федеральное государственное автономное образовательное учреждение высшего образования
«Самарский национальный исследовательский университет имени академика С.П. Королева»
Ученые университета предложили "прививку" от хакерских атак

Ученые университета предложили "прививку" от хакерских атак

Самарский университет

Предложенный алгоритм позволит блокировать распространение "эпидемии" при первых “симптомах” заражения

Сагатов Евгений IT Исследования Сухов Андрей кафедра суперкомпьютеров и общей информатики
26.03.2018 2018-03-27
На международной конференции “РусКрипто” ученые Самарского университета представили новую разработку - систему профилактики и защиты интернет-сервисов от хакерских атак. 
 
В течение года сотрудники кафедры суперкомпьютеров и общей информатики Самарского университета проводили исследование, по результатам которого создали систему профилактики и защиты интернет-сервисов от взлома.

Год назад ученые установили четыре сервера-ловушки (honeypot) с реальными IP-адресами в Самарской области, Республике Крым, Ростовской области и Соединенных Штатах Америки. «Система ловушек - это известная с 1990 годов технология. Она предусматривает установку на абсолютно пустые сервера программного обеспечения, которое имитирует работу десяти интернет-сервисов, наиболее популярные среди пользователей”, - объясняет профессор кафедры суперкомпьютеров и общей информатики Самарского университета Андрей Сухов
Затем на протяжении года ученые следили за различными видами атак на расставленные ловушки (сканирование портов, попытки доступа к web-серверам, к сервисам IP-телефонии, к электронной почте, к управлению базами данных, попытками перехватить управление операционной системой), затем систематизировали их и в итоге создали “черный список” из подозрительных IP-адресов по каждому сервису. Чтобы попасть в “черный список” надо соответствовать двум критериям: “отметиться” минимум на двух серверах-ловушках и трижды атаковать сервис (три прозвона или три попытки подобрать пароль). Так, например, в “нападении” на сервис IP-телефонии за год “засветились” 1063 IP-адреса.  
 
Для защиты интернет-сервисов от хакеров ученые вуза предложили провести профилактику за счет следующего алгоритма: с помощью программно-конфигурируемых сетей распространить полученную базу данных с адресами злоумышленников. 
 
«Благодаря программно-конфигурируемой сети, мы можем “вакцинировать” её составленной нами базой данных подозрительных IP-адресов, после чего она сама сможет анализировать трафик, определять способы атаки с адресов из “черного списка” и, в итоге, заблокирует действия злоумышленников”, - говорит доцент кафедры суперкомпьютеров и общей информатики Евгений Сагатов.
Более того, предложенный учеными алгоритм позволяет передавать базы данных вышестоящим провайдерам по защищенным каналам. А также устанавливать защитные фильтры от хакеров на два уровня выше провайдера в архитектуре Сети.
 
Этот комплекс мер поможет администратору сети вовремя обнаружить не только уже взломанную рабочую станцию, но и предотвратить саму попытку взлома.
 
«Здесь уместна такая аналогия: можно ловить преступника по следам, оставленным на месте преступления, а можно заранее предотвратить само преступление, - говорит Андрей Сухов. - Ведь к сети любой организации подключен ряд компьютеров, на котором в фоновом режиме функционируют многочисленные системные приложения и пользователи обычно не обращают внимание на их работу. Злоумышленник же ищет компьютеры, на которых эти системные приложения открыты и пытается проникнуть. Он “прозванивает” машину, то есть отправляет пакет данных с запросом, тем самым узнает, есть ли на компьютере нужная служба и открыта ли она для внешнего воздействия. Пользователи даже не замечают, что их компьютер уже взломан и превращен в источник для взлома следующих жертв или для рассылки спама. Если же провести определенную профилактику, то можно вычислить, откуда идет атака и принять защитные меры».