Диссертация (Методы прогнозирования распространения и защиты от информационных угроз в социальных сетях на основе случайных ветвящихся процессов), страница 13
Описание файла
Файл "Диссертация" внутри архива находится в папке "Методы прогнозирования распространения и защиты от информационных угроз в социальных сетях на основе случайных ветвящихся процессов". PDF-файл из архива "Методы прогнозирования распространения и защиты от информационных угроз в социальных сетях на основе случайных ветвящихся процессов", который расположен в категории "". Всё это находится в предмете "технические науки" из Аспирантура и докторантура, которые можно найти в файловом архиве СПбПУ Петра Великого. Не смотря на прямую связь этого архива с СПбПУ Петра Великого, его также можно найти и в других разделах. , а ещё этот архив представляет собой кандидатскую диссертацию, поэтому ещё представлен в разделе всех диссертаций на соискание учёной степени кандидата технических наук.
Просмотр PDF-файла онлайн
Текст 13 страницы из PDF
Затем захватывается весь трафик (попринципу работы – как сниффер), части дампа разделяются и сохраняются насервер или кластер серверов. Это позволяет устройству мониторинга получать весьпроходящий через коммутатор трафик. В режиме реального времени изпоступающего траффика, из отдельных пакетов, собирается TCP-сессия, далее изэтих TCP-сессий собираются файлы, затем следует контекстный анализ (поискдеструктивных данных, и т.д.). В данном случае вопросы шифрования траффика нерассматривается (только информация, передаваемая в открытом доступе).ВнешняясетьМежсетевойкоммутаторСоциальнаясетьСерверРисунок 43 – Подключение программного комплекса102На основе математического моделирования, полученных вероятностныххарактеристик распространения деструктивных данных в социальных сетях могутбыть выработаны рекомендации для выбора места установки данной системы.Назначение комплекса:• Скрытый мониторинг, обработка и архивирование передаваемой поконтролируемому каналу информации на всех уровнях стека TCP/IP (в томчисле и на прикладном уровне);• Выявление фактов нецелевого использования каналов межсетевого обмена,работы с запрещёнными узлами сети, прокси-серверами, портами и т.п.;• Выявление фактов передачи запрещённой и конфиденциальной информации,компьютерных вирусов;• Вскрытие слабых мест систем сетевой защиты.Цель применения комплекса:Повышение безопасности автоматизированных информационных систем наоснове оперативного контроля сетевого трафикаЦель достигается за счет решения следующих задач:• контроль сетевой активности различных узлов;• комплексный мониторинг передаваемых по сети данных на сетевом,транспортном и прикладном уровнях;o выявление в сетевом трафике файлов определённого типа (документы,архивы, изображения и т.п.);o хранение выявленных файлов с сортировкой по типу (по структурефайла), дате, времени, источнике и получателе;• сбор статистических данных о передаваемой информации и передача их вразличные центры сбора информации и мониторинга;• анализ извлечённых файлов на наличие в них тел компьютерных вирусов(опционально);• автоматический контекстный поиск в файлах, содержащих текстовуюинформацию;103• оперативный поиск и просмотр файлов, передаваемых с помощью различныхприкладных протоколов.Области применения комплекса:• центры мониторинга вычислительных сетей различных масштабов;• центры (службы) информационной безопасности корпоративных сетей;• центры мониторинга межсетевой информации;• центры выявления инсайдерской деятельности и нецелевого использованияканалов связи;• центры защиты корпоративных сетей от внешних вторжений и действиякомпьютерных вирусов.Результаты применения комплекса:• Контроль высылаемой из сети и принимаемой сетью информации, доступа копределенным информационным ресурсам.• Выявление каналов утечки конфиденциальной информации.• Выявление источников и получателей файлов, зараженных компьютернымивирусами.• Снижение нагрузки на контролируемый канал за счет блокированияисточников нецелевой информации.• Выявление фактов нецелевого использования сетевых ресурсов.• Повышение производительности труда сотрудников.Основные задачи, решаемые комплексом:1.
Перехват сетевого трафика, передаваемого по контролируемому каналу,через Т-образное подключение.2. Сборка (восстановление из сетевого потока) передаваемой информации:файлов, сообщений. После захвата проходящей по контролируемому каналуинформации, комплекс производит сложную процедуру восстановленияданных, результатом работы которой являются файлы, передаваемые илиполучаемые компьютером контролируемой сети. При этом каждый файл104сопровождается подробной информацией о его перемещении, в которуювходят: время начала и окончания сессии передачи, тип используемогоприкладного протокола, IP-адреса и порты источника и получателя данных,для почтовых протоколов – e-mail-адреса получателя и отправителя, имяисходного файла на компьютере-источнике информации (рисунок 44).Рисунок 44 – Скриншот программного обеспечения комплекса3.
Определение типов (расширений) наиболее часто используемых файлов.После получения исходного файла данных, программное обеспечениекомплекса производит процедуру распознавания типа (или расширения)файла. Анализ производится по фактическому содержимому файлов, т.е. посигнатурам, форматам заголовкам и т.п. Основные типы распознаваемыхфайлов:• gif, bmp, tif, psd, png, jpg, pcx;• mid, mp3;• mov, swf, rm, mpg, avi, mds, wmv;• rar, cab, zip, gz, arj;• exe, mdb, mdf, reg;105• html, xml, css, js;• url, reg, key, sh;• pdf, rtf, hlp, chm, doc, xls, docx, xlsx, ppt, vsd и другие.4. Отбор, сортировка и хранение определенных типов передаваемых файловдля их дальнейшего анализа, в том числе контекстного поиска информации.Программное обеспечение комплекса позволяет производить отбор заданныхтипов файлов и их распределение по тематическим каталогам:• audio (звуковые файлы);• video (видеофайлы);• arc (архивы);• image (изображения);• doc (документы).Кроме типов файлов, в качестве критерия отбора используется размер файла,что позволит избежать чрезмерной избыточности информации.
Внутриперечисленных выше каталогов автоматически создаются папки вида <Год>–<Месяц>–<День>, что повышает наглядность и скорость поиска информации(рисунок 45).Рисунок 45 – Скриншот программного обеспечения комплекса5. Отбор, сортировка и хранение всей информации, передаваемой поопределенным портам. Кроме отбора и сортировки файлов заданных типов иразмера, программное обеспечение комплекса также позволяет производитьотбор, сортировку и хранение сессий по заданным номерам портов, вчастности - 445, 23, 5222 и др.
Указанные сессии сохраняются в отдельных106каталогах, внутри которых также производится упорядочивание по датепередаваемой информации (рисунок 46).Рисунок 46 – Скриншот программного обеспечения комплекса6. Отбор и хранение запросов на получение информации через http-соединения.Программное обеспечение комплекса позволяет производить учет всехзапросов на получение информации, выполненных пользователями попротоколу HTTP с помощью метода GET (рисунок 47). С помощью данногосредства возможно выявить:• факты нецелевого использование сетевых средств;• попытки обращений на запрещенные внешние сетевые ресурсы;• источники поступающего в сеть программного обеспечения и т.д.Рисунок 47 – Скриншот программного обеспечения комплекса7. Отбор и хранение информации, передаваемой от клиентов на удаленныесервера через http-соединения. Программное обеспечение комплексапозволяет производить учет сессий передачи данных от компьютеровпользователей на удаленные сервера, выполненные с помощью протоколаHTTP (метод POST) (рисунки 48, 49).
Данное средство позволяет выявить:107• факты пересылки данных на публичные почтовые сервера попротоколу http, например, mail.ru, yandex.ru и т.п.;• факты использования анонимных http-прокси-серверов для доступа назапрещенные ресурсы;• идентифицирующуюиаутентифицирующуюинформациюпользователей.Рисунок 48 – Фрагмент http-сессии – отправки файла через сайт mail.ruРисунок 49 – Фрагмент http-сессии – доступа на сайт vkontakte.ru с передачейаутентифицирующей информации через анонимный прокси-сервер bitsubmit.comв обход межсетевых экранов, настроенных на фильтрацию трафика с сайтаvkontakte.ru1088.
Отбор, сортировка и хранение всех входящих (РОР3) и исходящих (SMTP,MS Exchange) почтовых сессий. Программное обеспечение комплексапозволяет сохранять копии всех проходящих через наблюдаемый каналпочтовых сессий, выполненных по почтовым протоколам РОР3 И SMTP.Данное средство позволяет вести аудит и дополнительную обработкупочтовых сообщений поступающих и отправляемых пользователями сети.Сессии сортируются в отдельные каталоги по протоколам (POP3 и SMTP), авнутри этих каталогов – по дате.
Имя файла сессии формируется в формате<IPисточника>.<ПортИсточника>-<IPполучателя>.<ПортИсточника>(рисунок 50).Рисунок 50 – Скриншот программного обеспечения комплекса9. Антивирусная проверка передаваемых по наблюдаемому каналу файлов сданными. Программное обеспечение комплекса позволяет производитьантивирусную проверку файлов, выделенных из HTTP, FTP, SMTP и РОР3 –сессий с помощью антивирусного средства (например Dr.Web). Приобнаружении вируса в передаваемом файле производится соответствующаязапись в лог-файл и специальную базу данных вирусных заражений.
Вотдельном каталоге по каждому выявленному факту прохождения вирусачерез контролируемый канал производится запись трех файлов:• файл, в теле которого обнаружен вирус;• лог-файл с информацией о прохождении файла по контролируемомуканалу (рисунок 51);• лог-файл антивируса Dr.Web (рисунок 52).109Рисунок 51 – Скриншот программного обеспечения комплексаРисунок 52 – Скриншот программного обеспечения комплекса10.Локальное и удаленное управление работой комплекса.
Управлениекомплексом может осуществляться как локально, так и удаленно. Наиболеерекомендуемый способ управления комплексом – через защищенныйпротокол SSH. При этом запуск, останов и изменение конфигурационногофайла комплекса может производиться только администратором системы.Пользователям доступен только просмотр лог-файлов работы комплекса ипросмотри файлового хранилища. В состав комплекса включен специальныйпрограммный модуль, который поддерживает работоспособность основногопрограммногообеспечениявавтоматическомрежиме,осуществляяпериодическую проверку процессов в памяти ЭВМ. При обнаруженииаварийного завершения работы ПО комплекса этот модуль производит егоповторный запуск.11.Локальное и удаленное наблюдение за результатами работы комплекса.Наблюдение за работой комплекса может производится как локально, так иудаленно. Локальное наблюдение может производится с помощьювстроенных средств операционной системы – файловых менеджеров,просмотрщиков текстовых файлов, просмотрщиков рисунков, медиапроигрывателей и т.п.
Удаленное наблюдение за результатами работыкомплекса может производиться:• в консольном режиме – по протоколу SSH – для просмотра текстовыхфайлов, лог-файлов и т.п.;110• по протоколу FTP с последующей закачкой интересуемых файлов налокальный диск пользователя (администратора) для дальнейшегоанализа и обработки;• по протоколу HTTP – для просмотра статистической информации орезультатах работы антивирусного средства, просмотра архиваэлектронных и текстовых сообщений, изображений, мультимедийныхфайлов, поиска по адресной и контекстной информации.12.Визуализация оперативной и статистической информации о вируснойактивности.
Модуль антивирусной проверки комплекса снабжен базойданных, в которую заносятся сведения о прохождении вирусом черезконтролируемый канал, а также специальной системой визуализациисодержимого этой базы данных, пример которой показан на рисунке 53.Рисунок 54 – Скриншот программного обеспечения комплекса13.Оперативныйпросмотрпередаваемыхпользовательскихданных:изображений, мультимедийной информации, сообщений электронной почтыс возможностью фильтрации (рисунок 55). Для контроля передаваемых посети данных на прикладном уровне, в состав программного обеспечениякомплекса входит web-консоль, позволяющая производить просмотр файлов,передаваемых пользователями: изображений, мультимедийных файлов,сообщений электронной почты.
