Повышение эффективности средств сетевой защиты на основе метода синтаксического анализа трафика тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Рудина, Екатерина Александровна

Актуальность темы исследования

Неуклонное развитие сетевых технологий, стандартов и протоколов, в совокупности с разнообразием и многочисленностью функционирующих в глобальной сети Интернет систем и сервисов порождает сложную и динамичную среду сетевого взаимодействия, в которой реализуются современные угрозы безопасности. Противодействие нарушителя средствам сетевой защиты носит характер постоянной борьбы, методы которой непрерывно совершенствуются - средства защиты стремятся полностью контролировать сетевые потоки, а нарушители задействуют все новые способы обхода этого контроля.

Обход сетевой защиты признается серьезной проблемой как работающими в этой области учеными, так и экспертами из ведущих ИТ компаний и разработчиками средств защиты. Сложные методы обхода сетевого контроля и противодействие им обсуждаются на авторитетных отечественных и международных форумах по информационной безопасности. В настоящее время, согласно исследованиям компании 81опезой, известно не менее двух сотен различных методов для обхода средств сетевой защиты, и это число продолжает расти.

Другая наблюдаемая в последние годы тенденция состоит в значительном смещении вектора сетевых атак в направлении пользователей Интернет-сервисов, в то время как раньше атакам в большей мере подвергались сами сервисы. При этом конечной целью атаки может быть как включение пользовательской системы в состав бот-сети, так и распространение вторжения в локальной подсети. Таким образом, успешная атака, проведенная в обход сетевой защиты, влияет не только на безопасность атакованной системы, но и на безопасность всей сети в целом.

Наиболее часто применяемым методом обхода средств сетевой защиты является туннелирование протоколов, представляющее собой инкапсуляцию сообщений протокола некоторого уровня модели ОБ1 в сообщения протокола того же уровня или более высокого. При этом средства защиты обрабатывают только внешний протокол, игнорируя вложенный, что приводит к потере эффективности средств защиты.

Следовательно, задача повышения эффективности средств сетевой защиты за счет предотвращения туннелирования протоколов является актуальной.

Степень разработанности темы исследования

Основанием для диссертации служат исследования в области обеспечения сетевой безопасности отечественных и зарубежных ученых В.А.Галатенко, В.И.Городецкого, П.Д.Зегжды, И.В.Котенко, И.Б.Саенко, М.Ва1сИ, У.РахБоп, Р.Шзбо, У.Зкопшп, в работах которых описываются основы обеспечения сетевой безопасности, но не в полной мере раскрыты методы фильтрации трафика и обнаружения атак в условиях использования нарушителем нестандартной инкапсуляции протоколов.

Представленная работа посвящена повышению эффективности существующих методов защиты от сетевых атак путем обнаружения туннелирования потенциально опасного трафика с помощью методов синтаксического анализа, не зависящих от типов протоколов, используемых при построении туннелей.

Целью диссертационной работы является повышение эффективности существующих средств сетевой защиты посредством применения метода синтаксического анализа трафика с использованием контекстно-свободных грамматик.

В соответствии с поставленной целью сформулированы основные задачи:

1. Исследование методов обхода средств сетевой защиты путем туннелирования прикладных протоколов и разработка подхода к оценке повышения эффективности средств сетевой защиты.

2. Создание универсальной лексикографической модели Интернет-протоколов.

3. Создание аналитической модели и распознающей грамматики сетевого взаимодействия.

4. Разработка специализированного языка описания сетевого взаимодействия.

5. Разработка алгоритма синтаксического анализа трафика на основе описания взаимодействия с использованием специализированного языка и создание методики повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработка прототипа программного средства, реализующего синтаксический анализ трафика с целью повышения эффективности средств сетевой защиты.

Научная новизна диссертационной работы заключается в следующем:

1. Предложена универсальная лексикографическая модель Интернет-протоколов, описывающая параметры отдельных сообщений и сеансов взаимодействия в целом и определяющая алфавит языка взаимодействия по Интернет-протоколам.

2. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, позволяющая распознавать взаимодействие по Интернет-протоколам в сетевом трафике.

3. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам.

4. Предложен алгоритм синтаксического анализа трафика, основанный на аналитической модели и использующий описания взаимодействия по протоколам на специализированном языке.

Теоретическую значимость работы составляет разработка аналитической модели, применимой для синтаксического распознавания сетевого взаимодействия по протоколам, описанным с использованием специализированного формального языка.

Практическую ценность работы составляет созданное программное средство синтаксического анализа трафика, интегрируемое с межсетевым экраном (МЭ) для распространения функций МЭ на взаимодействие по туннелированным протоколам.

Методы и методология исследования. Для исследования предметной области проведен анализ основанных на туннелировании протоколов способов обхода средств сетевой защиты. При решении поставленной задачи использовался аппарат аналитических грамматик теории формальных языков. Предлагаемый в работе метод анализа трафика обоснован с использованием элементов теории автоматов, языков и вычислений, а повышение эффективности средств сетевой защиты с применением этого метода подтверждено проведенными экспериментами.

Основные положения, выносимые на защиту:

1. Универсальная лексикографическая модель, определяющая параметры протоколов, анализируемые средствами защиты в Интернет.

2. Аналитическая модель сетевого взаимодействия, применяемая для обнаружения туннелирования протоколов.

3. Специализированный контекстно-свободный язык формального описания взаимодействия по сетевым протоколам.

4. Алгоритм синтаксического анализа сетевого трафика согласно описаниям на специализированном языке, и методика распознавания туннелирования протоколов с целью повышения эффективности средств защиты.

Степень достоверности и апробация результатов

Основные теоретические и практические результаты работы обсуждались на XVII общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008), на четвертой общероссийской конференции «Математика и безопасность информационных технологий» (МаБИТ, Москва, 2008) и на Международной молодежной конференции «Информационные системы и технологии» (Москва, 2012).

Достоверность работы подтверждается публикацией ее результатов в рецензируемых научных изданиях. По теме диссертации опубликовано 9 работ, в их числе 3 научные статьи, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 3 [1-3], 1 учебно-методическое пособие [4] , 5 докладов на конференциях [5-9].

Метод синтаксического анализа сетевого трафика был применен в НИР «Разработка методики идентификации прикладных Интернет протоколов на основе вариативно-сигнатурного анализа взаимодействия клиент-серверных компонент» (шифр 2011-1.4-514-065025) по государственному контракту № 07.514.11.4107 от 26.10.2011.

Результаты работы применены в части обеспечения защиты информации от Интернет-угроз, связанных с туннелированием протоколов, на малом инновационном предприятии ООО "Инфоком"; а также в части подготовки специалистов, обучающихся по специальности 090105.65 на кафедре Информационная безопасность компьютерных систем ФГБОУ СПбГПУ, при проведении практических занятий по дисциплине «Безопасность вычислительных сетей», что подтверждается соответствующими Актами об использовании.

Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 88 наименований.

4.4 Выводы к главе

1. Методика обнаружения туннелирования протоколов на основе синтаксического анализа трафика реализует детерминированные и эвристические подходы к идентификации туннелей в сетевом трафике.

2. Разработанный прототип программного средства, реализующий синтаксический анализ трафика для обнаружения туннелирования протоколов и управления МЭ состоит из четырех модулей: графический интерфейс, модуль сбора трафика, модуль синтаксического анализа трафика, модуль управления МЭ.

3. Экспериментально подтверждено, что при выполнении туннелирования протоколов действительно снижается эффективность МЭ и становятся успешными атаки, которые в отсутствие туннелирования не допускались.

Показано что применение синтаксического анализа сетевого трафика на основе грамматик сетевых протоколов позволяет повысить эффективность МЭ до номинальной.

Заключение

Итоги диссертационного исследования

1. Исследованы методы обхода средств сетевой защиты, основанные на туннелировании протоколов; предложен подход к оценке повышения эффективности средств сетевой защиты при обнаружении туннелирования.

2. Создана универсальная лексикографическая модель, определяющая параметры Интернет-протоколов, анализируемые средствами защиты в компьютерных сетях.

3. Создана аналитическая модель сетевого взаимодействия и эквивалентная контекстно-свободная грамматика, предназначенная для обнаружения туннелирования протоколов.

4. Разработан специализированный контекстно-свободный язык описания взаимодействия по сетевым протоколам, предназначенный для параметризации аналитической модели.

5. Предложен алгоритм синтаксического анализа трафика согласно описаниям протоколов на специализированном языке и методика повышения эффективности средств сетевой защиты с применением этого алгоритма.

6. Разработан прототип программного средства, реализующего синтаксический анализ трафика для распознавания туннелирования протоколов, и проведены экспериментальные исследования, подтверждающие повышение эффективности средств сетевой защиты при его использовании.

Рекомендации и перспективы дальнейшей разработки темы

Перспективы дальнейшей разработки темы лежат в области разработки методов анализа протоколов взаимодействия на предмет их корректности и безопасности. Поскольку предложенный язык описания взаимодействия является декларативным, он может быть использован для автоматизации разработки спецификаций Интернет-протоколов.

Список сокращений и условных обозначений

ДАС Дерево анализа сообщения

ЛОА Линейно-ограниченный автомат

МЭ Межсетевой экран

ОС Операционная система

ПО Программное обеспечение

СПВ Система предотвращения вторжений

AIM America OnLine Instant Messenger

ASCII American Standard Code for Information Interchange

BOSH Bidirectional-streams Over Synchronous HTTP с vi: Common Vulnerabilities and Exposure

DNS Domain Name System

ECFSM Extended Communicating Finite State Machine

FTP File Transfer Protocol

HTTP Hypertext Transfer Protocol

12 P Invisible Internet Project

ICMP Internet Control Message Protocol

IMAP Internet Message Access Protocol

IP Internet Protocol

IPC Interprocess Communication

IRC Internet Relay Chat

LOTOS Language Of Temporal Ordering Specifications мое Meta Object Compiler

MSC Message Sequence Chart

NAT Network Address Translation

NNTP Network News Transfer Protocol

OSI Open Systems Interconnection

PDU Protocol Data Unit

POP3 Post Office Protocol Version 3

PPP Point-to-Point Protocol

ProMeLa Process Meta Language

RFC Request For Comments

SDL Specification and Description Language

SMTP Simple Mail Transfer Protocol

Spin Simple ProMeLa Interpreter

TCP Transmission Control Protocol

UML Unified Modeling Language

UTM Unified Threat Management

VPN Virtual Private Network

XML Extensible Markup Language

XMPP Extensible Messaging and Presence Protocol

Словарь терминов

1. Протокол передачи данных (протокол): стандартизованный набор соглашений интерфейса логического уровня распределенной системы, которые определяют обмен данными между компонентами этой системы.

2. Туннелирование протоколов: инкапсуляция в сообщения одного протокола некоторого уровня коммуникационной модели 081. сообщений другого протокола, относящегося к тому же уровню, либо к уровню ниже.

3. Лексикографическая модель: абстрактное описание составных частей и правил формирования лексического аппарата некоторого формального или естественного языка.

4. Аналитическая модель: математическая модель, предлагающая замкнутое относительно формального описания системы решение некоторой задачи в этой системе.

5. Аналитическая грамматика (распознающая грамматика): аналитическая модель для задачи распознавания цепочек языка, обычно представляемая в виде набора решающих правил.

6. Выразительная мощность аналитической модели: сравнительная характеристика аналитических моделей, описывающая возможность некоторой аналитической модели быть примененной для решения задачи распознавания вместо другой модели, мощность которой известна.

7. Потеря эффективности средств защиты: частичная или полная невозможность средств защиты выполнить в полной мере функции по противодействию сетевым атакам.

1. Рудина Е.А. Спецификация сетевых протоколов с использованием декларативного языка описания. / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». СПб.: Изд-во Политехи, ун-та, 2012 г. - № 2, С.69-75.

2. Рудина Е.А. Обобщенное представление сетевых протоколов. / Е.А.Рудина // журнал «Проблемы информационной безопасности. Компьютерные системы». СПб.: Изд-во Политехи, ун-та, 2008 г. - № 4, С.56-60.

3. Рудина Е.А. Контекстно-детерминированная идентификация прикладных протоколов в дампах сетевого трафика. / Е.А.Рудина // Сб.материалов Международной молодежной конференции «Информационные системы и технологии». М., 2012. - С.94-96.

4. Рудина Е.А. Вычислительные сети: лабораторный практикум / С.С. Корт, Е.А. Рудина. -СПб.: Изд-во Политехи, ун-та, 2011. 188 с.

5. Рудина Е.А. Поиск вариаций в полях сетевых пакетов по декларативному описанию протоколов. / A.B. Шумов, Е.А.Рудина // Сб.Материалов «XXXVIII Недели науки СПбГПУ», СПб.: Изд-во Политехи, ун-та, 2009 г. С. 171-172.

6. Рудина Е.А. Подход к решению задачи восстановления значений параметров сообщений произвольных сетевых протоколов. / Е.А.Рудина // СПб: Сб.Материалов XI международной конференции «Региональная информатика-2008 (РИ-2008)». СПб.: Изд-во СПИИРАН, 2008 г.

7. Тель Ж. Введение в распределенные алгоритмы // Пер.с анг.В.А.Захарова. М.: МЦНМО, 2009. - 616 с.:ил.

8. Таненбаум Э. Компьютерные сети. СПб.: Питер, 2002. - 848 е.: ил.

9. Free On-line Dictionary of Computing (FOLCDOC) Электронный ресурс. URL:http://foldoc.org/ (дата обращения 27.10.2012).

10. ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. / М., Госстандарт России. -М.: Стандартинформ, 2006.

11. Davidson J. An Introduction to TCP/IP. Springer-Verlag, 1988.

12. Олифер В., Олифер Н. Транспортная подсистема неоднородных сетей. Учебное пособие Электронный ресурс. URL: http://citforum.ru/nets/tpns/contents.shtml (дата обращения 27.10.2012).

13. Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей: серия «Мастер». -СПб.: «БХВ Санкт-Петербург», 2000.

14. Таненбаум Э, Стеен М. Распределенные системы. Принципы и парадигмы. СПб: Питер, 2003.-877 с.:ил.

15. I2P // Официальный сайт I2P ANONYMOUS NETWORK / URL: http://www.i2p2.de/.

16. KaZaa // Официальный сайт KaZaa / URL: http://kazaa.com (дата обращения 27.10.2012).

17. The-gdf.org: сайт. URL:http://www.the-gdf.org/ (дата обращения 27.10.2012).

18. Bitcoin Р2Р Digital Currency // Официальный сайт Bitcoin / URL: http://bitcoin.org/ (дата обращения 27.10.2012).

19. Brinkhoff L. GNU httptunnel: сайт. URL: http://www.nocrew.org/software/httptunnel.html^aTa обращения 27.10.2012).

20. Mills R. The Linux Academy HTTP Tunnel: сайт. URL: http://the-linux-academy.co.uk/downloads.htm^aTa обращения 27.10.2012).

21. Fire-drill.com Сайт. URL: http://www.fire-drill.com/ (дата обращения 27.10.2012).25. iodine by Kryo Сайт. URL: http://code.kryo.se/iodine/ (дата обращения 27.10.2012).

22. NSTX tunneling network-packets over DNS - Summary: сайт. URL: http://savannah.nongnu.org/projects/nstx/ (дата обращения 30.10.2012).

23. Dnstunnel.de: сайт. URL: http://dnstunnel.de/ (дата обращения 30.10.2012).

24. Daniel S. Ping Tunnel: сайт. URL: http://www.cs.uit.no/~daniels/PingTunnel/ (дата обращения 30.10.2012).

25. Hans IP over ICMP: сайт. URL: http://code.gerade.org/hans/ (дата обращения 30.10.2012).

26. P. Saint-Andre. Extensible Messaging and Presence Protocol (XMPP): Core. Электронный документ. Internet Engineering Task Force (IETF), 2011 r. URL: http://xmpp.org/rfcs/rfc6120.html (дата обращения 30.10.2012).

27. XMPP-related RFCs: сайт.URL: http://xmpp.org/xmpp-protocols/rfcs/ (дата обращения 30.10.2012).

28. XMPP Extensions: сайт. URL: http://xmpp.org/xmpp-protocols/xmpp-extensions/ (дата обращения 30.10.2012).

29. Google Play: сайт. URL: https://play.google.com/intl/ru/about/ (дата обращения 30.10.2012).

30. VNCVIAXMPP. XMPP tunnel between VNC client and VNC server in Java: сайт. URL: http://c0de.g00gle.c0m/p/vncviaxmpp/ (дата обращения 30.10.2012).

31. Github. jahrome / xmpp-tunnel: сайт. URL: https://github.com/jahrome/xmpp-tunnel/ (дата обращения 30.10.2012).

32. XMPP Standards Foundation: сайт. URL: http://xmpp.org/about-xmpp/ (дата обращения 30.10.2012).

33. Paterson I., Saint-Andre P. XEP-0206: XMPP Over BOSH. Draft standard. Version 1.3: Электронный документ. XMPP Standards Foundation, 2010. URL: http://xmpp.org/extensions/xep-0206.html (дата обращения 30.10.2012).

34. Paxson V. Empirically derived analytic models of wide-area TCP connections. //IEEE/ACM Transactions on Networking, vol. 2, no. 4, pp. 316-336, 1994.

35. Dewes C., Wichmann A., Feldmann A. An analysis of Internet chat systems. //ACM/SIGCOMM Internet Measurement Conference 2003, Miami, Florida, USA, October 2003.

36. Lang Т., Armitage G., Branch P., Choo H.-Y. A synthetic traffic model for Half-life. //Proceedings of Australian Telecommunications Networks and Applications Conference 2003 ATNAC2003, Melbourne, Australia, December 2003.

37. Lang Т., Branch P., Armitage G. A synthetic traffic model for Quake 3. //Proceedings of ACM SIGCHI International Conference on Advances in computer entertainment technology (ACE2004). Singapore, 2004.

38. Dusi М., Crotti М., Gringoli F., Salgarelli L. Detection of Encrypted Tunnels across Network Boundaries // In Proceedings of the 43 th IEEE International Conference on Communications (ICC 2008). Beijing (China), May 2008. - pp. 1738-1744.

39. Dusi M., Crotti M., Este A., Gringoli F., Salgarelli L. Statistical Mechanisms Applied to the Classification of Tunneled and Encrypted Network Traffic. Fridericiana Editrice Universitaria, Italy, 2009. - pp. 87-103

40. Dusi M., Crotti M., Gringoli F., Salgarelli L. Tunnel Hunter: Detecting Application-Layer Tunnels with Statistical Fingerprinting. Elsevier Computer Networks (COMNET), 2009. -No 1, Vol.53, pp. 81-97.

41. Mujtaba.J, Parish D.J. Detection of Tunnelled Applications Using Packet Size Distributions. ISBN: 978-1-902560-22-9 PGNet, 2009.

42. Borders K., Prakash A., Web tap: detecting covert web traffic // in: CCS'04: Proceedings of the 11th ACM conference on Computer and Communications Security, Washington DC, USA, 2004.-pp. 110-120.

43. Bissias G., Liberatore M., Jensen D., Levine B. N. Privacy Vulnerabilities in Encrypted HTTP Streams // Proc. Privacy Enhancing Technologies Workshop (PET 2005). -Dubrovnik, Croatia, 2005.

44. Risso F., Baldi M., Morandi O., Baldini A., Monclus P. Lightweight, Payload-Based Traffic Classification: An Experimental Evaluation / Risso F., Baldi M., Morandi O., Baldini A., Monclus P. //IEEE International Conference on Communications. 2008.

45. Котенко И.В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам / Котенко И.В. // Искусственный интеллект-2002. Материалы научно-технической конференции. Том.1. Таганрог: Изд-во ТРТУ, 2002.

46. Котенко И.В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам / Котенко И.В. // Международный научно-теоретический журнал "Искусственный интеллект". № 3, 2002.

47. Стивене Р. Протоколы TCP/IP. Практическое руководство. СПб: BHV, 2003.

48. The Point-to-Point Protocol (РРР). Request for Comments 1661: электронный документ. URL: http://www.ietf.org/rfc/rfcl661.txt (дата обращения 01.11.2011).

49. РРР LCP Extensions. Request for Comments 1570: электронный документ. URL: http://www.ietf.org/rfc/rfcl570.txt (дата обращения 01.11.2011).

50. Transmission control protocol. Request for Comments 793: электронный документ. URL: http://tools.ietf.org/html/rfc793 (дата обращения 01.11.2011).

51. Simple Mail Transfer Protocol. Request for Comments 5321: электронный документ. URL: http://tools.ietf.org/html/rfc5321/ (дата обращения 01.11.2011).

52. Джеймс Питерсон Теория сетей Петри и моделирование систем: Пер. с англ. М.:Мир, 1984.-264 е., ил.

53. David Н. Message Sequence Charts. Faculty of Mathematics and Computer Science, The Weizmann Institute of Science, 2003.

54. Documents associated with UML Version 2.4.1: сайт. URL: http://www.0mg.0rg/spec/UML/2.4.l/ (дата обращения 01.11.2011).

55. UML® Resource Page: сайт. URL: http://www.uml.org/ (дата обращения 01.11.2011).

56. JADE SDL Editor: сайт. URL: http://homepages.dcc.ufmg.br/~coelho/jade.html (дата обращения 01.11.2011).

57. SDL Integrated Tool Environment (SITE): сайт. URL: http://www2.informatik.hu-berlin.de/SITE/site.html.en (дата обращения 01.11.2011).

58. On-the-fly, ltl model checking with Spin): сайт. URL: http://spinroot.com/spin/whatispin.html (дата обращения 01.11.2011).

59. Chung-Ming Huang et al. An Estelle interpreter for incremental protocol verification // International Conference on Network Protocols Proceedings. IEEE CONFERENCE PUBLICATIONS, 1993.

60. Burgy L., Reveiller L., Lawall J., Muller G. Zebu: A Language-Based Approach for Network Protocol Message Processing // IEEE Transactions on Software Engineering. IEEE Computer Society, 2011.

61. LOTOS A formal description technique based on the temporal ordering of observational behavior // ISO 8807:1989. Information processing systems. Open Systems Interconnection, 1989.

62. A.Axo, Дж.Ульман. Теория синтаксического анализа, перевода и компиляции. Пер. с англ.-М.:Мир, 1978. Т.1, 612 е., ил.

63. Белоусов С.Б., Ткачев А.И. Дискретная математика. Под ред. д.т.н., проф. Зарубина B.C., д.ф.-м.н. Крищенко А.П. М: Издательство МГТУ им. Баумана, 2004.

64. Карпов Ю.Г. Теория и технология программирования. Основы построения трансляторов. СПб: БХВПетербург, 2005.

65. XML RPC. Simple cross-platform distributed computing, based on the standards of the Internet: сайт. URL: http://xmlrpc.scripfing.com/default.html (дата обращения 30.10.2012).

66. Simple Object Access Protocol (SOAP) 1.2: электронный документ.World Wide Web Consortium (W3C), 2004 r. URL: http://www.w3.org/TR/soap/ (дата обращения 30.10.2012).

67. Cohen В. The BitTorrent Protocol Specification.: электронный документ.2009. URL: http://www.bittorrent.org/beps/bep0003.html (дата обращения 30.10.2012).

68. QT Online Reference Documentation. Nokia, 2012: сайт. URL: http://doc.qt.nokia.com/ (дата обращения 05.07.2012).

69. Tcpdump&libpcap: сайт. URL: http://www.tcpdump.org/ (дата обращения 30.10.2012).

70. Bison GNU parser generator: сайт. URL: http://www.gnu.org/software/bison/ (дата обращения 30.10.2012).84. flex: The Fast Lexical Analyzer: сайт. URL: http://flex.sourceforge.net/ (дата обращения 30.10.2012).

71. The netfilter.org project: сайт. URL: http://www.netfilter.org/ (дата обращения 30.10.2012).

72. Common Vulnerabilities and Exposures. The Standard for Information Security Vulnerabilities Names. CVE-2008-4321 (under review): сайт. URL:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4321 (дата обращения 30.10.2012).

73. FlashGet 1.9 (FTP PWD Response) Remote BOF Exploit PoC Oday: сайт. URL: http://cxsecurity.com/issue/WLB-2008100094 (дата обращения 30.10.2012).

74. Snort::snort.rules: сайт. Sourcefire, Inc. 2010 r. URL: http://www.snort.org/snort-rules/? (дата обращения 30.10.2012).

75. Список иллюстративного материала

76. Рисунок 1 Обход средств защиты при помощи туннелирования протоколов.6

77. Рисунок 2 Алгоритм синтаксического разбора сообщения.10

78. Рисунок 3 Алгоритм обработки контекста.11

79. Рисунок 4 Интеграция синтаксического анализатора трафика с межсетевымэкраном для повышения эффективности защиты.12

80. Рисунок 5 Оценка повышения эффективности МЭ при обнаружении ипредотвращении НТТР-туннелирования различных протоколов.13

81. Рисунок 6 Зависимость повышения эффективности МЭ от вида туннелирования. 14

82. Рисунок 7 -Общая схема взаимодействия через туннель.16

83. Рисунок 8 Автомат состояний протокола SMTP.27