На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 3 май-июнь 2008 г.
Тема номера:
КОММЕРЧЕСКАЯ ТАЙНА И ПЕРСОНАЛЬНЫЕ ДАННЫЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ИССЛЕДОВАНИЕ МЕХАНИЗМОВ ЗАЩИТЫ ОТ СЕТЕВЫХ ЧЕРВЕЙ
НА ОСНОВЕ МЕТОДИК VIRUS THROTTLING

И. В. Котенко, д. т. н., профессор, руководитель исследовательской группы компьютерной безопасности
А. А. Чечулин, аспирант
СПИИРАН
Предыдущая статьяСледующая статья

Актуальной задачей, решение которой необходимо для защиты компьютерных сетей, является обнаружение и сдерживание эпидемий сетевых червей. В статье рассматривается подход к защите от сетевых червей, основанный на методиках Virus Throttling («регулирования/дросселирования») и модификации данных методик. Описываются особенности данного подхода и программной реализации разработанной авторами системы моделирования механизмов защиты от сетевых червей. Приводятся результаты экспериментов, полученные при исследовании применения методик Virus Throttling.

1. Введение

В настоящее время неоспоримым фактом в области сетевой безопасности является огромный ущерб, наносимый атаками сетевых червей. Существующие средства защиты не всегда оперативно справляются с эпидемиями, поэтому становится актуальной проблема создания систем защиты нового поколения, способных предотвратить или сдержать эпидемию на ранних стадиях.

В настоящее время эксперты выделяют три обобщенных взаимодополняющих класса механизмов защиты от сетевых червей:

  • предотвращение – устранение уязвимостей, которые потенциально могут быть использованы сетевыми червями (вирусами), и недопущение самого инцидента заражения;
  • лечение, начинаемое уже после того, как заражение произошло;
  • сдерживание, направленное на снижение возможностей взаимодействия между инфицированными и потенциально уязвимыми хостами.

Сдерживание позволяет замедлить скорость распространения сетевых червей и получить больше времени для применения тех или иных мер по защите сети. Методы сдерживания, в свою очередь, могут быть классифицированы следующим образом:

  • карантин, заключающийся в изоляции инфицированного хоста от других хостов в сети;
  • фильтрация контента, сводящаяся к отбрасыванию сетевых пакетов на основе сопоставления их содержимого с сигнатурами известных червей;
  • ограничение интенсивности соединений, состоящее в ограничении скорости установления хостами соединений.

Методы обнаружения и сдерживания являются основными для реа-лизации на сетевых коммутаторах (свитчах). К настоящему времени предложено несколько методик обнаружения и сдерживания сетевых червей:

  • «дросселирование/регулирование» (Virus Throttling) и их модификации;
  • использование DNS-статистики (DNS-based Rate Limiting);
  • анализ неудачных соединений (Failed Connection, FC);
  • «пороговое случайное прохождение» (Threshold Random Walk, TRW);
  • кредит доверия (Credit Based Rate Limiting) и др.

Для аппаратной реализации предлагаемых методов на свитчах первым необходимо обладать следующими свойствами:

  • в процессе работы требуется обрабатывать большие объемы трафика за непродолжительное время, поэтому методы должны быть достаточно быстрыми и простыми;
  • объем памяти, необходимый для работы методов, не должен превышать тот небольшой объем памяти, который доступен на свитче;
  • необходимо, чтобы методы обнаружения основывались на достаточно небольшом числе обращений к памяти для обеспечения обработки получаемых сетевых пакетов на высокой скорости.

Этими свойствами обладают модификации метода «регулирования/ дросселирования» (Virus Throttling). Поэтому в данной статье исследуется подход к защите от сетевых червей, основанный именно на этих методиках. Во втором разделе работы дано описание методик Virus Throttling. В третьем – рассматриваются разработанные средства моделирования методик обнаружения и сдерживания сетевых червей. Четвертый раздел посвящен описанию результатов проведенных экспериментов и проведению анализа методик Virus Throttling. В заключении дается анализ полученных результатов и указываются направления последующих исследований.

< ... >

 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100