Системы фильтрации сетевого трафика по заданным критериям направление: 080800. 68 «Прикладная информатика» Магистерская программа: «Системы корпоративного управления»



Скачать 174.42 Kb.
Дата13.11.2016
Размер174.42 Kb.


М

инистерство образования и науки Российской Федерации



Федеральное государственное БЮДЖЕТНОЕ образовательное учреждение

высшего профессионального образования

«Государственный университет–учебно-научно-производственный комплекс»

На правах рукописи


АБРАМОВ ИВАН АЛЕКСАНДРОВИЧ

СИСТЕМЫ ФИЛЬТРАЦИИ СЕТЕВОГО ТРАФИКА ПО ЗАДАННЫМ КРИТЕРИЯМ

Направление: 080800.68 «Прикладная информатика»

Магистерская программа: «Системы корпоративного управления»

АВТОРЕФЕРАТ


магистерской диссертации

Орел, 2012

Работа выполнена на кафедре "Информационные системы" Федерального государственного образовательного учреждения высшего профессионального образования "Государственный университет – учебно – научно – производственный комплекс"

Научный руководитель: кандидат технических наук, доцент

Лунёв Роман Алексеевич

Официальный оппонент: кандидат технических наук, доцент

Савенков Алексей Николаевич


Защита состоится 19 июня 2012 г. в 12-00 на заседании Государственной аттестационной комиссии по адресу: 302020, г. Орел, Наугорское шоссе, 40.




ОБЩАЯ ХАРАКТИРИСТИКА РАБОТЫ

Актуальность работы. Неотъемлемой частью современного информационного общества является глобальная сеть Интернет. В настоящее время трудно представить без Интернета работу сотрудника прогрессивной фирмы или передовых методов обучения. Но бесконтрольное использование Интернета таит в себе следующие угрозы: нецелевое использование рабочего времени и уничтожение моральных норм, и без того еще не до конца сформированных, молодого поколения (порнография, насилие, экстремизм и терроризм, навязывание расовой и религиозной нетерпимости).

В настоящее время можно выделить два направления развития систем фильтрации трафика:

1) Корпоративная фильтрация трафика по заданным критериям с целью исключения нецелевого использования рабочего времени. Изучение статистики посещения Интернет-ресурсов показывает, что значительная часть пользователей (от 25-50%) сети Интернет осуществляют доступ к нему с рабочего места. При этом свыше 20% посещаемых ресурсов носит развлекательный характер и никак не связаны со служебной деятельностью пользователей (по статистическим данным компании Entensys (2010г.)). Конечно, не вполне корректно говорить о том, что точно такой же процент времени тратится в нерабочих целях, однако, очевидна связь между нецелевым использованием сети Интернет и неэффективной работой.

2) Индивидуальная фильтрация трафика по заданным критериям с целью ограничения доступа к нежелательному контенту несовершеннолетних пользователей. Бесконтрольное использование ресурсов сети негативно влияет на развитие ребенка, так как в сети интернет не существует никакой цензуры, и ребенок может легко попасть на сайты, совершенно не подходящие для его возраста. Для защиты несовершеннолетних пользователей от негативной информации, крайне важно распознавать негативные данные внутри социальных сетей и блогов, так как именно там дети проводят больше всего времени.



Объектом исследования являются процессы фильтрации Интернет-трафика в корпоративных и индивидуальных информационных средах.

В качестве предмета исследования рассматриваются методы, модели и аппаратно-программные средства фильтрации Интернет-трафика.



Цель диссертационной работы: Целью данной диссертационной работы является повышение эффективности фильтрации Интернет-трафика в корпоративных и индивидуальных информационных средах.

Для достижения поставленной цели необходимо решить следующие задачи:

1) проанализировать задачи решаемые системами фильтрации трафика, применяемых методов и средств;

2) исследовать принципы создания системы фильтрации сетевого трафика по заданным критериям и разработать модельные представления процессов фильтрации;

3) разработать структуру системы фильтрации сетевого трафика и алгоритмы фильтрации трафика и контроля;

4) реализовать опытный образец системы фильтрации сетевого трафика по заданным критериям и оценить его эффективность.



Методы и средства исследований

Для решения указанных выше задач используется анализ методов перехвата трафика в операционных системах MS Windows, с последующим определением наиболее оптимального для реализации системы фильтрации трафика по заданным критериям.

Средствами для осуществления исследований являются операционные системы MS Windows(Windows XP Professional SP3 и Windows 7 Professional), интернет-браузеры(MS Internet Explorer 8(9), Opera 11, Mozilla FireFox 5), система анонимного доступа в сеть интернет (Tor), программный продукт для визуализации операционных систем MS Windows (Oracle VirtualBox 4.1.2).

Научная новизна работы состоит в:


  • многоуровневой программно-аппаратной архитектуре системы фильтрации сетевого трафика по заданным критериям, позволяющей использовать её в корпоративных и индивидуальных целях;

  • структуре системы фильтрации сетевого трафика по заданным критериям, которая позволяет реализовать функции удаленного мониторинга и администрирования;

  • схеме обновлений, осуществляющей контроль целостности и подлинности обновлений;

  • уникальных алгоритмах фильтрации трафика.

Практическая ценность работы заключается в разработке опытного образца системы фильтрации сетевого трафика по заданным критериям, который позволяет повысить эффективность фильтрации Интернет-трафика в корпоративных и индивидуальных информационных средах.

Достоверность результатов работы системы фильтрации сетевого трафика по заданным критериям подтверждена независимой экспертной группой ИП «Маас Эдуард Владимирович» на основании проведенного тестирования в феврале 2011 г.. По результатам проведенных тестов на специально подобранных Интернет-ресурсах были получены результаты, доказывающие высокую эффективность использования, а так же незначительный уровень ложных срабатываний системы фильтрации сетевого трафика по заданным критериям (Таблица 1).

Таблица 1 – Эффективность использования системы фильтрации сетевого трафика по заданным критериям



Категория Интернет-ресурса

Количество заблокированных запрещенных ресурсов

Ложные срабатывания при фильтрации трафика

Эффективность фильтрации трафика, (%).

Процент ложных срабатываний при фильтрации трафика от общего полезного

Ненормативная лексика

241

6

96,4

0,06153

Порно и насилие

231

9

92,4

0,09230

Азартные игры

237

2

94,8

0,02051

Несетевые игры

228

4

91,2

0,04102

Он-лайн игры

224

7

89,6

0,07179

Экстремизм и терроризм, секты, суицид

157

73

62,8

0,74871

Наркотики

140

19

56

0,19487

Файлообменные сети

236

1

94,4

0,01025

Социальные сети

249

0

98,8

0

Апробация работы. Основные положения диссертационной работы докладывались на конференции V Международной научно-технической конференции «Информационные технологии в науке, образовании и производстве» (г. Орёл, 2012г.).

Структура и объем работы. Диссертация состоит из введения, трех глав, заключения и списка использованной литературы. Работа содержит 99 страниц текста, в том числе 3 таблицы и 29 рисунков.

Положения выносимые на защиту:

  1. многоуровневая программно-аппаратная архитектура системы фильтрации сетевого трафика по заданным критериям;

  2. структура системы фильтрации сетевого трафика по заданным критериям;

  3. схема обновлений с контролем целостности и подлинности обновлений;

  4. уникальные алгоритмы фильтрации трафика.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается выбор темы диссертации, ее актуальность, определены цели, задачи, объект и предмет исследования, сформулированы научная новизна и практическая значимость исследования, описана достоверность полученных результатов исследования.

Первая глава диссертации посвящена анализу задач решаемых системами фильтрации трафика, применяемых методов и средств. В этой главе выполнен анализ методов контроля Интернет-ресурсов, определен состав пользователей системы, выполнен обзор существующих аналогов системы, определены требования к системе фильтрации сетевого трафика по заданным критериям и осуществлена постановка задач исследования.

В результате анализа систем фильтрации трафика выявлено:



  • Ни одна система, представленная на рынке, не имеет функции удаленного администрирования, которая позволяет через сеть Интернет осуществлять удаленное управление и мониторинг системы фильтрации трафика в реальным времени.

  • Подавляющее большинство систем фильтрации трафика становятся бесполезными при использовании систем, обеспечивающих анонимность (например, Tor, интегрируемый в Mozilla Firefox).

  • В системах фильтрации трафика полностью отсутствует или недостаточно хорошо представлена функция «категоризации» ресурсов, что существенно снижает их эффективность и делает практически бессмысленным использование таких систем в корпоративных целях.

  • Недостаточно хорошо представлены функции контроля времени использования компьютера и Интернета, а также функции, лимитирующие время использования и контролирующие запуск приложений, что существенно снижает эффективность подобных приложений.

Определены требования к системе фильтрации сетевого трафика по заданным критериям: масштабируемость, поддержка русскоязычной фильтрации, кросбраузерность, поддержка сетей, обеспечивающих анонимность, фильтрация по URL, собственная БД URL, контентная фильтрации входящего/ исходящего трафика (включая также фильтрацию интернет пейджеров, почтового контента и поисковых запросов), фильтрация трафика по заданным критериям (черные и белые списки Интернет-ресурсов, словарь запрещенной слов, ограничения по заданным категориям, ограничения по времени использования и/или суточному лимиту), категоризация ресурсов, автоматическое обновление БД и приложения, удаленное администрирование и мониторинг, блокировка файлообменных сетей и загрузки файлов, работа компьютера и Интернета по графику (по графику и по суточному лимиту), ограничение запуска программ (по времени, по суточному лимиту, протоколирование использования).

Во второй главе определяются принципы создания системы фильтрации сетевого трафика по заданным критериям и разрабатываются модельные представления процессов фильтрации. В этой главе определяются принципы создания, осуществляется анализ и выбор методов реализации системы фильтрации сетевого трафика по заданным критериям. В процессе анализа рассматриваются наиболее популярные методы реализации перехвата трафика в операционных системах MS Windows с целью осуществления последующей его фильтрации: TDI (Transport Driver Interface), LSP (Layered Service Provider), NDIS (Network Driver Interface Specification). Результатом анализа методов реализации перехвата трафика является выявление следующих недостатков:

  • при использовании NDIS-драйвера, может возникнуть проблема утечки трафика, ввиду того, что некоторые сетевые устройства находятся не на этом сетевом уровне (например, некоторые модели модемов предоставляют сетевое соединение на более высоком уровне);

  • при использовании TDI драйвера возникает две проблемы: частичная закрытость интерфейса взаимодействия клиента с определенным драйвером транспорта и проблема несовместимости с современными операционными системами.

В результате анализа LSP технологии существенных недостатков использования выявлено не было, таким образом, использование данной технологии является наиболее оптимальным методом перехвата трафика для построения системы фильтрации сетевого трафика по заданным критериям. Строятся модельные представления функционирования, формирования отчёта и интеграции системы фильтрации сетевого трафика по заданным критериям.

Третья глава посвящена разработке структуры системы фильтрации сетевого трафика и алгоритмов фильтрации трафика и контроля. В этой главе излагается структура программно-аппаратных средств, алгоритмы фильтрации входящего и исходящего трафика, алгоритмы контроля целостности и подлинности обновлений, предоставляется концептуальная схема серверной части базы данных и схема построения диалога с администратором системы фильтрации сетевого трафика по заданным критериям.

Многоуровневая программно-аппаратная архитектура системы фильтрации сетевого трафика по заданным критериям представлена на рисунке 1.

Рисунок 1 – Многоуровневая программно-аппаратная архитектура системы фильтрации сетевого трафика по заданным критериям

Многоуровневая программно-аппаратная архитектура серверов используется для обеспечения масштабируемости системы фильтрации сетевого трафика по заданным критериям, что позволяет не допускать избыточной загруженности сети передачи данных и серверов, на которых находится серверная часть приложения. Данная архитектура так же позволяет распределять функции серверной части приложения по количеству обращений к ним.

Самый большой уровень – уровень фронт-эндов, который отвечает за выполнение функции авторизации, обновление баз данных и версии клиентской части приложения, а так же за обращением к сайту системы, через который осуществляется мониторинг и удаленное администрирование системы. Если пользователь запрашивает данные статистики или изменяет настройки системы фильтрации трафика по заданным критериям, сервер уровня фронт-энд через прокси-сервер осуществляет обращение к серверу уровня бек-энд, который определяет по первым двум символам логина пользователя системы. Таким образом, осуществляется адресация между сервером уровня фронт-энд и сервером уровня бек-энд. В случае если сервер уровня фронт-энд перегружен в данный момент времени, он переадресует запрос пользователя другому менее загруженному серверу.

Для повышения отказоустойчивости серверной части системы фильтрации трафика по заданным критериям серверы уровня бек-энд соединены в кольцо между собой (рисунок 2), что позволяет дублировать базы данных пользователей каждой подгруппы.

Рисунок 2 – Соединение серверов уровня бек-энд

На последнем, третьем уровне, многоуровневой серверной части системы фильтрации находится сервер лицензий, хранящий данные о пользовательских лицензиях и сервер, обеспечивающий его дублирование.

Алгоритмы фильтрации трафика Общая схема фильтрации трафика системой фильтрации сетевого трафика по заданным критериям представлена рисунке 3.

Рисунок 3 – Общая схема фильтрации трафика



Рисунок 4 – Схема фильтрации исходящего трафика

Система фильтрации сетевого трафика по заданным критериям проверяет наличие ожидающих соединений в очереди, если такие имеются, то исключает первое из очереди. Производится анализ исходящего трафика выбранного соединения (рисунок 4), по результатам которого определяется, противоречит ли данное соединения заданным критериям фильтрации системы. Если не противоречит содержимое запроса заданным критериям фильтрации системы, то происходит «отправка запроса» с последующим ожиданием ответа, иначе происходит переадресация на ресурс системы.

Рисунок 5 – Схема фильтрации входящего трафика

После того как приходит ответ на запрашиваемый ресурс происходит фильтрация входящего http-трафика системой фильтрации сетевого трафика по заданным критериям (рисунок 5).

По результатам анализа входящего контента определяется соответствие его заданным критериям фильтрации. В случае если контент признается негативным, то происходит переадресация на ресурс системы, в противоположенном случае контент передается приложению пользователя.



Четвертая глава посвящена реализации опытного образца системы фильтрации сетевого трафика по заданным критериям и оценки её эффективности. В этой главе представлена структура программной системы, описывается реализация процесса обновления и интерфейса взаимодействия с администратором системы, а так же производится оценка эффективности функционирования системы фильтрации сетевого трафика по заданным критериям.

Структура системы фильтрации трафика по заданным критериям изображена на рисунке 6. Систему можно условно разделить на две основные части – клиентская и серверная подсистемы.

Рисунок 6 – Структура программного комплекса системы фильтрации сетевого трафика по заданным критериям

Локальный прокси-сервер клиентской части приложения взаимодействует с системой переадресации, которая перенаправляет на него весь локальный http-трафик. Прокси-сервер, согласно решению модуля фильтрации пропускает входящий (исходящий) трафик или блокирует.

С модулем фильтрации взаимодействует модуль учёта и контроля времени, который на основании данных полученных из локальной базы данных реализует функции ограничения по времени и суточному лимиту использования заданных категорий ресурсов.

Модуль синхронизации взаимодействует с локальной базой данных и прокси-сервером серверной подсистемы уровня фрон-енд, который в свою очередь взаимодействует с модулем синхронизации настроек на сервере уровня бек-енд. Таким образом, происходит синхронизация локальной базы данных системы фильтрации сетевого трафика по заданным критериям с серверной базой данных, которая осуществляется автоматически после завершения администрирования и выходом из интерфейса администратора системы.

Модуль отправки истории клиентской части приложения производит формирование отчёта, взаимодействуя с локальной базой данных, после чего отправляет его на сайт системы фильтрации трафика по заданным критериям.

Модуль обновлений службы системного уровня клиентской подсистемы приложения взаимодействует с локальной базой данных. При появлении обновлений базы данных или клиентской части подсистемы системы фильтрации трафика по заданным критериям в серверной базе данных фронт-енда.

Модуль подготовки обновлений уровня фрон-енд, осуществляет подготовку обновлений, с последующей передачей в модуль распределения обновлений. Модуль распределения обновлений последовательно выполняет следующие действия (рисунок 7): создаёт исполняемый файл, являющийся самораспаковывающимся архивом, определяет хеш-сумму MD5 и осуществляет её цифровую подпись с помощью блочного криптографического алгоритма с открытым ключом (RSA).

Использование данного подхода позволяет подтвердить целостность и подлинность полученного файла обновления клиентской частью приложения. Целостность файла обновления гарантирует эффективную и бесперебойную работу системы фильтрации трафика по заданным критериям.

Рисунок 7 – Схема контроля целостности и подлинности обновлений

Необходимость контроля подлинности обновлений для системы фильтрации сетевого трафика по заданным критериям обусловлен тем, что система осуществляет полный контроль над передачей данных как по локальной сети, так и через сеть интернет. Осуществление подмены файлов обновлений, может угрожать конфиденциальности передаваемых данных.

Для осуществления контроля подлинности обновления для системы фильтрации сетевого трафика по заданным критериям используется блочный криптографический алгоритм с открытым ключом (RSA). Целостность полученного файла подтверждает хеш-сумма файла обновления, сформированная с помощью алгоритма хеширования MD5.

С помощью криптографического алгоритма с открытым ключом RSA, выполняется цифровая подпись хеш-суммы (MD5) файла обновлений, что является достаточным для осуществления контроля целостности и подлинности обновлений системы фильтрации сетевого трафика по заданным критериям.

Использование цифровой подписи к хеш-сумме исполняемого файла обновлений, а не к исполняемому файлу, позволяет существенно снизить нагрузку на формирование цифровой подписи как на сервера уровня фронт-энд так и на проверку цифровой подписи на компьютере с установленной клиентской подсистемой системы фильтрации сетевого трафика по заданным критериям.

После чего модуль распределения обновлений передает на сайт обновление в виде исполняемого файла и данные пользователя, которому это обновление необходимо отправить. Сайт отправляет обновление системе фильтрации сетевого трафика конечного пользователя, которые обрабатываются модулем обновления службы системного уровня клиентской подсистемы приложения.

Для осуществления обновления клиентской части приложения, перед завершением работы системы фильтрации сетевого трафика по заданным критериям выполняется проверка поля базы данных, в котором может быть взведен флаг о наличии соответствующих обновлении. В случае если флаг взведен, то есть, получены обновления для системы фильтрации трафика по заданным критериям, флаг сбрасывается, осуществляется вызов исполняемого файла, являющегося самораспаковывающимся архивом, и завершается работа системы.

Модуль взаимодействия с графическим интерфейсом пользователя службы системного уровня клиентской подсистемы взаимодействует с базой данных и с графическим пользовательским интерфейсом клиентской подсистемы, что позволяет администратору системы фильтрации сетевого трафика по заданным критериям осуществлять администрирование системы.

В заключении излагаются основные результаты диссертационной работы:

1. Анализ методов контроля Интернет-ресурсов показал, что не существует наиболее эффективного метода фильтрации, а для того чтобы добиться высокой эффективности функционирования системы фильтрации сетевого трафика необходимо комплексно использовать различные методы контроля.

2. На рынке программного обеспечения отсутствуют системы, способные выполнять задачи корпоративной и индивидуальной фильтрации сетевого трафика по заданным критериям.

3. Анализ принципов создания систем фильтрации трафика показал, что для наиболее эффективной реализации системы целесообразно использовать LSP технологию.

4. Разработанные в результате выполнения данной работы структура и архитектура позволяют обеспечить высокую отказоустойчивость, масштабируемость, а так же реализацию функции удаленного администрирования и мониторинга системы фильтрации сетевого трафика по заданным критериям.

5. Разработан опытный образец системы фильтрации сетевого трафика по заданным критериям, который позволяет повысить эффективность фильтрации Интернет-трафика в корпоративных и индивидуальных информационных средах.

6. При проведении исследования опытного образца установлено, что использования системы фильтрации сетевого трафика по заданным критериям обеспечивает высокую эффективность 86,27%, при этом количество ложных срабатываний является незначительным 0,14%.



Список работ, опубликованных по теме диссертации в материалах конференции

1. Абрамов И.А. Програмнно-аппаратный комплекс системы фильтрации трафика [Текст] / Абрамов И.А. // Информационные технологии в науке, образовании и производстве. (ИТНОП). Материалы V Международной научно-технической конференции. – 2012. – Орёл: ГУ-УНПК.





База данных защищена авторским правом ©bezogr.ru 2016
обратиться к администрации

    Главная страница