В рамках проекта реализована идея автоматической генерации анализатора трафика локальной сети на основе ранее собранной статистики трафика в этой сети. Такой анализатор способен выделять из потока пакетов в сети аномальный трафик и извещать о нем администратора (либо сразу блокировать). Анализатор трафика — это набор правил iptables, описывающих трафик конкретной локальной сети.

Особенности системы

• Можно обнаруживать атаки и вирусы ранее неизвестных типов;
• Можно обнаруживать неисправности сетевого оборудования;
• Можно обнаруживать нецелевое использование ресурсов сети пользователями;
• Не нужно изучать и поддерживать в рабочем состоянии новое ПО. Netfilter/iptables известен каждому Linux/UNIX администратору, и он надежен;
• Никаких эвристик, только точный анализ: не нужно просматривать многочисленные ложные сообщения об аномалиях или настраивать параметры алгоритмов распознавания.

Подробнее

Разработана система, которая собирает статистику установки соединений в локальной сети и по ней создает правила (в формате iptables), с помощью которых можно выявить аномальный трафик. Под аномальным здесь понимается трафик, которого нет в статистике. Нормальный трафик (который есть в статистике) игнорируется. Набор таких правил и представляют собой автоматически сгенерированный анализатор трафика для данной локальной сети. Аномальный трафик записывается в системный журнал (iptables: -j LOG).

В качестве основного варианта использования такого анализатора предлагается следующая схема. С помощью управляемого коммутатора настраивается зеркалирование трафика сети на определенный физический порт. К нему подключается компьютер с операционной системой Linux (возможен вариант с развертыванием ее внутри виртуальной машины). На этом компьютере устанавливаются правила, и таким образом происходит мониторинг трафика сети. С помощью специального скрипта системный журнал периодически просматривается, и в случае появления аномалий администратор извещается о них по электронной почте. Альтернативный вариант использования: размещение сгенерированных правил iptables непосредственно на маршрутизаторе.

Еще подробнее: (doc).

По всем вопросам просьба обращаться по адресу dsavenko at gmail dot com.

Проект разрабатывается в лаборатории Parallels-НГУ при поддержке компании Parallels.