Современные информационные технологии /
2. Вычислительная техника и программирование
Асп. Большев А.К.
Асп. Лавров А.А.
К.т.н. Яновский В.В.
Санкт-Петербургский
государственный Электротехнический университет «ЛЭТИ» им. В.И. Ульянова
(Ленина), Россия
Идентификация ОС удаленного сетевого
узла на основе комплексного анализ характеристик стека TCP/IP
В работе предлагается метод идентификации версии
системного ПО удаленного сетевого узла, основанный на комплексном анализе
характеристик стека TCP/IP целевой системы,
включающих временные и функциональные характеристики сетевого взаимодействия по
протоколу TCP. Представлены результаты практического исследования
эффективности предлагаемого метода.
Методы идентификации версии системного ПО
(операционной системы) удаленных сетевых узлов (методы IOS) находят применение в
системах обеспечения сетевой информационной безопасности и сетевого мониторинга
(в системах выявления уязвимостей, сетевых вторжений, системах автоматизированного
сбора информации о конфигурации сети и др.) и основаны на анализе различий в
реализациях стека TCP/IP операционных систем различных версий [1].
Наиболее широко распространенный на сегодняшний
день метод IOS – анализ функциональных характеристик TCP-соединения и
особенностей реакции целевой системы на некорректно сформированные пакеты.
Данный метод используется, в частности, в сетевом сканере NMap [2]. Недостаток
метода – использование некорректно сформированных пакетов, что создает в
сети аномальный трафик.
В работе предлагается метод IOS, основанный на
комплексном анализе функциональных и временных характеристик и представляющий
собой комбинацию классического IOS-метода – метода NMap (прототипа) и временных
алгоритмов IOS, основанных на анализе значений RTO [3, 4]. Метод свободен от
недостатка метода NMap.
В рамках предлагаемого метода предположение о
версии ОС удаленного узла формулируется по результатам анализа следующих
характеристик: функциональных (набор опций, размер окна, значение Windows Scale)
и временных (вектора значений RTO для ситуаций потери пакетов при установлении
соединения и передаче данных).
Схема функционирования предлагаемого метода
представлена на рис. 1.
Блок сетевого взаимодействия (БСВ) инициирует
сетевое взаимодействие с анализируемым узлом (АУ) и анализирует поступающие от
АУ пакеты. Блок предварительной обработки данных структурирует данных и
передает их блоку статистической обработки (БСО), реализующему метод опорных
векторов (МОВ). Использование МОВ обусловлено разнородностью анализируемых
данных. БСО анализирует данные и
формирует оценки вероятностей соответствия версии ОС АУ той или иной версии ОС
с известной сигнатурой.
Возможные варианты набора анализируемых
характеристик представлены в табл. 1.
Таблица 1. Варианты набора анализируемых
характеристик комплексного метода IOS
|
№№ |
Функциональные характеристики |
Вектор RTO для ситуации потери
пакетов при |
Вектор RTO для ситуации потери
пакетов при |
|
1 |
Да |
Нет |
Нет |
|
2 |
Нет |
Да |
Нет |
|
3 |
Нет |
Нет |
Да |
|
4 |
Нет |
Да |
Да |
|
5 |
Да |
Да |
Нет |
|
6 |
Да |
Нет |
Да |
|
7 |
Да |
Да |
Да |
Набор
№1 соответствует методу NMap, наборы 2-4
представляют собой различные комбинации временных характеристик, наборы 5-7 –
различные комбинации показателей, анализируемых в рамках предлагаемого метода.
Для исследования эффективности предлагаемого
метода разработано приложение на языке C++, использующее библиотеку WinPCAP. Исследование проведено на аппаратно-программной
базе КВС кафедры МО ЭВМ СПбГЭТУ «ЛЭТИ». В исследование участвовали более 130
рабочих станций и серверов.
Результаты исследования
эффективности использования метода для перечисленных наборов анализируемых
характеристик приведены в табл. 2 и в графическом виде на рис. 2.
Таблица 2. Результаты
исследования
комплексного метода IOS
|
Набор параметров |
Точность анализа, % |
|
1 |
71,93 |
|
2 |
38,41 |
|
3 |
55,76 |
|
4 |
69,68 |
|
5 |
56,36 |
|
6 |
83,11 |
|
7 |
77,83 |
Оценка эффективности выполнялась по критерию
точности. Под точностью понимается вероятность определения действительной
версии ОС удаленного узла.
В результате исследования установлено, что
предлагаемый метод, оперирующий набором функциональных характеристик стека
TCP/IP и временных характеристик, включающих набор значений RTO для ситуации
потери пакетов при передаче данных, обеспечивает бóльшую точность по
сравнению с прототипом. Прирост точности составляет до 10-11%, что может
служить преимуществом применения предлагаемого метода в сетевых сканерах,
системах анализа защищенности и иных средствах обеспечения информационной
безопасности и сетевого мониторинга.
Литература
1. Greg Taleck.
SYNSCAN: Towards Complete TCP/IP Fingerprinting. NFR Security, Inc., 2004.
2. Gordon Fyodor
Lyon. Nmap Network Scanning: The Official Nmap Project Guide to Net-work
Discovery and Security Scanning (Paperback). Insecure.Com LLC, 2008.
3. А. А. Лавров, В. В. Яновский.
Идентификация операционной системы удаленного хоста методами анализа временных
характеристик // Известия СПбГЭТУ «ЛЭТИ», 2011. №3, С. 34-39.
4. А. К. Большев, А. А. Лавров. Метод
идентификации ОС удаленного хоста на основе анализа временных характеристик
стека TCP/IP в задачах сетевого мониторинга // Сб. тр. 64-й науч.-техн. конф.
проф.-преп. состава СПбГЭТУ «ЛЭТИ». СПб., 2011. С. 104-110.