УДК 001(06) Телекоммуникации и новые информационные технологии… Е.Л. ДРУЖИНИН1, А.М. САМОХИН1, Ю.А. ЧЕРНЫШЕВ Московский инженерно-физический институт (государственный университет), 1ЗАО «КОНТУР Софт», Москва МЕТОДИКА АДАПТИВНОГО ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ Рассматриваются основные принципы работы методики адаптивного выявления аномальных состояний компьютерной сети. Приводятся идеи, лежащие в основе ее практической реализации в виде системы отображения и анализа данных (СОАД) для Системы Аудита Вычислительной Сети, разрабатываемой в Лаборатории Сетевых Технологий ЦНИТ МИФИ. На сегодняшний день в области управления сетями и их защиты важнейшей проблемой является обнаружение атак хакеров и сбоев в работе сетевого оборудования и программного обеспечения. Наиболее универсальным способом решения этой проблемы является выявление аномальных состояний в работе сети, то есть таких состояний, которые указывают на отклонение от «нормального» поведения сетевых устройств. Его универсальность состоит в возможности выявлять ранее неизвестные аномалии. В Лаборатории Сетевых Технологий ЦНИТ МИФИ разработана методика адаптивного выявления аномальных состояний компьютерной сети. Ее создание было основано на результатах анализа структурированных данных, характеризующих реальный сетевой трафик, циркулирующий в сети МИФИ. Сетевой трафик включал в себя следы «нормального» функционирования сетевого устройства и проявления случайных и специально эмулируемых распределенных во времени аномалий. В результате проведенных исследований были выявлены критерии, позволяющие обнаружить в сетевом трафике наличие следов распределенных во времени аномалий. Методика включает в себя модель поведения сетевого устройства, систему принятия решения о наличии аномалии и принципы создания/модификации шаблона «нормального» поведения устройства. Она реализуется в виде программного компонента САВС [1]: системы отображения и анализа данных (СОАД). Использование СОАД предполагает выполнение следующих действий: Установку САВС в сети и накопление сетевого трафика (этап обучения); ______________________________________________________________________ ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10 54 УДК 001(06) Телекоммуникации и новые информационные технологии… Построение шаблонов «нормального» поведения контролируемых сетевых устройств на основе обработки сетевого трафика, захваченного на этапе обучения; Запуск процессов анализа для выявления аномалий сетевых устройств во вновь поступающих событиях; Реагирование на сигналы о выявленных аномалиях. Работа администратора по работе с системой заключается в управлении описанным выше процессом. Наиболее важными задачами, которые должен решать администратор в процессе использования системы, являются: Контроль за созданием и модификацией шаблона; Анализ результатов работы системы по выявлению степени аномальности устройств. Визуальный анализ истории сетевых взаимодействий с целью уточнения причин возникновения аномалий. В настоящий момент реализован прототип СОАД, проходящий опытное тестирование в Лаборатории Сетевых Технологий ЦНИТ МИФИ. Список литературы 1. Дружинин Е.Л., Самохин А.М., Чернышев Ю.А. Разработка системы аудита вычислительных сетей. // Научная сессия МИФИ-2002. Сб. науч. тр. В 14 т. Т.10. С. 37-38. ______________________________________________________________________ ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10 55