Сбор информации о сетевом трафике и его анализ

Для того чтобы осуществить сбор данных о сетевом трафике воспользуемся программным средством WireShark. Данный продукт представляет собой сетевой сканер (сниффер пакетов). Позволяет перехватывать сетевые пакеты и предоставляет о них полную информацию. Внешний вид программного продукта представлен на рисунке 2. Стоит отметить, что этот продукт предоставляется совершенно бесплатно.

 

 

Рисунок 2 - Внешний вид программного средства

 

Чтобы приступить к сканированию выбираем тип сетевого подключения в разделе Capture и нажимаем кнопку Start. Если у пользователя возникли какие либо затруднения с использованием программного продукта он может Найти всю информацию в разделе Capture Help. Раздел Files позволит открыть уже сформированные лог файлы, содержащие результаты предыдущих сканирований. Раздел Online предоставляет информацию о продукте в сети Интернет.

Если пользователь хочет настроить параметры сканирования ему необходимо в строке управления выбрать пункт Capture > Options, где он может произвести все необходимые настройки, и затем ему останется только нажать кнопку Start. Окно данного меню представлено на рисунке 3.

 

 

Рисунок 3 - окно настройки параметров сканирования

 

Рассказывать обо всех пунктах выше представленного меню не стоит, поскольку все галочки и кнопки подписаны и назначение их интуитивно понятно.

После того как произведены все настройки можно приступать к сканированию. Остановить сканирование можно в любой момент нажав на кнопке Stop в верху экрана программы. Пример сканирования сети представлен на рисунке 4.

 

Рисунок 4 - пример сканирования сетевого трафика

 

Из рисунка видно что программа показывает очередность прихода пакетов, время, IP-адреса источника и приемника пакетов тип протокола, его длину и сопроводительную информацию. Так же в окне ниже расположена более подробная информация о каждом пакете. И в самом нижнем окне показано содержимое каждого пакета. Стоит отметить что при желании пользователь может настраивать расположение и само наличие этих окон, а также менять отображение содержимого в этих окнах по своему усмотрению.

Для данной работы было произведено два сканирования. Первый раз сканировалась обычная деятельность пользователя в сети. Полученные данные по сетевому трафику стали интерпретироваться, как обычная деятельность пользователя в сети.

Для получения аномального сетевого трафика был поставлен на скачивание файл большого объема. Это позволило сымитировать подобие DOS атаки. Для сканирования был выбран интервал времени в 260 секунд (он может быть любым, все зависит от количества нужных для обработки данных).

Для наглядности были построены графики нормального и аномального сетевого трафика. Для построения был использован стандартный инструмент Wire Shark - IO Graphs.

Графики нормального и аномального сетевого трафика представлены на рисунках 5 и 6 соответственно.

 

 

 

Рисунок 5 - график нормального сетевого трафика

 

Рисунок 6 - График аномального сетевого трафика

 

Для того чтобы провести анализ полученного нормального и аномального трафика в среде EXCEL необходимо сохранить получившиеся данные в формате, который он сможет распознать и прочесть (стандартно WireShark сохраняет данные в доступном только ему формате).

Для этого в среде WireShark необходимо произвести следующие действия:

1. Для сохранения нажать «File – Export Packet Dissections – as “CSV” file…».

2. В появившемся окне введите название файла и добавьте туда расширение rtf

3. Открыть Excel, нажать открыть файл, выбрать параметр все файлы, найти сохраненный файл и запустить его.

4. Выбрать пункт с разделителями и нажать кнопку «Далее».

5. В поле «Символом-разделителем является:» установить галочку у слова «запятая», ниже отобразится результат, будет выглядеть как размеченная таблица.

Результат данных действий представлен на рисунке 7.

 

 

Рисунок 7 - Представление данных WireShark в среде Excel

 

Поскольку функции подсчета статистики в Excel работают с выборками ограниченного объема, данные были представлены в сжатом виде: был выбран промежуток времени в 260 секунд и разбит на интервалы по 20 секунд, для каждого интервала было подсчитано количество пакетов, пришедших за данный промежуток времени. Данный шаг так же был сделан потому, что основным критерием для поиска аномальности трафика является количество пакетов.

Сжатые данные и результаты расчетов статистики в среде Excel представлены на рисунках 8 и 9 соответственно.

 

 

Рисунок 8 - Результаты расчетов статистики нормального сетевого трафика в среде Excel

 

 

Рисунок 9 - Результаты расчета статистики аномального сетевого трафика в среде Excel

 

На рисунке:

max - максимальный элемент для каждой из выборок, в среде Excel рассчитывается по формуле - МАКС(число1,число2,...);

min - минимальный элемент для каждой из выборок, в среде Excel рассчитывается по формуле - МИН(число1,число2,...);

Математическое ожидание - это результат деления суммы всех значений на их количество, в среде Excel рассчитывается по формуле - СРЗНАЧ(число1,число2,...).

Медиана - это значение, выше и ниже которого количество отличающихся значений одинаково, т. е. это центральное значение в последовательном ряду данных. Медиана не обязательно должна совпадать с конкретным значением. Совпадение происходит в случае нечетного числа значений (ответов), несовпадение – при четном их числе. В последнем случае медиана вычисляется как среднее арифметическое двух центральных значений в упорядоченном ряду, в среде Excel рассчитывается по формуле - МEДИАНА(число1,число2,...).

Размах - это интервал между максимальным и минимальным значениями признака. Определяется легко и быстро, но чувствителен к случайностям, особенно при малом числе данных, в среде Excel рассчитывается по формуле - МАКС-МИН.

Среднее отклонение - это среднеарифметическое разницы (по абсолютной величине) между каждым значением в выборке и ее средним, в среде Excel рассчитывается по формуле - СРОТКЛ(число1,число2,...).

Дисперсия характеризует отклонения от средней величины в данной выборке. Вычисление дисперсии позволяет избежать нулевой суммы конкретных разниц не через их абсолютные величины, а через их возведение в квадрат, в среде Excel рассчитывается по формуле - ДИСП(число1,число2,...).

Стандартное отклонение. Из-за возведения в квадрат отдельных отклонений при вычислении дисперсии полученная величина оказывается далекой от первоначальных отклонений и потому не дает о них наглядного представления. Чтобы этого избежать и получить характеристику, сопоставимую со средним отклонением, проделывают обратную математическую операцию – из дисперсии извлекают квадратный корень. Его положительное значение и принимается за меру изменчивости, именуемую среднеквадратическим, или стандартным, отклонением, в среде Excel рассчитывается по формуле - СТАНДОТКЛОН(число1,число2,...).

Мода - это значение, наиболее часто встречающееся в выборке, т. е. значение с наибольшей частотой, в среде Excel рассчитывается по формуле - МОДА(число1,число2,...). Если все значения в группе встречаются одинаково часто, то считается, что моды нет. Поэтому в работе мода не вычисляется, поскольку количество элементов выборки небольшое и они встречаются одинаково часто.

Параметры HTTP, TCP и UDP показывают какое количество пакетов соответствующих типов поступило в систему пользователя, в среде Excel рассчитывается по формуле - СЧЁТЕСЛИ(поле;критерий).

Так же был рассчитан коэффициент парной корреляции (рисунок10) для аномального и нормального сетевого трафика. Данная величина используется для определения наличия взаимосвязи между двумя свойствами и в среде Excel рассчитывается по формуле - КОРЕЛ(массив1,массив2).

 

Рисунок 10 - Результат расчета коэффициента парной корреляции для нормального и аномального сетевого трафика в среде Excel.

 

Для того чтобы проанализировать результаты расчетов по полученным данным была построена таблица 2.

 

 

Таблица 2 - Статистические характеристики нормального и аномального

сетевого трафика

Статистические характеристики	Нормальный сетевой трафик	Аномальный сетевой трафик
Максимальное количество пакетов
Минимальное количество пакетов
Выборочное среднее (Математическое ожидание)
Медиана
Мода	-	-
Размах
Среднее отклонение
Дисперсия
Стандартное отклонение
Количество HTTP пакетов
Количество TCP пакетов
Количество UDP пакетов
Коэффициент корреляции	0,079702596

 

В таблице значения были округлены(в меньшую сторону), поскольку сетевой пакет неделим.

Как видно из таблицы, можно сделать вывод о том, что:

1. для смоделированного аномального сетевого трафика максимальное количество пакетов за единицу времени в два раза выше по сравнению с нормальным сетевым трафиком;

2. минимальное количество пакетов для обоих типов трафика расходятся в небольшом диапазоне, поэтому учитывать этот параметр не следует;

3. математическое ожидание для аномального сетевого трафика в два раза выше по сравнению с нормальным сетевым трафиком;

4. значение медианы в данном эксперименте для обоих трафиков примерно одинаковое, следовательно этот параметр учитываться не будет;

5. Среднее отклонение для аномального сетевого трафика практически в два раза выше, чем для нормального сетевого трафика;

6. Стандартное отклонение для аномального сетевого трафика также в два раза выше чем для нормального трафика.

7. Значение дисперсии в данном эксперименте можно не учитывать, поскольку данная величина вкладывается в значение стандартного отклонения.

8. Величину размаха для данного эксперимента можно не учитывать поскольку, было сказано что значение минимального количества пакетов учитываться не будет, а размах напрямую зависит от минимального количества пакетов.

9. экспериментом было показано, что IP-адреса источника и приемника для нормального и аномального сетевого трафика сходятся, поэтому данный параметр учитываться не будет.

10. Такие параметры как количество HTTP, TCP, UDP пакетов наглядно показывают, что в сети произошла несанкционированная передача данных, поскольку количество пакетов резко возросло.

11. Величина коэффициента корреляции указывает на то, взаимосвязи между двумя типами трафика нет, и это доказывает то, что один из типов сетевого трафика является аномальным.

 

Заключение

 

В ходе преддипломной практики были выполнены следующие задачи:

- была описана структура предприятия;

- были определены основные задачи, решаемые на предприятии.

- была обоснована актуальность разрабатываемой методики;

- дана характеристика аномального состояния для автоматизированный системы и аномального сетевого трафика, приведена классификация аномалий;

- проведен обзор существующих методов регистрации сетевого трафика;

- проведен обзор средств анализа сетевого трафика;

- собраны экспериментальные данные необходимые для выполнения выпускной квалификационной работы.

В результате прохождения преддипломной практики была поставлены:

Тема ВКР: Разработка методики анализа аномальности сетевого трафика на основе статистической обработки экспериментальных данных.

Цель ВКР: Повышение уровня защищенности сети за счет анализа аномального состояния сетевого трафика.

Задачи ВКР:

1. Обосновать актуальность разрабатываемой методики.

2. Провести обзор современных методов регистрации и анализа сетевого трафика.

3. Разработать классификацию известных сетевых аномалий.

4. Разработать классификацию современных методов обработки данных.

5. Определить требования к разрабатываемой методике.

6. Построить модель и алгоритм метода.

7. Построить модель выбора аппаратных и программных средств разрабатываемой методики.

8. Разработать руководство пользователя и персонала для работы с методикой.

9. Разработать меры безопасности и жизнедеятельности при работе с разрабатываемой методикой

10. Оценить экономические показатели проекта.