Міністерство освіти і науки України
Національний університет «Львівська політехніка»
Кафедра автоматизовані системи управління
/
Розрахункова робота
на тему: «Розробка антиботової системи»
з дисципліни: Системний аналіз
Зміст
Вступ…..……………………………………………………………………………....…3ст.
1. Актуальність теми………………………………………………………….………...9ст.
2. Мета і завдання дослідження, плановані результати…………………………….10 ст.
3. Огляд існуючих систем управління даним класом об'єктів. Класифікація систем управління…………………………………………………………..…………………..11ст.
4. Моделювання системи управління автоматичним розпізнаванням реального користувача і комп'ютерної програми………………………………………………..18ст.
Висновки……………………………………………………………………………..…21ст.
Використана література…………………………………………………………..……22ст.
Вступ
Ботнет являє собою цілу армію заражених вірусом комп'ютерів, що знаходяться під віддаленим контролем зловмисника. Широке поширення технологій широкосмугового доступу призвело до значного розширення можливостей ботнетів по запуску атак типу відмова в обслуговуванні, зараженню мільйонів комп'ютерів шпигунськими програмами та іншим шкідливим кодом, розкрадання конфіденційних даних, широкомасштабної розсилці спаму, накручування кліків, шантажу і здирництва. На сьогоднішній день ботнети є основною загрозою безпеці в Інтернеті. Атаку з використанням ботнету легко замовити, і хакери з небувалою швидкістю знаходять і використовують нові уразливості. Як правило, один ботнет складається з десятків тисяч комп'ютерів. Ботнети складно виявляти, оскільки їх топологія динамічна за своєю природою, що дозволяє обходити найпоширеніші засоби захисту. Підрозділам забезпечення інформаційної безпеки необхідно вживати заходів щодо запобігання зараження корпоративних комп'ютерів і захисту корпоративних ресурсів від атак з використанням ботнетів.
Бот-мережа (англ. ботнет від робота та мережі) - це комп'ютерна мережа, що складається з деякої кількості хостів, з запущеними ботами - автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, таємно встановлюється на комп'ютері жертви і дозволяє зловмиснику виконувати якісь дії з використанням ресурсів зараженого комп'ютера. Зазвичай використовуються для розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні .
Бот-мережа є одним з прекрасних варіантів кіберзброї з великими обчислювальними можливостями, а також є чудовим способом анонімно заробити гроші. Організатор даної мережі може вести керування зараженими комп'ютерами в мережі з будь-якої точки планети, при цьому фактично не ризикуючи бути виявленим. Власники своїх комп'ютерів часто не підозрюють про те, що вони заражені і використовуються зловмисниками, знаходяться під контролем третіх осіб. Такі зомбі-машини входять в багатомільйонні бот-мережі. Найпростіша структура ботнету представлена на малюнку 1.
/
Рисунок 1 - Проста структура бот-мережі
Ботнет може використовуватися для найрізноманітніших цілей: від звичайної розсилки спаму до атак на державні мережі. Коротко розглянемо варіанти використання бот-мереж:
Розсилка спаму. За підрахунками експертів приблизно 80% спаму розсилається саме за допомогою бот-мереж. Середньостатистичний спамер заробляє приблизно 50-100 тисяч доларів на рік на таких мережах. Бот-мережі, призначені для розсилки спаму, так само можуть збирати адреси електронної пошти на заражених машинах.
Кібершантаж. Один з найбільш широко застосовуваних способів використання ботнету - проведення широкомасштабних DDoS-атак (від англ Distributed Denial of Service – розподіленя відмова в обслуговуванні, розподілена атака типу відмова в обслуговуванні.). У ході такої атаки з зомбі-комп'ютерів на сервер надсилається великий потік помилкових запитів до тих пір, поки сервер не буде перевантажений і стане не доступний користувачам, після чого власники бот-мережі вимагають викуп за зупинку атаки на сервер. Так як вдале ведення сучасного бізнесу не можливо без роботи в інтернеті, власники сайту швидше погодяться виплатити викуп, ніж звернуться до правоохоронних органів.
Анонімний доступ в Мережу. Даний варіант використання бот-мережі дозволяє зловмисникам від імені заражених комп'ютерів здійснювати злом сайтів, крадіжку грошей з банківських рахунків і т.д.
Продаж і оренда бот-мереж. За допомогою такого варіанту власники бот-мереж також нелегально можуть заробляти гроші.
Фішинг (англ. фішинг, від риболовлі - рибна ловля, вивуджування - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів). Бот-мережа дозволяє швидко змінювати адресу фішингової сторінки використовуючи заражені машини в якості проксі-серверів, і при цьому приховувати реальну адресу сторінки.
Крадіжка конфіденційних даних. Даний вид використання бот-мережі дозволяє красти всілякі дані користувачів, які потім перепродаються або використовуються для масового зараження веб-сторінок з метою розширення бот-мережі.
Сьогоднішня класифікація ботнетів дуже проста. По суті, в її основу покладено лише два важливих параметри - архітектура ботнетів і протоколи, використовувані для їх управління. Оскільки найважливішим його параметром є архітектура, розглянемо цей аспект докладніше.
Архітектуру ботнетів зазвичай поділяють на два основних типи - з централізованою і з децентралізованою топологією. Іноді додають ще один, змішаний тип, який об'єднує в собі риси двох перших, проте нічого принципово нового в ньому немає. Щодо використовуваного протоколу розрізняють IRC-орієнтовані, IM-орієнтовані, Веб-орієнтовані та багато інших.
Класифікація ботнетів, заснована на архітектурі ботнетів і протоколів, що використовуються для управління ботами:
Централізована топологія (єдиний центр управління, С & C - Command & Control Centre). Всі зомбікомп'ютери під'єднуються строго до одного головного вузла. Центр управління стежить за станом підключених ботів, накопичуєдані, що збираються ними і видає команди, а також постійно очікує підключення нових ботів, реєструючи їх у своїй базі. Для управління мережею господареві необхідний доступ до C & C, звідки видно всі підключення комп'ютери-боти. Такий тип зомбімереж є на сьогодні найпоширенішим, оскільки їх легше створювати і ними зручніше ефективно керувати. Структура централізованого ботнету розглянута на малюнку 2. Ліквідація вузла C & C означає блокування всього ботнету, а для викрадення досить перехопити управління центром.
Децентралізована топологія (P2P-ботнети). Тут боти з'єднуються не з єдиним центром управління, а з кількома сусідніми, також зараженими машинами за відомим принципом рівний-рівному, тобто точка-точка. Структура децентралізованого ботнету розглянута на малюнку 3. Ліквідувати або викрасти таку мережу набагато важче, оскільки господареві для управління всім ботнетом достатньо мати доступ хоча б до однієї з машин зомбісеті. З іншого боку, керувати P2P-ботнетом не так зручно, як мережею з C & C.
/
Рисунок 2 - Централізована топологія бот-мережі
/
Рисунок 3 - Децентралізована топологія бот-мережі
Класифікація ботнетів щодо використовуваних мережевих протоколів:
IRC-орієнтовані. Це один з найперших видів ботнетів, де управління ботами здійснювалося на основі IRC (Internet Relay Chat). Кожен заражений комп'ютер з'єднувався з вказаним в тілі програми-бота IRC-сервером, заходив на певний канал і чекав команди від свого господаря.
IM-орієнтовані. Для передачі даних використовуються канали IM-служб (Instant Messaging), наприклад AOL, MSN, ICQ і ін Проблеми виникають при створенні окремого аккаунта IM-служби для кожного бота, тому невисока популярність у таких ботнетів. Справа в тому, що боти повинні виходити в Мережу і постійно бути присутнім онлайн. Оскільки більшість IM-служб не дозволяють входити в систему з різних комп'ютерів, використовуючи один і той же аккаунт, у кожного бота має бути свій номер IM-служби. При цьому власники IM-служб всіляко перешкоджають будь-якої автоматичної реєстрації акаунтів. У результаті господарі IM-орієнтованих ботнетів сильно обмежені у числі наявних зареєстрованих акаунтів, а значить і в числі ботів, одночасно присутніх в Мережі. Звичайно, боти можуть використовувати один і той же аккаунт, виходити в онлайн один раз на певний проміжок часу, відсилати дані на номер господаря і протягом короткого проміжку часу чекати відповіді, але це все вельми проблематично: така мережа реагує на команди дуже повільно.
Веб-орієнтовані. Бот з'єднується з певним веб-сервером, отримує з нього команди і передає у відповідь дані. Такі ботнети популярні в силу відносної легкості їх розробки, великого числа веб-серверів в Інтернеті і простоти управління через веб-інтерфейс.
Інші. Крім перерахованих вище існують і інші види ботнетів, які з'єднуються на основі свого власного протоколу, базуючись лише на стеку протоколів TCP / IP: використовують лише загальні протоколи TCP, ICMP, UDP.
1. Актуальність теми
Важливість і актуальність даної проблеми часто недооцінена, особливо з точки зору середньостатистичного необізнаного з усіма тонкощами користувача. Ботнет мережі не варто сприймати як забавки інтернет-любителів у вигляді кількох комп’ютерів, що час від часу розсилають спам. Справжній ботнет – це складна і розприділена система, яка використовується для поневолення усе більшої кількості комп’ютерів. Вона не є пасивною, а розростається все більше не по днях, а по годинах. І зазвичай, тривога оголошуться вже тоді, коли стає занадто пізно. Дуже важливим є передчасне визначення зловмисників та можливість взяти під контроль ботнет мережу, інакше проблем не уникнути ні звичайним користувачам, як ми звами, а й куди гірше – ні системі національної безпеки вцілому.
2. Мета і завдання дослідження, плановані результати
Метою дослідження є розробка системи управління автоматичного розпізнавання реального користувача і комп'ютерної програми, моделювання роботи ботнету з подальшим застосуванням алгоритмів і способів перехоплення і знищення ботів.
Основні завдання дослідження:
Аналіз характеристик об'єкта управління:
розглянути структуру об'єкта управління;
розглянути порядок функціонування об'єкта управління;
розглянути існуючий рівень організації управління.
Огляд існуючих систем управління даним класом об'єктів:
класифікація систем управління;
оцінка характеристик об'єкта управління.
Постановка завдання.
Синтез алгоритму системи.
Моделювання роботи ботнету.
Аналіз отриманих результатів.
У результаті дослідження планується отримати алгоритм роботи системи управління автоматичним розпізнаванням реального користувача і комп'ютерної програми, модель роботи системи та оцінку змодельованої роботи.
3. Огляд існуючих систем управління даним класом об'єктів. Класифікація систем управління.
Система управління автоматичним розпізнавання реального користувача і комп'ютерної програми призначена для того, щоб уникнути крадіжки, втрати інформації, втрати фінансів та іміджу фірми, а так само багатьох інших неприємних факторів. Структура даної системи представлена на малюнку 4.
Система управління автоматичного розпізнавання реального користувача і комп'ютерної програми
Малюнок 4 - Система управління автоматичного розпізнавання реального користувача і комп'ютерної програми
/
На малюнку 4 розглядається варіант атаки ботнету. При вході сигналу х в систему управління відбувається одночасний моніторинг мережі Інтернет та комп'ютера за допомогою програмного забезпечення і технічних засобів контролю, які аналізують вхідний сигнал. Виявлення атаки ботнету цими системами тягне за собою сигналізування програмними і технічними засобами, блокування ботів, а потім пошук і блокування центру ботнету.
Яскравим прикладом роботи бот-мережі є наочне уявлення DDoS-атаки на сервер (малюнок 5).
DDoS-атака на сервер
/ / /
Малюнок 5 - DDoS-атака на сервер
При DDoS-атаці на сервер боти на заражених комп'ютерах очікують команду від ляльковода. При отриманні необхідної команди про атаку певного сервера, кожен комп'ютер починає відправляти величезне число пакетів невеликого розміру. При перевантаженні сервера великим числом пакетів сервер припиняє своє функціонування на довгий час.
Можна виділити 2 основних види управління даним класом об'єктів:
Програмні засоби захисту.
Технічні засоби захисту.
До програмних засобів захисту можна віднести:
Нортон AntiBot. Захист від ботів, активний поведінковий аналіз.
Check Point. Збір даних з унікальної глобальної мережі сенсорів виявлення загроз і розповсюдження цієї інформації по шлюзах безпеки в усьому світі.
Технічні засоби захисту від бот-мереж:
Пристрої виявлення і придушення DDoS-атак Cisco Guard і Cisco Anomaly Detector. Пристрої є самими функціональними і потужними з існуючих рішень для придушення найбільш небезпечних на сьогоднішній день загроз, що виходять від ботнетів, а саме DDoS-атак.
Рішення Cisco Service Control Engine (Cisco SCE) володіє можливістю контролю трафіку абонентів широкосмугового доступу в мережу.
Пристрій IronPort S-серії має можливість моніторингу трафіку на 4 рівні зі швидкістю 1Гбіт / с, виявляючи і блокуючи спроби з'єднань з шкідливими ресурсами в мережі Інтернет.
Сервери Cisco Security Agent захищає, персональні комп'ютери і POS-термінали від найбільш поширених атак з використанням ботнету: установки ПО бота, шпигунських програм, ПО для прихованого віддаленого управління, а також цілеспрямованих і зовсім нових атак.
Системи Cisco IPS використовують алгоритми виявлення аномалій для виявлення і блокування атак з використанням ботнетів.
Cisco NetFlow - це найкраща з представлених в галузі реалізація Flow-протоколів з функцією телеметрії, що дозволяє отримувати дані про роботу маршрутизаторів під управлінням Cisco IOS ®. Завдяки своїй масштабованості і можливості надання звітів про трафік в мережах будь-яких розмірів технологія Cisco NetFlow стала стандартним методом отримання корисної інформації для управління трафіком і забезпечення безпеки в мережах як підприємств, так і операторів зв'язку.
Cisco Global Селектор сайту - це пристрій глобального розподілу навантаження, яке може також використовуватися як DNS-сервера, що надає масштабовані служби імен та адресації для мереж підприємств та операторів зв'язку.
Система управління автоматичним розпізнаванням реального користувача і комп'ютерної програми здійснює дворівневу захист: з одного боку на програмному і технічному рівні, а з іншого - моніторинг мережі Інтернет та робочих машин з метою подальшого виявлення і часткової або повної ліквідації бот-мережі.
На малюнку 6 представлений алгоритм роботи запропонованої системи.
Розглянемо більш детально даний алгоритм, починаючи з алгоритму моніторингу робочої машини (блок 2 на малюнку 6) у двох випадках:
Поява нового або зміненого файлу (малюнок 7).
Початок роботи нового процесу (і цей процес не був включений адміністратором системи в список дозволених), (малюнок 8).
Крім існуючих складових для цієї системи пропонуються алгоритми роботи допоміжних підсистем, які дозволять не тільки максимально можливо захистити роботи організації (сайту), але і виявити джерело негативного впливу, а саме:
Алгоритм для програмного забезпечення, яке буде взаємодіяти з апаратними засобами для збору та аналізу статистики вхідного трафіку.
Алгоритм для системи виявлення командного центру бот-мережі.
Виявлення бот-мереж в першу чергу грунтується на аналізі мережевого трафіку. Сукупна інформація про аномальні зміни обсягів входить і виходить трафіку дає чітку картину про спроби порушити роботу, здійснити крадіжку інформації та інших впливів на систему. Отже, алгоритм для збору та аналізу статистки вхідного трафіку є важливою складовою всієї системи.
Нейтралізація джерела негативного впливу на роботу організації так само є важливою задачею, тому що спроби порушення роботи можуть бути неодноразовими, а на боротьбу з дією бот-мережі потрібні багато ресурсів і часу. Алгоритм системи виявлення командного центру бот-мережі представлений на малюнку 8.
Даний метод виявлення грунтується на тому, що хост може знаходитися в одному з трьох станів - або легітимний IRC-клієнт, або бот, що знаходиться в стані очікування команди, або бот в стані атаки. Кожному з цих станів відповідають специфічні значення середньої довжини пакету і частоти пересилання пакетів.
Алгоритм роботи системи управління автоматичним
розпізна ванням реального користувача і комп'ютерної програми
/
Малюнок 6 - Алгоритм роботи системи управління автоматичним розпізнаванням реального користувача і комп'ютерної програми
Алгоритм моніторингу робочої машини (у разі появи нового або зміненого файлу)
/
Малюнок 7 - Алгоритм моніторингу робочої машини (у разі появи нового або зміненого файлу)
Алгоритм роботи моніторингу робочої машини (у разі появи нового процесу)
/
Рисунок 8 - Алгоритм роботи моніторингу робочої машини (у разі появи нового процесу)
Алгоритм виявлення командного центру бот-мережі
/
Рисунок 9 - Алгоритм виявлення командного центру бот-мережі
4. Моделювання системи управління автоматичним розпізнаванням реального користувача і комп'ютерної програми.
При моделюванні системи управління автоматичним розпізнаванням реального користування та комп'ютерної програми планується розробити модель роботи бот-мережі на прикладі моделі невеликої локальної мережі комп'ютерів та віддаленого сервера, на який проводитиметься атака.
Ще одною з основних проблем серверів є масова реєстрація на ньому ботів. Для цього виділять 5 основних засобів.
Captcha - додає картинку / задачку для форм. Щоб відправити заповнену форму необхідно ввести символи, зображені на картинці або вирішити арифметичну задачу.
Simple Anti-Spam - додає 2 чекбокса "Я не спамер" (видний звичайному користувачеві) і "Я спамер" (прихований). Звичайний користувач відзначити тільки 1-ий чекбокс, в той час як бот відзначить 2 чекбокса або тільки 2-ий.
Trick Question - додає поле питання до форми. Питання і відповідь на нього можна вказати в адмінці.
reCAPTCHA - модуль, який використовує сервіс recaptcha від Google для генерації картинок "капчі".
Honeypot - додає приховане поле, яке не бачить звичайний користувач, а бачать тільки боти. Якщо поле заповнюється, повідомлення ідентифікується як спам. Також є настройка по часу на створення повідомлення. Якщо повідомлення було створено швидше цього часу, повідомлення ідентифікується як спам.
Дерево цілей
/
Дерево проблем
/
UML – діаграма прецедентів
Висновки
В даній розрахунковій роботі я розробила систему управління автоматичного розпізнавання реального користувача і комп'ютерної програми, промоделювала роботу ботнету з подальшим застосуванням алгоритмів і способів перехоплення і знищення ботів.
Основні виконані завдання дослідження:
Проаналізувала характер об'єкта управління:
Розглянула структуру об'єкта управління;
Розглянула порядок функціонування об'єкта управління;
Розглянула існуючий рівень організації управління.
Огляд існуючих систем управління даним класом об'єктів:
Класифікувала системи управління;
Оцінила характеристикику об'єкта управління.
Синтезувала алгоритм системи.
Змоделювала роботу ботнету.
Проаналізувала отримані результати.
У результаті дослідження отримала алгоритм роботи системи управління автоматичним розпізнаванням реального користувача і комп'ютерної програми, модель роботи системи та оцінку змодельованої роботи. Побудувала дерево цілей та дерево проблем.
Використана література:
«Лексикон з Системного аналізу проектування комп’ютерних інформаційних технологій» (Фабрі Л.П.)
«Системний аналіз» (Катренко А.В.)
«Мистецтво вирішення проблем» (Р. Акофф)
«Ботнет – новийхарактер загроз) (Офіціальний документ Cisco)
«Інформаційна безпека: класифікація комп’ютерних загроз» (Богданова І.Ф)
«Розроблення моделі системи виявлення центрів управління ботнетами» (Погребник В.Д., Хромчак П.Т.)