Межсетевой экран на основе кластеризации данных

Полезная модель относится к области информационных технологий, в частности к информационной безопасности, а именно к межсетевым экранам, используемых для предотвращения несанкционированного доступа и обмена информацией между различными пользователями компьютерных сетей. Межсетевой экран содержит блок управления, блок разбора пакета для получения данных на канальном, сетевом и транспортном уровнях, блок кластеризации данных, блок принятий решений, блок памяти и устройство DPI. Блок управления выполнен с возможностью предварительного анализа трафика о принадлежности трафика к ранее установленному соединению. Блок кластеризации выполнен с возможностью разбиения полученных данных при разборе пакета на кластеры. Технический результат - ускорение обработки сетевого трафика при одновременной тщательной его фильтрации, что обеспечивается за счет кластеризации данных. 1 з.п. ф-лы, 1 ил.

1. Межсетевой экран, содержащий блок (1) управления, блок (2) разбора пакета для получения данных на канальном, сетевом и транспортном уровнях, блок (3) кластеризации данных, блок (4) принятий решений, блок (6) памяти, при этом блок (1) управления выполнен с возможностью предварительного анализа трафика о принадлежности трафика к ранее установленному соединению, а блок кластеризации выполнен с возможностью разбиения полученных данных при разборе пакета на кластеры.

2. Межсетевой экран по п. 1, отличающийся тем, что дополнительно содержит устройство DPI.

Полезная модель относится к области информационных технологий, в частности к информационной безопасности, а именно к межсетевым экранам, используемых для предотвращения несанкционированного доступа и обмена информацией между различными пользователями компьютерных сетей.

По мере появлений новых приложений и сетевых технологий передача данных становится все более сложной. Фильтрация сетевого трафика с сохранением высокого уровня безопасности при появлении новых сетевых атак становится все более многогранной задачей. Кроме того, по мере возрастания скорости сетевого соединения все сложнее осуществлять контроль сетевого трафика без потерь пропускной способности и производительности. Вышеизложенные проблемы требуют сетевого оборудования, построенного на новых принципах обработки сетевого трафика. Это оборудование должно обладать высокой пропускной способностью, чтобы не происходило потерь сетевых пакетов без негативного воздействия при их обработке. Известные межсетевые экраны предназначены для решения только некоторых из упомянутых проблем. Они могут работать на высоких скоростях, но при этом высока вероятность пропуска сетевой атаки, или могут тщательно анализировать сетевые пакеты при низкой производительности процесса обработки. Для решения вышеуказанных проблем предлагается межсетевой экран, в котором фильтрация сетевого трафика происходит по результатам кластеризации.

Известен межсетевой экран с фильтрацией трафика по мандатным меткам (RU 159041 U1, опубл. 27.01.2016), содержащий блок управления межсетевым экраном, осуществляющий принятие решений на основе правил фильтрации, на вход которого поступают сетевые пакеты; блок работы с мандатными метками, состоящий из блока разбора пакетов и блока принятия решения. На вход блока работы с мандатными метками с выхода блока управления межсетевым экраном поступает сетевой пакет и правила работы с сетевыми пакетами, содержащими мандатные метки, а на выход - решение на основе мандатных меток, которое передается на вход блока управления межсетевым экраном, после чего блок управления межсетевым экраном формирует окончательное решение о дальнейшем маршруте пакета.

Основным недостатком такого решения является то, что отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней. Также реализация устройств с политикой безопасности по мандатным меткам довольна сложна и требует значительных ресурсов вычислительной системы.

Известен автоматический межсетевой экран (RU 2580004 С2, опубл. 10.04.2016), представляющий собой совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, и позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов. Данный межсетевой экран содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровнях. Межсетевой экран также выполнен с возможностью пропускать весть трафик по уже установленным соединениям. Данное техническое решение выбрано в качестве прототипа.

Недостатком такого технического решения является то, что отсутствует возможность кластеризации данных, что приводит к усложнению обработки данных.

Решаемая техническая задача, при разработке устройства, заключается в создании межсетевого экрана работа которого основана на кластеризации данных.

Техническим результатом предлагаемой полезной модели является ускорение обработки сетевого трафика при одновременной тщательной его фильтрации, что обеспечивается за счет кластеризации данных.

Технический результат достигается за счет того, что межсетевой экран содержит блок управления, блок разбора пакета для получения данных на канальном, сетевом и транспортном уровнях, блок кластеризации данных, блок принятий решений, блок памяти, при этом блок управления выполнен с возможностью предварительного анализа трафика о принадлежности трафика к ранее установленному соединению, а блок кластеризации выполнен с возможностью разбиения полученных данных при разборе пакета на кластеры.

Полезная модель поясняется чертежом, на котором представлена структура межсетевого экрана.

Согласно предлагаемому техническому решению, межсетевой экран, структура которого показана на чертеже, содержит блок (1) управления, блок (2) разбора пакета, блок (3) кластеризации данных, блок (4) принятий решений. Межсетевой экран дополнительно может содержать устройство (5) DPI (deep packet inspection - глубокая фильтрация пакетов).

Блок (1) управления соединен с блоком (2) разбора пакетов и выполнен с возможностью предварительного анализа потока трафика. Если определено, что трафик принадлежит уже установленному соединению, то есть через блок (1) управления уже проходили такие пакеты с флагами SYN и АСК, то пакет пропускается без фильтрации. В некоторых случаях это особенно важно, так как, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он обычно равняется 25 секундам. Если время будет превышено, то данный трафик будет относиться к новому соединению. Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал. Блок (1) управления может быть также выполнен с возможностью буферизации данных для их временного хранения. В случае если пакет относится к новому соединению, то он направляется в блок (2) разбора пакетов. Блок (2) разбора пакета осуществляет разбор пакета со спецификацией протокола IP. В указанном блоке происходит получение данных из заголовков пакетов с канального, сетевого и транспортного уровнях. Примерами данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, а также LLC, значение сервисных флагов, значение TCP «окна».

Межсетевой экран также может дополнительно содержать устройство (5) глубокой фильтрации пакетов для получения данных прикладного уровня. Примерами таких данных могут быть протоколы удаленного доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS. Устройство (5) DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.

Блок (3) кластеризации данных служит для разбиения данных с пакетов на кластеры схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа. Блок (3) кластеризации данных может быть реализован на основе нейронных сетей.

Задачу кластеризации можно описать следующим образом. Пусть х - множество объектов (тип сетевого протокола, порт отправителя, порт получателя, название протокола и др.), у - множество номеров кластеров. Задана функция расстояния между объектами р(x, хⁱ). Имеется конечная обучающая выборка объектов X^m={x₁, … x_m}⊂Х. Требуется разбить выборку на непересекающиеся подмножества, называемые кластерами, так, чтобы каждый кластер состоял из объектов, близких по метрике р, а объекты разных кластеров существенно отличались. При этом каждому объекту x_i∈X^m приписывается номер кластера y_i.

Для группировки данных могут быть использованы любые известные алгоритмы, например, иерархический, k-средних, с-средних, послойная кластеризация, нейронная сеть Кохонена. Как уже указывалось, схожесть объектов определяется расстоянием, которое может быть определено любым известным методом, например: евклидово расстояние, квадрат евклидова расстояния, манхэттенское расстояние, расстояние Чебышева, степенное расстояние.

Таким образом, подобные входные данные группируются в кластеры, а также могут быть выделены нетипичные объекты, которые не удается присоединить ни к одному из кластеров, что помогает выявить сетевые аномалии. Количество кластеров может быть произвольным или фиксированным, при этом перечень кластеров четко не задан и определяется в процессе работы в зависимости от поступающих данных.

Блок (4) принятий решений принимает решение по кластеру на основе правил обработки сетевых пакетов. Функционирование межсетевого экрана определяется набором правил, например, IPtables или Suricata, которые могут храниться в блоке (6) памяти. Для каждого кластера могут быть установлены свои правила обработки, отличные от других кластеров, иными словами, могут быть созданы определенные цепочки, в которые будут перенаправляться кластеры для последующей обработки. Таким образом, достаточно создать одно общее правило для конкретного кластера, а затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Затем на основе принятого решения пакет может быть направлен в блок (1) управления для дальнейшей маршрутизации пакета или же отброшен. Также межсетевой экран может быть настроен так, чтобы пакеты не отбрасывались, а направлялись на повторную кластеризацию в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на чертеже не обозначен) блок (1) управления может установить, что такой пакет уже проходил и поставить отметку, чтобы при повторной кластеризации он бы попал в другой кластер. И уже только после повторной обработки были отброшены.

Ниже приведен пример осуществления полезной модели.

Когда сформированный IP-пакет попадает на межсетевой экран, блок (1) управления осуществляет предварительный анализ потока трафика. Если в результате анализа установлено, что пакет трафика принадлежит уже установленному соединению, то он пропускается без фильтрации. В ином случае он направляется в блок (2) разбора пакета. Блок (2) осуществляет разбор пакета на канальном, сетевом и транспортном уровнях для получения множества данных, характеризующих пакеты, а именно: физические адреса хостов (MAC адрес), типы сетевых протоколов (IPv4 и IPv6), IP-адреса хостов источника и назначения, типы транспортных протоколов (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, а также LLC, значение сервисных флагов, значениеТСР «окна».

Полученные данные направляются в блок (3) кластеризации. В указанном блоке подобные данные группируются в кластеры. Если межсетевой экран также дополнительно содержит устройство (5) DPI, то пакеты, поступившие на вход блока (2) разбора пакета, могут быть также перенаправлены на вход устройства (5) для разбора пакета на прикладном уровне. Таким образом, могут быть получены данные прикладного уровня, а также связанные с ними метаданные. Устройство (5) DPI осуществляет сравнение образца из базы с поступившим трафиком, в результате чего может быть определен протокол и/или приложение. Эти данные также могут быть направлены в блок (3) кластеризации, тогда блок (3) осуществляет разбиение данных полученных на канальном, сетевом, транспортном и прикладном уровнях. Далее кластеры направляются в блок (4) принятия решений. По каждому пакету принимается решение на основе правил обработки кластера, например, IPtables или Suricata, которые могут храниться в блоке (6) памяти. Как уже было указано, для каждого кластера могут быть установлены свои правила обработки. Каждый пакет из кластера проходит обработку в соответствии с правилами, на основе которых принимается решение о пропуске или блокировки пакета. Если пакет соответствует всем правилам, то он направляется в блок (1) управления для дальнейшего маршрута.