Выявление и предупреждение аномального трафика


Количество взломов сетей (включая телефонные) и краж трафика у операторов и их клиентов в последние годы резко возросло. Подозрительный трафик в сети это уже не абстрактная угроза, а реальная практика, все чаще встречающаяся и среди наших клиентов! Компания "Т-софт" вынуждена реагировать на случаи несанкционированного доступа к сетям операторов связи, их партнеров и абонентов, а также взломов корпоративных IP-PBX/ PBX и другого оборудования. Имея колоссальный опыт в области биллинга, мы предложили свое собственное решение - "Систему выявления аномального трафика" (СВАТ). За рубежом подобные системы называются Suspect Traffic Detection System (STDS), а часто подобные системы называют антифрод-системами. Как минимум, эти системы позволяют значительно снизить ряд рисков и угроз и с большой вероятностью распознать аномальный или подозрительный трафик.

На наш взгляд аппаратные и софтверные решения, в которых используются протоколы технологии VoIP и/или SIP, подвергаются атакам злоумышленников особенно часто. Ряд компаний зачастую не соблюдает даже простые нормы и меры безопасности, применяя стандартные решения, типовые, а зачастую и упрощенных настройки, рекомендуемые в сети.

Аномальный (подозрительный) трафик выявляется чаще всего несвоевременно, особенно у операторов использующих Off-Line биллинговую систему и проводящих биллинговую компанию в конце отчетного периода. В ручном режиме своевременно выявить угрозу возможно, но только в принципе.

К сожалению, без использования сложных и нередко дорогостоящих аппаратно-программных комплексов выявить подозрительный трафик практически не реально.

В 2009 году "T-soft" по заказу одной из самых известных телекоммуникационных компаний России впервые на практике разработал и применил решение по выявлению отклонений в телефонном трафике. В СВАТ был разработан и реализован собственный алгоритм анализа, предназначенный для автоматического контроля трафика и его стоимости в режиме реального времени. На основе этого сложного и уникального алгоритма обработки практически любого вида трафика и его последующего анализа с высочайшей скоростью по произвольным (настраиваемым клиентом) выборкам обработанных ранее в АСР логов (CDR) СВАТ может анализировать и оповещать обслуживающий персонал об опасных отклонениях. Персонал оператора должен принять окончательное решение, подозрительный это или же аномальный трафик?

Подозрительный трафик может быть инициирован по самым разным причинам, причем не только злоумышленниками. Не редки случаи, инициированные собственным персоналом или отказом оборудования, или его неверными настройками. К сожалению, участились случаи взлома со стороны легально зарегистрированных клиентов (юридических и физических лиц) - заранее и со злым умыслом. Для многих систем защиты основные параметры такого клиента (абонента) являются легитимными, что усложняет методы борьбы с ними. Из-за грубых ошибок персонала оператора, чаще не преднамеренных, например, при выборе и/или настройках тарифных планов), в системе так же может появиться аномальный трафик.

В идеальном случае СВАТ автоматически производит отключение подозрительного направления. Аномальный трафик, зафиксированный СВАТ, может быть прерван отключением соответствующих абонентов (EXT/PIN-кодов/направлений и т.п.) по согласованному алгоритму. Реализация таких функций возможна для большинства SoftSwitch-решений и для некоторых типов PBX (Avaya и ряд др.). Пример практической реализации такой схемы представлен на Рисунке 1.

Выявление аномального трафика в АСР CombiBilling





К сожалению, возможность реализации этого варианта (являющегося очевидно более предпочтительным) зависит от типа применяемого оборудования и др. нюансов, и не является типовым случаем.

В базовом варианте алгоритм взаимодействия более простой:

Подозрительный трафик вызывает реакцию СВАТ - на указанные в системе адреса E-mail и/или телефонов отправляются E-MAIL и/или SMS уведомления. Возможна отправка SMS уведомлений через автономный GSM-терминал (модем) и с помощью стандартных платных SMS-сервисов. Оповещенный компетентный сотрудник оператора может оперативно принять решение.


© 1998—2011 ООО "Компания Т-софт". Все права защищены. CombiBilling™ зарегистрированная торговая марка.
Все упомянутые на страницах торговые знаки и торговые марки являются собственностью их законных владельцев.