АНАЛИЗ  УСТРОЙСТВ  ПОИСКА  ИНФОРМАЦИИ  И  ПРЕДЛОЖЕНИЯ  ПО  УЛУЧШЕНИЮ  ФУНКЦИОНАЛЬНОСТИ

Гребенев  Сергей  Васильевич

канд.  техн.  наук,  доцент,  Академия  ФСО  России,  РФ,  г.  Орел

E-mail: 

Збиняков  Александр  Николаевич

канд.  техн.  наук,  доцент,  Академия  ФСО  России,  РФ,  г.  Орел

Константинов  Сергей  Владимирович

преподаватель,  Академия  ФСО  России,  РФ,  г.  Орел

E-mail: 

THE  ANALYSIS  OF  DEVICES  OF  INFORMATION  SEARCH  AND  SENTENCE  ON  FUNCTIONALITY  IMPROVING

Sergey  Grebenev

candidate  of  Science,  Assistant  Professor,  Academy  of  FSGS  of  the  Russian  Federation,  Russia  Orel

Alexander  Zbinyakov

candidate  of  Science,  Assistant  Professor,  Academy  of  FSGS  of  the  Russian  Federation,  Russia  Orel

Sergey  Konstantinov

teacher,  Academy  of  FSGS  of  the  Russian  Federation,  Russia  Orel

АННОТАЦИЯ

Статья  посвящена  рассмотрению  одной  из  проблем  информационной  безопасности,  существующей  в  распределенных  вычислительных  системах  —  удаленным  атакам.  Проанализированы  возможности  устройств  поиска  информации,  применяемых  для  анализа  траффика  в  распределенных  вычислительных  системах.  Сформулировано  предложение  по  расширению  возможностей  известных  устройств  поиска  информации  путем  повышения  достоверности  принятия  решения  за  счет  расширения  набора  контролируемых  характеристических  параметров.

ABSTRACT

Article  is  devoted  reviewing  of  one  of  problems  of  the  information  security  existing  in  the  distributed  computing  systems  –  to  remote  attacks.  Possibilities  of  devices  of  the  information  search  applied  to  the  analysis  of  traffic  in  the  distributed  computing  systems  are  analyzed.  The  sentence  on  the  extension  of  possibilities  of  known  devices  of  information  search  by  increase  of  reliability  of  decision-making  at  the  expense  of  the  extension  of  a  dial-up  of  controllable  characteristic  parameters  is  formulated.

Ключевые  слова:  распределенные  вычислительные  системы;  удаленные  атаки;  устройство  поиска  информации;  МАС-адрес  получателя;  МАС-адрес  отправителя;  данные;  CRC.

Keywords:  distributed  computing  systems;  remote  attacks;  information  search  device;  MAС-address  of  the  receiver;  MAC-address  of  the  sender;  data;  CRC.

В  настоящее  время,  в  связи  с  компьютеризацией  общества,  интенсивное  развитие  получили  локальные  и  глобальные  сети.  В  результате  их  проникновения  в  различные  сферы  жизнедеятельности  человека  остро  встает  вопрос  обеспечения  информационной  безопасности.  Одним  из  направлений  обеспечения  информационной  безопасности  распределенных  вычислительных  систем  (РВС),  к  которым  относятся  выше  названные  сети,  является  противостояние  сетевым  атакам.  Как  известно,  к  РВС  могут  применяться  как  локальные  атаки,  так  и  сетевые,  которые  обусловливаются  рaспределенностью  ресурсов  и  информaции  в  прострaнстве.  По  этой  причине  именно  удаленные  атаки  получают  наибольшее  распространение.  Под  удaленной  aтaкой  понимaют  «прогрaммно  осуществляемое  по  кaнaлaм  связи  информaционное  рaзрушaющее  воздействие  нa  РВС»  [1].  Целью  такой  aтaки  является  нaрушение  рaботоспособности  РВС,  так  как  сеть  не  способна  выполнять  задачи  из-за  создания  большого  числа  ложных  запросов,  что  ведет  к  резкому  снижению  коэффициента  готовности  сети.

Для  обнаружения  атак  на  РВС  применяют  специальные  устройства  обнаружения  атак.  Современные  устройства  обнаружения  атак  имеют  различные  структуры  и  функциональные  возможности.  Проведем  их  сравнительный  анализ  с  целью  определения  устройства,  наиболее  эффективно  выявляющего  попытки  преднамеренного  воздействия  на  информацию,  обрабатываемую  в  РВС.

Наиболее  простым  по  структуре  и  функциональным  возможностям  является  устройство  поиска  информации,  предложенное  в  заявке  на  изобретение  [2].  Данное  устройство  поиска  информации,  содержит  делитель  частоты,  блок  памяти,  вычитающий  счетчик,  коммутатор,  блоки  селекции,  регистр  стратегии  поиска,  формирователь  временных  интервалов  и  блок  индикации.  Устройство  предназначается  для  анализа  протоколов  передачи  и  реализует  поиск  информационных  блоков  в  массиве  данных  посредством  метода  структурного  распознавания,  но  не  учитывает  правила  установления  и  ведения  сеанса  связи.  Информация  анализируется  без  учета  возможного  наличия  большого  числа  повторяющихся  типов  блоков  данных,  что  может  являться  попыткой  преднамеренного  деструктивного  воздействия  на  информацию  (информационной  атаки)  в  РВС.

Большими  возможностями  обладает  устройство  поиска  информации,  предложенное  в  заявке  на  изобретение  [3].  Это  устройство  содержит  делитель  частоты,  два  блока  памяти,  вычитающий  счетчик,  четыре  блока  дешифрации,  четыре  счетчика,  четыре  блока  приема  адреса,  два  блока  сравнения,  два  дешифратора  и  блок  индикации.

Данное  устройство  лишено  недостатка  предыдущего,  но  имеет  свой  недостаток  —  узкую  область  применения,  поскольку  предназначено  только  для  анализа  сравнительно  небольшого  количества  параметров  проходящих  через  него  потоков,  что  ограничивает  область  его  применения  в  РВС,  в  условиях  несанкционированного  воздействия.

Еще  большими  возможностями  обладает  устройство  поиска  информации  [4],  содержащее  восемь  блоков  памяти,  десять  счетчиков,  шесть  блоков  дешифрации,  блок  «запросов»,  блок  «нагрузки»,  блоки  сканирования  «SYN»  и  «FIN»,  блок  «достоверности»,  два  блока  сравнения,  блок  совпадения,  блоки  управления  и  индикации.

Это  устройство  поиска  информации  обеспечивает  возможность  анализа  протоколов,  определения  использования  протокола  TCP,  ICMP,  получения  однозначного  решения  о  наличии  неоднократно  повторяющихся  запросов  на  создание  сколь  угодно  большого  количества  логических  каналов  связи,  сигнализации  о  проводимом  в  сети  сканировании  хостов,  выявления  случая  не  достоверности  IP  адреса  отправителя  пакета,  аномальной  величины  входящего  трафика,  случая  нарушения  правил  ведения  сеанса  связи  по  стеку  протоколов  TCP/IP,  что  необходимо  для  обеспечения  устойчивого  функционирования  РВС  в  условиях  преднамеренного  несанкционированного  воздействия  (информационных  атак).

В  результате  сравнения  устройств  поиска  информации  установлено,  что  в  основе  работы  данных  устройств  лежит  принцип  анализа  МАС-кадра,  который  включают  в  себя  следующие  поля:  управление  MAC;  МАС-адрес  получателя;  МАС-адрес  отправителя;  данные;  CRC  (циклической  проверки  четности  с  избыточностью).

Имеется  возможность  расширения  области  применения  устройств  поиска  информации  для  обнаружения  преднамеренных  воздействий  в  беспроводных  РВС. 

Для  обнаружения  атак  в  РВС  стандарта  802.11  предлагается  новое  техническое  решение  —  устройство  обнаружения  атак  (рис.  1). 

Рисунок  1.  Устройство  обнаружения  атак

Устройство  содержит  блок  определения  режима  (БОР),  блок  выделения  параметров  (БВП),  блок  хранения  и  сравнения  MAC-адресов  (БХС),  блок  контроля  состояния  соединения  (БКС),  счетчик  повторно  идущих  подряд  кадров  (СПК),  блок  распознавания  фреймов  с  запросами  на  разрыв  соединения  от  неподключенного  пользователя  (БРФ),  блок  проверки  наличия  двух  одинаковых  MAC-адресов  (БПН),  блок  нормировки  (БН),  блок  управления  и  синхронизации  (БУ),  блок  принятия  решения  (БПР).

Принцип  работы  устройства  следующий.  При  получении  с  выхода  блока  управления  БУ  разрешающих  управляющих  сигналов  производится  заполнение  ячеек  функционального  узла  (ФУ)  памяти  блока  определения  режима  БОР  блоками  данных,  поступающих  с  устройства  демодуляции.

После  завершения  записи  всех  байтов  очередного  пакета  анализируемого  протокола  ФУ  памяти  БОР  формирует  разрешающий  сигнал  на  считывание  информации  и  байты  фрейма  из  ФУ  памяти  БОР  последовательно  поступают  на  БОР  и  ФУ  памяти  БВП.  При  этом  считывается  значение  поля  «к  DS»  и  значение  поля  «от  DS»  (рис.  2).

Рисунок  2.  Поле  управления  кадром  MAC   IEEE  802.11

ФУ  дешифрации  БОР  предназначен  для  определения  в  последовательности  поступающих  данных  значений  полей  «к  DS»  и  «от  DS».  В  случае  получения  правильных  комбинаций  полей,  на  выходе  дешифратора  формируются  соответствующие  им  комбинации,  определяющие  состояния  переключателей.  В  иных  случаях,  вырабатывается  запрещающий  сигнал,  означающий  недопустимый  режим  работы.

Далее  определяется  MAC-адрес  пользователя,  переводится  в  шестнадцатеричный  вид  и  вырабатывается  разрешающий  сигнал  на  запись  полученного  результата  в  блок  ФУ  памяти.

В  блоке  хранения  и  сравнения  MAC-адресов  БХС  полученное  значение  сравнивается  с  разрешенными  значениями.  Значение  MAC-адреса  из  БВП  также  передается  для  сравнения  с  разрешенными  значениями.  При  этом  вырабатывается  сигнал  для  запуска  счетчика  БВП,  разрешающий  запись  поля  «Тип»  в  блок  дешифрации  БВП,  который  определяет  его  числовое  значение  и  передает  на  блок  контроля  состояния  соединения  БКС.  Одновременно  вырабатывается  сигнал  для  запуска  счетчика  БВП,  который  разрешает  поиск  значения  поля  «Подтип»  фрейма  и  запись  в  блок  дешифрации  БВП,  где  определяется  его  значение  и  передача  на  компаратор  БВП  и  блок  контроля  состояния  соединения  БКС.  При  этом  вырабатывается  сигнал  для  запуска  счетчика  БВП,  который  находит  значение  поля  «Повтор»  фрейма  и  выдает  управляющий  сигнал  о  разрешении  его  записи  в  блок  дешифрации  БВП,  где  числовое  значение  поля  «Повтор»  определяется  и  передается  на  счетчик  повторно  идущих  подряд  кадров.

Далее  БВП  обеспечивает  передачу  MAC  адреса  пользователя  на  блок  контроля  состояния  соединения  БКС,  сравнивает  значения  поля  «Подтип»,  с  соответствующими  комбинациями.  При  их  совпадении,  на  выходе  компаратора  появляется  сигнал  на  разрыв  соединения  от  неподключенного  пользователя  БРФ.

При  получении  на  входы  блока  хранения  и  сравнения  БХС  MAC-адресов,  они  сравниваются  с  имеющимся  списком  разрешенных  адресов.  При  несовпадении,  формируется  сигнал  на  входы  блока  нормировки  БН.

На  вход  блока  памяти  БПН  поступают  все  MAC  адреса,  подключенные  к  сети.  С  выходов  блока  памяти  БПН,  полученные  адреса  поступают  на  компаратор  БПН,  где  происходит  сравнение  между  собой  всех  адресов. 

При  получении  значений  со  всех  пяти  входов  на  блок  управления  подается  разрешающий  сигнал  о  готовности  считывания  на  блок  принятия  решения.  С  выходов  блока  нормировки  значения  подаются  на  блок  принятия  решения  БПР.

После  этого  устройство  готово  к  проведению  анализа  очередной,  поступающей  на  вход  цифровой  последовательности.

Таким  образом,  устройство  обнаружения  атак  позволяет  реализовать  новые  функциональные  возможности,  которые  обеспечивают:

·     анализ  фрейма  подуровня  MAC  стандарта  IEEE  802.11;

·     определение  режима  функционирования  сети; 

·     обнаружение  случаев  нарушения  режима  функционирования  сети;

·     выявление  случаев  аномального  увеличения  повторяющихся  пакетов;

·     обнаружение  попыток  подключения  пользователей  с  неразрешенными  MAC  адресами; 

·     обнаружение  признаков  DoS-атаки.

Эти  свойства  устройства  позволяют  повысить  достоверность  принятия  решения  о  преднамеренном  воздействии  на  РВС  на  основании  выявления  аномалий  сетевого  трафика,  что  необходимо  для  обеспечения  устойчивого  функционирования  беспроводных  сетей  в  условиях  несанкционированного  воздействия. 

Список  литературы:

1.Медведовский  И.Д.  «Атака  на  Internet».  Пер.  с  англ.  М.:  ДМК,  1999,  —  с.  120—128.

2.Патент  РФ  №  2115952,  МПК  GO6F  17/40. 

3.Патент  РФ  №  2219577,  G06F  17/40,  заявленный  24.04.2002.

4.Патент  РФ  №  2417537  от  27.04.  2011г.

5.Заявочное  описание  по  бюллетеню  №1  от  10.01.2007,  решение  о  выдаче  патента  РФ,  заявка  №  2005120896/09(023587),  от  04.07.2005.