Статистический анализ сетевого трафика

Abstract

Сообщалось, что 24 января 2003 года в свет был выпущен W32.SQLExp.Worm (позднее названный Slammer/Sapphire), удваиваю- щий количество зараженных систем каждые 8.5 секунд. Этот червь ис- пользовал уязвимость переполнения буфера в Microsoft SQL Server 2000 (включая MSDE 2000). Несмотря на то, что продукты Microsoft являются достаточно уязвимыми, скорость распространения этого червя была во- истину пугающей. В течение 10 минут он поразил 90% всех аналогичных WEB-систем. Черви такого типа прежде существовали только в теории и представляли чисто академический интерес. Для повышения эффективности обнаружения несанкционированного вторжения и различных аномалий (вирусов, хакерских атак и др.) могут быть использованы методы анализа трафика в компьютерной сети [1, 2]. Наиболее широко с этой целью используются методы и так называемые RBID-системы, основанные на правилах (от Rule-Based Intrusion Detection). Обычно RBID системы для выявления потенциальной атаки используют «сигнатуру» атаки с последующий анализом входящего тра- фика. Сигнатуры весьма разнообразны и могут определять конкретные параметры от номера порта в пакете до последовательности байт в серии пакетов. После того, как сигнатура разработана, её использование обычно довольно эффективно предотвращает нежелательную сетевую активность.