Collaborative design of packet filter with traffic analyzer tool

Abstract

Abstract: As computer systems and networks become essential in our daily work life and leisure time, this produce huge amount of data communications these communications need to be controlled specially in organizations which depend mainly on networks to do their operations. By controlling networks we mean control traffic inside networks and between networks, two popular security tools use to do this Packet Filter (PF) and Traffic Analyzer (TA). In our project we try to study collaborative design between two traffic control tools to provide more security and traffic control facilities for networks administrators. So in our thesis we make concatenation between two security systems or tools Packet Filter (PF) and Traffic analyzer (TA). Packet filter use to filter in and out traffic based on control information reside in each IP datagram such as source IP address or destination IP address or port number. Then determine to pass or to block traffic based on rules defined by network administrator. Traffic analyzer is security tool that use the same control fields that used by packet filter in datagram to collect statistics and apply statistical measurement such central tendency measures like mean, median, mode or spread measures like variance or standard deviation to draw usage pattern for all network users and detect intrusion which is our thesis pivot and we can use this statistics improve network performance which is not our concern here. So we want to solve how we can make filtering and analysis of traffic at the same time. So we implement simple packet filter and simple traffic analyzer with small set of statistical functions using C programming language. In our thesis we test interaction between those two security tools packet filter and traffic analyzer to provide more security system for organizations. And to provide security tool that look at security problem from different sides, but we must master cross-purposing and contradictions.

المستخلص: يعتبر أمن المعلومات على رأس الهرم بالنسبه كثير من المؤسسات التى تعتمد على الانظمه الالكترونيه فى إدارة عملياتها, ولحماية معلوماتها الماليه او معلومات الافراد أو غيرها من المعلومات التى لو كشفت من الممكن ان تؤثر على وضع المؤسسه . لمراقبه استخدام الشبكه ومنع الاستخدام الخاطئ للموارد فى نفس الوقت هى المشكله التى تواجه معظم مديرى الشبكات التى تحتاج للترشيح والتحليل . لذا فى هذه الرساله قمنا بدمج بين أداتين تستخدمان فى أمن المعلومات وهم مرشح البيانات (Packet filter) ومحلل البيانات (Traffic analyzer) وهما تستخدمان فى حماية البيانات وموارد الشبكات . الأداة الاولى ألا وهى مرشح البيانات (Packet Filter) وهو الذى يقوم بعملية تنقيح البيانات بناءاً على بعض المعلومات التى تكون موجوده فى وحدة ارسال البيانات والتى تعرف بال(Datagram) وهى معلومات تسخدمها اجهزة ربط الشبكات فى توصيل البيانات من المرسل الى جهة الوصول النهائيه المستقبل . وبناءاً على تلك البيانات يقوم المرشح بمنع او السماح الى بعض البيانات من ان تمر من داخل الشبكه الى الخارج او من خارج الشبكه الى الداخل وفقاً لقواعد معين من مدير الشبكه ومستنداً فى التمييز على حقول توصيل البيانات فى حده البيانات (Datagram) من عنوان المرسل (Source IP address) أو عنوان المستقبل (Destination IP address) اوحقل عنوان الخدمه (Service point address or port number) . الأداة الثانيه وهى محلل البيانات (Traffic Analyzer) وهويستخدم نفس الحقول التى يستخدمها مرشح البيانات(Packet Filter) إلا أنه يقوم بجمع إحصائيات لكم البيانات الداخل والخارج وبمساعدة بعض الدوال الاحصائيه يقوم بإعطاء تقرير يصف الاستخدام لجميع المستخدمين لموارد الشبكه وهذا التقرير يستخدم فى أمن المعلومات لكشف الاختراقات وهومحور اهتمامنا فى هذه الرسالة كما يستخدم أيضا فى تطوير أداء الشبكه وهذا ليس محور اهتمامنا فى هذه الرساله. و قمنا بتصميم نموذج بسيط لمرشح البيانات(Packet Filter) ونموذج بسيط آخر لمحلل البيانات(Traffic Analyzer) مع بعض الدوال الاحصائيه البسيطه لمقايس النزعه المركزيه مثل المتوسط والوسيط والمنوال وبعض مقايس التشتت مثل التباين والانحراف المعيارى والدمج بينهما باستخدام لغة البرمجه C . من هذه الرساله نصل الى ان دمج اكثر من أداة فى حماية البيانات أو أمن المعلومات يوفر حمايه اكبر من كل أداه على حده كما أننا نظر الى مشكلة تأمين البيانات وموارد الشبكه من عدة جوانب مما يزيد سيطرت مدير الشبكه عليها ولكن ينبغى ان نكون دقيقين حتى لا يكون هنالك تضاد بين الادواة المختلفه