АТАКИ на сети становятся все более изощренными и частыми, поэтому администраторы по информационной безопасности не успевают отслеживать каждое вторжение, вирус или отказ в обслуживании. Для решения этой проблемы предназначены новые системы реляционного сетевого моделирования путем: они распознают события, при возникновении которых структура сетевого трафика отличается от нормы.
Реализованное с помощью программных средств реляционное сетевое моделирование обеспечивает анализ роли систем в сети, всех отношений и связей между узлами. Размещенные в сети средства сбора данных напрямую контролируют трафик. Они улавливают первоначальные пакеты из потоков, адресуемых маршрутизаторами и коммутаторами. Данные обобщаются, и система реляционного сетевого моделирования обрабатывает их для построения единых сигнатур нормального сетевого трафика, в том числе выполняет срезы по определенному времени суток или рабочим дням недели. Собирая данные прямо из сети, система моделирования точно отображает ее поведение с использованием разных точек наблюдения, таких как сервер, клиент и узел переадресации.
Данный подход к обнаружению угроз предполагает, что сетевые узлы в обычном состоянии характеризуются определенным набором сигнатур. При конкретной конфигурации сети они достаточно статичны, поскольку Web-клиенты всегда взаимодействуют с серверами как Web-клиенты и, скажем, узел A постоянно обращается к хосту B с использованием протокола HTTP, а к узлу C — с помощью протокола DNS. Другими словами, при нормальных обстоятельствах исключено, что узел C вдруг начнет играть роль сервера HTTP для узла А.
После того как система реляционного сетевого моделирования собирает данные, она строит модель, которую администраторы могут использовать для определения и реализации политик сетевой безопасности. Если в сети происходят отклонения от штатной модели взаимодействия узлов, система автоматически предупреждает администраторов об этих аномалиях.
Администраторы могут применять данные реляционного сетевого моделирования, чтобы быстро характеризовать тип вредоносного кода и ставить на карантин подходящий для распространения червя трафик. При этом нормальный деловой обмен данными не прерывается. Затем, используя внутренние межсетевые экраны, списки контроля за доступом (ACL) на маршрутизаторах и коммутаторах, а также ACL виртуальных локальных сетей, администраторы могут наложить ограничения на первоначальную конфигурацию системы, запретить обработку на узлах того или иного вида трафика.
Сделав еще один шаг вперед, администраторы смогут применять реляционную сетевую модель для защиты своих сетей еще до того, как червь или вирус поразит первый хост. Эти превентивные меры обеспечиваются благодаря четкому учету модели поведения пользователей, выработанной при создании политик безопасности.
Обнаружение аномалий с использованием реляционного моделирования обеспечивает обнаружение вирусов и червей в масштабе реального времени. С помощью реляционного сетевого моделирования администраторы могут реагировать на угрозы намного быстрее и точнее, чем в том случае, когда приходится отключать отдельные машины с устаревшими версиями антивирусного ПО, ставить на них программные «заплаты», а затем снова подключать к сети. Использование сети становятся более безопасным и эффективным, так как обнаружение вредоносного кода не приводит к остановке нормальных деловых транзакций.
Хосе Назарио (jose@arbor.net) — исследователь проблем защиты компании Arbor Networks