В XXI веке вопрос о сетевой и компьютерной безопасности стоит как никогда остро. Поэтому для обеспечения защиты своих данных многие полагаются на системы обнаружения вторжении и системы предотвращения вторжений. Однако, классические подход многих этих систем для сбора данных, заключается в захвате всех сетевых пакетов, которые проходят через систему, чаще всего в PCAP-формате. Но существуют многие маршрутизаторы и зонды мониторинга, которые собирают потоковые данные, как правило, в формате NetFlow [1].
NetFlow и IPFIX
NetFlow был первоначально разработан компанией Cisco Systems, мировым лидером в области сетевых решений. Многие коммутаторы и маршрутизаторы Cisco способны экспортировать записи NetFlow. Есть два широко используемых версии NetFlow - версии 5 и 9. Первая из них является собственным форматом компании Cisco, а вторая была стандартизирована как открытый протокол по IETF в 2006 году.
Поток определяется как однонаправленная последовательность пакетов с некоторыми общими свойствами, которые проходят через сетевое устройство. Эти собранные потоки экспортируется на внешнее устройство, коллектор NetFlow. Сетевые потоки высоко гранулированные, например, записи потоков включают такие детали, как IP-адреса, пакеты и байты, метки, тип службы, порты приложений, входные и выходные интерфейсы, и т.д. Таким образом, коллекция потоковых данных обеспечивает агрегированный вид сетевого трафика [4].
IPFIX. Продолжение усиления IETF приводит к унификации протоколов и приложений, которые требуют потокового измерения IP трафика. RFC 3917 определяет требования для экспорта информации о потоке трафика из маршрутизаторов, промежуточных устройств (например, брандмауэры, прокси, балансировки нагрузки, NATs), или систем измерения трафика для дальнейшей обработки приложениями, расположенными на других устройствах. Следовательно, NetFlow версии 9 компании Cisco был выбран в качестве основы для IP Flow Information Export (экспорт информации о потоках IP, сокращенно IPFIX). Там нет фиксированных свойств, таких как в NetFlow версии 5. Пользователь может гибко определять свойства, используемые для распознавания потоков.
RFC 5101, опубликованный в январе 2008 года, определяет протокол IPFIX, который служит для передачи информации о движении IP-трафика по сети.RFC 5102 определяет информационную модель для протокола IPFIX. Он используется протоколом IPFIX для кодирования измеренной информации о трафике и информацию, связанную с целом процессе. Благодаря гибкости IPFIX, RFC 5103 может ввести термин Biflow, двунаправленный поток, и описать эффективный метод для экспорта Biflows информации с использованием протокола IPFIX. Двунаправленный вид сетевого трафика может быть полезным для анализа безопасности [3].
Развитие IPFIX еще не закончено. Рабочая группа IPFIX по-прежнему работает на нескольких интернет-проектах, которые будут опубликованы в качествеRFC. Самый последний RFC был выпущен в апреле 2008 года. Он обеспечивает руководящие принципы для осуществления и использования протоколаIPFIX.
Выборка пакетов выполняется (особенно маршрутизаторами), чтобы сохранить экспортеров ресурсов NetFlow. Различают два основных типа выборки:
- детерминированная – точно n пакетов из n выбирается,
- случайная - каждый пакет выбирается с вероятностью 1/n.
Постоянная n называется частотой дискретизации. Например, если она установлена на 4, и устройство принимает 100 пакетов, то 25 пакетов будет проанализировано и 75 пакетов будет отброшено для анализа. Записываются только общие поля заголовка пакета, а не вся полезная нагрузка. Выборка потока – это другой тип агрегации.
Активное и неактивное значения таймаута влияют на создание потока. Активный таймаут применяется к долговечных потоков. Если поток был неактивным некоторое время, равное таймауту неактивности или был обнаружен конец потока, статистика потока экспортируется от зонда к коллектору. Коллектор представляет собой сервер, выделенный для сбора, долгосрочного хранения и анализа статистических данных потока.
Другие технологии на основе потоков
Фирменный Cisco NetFlow или открытые IETF стандарты не являются единственными потоковыми решеними. Другой промышленный стандарт был описан в RFC 3176. sFlow – это технология для мониторинга трафика в сетях передачи данных, содержащих коммутаторы и маршрутизаторы. В частности, он определяет механизмы отбора проб, реализованные в агент sFlow для мониторинга трафика, sFlow MIB для управления sFlow агентом и формат выборочных данных используемых агентом sFlow при пересылке данных на центральный коллектор данных. sFlow поддерживается Alcatel-Lucent, D-Link,Hewlett Packard, Hitachi и NEC [2].
Другие лидеры в сетевой индустрии также развивают свои собственные потоковые решения: Juniper Networks используют JFlow и Huawei Technology собственный NetStream.
В этой статье были рассмотрены несколько методов обнаружения для анализа защищенности компьютерной сети. Определенно, это далеко не полный список известных методов, а выборка методов, имеющих широкое распространение, а также интересных методов и подходов.