунок 1.2 Уровни анализа сетевого трафика модели OSI. По [33], с изменениями
Для взаимодействия физического, канального и сетевого уровня модели OSI используются функции передачи/приема потока бит, формирования канального фрейма и определения пути для передачи данных соответственно. Когда говорят о сетевом уровне модели OSI, подразумевается передача данных через протокол множественного доступа (MAC – Media Access Control) [34], протокол передачи данных об ошибках (ICMP - Internet Control Message Protocol) [35] и маршрутизаторный протокол (IP – Internet Protocol) [36]. Исторически, с появлением компьютерной сети, средства анализа трафика позволяли эффективно фильтровать входящий трафик на низших уровнях модели OSI за счет анализа заголовка пакетов [40]. Поверхностный анализ пакетов не требует высоких требований к вычислительным ресурсам системы, поэтому данная технология получила широкое распространение во множестве сетевых устройств и маршрутизаторах [37]. Данный подход ограничен лишь анализом уровнем L2-L3 модели OSI.
На средних уровнях модели OSI (транспортном и сеансовом) решается вопрос о целостности данных внутри пакета. Для этого могут выполняться следующие действия:
восстановление данных между передающим и принимающим узлами;
обнаружение и исправление ошибок передачи данных;
при необходимости, устранение дублирования пакетов и восполнение недостающих пакетов.
Основным видом данных на этом уровне являются сегменты и датаграммы [38, 39]. На данном уровне в зависимости от требуемой надежности передачи данных протоколы сети делятся на передачу датаграммы, то есть целиком (протокол UDP- User Datagram Protocol), либо сегментальный, который позволяет избежать потерю такого пакета (протокол TCP – Transmission Control Protocol). Подходы анализа трафика на сетевом и транспортном уровнях, основанные на среднем по грубине анализе пакетов, строятся на статистическом анализе данных [41, 42]. В отличии от SPI, в котором используются списки контроля доступа (ACL – Access Control List) [43], используются листы разбора (parse list) [44], что позволяет не привязываться к конечным IP адресам, а рассматривать формат данных входящих пакетов. Данное решение применено во многих сетевых устройствах и программных продуктах 𝐶ℎ𝑒𝑐𝑘𝑝𝑜𝑖𝑛𝑡©, Cisco, Symantec™ и
𝑀𝑐𝐴𝑓𝑒𝑒™. В то же время применение данной технологии имеет существенный
недостаток: с увеличением ширины канала данные методы требуют отдельного «шлюза» для каждой команды и протокола, что сильно ограничивает его применение на высокоскоростных интерфейсах.
Синхронизация сеансовых соединений между описывается на высших уровнях модели OSI. После успешного установления сеанса связи (сеансовый уровень), на представительском уровне происходит конвертация данных для их использования в различных приложениях, либо шифрование данных для защищенной передачи. Самый верхний уровень – уровень приложений или прикладной уровень. Взаимодействие пользовательских процессов связано с использованием сетевых служб и управлением данными. Единицей информацией на верхних уровнях является сообщение, а протоколы передачи
– это протокол передачи данных файлов (FTP – File Transfer Protocol) [45], протокол передачи данных (HTTP – HyperText Transfer Protocol) [46]. На верхних уровнях модели OSI (L5-L7) используются подходы, основанные на глубоком анализе трафика (DPI) и относящиеся к классу высокоскоростных решений. Эти решения, ставшие возможными благодаря вычислительной способности современных процессоров, позволяют использовать подход DPI для более точного и быстрого анализа сетевого трафика на предмет нелегитимного поведения. Технология DPI на данный момент является общепринятым стандартом для сетевой безопасности [47].
Do'stlaringiz bilan baham: |