[go: up one dir, main page]

RU2367101C2 - Method of detecting local area network devices, operating in network traffic capture mode - Google Patents

Method of detecting local area network devices, operating in network traffic capture mode Download PDF

Info

Publication number
RU2367101C2
RU2367101C2 RU2007117103/09A RU2007117103A RU2367101C2 RU 2367101 C2 RU2367101 C2 RU 2367101C2 RU 2007117103/09 A RU2007117103/09 A RU 2007117103/09A RU 2007117103 A RU2007117103 A RU 2007117103A RU 2367101 C2 RU2367101 C2 RU 2367101C2
Authority
RU
Russia
Prior art keywords
network
workstations
response time
icmp
operating
Prior art date
Application number
RU2007117103/09A
Other languages
Russian (ru)
Other versions
RU2007117103A (en
Inventor
Максим Вадимович Бочков (RU)
Максим Вадимович Бочков
Андрей Васильевич Козачок (RU)
Андрей Васильевич Козачок
Original Assignee
Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) filed Critical Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority to RU2007117103/09A priority Critical patent/RU2367101C2/en
Publication of RU2007117103A publication Critical patent/RU2007117103A/en
Application granted granted Critical
Publication of RU2367101C2 publication Critical patent/RU2367101C2/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: physics; computer engineering.
SUBSTANCE: invention relates to computer engineering and can be used in automated information security media with the objective of monitoring local area networks to detect computer attacks on network resources. The method of detecting local area network devices, operating in network traffic capture mode, involves using a control network node for detecting devices, in which a threshold value for the coefficient of correlation is given. The response time of workstations on the network is then determined. ICMP packets with a submit field, which is not in the probed network, are broadcast on the network, and network loading is recorded. After that, the correlation coefficient of values of network loading parametres and response time of workstations is determined and, if the correlation coefficient exceeds the threshold value, there is a device on the network, operating in network traffic capture mode.
EFFECT: reduced number of false alarms on results of analysing response time of network nodes and increased probability of detecting workstations, operating in network traffic capture mode.
3 dwg

Description

Изобретение относится к области вычислительной техники и может быть использовано в автоматизированных средствах защиты информации с целью мониторинга (мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30]) локальных вычислительных сетей для обнаружения компьютерных атак на ресурсы вычислительной сети.The invention relates to the field of computer technology and can be used in automated information protection tools for monitoring (monitoring - regular monitoring of events occurring in the process of exchanging information, with registration and analysis of predefined significant or suspicious events. [Koneev I.R., Belyaev A .V. Information Security of an Enterprise. - SPb .: BHV-Petersburg, 2003. - 752 pp., Ill. On page 30]) local area networks for detecting computer attacks on computer network resources.

Известен «способ контроля подключения сетевого оборудования к среде распространения сигналов локальных вычислительных сетей стандартов IEEE 802.3 10-BASE-2, 10-BASE-5» по патенту РФ №2277261, классы G06F 12/14, G06F 11/00, H04L 9/00The known "method of controlling the connection of network equipment to the signal propagation environment of local area networks of IEEE 802.3 10-BASE-2, 10-BASE-5 standards" according to RF patent No. 2277261, classes G06F 12/14, G06F 11/00, H04L 9/00

от 9.03.2005. Данный способ включает следующую последовательность действий. Через среду распространения сигналов локальной вычислительной сети пропускают зондирующий сигнал и анализируют его параметры после прохождения, в качестве зондирующего сигнала используют гармонический сигнал с частотой и уровнем, не влияющими на работу локальной вычислительной сети, а контроль подключения сетевого оборудования к среде распространения сигналов локальной вычислительной сети осуществляют посредством сравнения задержки фазы зондирующего сигнала, вносимой текущей конфигурацией сетевого оборудования, относительно эталонной задержки фазы, для чего зондирующий сигнал пропускают по среде распространения, начиная с одного ее края, на другом краю среды распространения зондирующий сигнал принимают и фиксируют задержку фазы зондирующего сигнала после прохождения среды распространения сигналов локальной вычислительной сети при подключении к ней только легитимного сетевого оборудования, которую принимают эталонной, далее сравнивают задержку фазы зондирующего сигнала, вносимую текущей конфигурацией сетевого оборудования, относительно эталонной задержки фазы, устраняют влияние явления сетевой коллизии, сигнализируют по факту неравенства текущей и эталонной фазовых задержек, применяют способ в условиях как наличия сетевого трафика в сети, так и при обесточенной локальной вычислительной сети.March 9, 2005. This method includes the following sequence of actions. A probe signal is passed through the signal propagation medium of the local computer network and its parameters are analyzed after passing through, a harmonic signal with a frequency and level that does not affect the operation of the local computer network is used as the probing signal, and network equipment is connected to the signal propagation medium of the local computer network by comparing the phase delay of the probe signal introduced by the current configuration of the network equipment, relative to alon phase delay, for which a probing signal is passed through the propagation medium, starting from one of its edges, on the other edge of the propagation medium, the probing signal is received and the phase delay of the probing signal is passed after passing through the propagation medium of the signals of the local computer network when only legitimate network equipment is connected to it, which is accepted as the reference, then the phase delay of the probe signal introduced by the current configuration of the network equipment is compared with respect to the reference delay phase ki, eliminate the influence of the phenomenon of network collision signal upon inequality current and the reference phase delay, a method is employed under conditions like the presence of network traffic in a network, and when de-energized LAN.

Недостатком данного способа является то, что невозможно обнаружить легитимные устройства локальной вычислительной сети, функционирующие в режиме захвата сетевого трафика. В аналоге применяют ограниченную совокупность сред распространения сигналов локальных вычислительных сетей.The disadvantage of this method is that it is impossible to detect legitimate devices of the local area network operating in the mode of capturing network traffic. In the analogue, a limited set of signal propagation media of local area networks is used.

Известен способ пассивного определения задержки в сетевом устройстве, описанный в "Method and apparatus for passively calculating latency for a network appliance" по патенту US №6868069, классы H04L 12/2, H04L 12/24, H04L 1/24, от 16.01.2001. Суть данного способа заключается в том, что фиксируют пакет, поступающий на устройство, сохраняют первую метку времени для поступающего пакета, фиксируют исходящий пакет от сетевого устройства и сохраняют вторую метку времени, сопоставляют входящий и исходящий пакеты и на основе разности меток времени определяют задержку в сетевом устройстве.A known method for passively determining the delay in a network device is described in "Method and apparatus for passively calculating latency for a network appliance" according to US patent No. 6868069, classes H04L 12/2, H04L 12/24, H04L 1/24, from 16.01.2001 . The essence of this method is that they fix the packet arriving at the device, save the first time stamp for the incoming packet, fix the outgoing packet from the network device and save the second time stamp, match the incoming and outgoing packets and determine the network delay based on the difference of the time stamps device.

Недостатком данного способа является то, что не определены конкретные протоколы, которые необходимо использовать при определении задержки в сетевом устройстве.The disadvantage of this method is that it does not define specific protocols that must be used when determining the delay in a network device.

Известен способ контроля состояния сети, описанный в заявке US 2001/0005360 A1, 28.06.2001, H04L 1/00, 8 с., в котором циклически осуществляют широковещательную рассылку ICMP-пакетов и определяют текущую пропускную способность среды распространения сигналов и перегрузку сети.A known method for monitoring network status is described in application US 2001/0005360 A1, 06/28/2001, H04L 1/00, 8 pp., In which cyclically broadcast broadcast ICMP packets and determine the current throughput of the signal propagation medium and network congestion.

Недостатком данного способа является отсутствие учета текущей производительности рабочих станций в компьютерной сети и определения устройств локальной вычислительной сети, функционирующего в режиме захвата сетевого трафика.The disadvantage of this method is the lack of consideration of the current performance of workstations in a computer network and the definition of devices on a local area network operating in the mode of capturing network traffic.

Известен способ вычисления канального показателя, описанный в заявке US 2005/0259766 A1, 24.11.2002, H04L 27/06, 12 с., в котором заранее задают пороговое значение коэффициента корреляции значений параметров загрузки сети, в случае если коэффициент корреляции превышает пороговое значение, принимают соответствующее решение.A known method for calculating the channel metric described in the application US 2005/0259766 A1, 11.24.2002, H04L 27/06, 12 pp., In which the threshold value of the correlation coefficient of the values of the network load parameters is set in advance if the correlation coefficient exceeds the threshold value, make the appropriate decision.

Недостатком данного способа является его применимость только к беспроводным средам передачи сообщений и использование для принятия решения частного вида коэффициентов корреляции: коэффициентов автокорреляции.The disadvantage of this method is its applicability only to wireless messaging media and the use of a particular form of correlation coefficients: autocorrelation coefficients for decision making.

Наиболее близким по своей технической сущности к заявленному, выбранным в качестве прототипа, является способ, описанный в Susid, Daniel. An evaluation of network based sniffer detection; Sentinel. Göteborg, Department of Informatics. 2004. - 55 p. В данном способе рассматривается метод обнаружения пакетного анализатора сетевого трафика в сети, построенной по стандарту Ethernet, основанный на измерении времени ответов устройств, находящихся в режиме захвата сетевого трафика. Данный способ включает в себя следующую последовательность действий. Определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов и по принятым ICMP-ответам на запросы определяют время между отправкой запроса и приемом ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, не существующего в зондируемой сети, и снова определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после загрузки и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика.The closest in technical essence to the claimed one, selected as a prototype, is the method described in Susid, Daniel. An evaluation of network based sniffer detection; Sentinel. Göteborg, Department of Informatics. 2004 .-- 55 p. This method describes the method of detecting a packet analyzer of network traffic in an Ethernet-based network, based on measuring the response time of devices in the network traffic capture mode. This method includes the following sequence of actions. The response time of the workstations located in the network is determined, for which purpose ICMP requests are sent to all nodes of the local computer network and the time between sending the request and receiving the response is determined from the received ICMP requests, after which ICMP packets are broadcast on the network with the addressee field that does not exist in the probed network, and again determine the response time of workstations located in the network, compare the response time of workstations before and after loading and, in case of a difference in these parameters, I accept t decision on the presence in the network of a device operating in the mode of capturing network traffic.

Недостатком этого способа является то, что не осуществляется оценка изменения времени отклика рабочей станцией в сети при увеличении загрузки домена коллизий, а также в случае, если на рабочей станции осуществляются вычисления. Данные недостатки обуславливают возникновение большого числа ложных тревог.The disadvantage of this method is that it does not evaluate the change in the response time of the workstation in the network with an increase in the load of the collision domain, as well as if calculations are performed on the workstation. These shortcomings cause the occurrence of a large number of false alarms.

Технический результат изобретения - снижение числа ложных тревог по результатам анализа контролирующим узлом времени отклика узлов сети, путем введения в способ процедуры циклической широковещательной загрузки локальной сети ICMP-пакетами; вычисления коэффициентов корреляции времени отклика рабочих станций и интенсивности загрузки сети и сравнения их с введенным пороговым значением.The technical result of the invention is the reduction in the number of false alarms according to the results of the analysis by the controlling node of the response time of the network nodes by introducing into the method the procedure for cyclic broadcast loading of the local network with ICMP packets; calculating the correlation coefficients of the response time of workstations and the network load intensity and comparing them with the entered threshold value.

Сущность изобретения заключается в том, что для обнаружения устройств используют контролирующий узел сети, с помощью которого определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов, получают ICMP-ответы и определяют время между отправкой ICMP-запроса и приемом ICMP-ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и одновременно с этим определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после широковещательной рассылки ICMP-пакетов и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика, перед осуществлением широковещательной рассылки в сети в контролирующий узел сети введен дополнительный сетевой адаптер, определяющий время отклика рабочих станций в сети, в контролирующем узле задают пороговое значение коэффициента корреляции, а затем с помощью основного сетевого адаптера контролирующего узла сети циклически осуществляют широковещательную рассылку ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и с отсутствующим полем данных и фиксируют загрузку сети, одновременно с этим при помощи дополнительного сетевого адаптера контролирующего узла сети определяют время отклика рабочих станций, после этого определяют коэффициенты корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика.The essence of the invention lies in the fact that to detect devices using a controlling network node, with which they determine the response time of workstations located in the network, for which all nodes of the local area network send ICMP requests, receive ICMP responses and determine the time between sending an ICMP request and receiving an ICMP response, then broadcast over the network ICMP packets with a destination field that does not exist in the probed network, and at the same time determine the response time of workstations of the network, compare the response time of workstations before and after broadcasting ICMP packets and, in case of a difference in these parameters, decide on the presence of a device in the network operating in the mode of capturing network traffic before broadcasting to the monitoring network the network node introduced an additional network adapter that determines the response time of workstations in the network, in the monitoring node set the threshold value of the correlation coefficient, and then using the main network adapter The controller of the controlling network node cyclically broadcasts ICMP packets with the destination field that does not exist in the probed network and with the missing data field and records the network load. At the same time, the response time of the workstations is determined using the additional network adapter of the monitoring network node, after which the response time is determined. the correlation coefficients of the network load parameters and the response time of workstations and, if the correlation coefficient exceeds the threshold value, decide on the availability of the network device operating in a capture mode network traffic.

Заявленный способ поясняется на фиг.1, где изображены контролирующий узел с применяемыми сетевыми адаптерами - 0, рабочие станции: 1 - N-1 и узел сети N, функционирующий в режиме захвата сетевого трафика.The claimed method is illustrated in figure 1, which shows the monitoring node with the applicable network adapters - 0, workstations: 1 - N-1 and the network node N, operating in the mode of capturing network traffic.

На фиг.2 отображается блок-схема алгоритма, реализующего функцию обнаружения рабочих станций, находящихся в режиме захвата сетевого трафика.Figure 2 shows a block diagram of an algorithm that implements the function of detecting workstations in the capture mode of network traffic.

A.1 - А.3 - операции по определению времени отклика рабочих станций в сети.A.1 - A.3 - operations for determining the response time of workstations in the network.

A.1 - операция посылки дополнительным сетевым адаптером контролирующего узла сети ICMP-запросов узлам вычислительной сети.A.1 - operation of sending an additional network adapter of a controlling network node of ICMP requests to nodes of a computer network.

А.2 - операция приема ICMP-ответов от узлов сети.A.2 - the operation of receiving ICMP responses from network nodes.

А.3 - операция определения времени между посылкой ICMP-запросов и приемом ICMP-ответов.A.3 - the operation of determining the time between sending ICMP requests and receiving ICMP responses.

А.4 - операция задания порогового коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп.A.4 - the operation of setting the threshold correlation coefficient of the performance of the network node and the workload of the collision domain r add

А.5 - А.9 - процедура накопления статистики.A.5 - A.9 - procedure for collecting statistics.

А.5 - операция широковещательной рассылки основным сетевым адаптером контролирующего узла сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети.A.5 - broadcast operation by the main network adapter of the controlling network node of ICMP packets with a destination field that does not exist in the probed network.

А.6 - операция определения интенсивности загрузки сети ICMP-пакетами µ[i] на i-м шаге процедуры накопления статистики, заключающаяся в определении производительности основного сетевого адаптера контролирующего узла сети при проведении им операции А5.A.6 - the operation of determining the network load intensity by ICMP packets µ [i] at the i-th step of the statistics accumulation procedure, which consists in determining the performance of the main network adapter of the monitoring network node during operation A5.

А.7 - А.9 - операции по определению времени отклика рабочих станций в сети.

Figure 00000001
- вектор времени отклика рабочих станций сети на i-м шаге процедуры накопления статистики.A.7 - A.9 - operations to determine the response time of workstations in the network.
Figure 00000001
- vector of the response time of network workstations at the i-th step of the statistics accumulation procedure.

А.10 - условие накопления достаточной статистики i=K.A.10 - condition for the accumulation of sufficient statistics i = K.

А.11 - процедура вычисления коэффициентов корреляции значений параметров загрузки сети и времени отклика рабочих станций.A.11 - procedure for calculating the correlation coefficients of the network load parameters and the response time of workstations.

Оценка коэффициента корреляции j-й рабочей станции вычисляется в соответствии с выражением:The estimate of the correlation coefficient of the j-th workstation is calculated in accordance with the expression:

Figure 00000002
Figure 00000002

где

Figure 00000003
- производительность j-й рабочей станции на i-м шаге процедуры накопления статистики;Where
Figure 00000003
- productivity of the j-th workstation at the i-th step of the statistics accumulation procedure;

Figure 00000004
- оценка среднего значения производительности j-й рабочей станции в сети;
Figure 00000004
- assessment of the average performance of the j-th workstation in the network;

Figure 00000005
- оценка средней интенсивности загрузки сети ICMP-пакетами.
Figure 00000005
- Estimation of the average network load intensity with ICMP packets.

А.12 - сравнение полученных оценок коэффициентов корреляции с пороговым значением коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп и при

Figure 00000006
переход к операции А.13.A.12 - comparison of the obtained estimates of the correlation coefficients with the threshold value of the correlation coefficient of the performance of the network node and the workload of the collision domain r add and for
Figure 00000006
transition to operation A.13.

А.13 - принятие решения о функционировании j-й рабочей станции в режиме захвата сетевого трафика.A.13 - decision-making on the functioning of the j-th workstation in the mode of capturing network traffic.

А.14 - условие окончания процедуры обнаружения устройств локальной вычислительной сети, функционирующих в режиме анализа сетевого трафика.A.14 - condition for the end of the procedure for detecting devices on a local area network operating in the mode of analysis of network traffic.

Заявленный способ реализуется в виде программно-аппаратного комплекса, характеризующегося следующими особенностями:The claimed method is implemented in the form of a software and hardware complex, characterized by the following features:

1. Для получения заявленного технического результата в контролирующем узле сети введен дополнительный сетевой адаптер. Основной сетевой адаптер осуществляет загрузку сети ICMP пакетами, а дополнительный - определяет время отклика рабочих станций в сети. Таким образом, исключено влияние процесса загрузки сети на процесс мониторинга текущего времени отклика рабочих станций.1. To obtain the claimed technical result, an additional network adapter is introduced in the controlling node of the network. The main network adapter loads the network with ICMP packets, and the additional one determines the response time of workstations on the network. Thus, the influence of the network loading process on the monitoring process of the current response time of workstations is excluded.

2. Конкретизирован тип применяемых для загрузки ЛВС ICMP пакетов (фиг.3) и оптимизирована структура передаваемого пакета путем исключения избыточных данных из тела пакета. Программно-аппаратная реализация большего числа устройств сети, функционирующих в режиме захвата сетевого трафика, предполагает анализ полей заголовков передаваемых пакетов и, в зависимости от конкретных целей нарушителя, полей данных некоторых видов сетевых протоколов. Таким образом, путем введения в способ циклической рассылки ICMP-пакетов с оптимизированной структурой и отсутствующим полем данных существует возможность снизить загрузку среды распространения сигналов локальной сети и повысить время отклика (загрузку сетевых адаптеров) узлов сети, функционирующих в режиме анализа сетевого трафика.2. The type of packets used to load the ICMP LAN (FIG. 3) is specified and the structure of the transmitted packet is optimized by eliminating redundant data from the packet body. The hardware and software implementation of a larger number of network devices operating in the network traffic capture mode involves the analysis of header fields of transmitted packets and, depending on the specific goals of the intruder, data fields of certain types of network protocols. Thus, by introducing ICMP packets with an optimized structure and missing data field into the method of cyclic distribution, it is possible to reduce the load on the local area signal propagation environment and increase the response time (load on network adapters) of network nodes operating in the network traffic analysis mode.

На этапе функционирования при помощи дополнительного сетевого адаптера контролирующего узла сети осуществляют определение времени отклика рабочих станций в локальной вычислительной сети (блоки A.1 - А.3 фиг.2) путем определения времени между посылкой ICMP-запросов (блок А.1 фиг.2) и приемом ICMP-ответов (блок А.2 фиг.2). После этого задают пороговое значение коэффициента корреляции производительности узла сети и загруженности домена коллизий rдоп (блок А.4 фиг.2). При помощи основного сетевого адаптера контролирующего узла сети осуществляют загрузку сети ICMP-пакетами с полем адресата, не существующего в зондируемой сети и отсутствующим полем данных (блок А.5 фиг.2), фиксируют загрузку сети µ[i] (блок А.6 фиг.2) и одновременно с этим при помощи дополнительного сетевого адаптера контролирующего узла сети определяют время отклика рабочих станций

Figure 00000007
(блоки А.7 - А.9 фиг.2). Процедура накопления достаточной статистики (блоки А.5 - А.9 фиг.2) осуществляется K раз. Вычисляют корреляционные коэффициенты для каждой j-й рабочей станции в сети
Figure 00000008
At the operation stage, using the additional network adapter of the monitoring network node, the response time of workstations in the local area network (blocks A.1 - A.3 of figure 2) is determined by determining the time between sending ICMP requests (block A.1 of figure 2 ) and receiving ICMP responses (block A.2 of FIG. 2). After that, set the threshold value of the correlation coefficient of the performance of the network node and the workload of the collision domain r add (block A.4 of figure 2). Using the main network adapter of the controlling host, the network is loaded with ICMP packets with a destination field that does not exist in the probed network and with no data field (block A.5 of FIG. 2), the network load µ [i] is fixed (block A.6 of FIG. .2) and at the same time, using the additional network adapter of the controlling network node, the response time of workstations is determined
Figure 00000007
(blocks A.7 - A.9 figure 2). The procedure for accumulating sufficient statistics (blocks A.5 - A.9 of figure 2) is carried out K times. The correlation coefficients for each j-th workstation in the network are calculated
Figure 00000008

(блок A.11 фиг.2). Сравнивают их с пороговым значением rдоп (блок А.12 фиг.2). По результатам сравнения при

Figure 00000006
принимают решение о функционировании узла сети в режиме захвата сетевого трафика (блок А.13 фиг.2). В случае если рабочие станции, функционирующие в режиме анализа трафика, отсутствуют, в сети снова может осуществляться процедура накопления статистики (блок А.14 фиг.2).(block A.11 of figure 2). Compare them with a threshold value r add (block A.12 of figure 2). By comparison with
Figure 00000006
decide on the operation of the network node in the mode of capturing network traffic (block A.13 of figure 2). If there are no workstations operating in the traffic analysis mode, the statistics accumulation procedure can again be carried out in the network (block A.14 of figure 2).

Путем введения в способ дополнительных операций осуществления циклической широковещательной загрузки локальной вычислительной сети контролирующим узлом, определения коэффициентов корреляции времени отклика рабочих станций и интенсивности загрузки сети и сравнения их с введенным пороговым значением достигается учет задержек в сети, вызванных загруженностью домена коллизий, а также учет зависимости скорости обработки запросов устройств сети от реальных задач, выполняемых во время определения времени отклика, что в свою очередь приводит к снижению числа ложных тревог по результатам анализа времени отклика узлов сети контролирующим узлом.By introducing into the method additional operations of cyclic broadcast loading of the local computer network by the monitoring node, determining the correlation coefficients of the response time of workstations and the network load intensity and comparing them with the entered threshold value, it is possible to take into account network delays caused by congestion of the collision domain, and also to take into account the dependence of speed processing requests of network devices from real tasks performed during determining the response time, which in turn, when Odita to reduce the number of false alarms based on analysis of the response time of the network node controlling unit.

Claims (1)

Способ обнаружения устройств локальной вычислительной сети, функционирующих в режиме захвата сетевого трафика, заключающийся в том, что для обнаружения устройств используют контролирующий узел сети, с помощью которого определяют время отклика рабочих станций, находящихся в сети, для чего на все узлы локальной вычислительной сети производят посылку ICMP-запросов, получают ICMP-ответы и определяют время между отправкой ICMP-запроса и приемом ICMP-ответа, после этого осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и одновременно с этим определяют время отклика рабочих станций, находящихся в сети, сравнивают время отклика рабочих станций до и после широковещательной рассылки ICMP-пакетов и, в случае разницы данных параметров, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика, отличающийся тем, что перед осуществлением широковещательной рассылки в сети в контролирующем узле задают пороговое значение коэффициента корреляции, а затем циклически осуществляют широковещательную рассылку ICMP-пакетов и фиксируют загрузку сети, после этого определяют коэффициенты корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае, если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого трафика. A method for detecting devices of a local area network operating in a mode of capturing network traffic, which consists in the fact that a monitoring node of the network is used to detect devices, with which the response time of workstations located in the network is determined, for which purpose sending is sent to all nodes of the local area network ICMP requests, receive ICMP responses and determine the time between sending an ICMP request and receiving an ICMP response, after which they broadcast over the network of ICMP packets with a destination field, not existing in the probed network, and at the same time determine the response time of workstations located in the network, compare the response time of workstations before and after broadcasting ICMP packets and, in the event of a difference in these parameters, decide on the presence of a device operating in the network network traffic capture mode, characterized in that before the broadcasting in the network in the monitoring node set the threshold value of the correlation coefficient, and then cyclically carry out broadcast distribute ICMP packets and record the network load, then determine the correlation coefficients of the network load parameters and the response time of workstations and, if the correlation coefficient exceeds a threshold value, make a decision on the presence of a device operating in the network network capture mode .
RU2007117103/09A 2007-05-07 2007-05-07 Method of detecting local area network devices, operating in network traffic capture mode RU2367101C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2007117103/09A RU2367101C2 (en) 2007-05-07 2007-05-07 Method of detecting local area network devices, operating in network traffic capture mode

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2007117103/09A RU2367101C2 (en) 2007-05-07 2007-05-07 Method of detecting local area network devices, operating in network traffic capture mode

Publications (2)

Publication Number Publication Date
RU2007117103A RU2007117103A (en) 2008-11-20
RU2367101C2 true RU2367101C2 (en) 2009-09-10

Family

ID=40240837

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2007117103/09A RU2367101C2 (en) 2007-05-07 2007-05-07 Method of detecting local area network devices, operating in network traffic capture mode

Country Status (1)

Country Link
RU (1) RU2367101C2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010005360A1 (en) * 1999-12-23 2001-06-28 Kyoung-Woo Lee Method and apparatus for monitoring network state
JP2002281528A (en) * 2001-03-22 2002-09-27 Sony Corp Information processing apparatus, failure monitoring method, recording medium, and program
JP2005033391A (en) * 2003-07-10 2005-02-03 Hitachi Ltd Network monitoring device using correlation between request and response
EP1505783A2 (en) * 2003-08-06 2005-02-09 Samsung Electronics Co., Ltd. Network apparatus, system and method for discovering path MTU in data communication network
US20050259766A1 (en) * 2004-05-21 2005-11-24 Sheng-Jie Chen Efficient MLSE equalizer implementation
RU2277261C1 (en) * 2005-03-09 2006-05-27 Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю Method for controlling network equipment connections to signal distribution environment of local computing networks in compliance with standards ieee 802,3 10-base-2, 10-base-5 and device for realization of said method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010005360A1 (en) * 1999-12-23 2001-06-28 Kyoung-Woo Lee Method and apparatus for monitoring network state
JP2002281528A (en) * 2001-03-22 2002-09-27 Sony Corp Information processing apparatus, failure monitoring method, recording medium, and program
JP2005033391A (en) * 2003-07-10 2005-02-03 Hitachi Ltd Network monitoring device using correlation between request and response
EP1505783A2 (en) * 2003-08-06 2005-02-09 Samsung Electronics Co., Ltd. Network apparatus, system and method for discovering path MTU in data communication network
US20050259766A1 (en) * 2004-05-21 2005-11-24 Sheng-Jie Chen Efficient MLSE equalizer implementation
RU2277261C1 (en) * 2005-03-09 2006-05-27 Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю Method for controlling network equipment connections to signal distribution environment of local computing networks in compliance with standards ieee 802,3 10-base-2, 10-base-5 and device for realization of said method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SUSID DANIEL. An evaluation of network based sniffer detection; Sentinel, Göteborg, Department of informatics, 2004, найденная по адресу URL//http://www.handels.gu.se/epc/archive/00003725/, разделы 2.4.2; 2.4.3.1; 2.5.3.1. *

Also Published As

Publication number Publication date
RU2007117103A (en) 2008-11-20

Similar Documents

Publication Publication Date Title
Cui et al. SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks
CA2467883C (en) Signature matching methods and apparatus for performing network diagnostics
US8433788B2 (en) Overlay network traffic detection, monitoring, and control
US20060159028A1 (en) Monitoring system, method of sampling datagrams, and apparatus therefor
Sundaresan et al. Home network or access link? locating last-mile downstream throughput bottlenecks
EP3099024A1 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US20030097439A1 (en) Systems and methods for identifying anomalies in network data streams
CN101485145A (en) Data transfer path evaluation using filtering and change detection
KR101468624B1 (en) Terminal, system and method for measuring network state using the same
CN104754630A (en) A network quality assessment method, device and processing platform
Alkenani et al. Network Monitoring Measurements for Quality of Service: A Review.
US11539743B2 (en) Echo detection of Man-in-the-Middle LAN attacks
US20200296189A1 (en) Packet analysis apparatus, packet analysis method, and storage medium
Liu et al. End-to-end available bandwidth estimation and time measurement adjustment for multimedia QoS
US7986636B2 (en) Efficient detection of relay node
Rajakumaran et al. Early detection of LDoS attack using SNMP MIBs
US20160143082A1 (en) Method for detecting a message from a group of packets transmitted in a connection
RU2367101C2 (en) Method of detecting local area network devices, operating in network traffic capture mode
JP5199224B2 (en) Flow communication quality estimation method, apparatus and program
Basso et al. Strengthening measurements from the edges: application-level packet loss rate estimation
JP5180247B2 (en) Packet sampling apparatus and method and program
Ohsaki et al. On Modeling Round-Trip Time Dynamics of the Internet Using System Identification.
JP4733489B2 (en) Detect and diagnose performance problems in wireless networks by collaborating with neighboring devices
Leckie et al. Policies for sharing distributed probabilistic beliefs
Ozturk et al. DIChirp: Direct injection bandwidth estimation

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20090726