С.В. Перышкин1, М.С. Жданова, Ю.А. Чернышев Национальный
advertisement
С.В. ПЕРЫШКИН1, М.С. ЖДАНОВА, Ю.А. ЧЕРНЫШЕВ Национальный исследовательский ядерный университет «МИФИ» 1 ООО «Лаборатория сетевых технологий» (ООО «ЛСТ»), Москва ИССЛЕДОВАНИЕ СЕТЕВОГО ТРАФИКА СЕТЕВЫХ ОБЪЕКТОВ С ЦЕЛЬЮ ПРОФИЛИРОВАНИЯ ИХ ПОВЕДЕНИЯ В Лаборатории сетевых технологий ведется разработка методов и программных средств анализа поведения сетевых объектов инфраструктур ИТ. Тестирование алгоритмов и программных модулей проводилось на базе сетевой инфраструктуры НИЯУ МИФИ. Экспериментальное наблюдение сегмента сети университета, содержащего web-портал, подтвердило предположение о наличии областей трафика схожего характера. Оценка степени самоподобия для выделенных фрагментов трафика оказалась отличной от оценки для общего потока трафика. Профилирование поведения публичных сетевых ресурсов (web порталы, онлайновые системы обучения, системы удаленного доступа к оборудованию и др.), помогает решать задачи диспетчеризации и планирования загрузки, контроля качества эксплуатации и предотвращения вторжений. В ходе НИОКР по разработке методов профилирования поведения сетевых объектов было замечено, что чаще всего их трафик имеет повторяющиеся области схожего характера (оцененного по значениям сетевых параметров). Выделяя из общего сетевого потока такие устойчивые фрагменты данных о трафике, можно классифицировать сетевые взаимодействия как регулярные и нерегулярные, а их участников как интенсивных, малоактивных и средних. Кроме того, группировка фрагментов трафика позволила бы локализовать аномалии поведения на ранних стадиях анализа, уменьшить объем подаваемых на вход алгоритмам профилирования данных, повысить наглядность профиля поведения. Различными исследованиями было подтверждено, что трафик телекоммуникационных сетей с коммутацией пакетов обладает свойством самоподобия (подобия трафика как процесса части себя самого). Одним из условий самоподобия является стационарность процесса [2]. Также для таких процессов характерно возникновение долговременной зависимости – персистентности. Для предварительной качественной оценки целесообразности выделения в данных о трафике областей подобия, достаточно сравнения его расчетной стационарности или персистентности. Оценить её можно при помощи расчета степени самоподобия трафика. Был проведен эксперимент, в ходе которого различные методы оценки самоподобия были опробованы на реализациях трафика университетского портала и на примерах выделенных фрагментов этого потока [1]. В качестве показателя для оценки была выбрана экспонента Херста. Коэффициент рассчитывался разными способами: нормированного размаха (R/S статистики), агрегированной дисперсии (анализа дисперсии), использовались оценки Виттла и Эбри-Вейча [2]. Захват и обработка трафика осуществлялась посредством подсистемы сбора данных разрабатываемого программного комплекса «ЛОКАТОР БЕЗОПАСНОСТИ» [3]. Были изучены распределения основных параметров трафика портала. Визуальная оценка позволяет сделать вывод, что большинство параметров подчиняется распределению с «тяжелым хвостом». График автокорреляции демонстрирует отчетливую периодическую структуру и слабое затухание, что также показывает наличие долговременной зависимости в тестовых данных. Наилучшая оценка самоподобия получена для фрагмента трафика, определенного по сочетанию адресных и временных показателей, и соответствует границам порога «долгосрочной зависимости». При этом оценка исходного трафика по многим параметрам ниже этого порога. Таким образом, можно сделать вывод, что в общем потоке трафика по диапазонам значений ключевых его параметров и их сочетаний выделяются устойчивые фрагменты, обладающие высокой степенью стационарности. Следует отметить, что худший результат не принадлежит общему исходному потоку, то есть разбиение трафика позволяет получить как более прогнозируемые фрагменты, так и не обладающие выраженным самоподобием. Список литературы 1. Выделение устойчивых фрагментов сетевого трафика и оценка их стационарности для системы анализа поведения сетей/Перышкин С.В.// Вопросы защиты информации. 2010. №3. с. 42-49. 2. Шелухин О. И., Тенякшев А. М., Осин А. В. Фрактальные процессы в телекоммуникациях: Монография / Под ред. О. И. Шелухина. - М.: Радиотехника, 2003. -480 с. 3. Оптимизация ПО "Локатор безопасности" и повышение эффективности выявления аномальных состояний компьютерной сети: Отчет о НИР (заключит.)/ООО "ЛСТ"/Рук.: Гученко А. П., Дружинин Е. Л.; исполн.: Жданова М. С., Перышкин С. В. -М., 2008. -231 с. № ГР 01200704951; Инв. № 02200803342.
