НЕКОТОРЫЕ ПРЕДВАРИТЕЛЬНЫЕ РЕЗУЛЬТАТЫ АНАЛИЗА

НЕКОТОРЫЕ ПРЕДВАРИТЕЛЬНЫЕ РЕЗУЛЬТАТЫ АНАЛИЗА ОБЩЕГО ТРАФИКА
И ТРАФИКА ПО ОСНОВНЫМ ПРОТОКОЛАМ СЕТИ MSUNet
А.А.Макаров, Н.Л.Ковба, А.Ф.Слепухин
Московский государственный университет им. М.В.Ломоносова, Москва
Тел.: (095) 939-53-06, e-mail: makarov@makarov.msu.su
На протяжении последних пяти лет в Центре телекоммуникаций и технологий Интернет
МГУ им. М.В.Ломоносова проводятся работы по мониторингу компьютерных сетей,
построению баз данных для соответствующей информации и разработке различных
подходов к анализу сетевой статистики. Результаты этих работ неоднократно
докладывались на различных конференциях /1,4/ и опубликованы в монографиях
/2,3/.
Настоящая работа посвящена исследованиям общего трафика и трафиков по основным
сетевым протоколам (WWW, FTP, SMTP, DNS) внешнего входа и выхода сети MSUNet.
Эти работы проходили в рамках разработки статистических подходов и методик
обнаружения несанкционированных действий в сетях и выяснения основных
характеристик трафиков по различным протоколам.
Исходными данными для анализа являлись результаты регистрации числа пакетов и
общего объема переданных данных в Кбит за каждые пять минут как по общему
трафику входа и выхода сети MSUNet на один из зарубежных каналов (канальный
провайдер РОСТЕЛЕКОМ), так и по отдельным протоколам. Данные фиксировались
программой NetFlow и сохранялись в специально разработанной базе данных.
В ходе исследования рассматривались следующие задачи:
Выяснение распределения среднего размера пакета по различным протоколам и
устойчивости этого распределения во времени.
Определение распределения общего трафика по различным протоколам и выяснения
характерных флуктуаций этих характеристик.
Выяснение корреляционных связей между трафиками основных протоколов и общим
трафиком.
Построение стохастических моделей общего пятиминутного трафика и трафиков по
основным протоколам и выяснения устойчивости этих моделей.
Некоторые предварительные результаты работы в перечисленных выше направлениях
могут быть сформулированы следующим образом. Общая среднесуточная загрузка входа
и выхода сети MSUNet находится на уровне 60-80% емкости канала. Около 50% общего
трафика формируется за счет протокола WWW. Трафик по протоколу FTP составляет
около 15% от общего трафика, трафик протокола SMTP – 5%. Пятиминутный трафик по
протоколам WWW и FTP неплохо описывается моделями авторегрессии 4-6 порядков.
Коэффициенты этих моделей довольно устойчивы в различные дни. Для протокола WWW
характерны максимальные значения коэффициентов авторегрессии на первой и второй
задержке. С увеличением задержки значения коэффициентов авторегрессии
уменьшаются и становятся незначимыми на четвертой-пятой задержке. Другими
словами в протоколе WWW преобладают 5-ти и 10-минутные сеансы передачи данных.
Для протокола FTP максимальные значения коэффициентов авторегрессии наблюдаются
обычно на 3-5 задержках. Это соответствует более длинным сеансам связи, порядка
15-25 минут. Поведение общего трафика также можно описать моделью авторегрессии
5-6 порядка. Однако в зависимости от изменения долей, которые составляют в общем
трафике протоколы WWW и FTP, можно выделить два набора характерных коэффициентов
в этой модели в зависимости от соотношения долей протоколов WWW и FTP в
суммарном трафике.
Литература
1. Васенин В.А., Макаров А.А. Проблемы и методики анализа трафика
телекоммуникационных компьютерных сетей. Тез. докл. Международной научнопрактической конференции, Новосибирск, 1997 - с.173.
2. Васенин В.А. Российские академические сети и Internet. - М:, из-во РЭФИА,
1997 - 173 с.
3. Тюрин Ю.Н., Макаров А.А. Статистический анализ данных на компьютере. Изд. 2-е
перераб. и доп. - М.: ИНФРА-М, 1998. - 528 c.
4. Васенин В.А., Макаров А.А. Статистические модели трафика телекоммуникационных
компьютерных сетей и их использование. Тез. докл. Всероссийской научнометодической конференции "Телематика-97", С.-Петербург, 1997.