3. Описание лабораторного стенда

   1. Описание интерфейса программы

Интерфейс программы представлен на Рисунке. Окно интерфейса условно разбито на 2 части: «Настройка» и «Результат работы».

Рисунок 7 - Интерфейс лабораторного стенда

Область «Настройка программы» содержит три пункта: «Режим работы», «Трафик» и «Сохранить отчет».

Пункт «Режим работы» позволяет выбрать один из двух режимов функционирования лабораторного стенда. В учебном режиме пользователь может просмотреть все сигнатуры, которые доступны в данной версии приложения, и выбрать только одну из них (Рисунок).

Рисунок 8. Учебный режим. Доступные сигнатуры

«Рабочий режим» запускает все сигнатуры из списка по очереди в автоматическом режиме.

В пункте «Трафик» также можно выбрать только один подпункт.

«Анализ в режиме реального времени» запускает анализатор трафика WinDump, который отлавливает количество пакетов, заданных пользователем (по умолчанию составляет 3000 пакетов, Рисунок). Вначале пользователь должен выбрать путь к приложению WinDump.exe, после чего отобразятся все доступные сетевые интерфейсы. Необходимо выбрать тот, который будет прослушан (по умолчанию выбран первый). Когда сетевой интерфейс выбран, вводится количество пакетов и нажимается кнопка «Сбор трафика». Если сбор трафика занимает более двух минут, то происходит автоматическое завершение данного процесса (рекомендуется выбрать другой сетевой интерфейс или уменьшить количество захватываемых пакетов).

Рисунок 9. Анализ трафика в режиме реального времени

«Тестовый набор» позволяет выбрать файл с заранее сформированным трафиком для последующего анализа (Рисунок). Содержание тестового файла подробно изложено в подпункте «Описание входных данных» раздела «Программная реализация».

Рисунок 10. Опция "Тестовый набор (из файла)"

При выборе «Сохранить отчет» информация об атаке заносится в файл. Содержание данного файла подробно изложено в подпункте «Описание выходных данных» раздела «Программная реализация». Если не активировать данную опцию, то информация о возможных вторжениях будет выводиться только в область «Результат работы программы».

После определения настроек работы лабораторного стенда необходимо нажать кнопку «Сбор трафика».

Результаты работы отобразятся в правой области интерфейса лабораторного стенда.

Рисунок 11. Результат работы лабораторного стенда

В поле «Отчетные данные» вначале показаны все промежуточные этапы работы лабораторного стенда: от определения IP-адреса персонального компьютера, на котором запущен лабораторный стенд, до запуска сигнатуры. После этой информации идет заключение о наличии или отсутствии признаков вторжения. Например, при анализе файла C:\Users\Anna\Desktop\tcp_scan.txt заключение выглядит следующим образом:

ВОЗМОЖНА АТАКА (TCP - сканирование)

Сканирование портов c 10:33:3.304621 до 10:33:20.518550

Количество просмотренных пакетов = 23

==========================================

==========================================

Статистика:

1. Порт - 110 Кол-во обращений = 2

2. Порт - 111 Кол-во обращений = 1

3. Порт - 143 Кол-во обращений = 2

4. Порт - 199 Кол-во обращений = 1

5. Порт - 256 Кол-во обращений = 1

6. Порт - 443 Кол-во обращений = 3

7. Порт - 554 Кол-во обращений = 2

8. Порт - 995 Кол-во обращений = 1

9. Порт - 1025 Кол-во обращений = 2

10. Порт - 1723 Кол-во обращений = 1

11. Порт - 3389 Кол-во обращений = 2

12. Порт - 5900 Кол-во обращений = 2

13. Порт - 8888 Кол-во обращений = 2

==========================================

В поле «Описание сигнатуры (атаки)» приводится характеристика вторжения, возможные потери от его реализации, а так же кратко описан способ обнаружения данной атаки. Более подробно об алгоритмах обнаружения вторжений описано в пункте «Сигнатуры атак» раздела «Программная реализация».