НЕКОТОРЫЕ ПРЕДВАРИТЕЛЬНЫЕ РЕЗУЛЬТАТЫ АНАЛИЗА ОБЩЕГО ТРАФИКА И ТРАФИКА ПО ОСНОВНЫМ ПРОТОКОЛАМ СЕТИ MSUNet А.А.Макаров, Н.Л.Ковба, А.Ф.Слепухин Московский государственный университет им. М.В.Ломоносова, Москва Тел.: (095) 939-53-06, e-mail: [email protected] На протяжении последних пяти лет в Центре телекоммуникаций и технологий Интернет МГУ им. М.В.Ломоносова проводятся работы по мониторингу компьютерных сетей, построению баз данных для соответствующей информации и разработке различных подходов к анализу сетевой статистики. Результаты этих работ неоднократно докладывались на различных конференциях /1,4/ и опубликованы в монографиях /2,3/. Настоящая работа посвящена исследованиям общего трафика и трафиков по основным сетевым протоколам (WWW, FTP, SMTP, DNS) внешнего входа и выхода сети MSUNet. Эти работы проходили в рамках разработки статистических подходов и методик обнаружения несанкционированных действий в сетях и выяснения основных характеристик трафиков по различным протоколам. Исходными данными для анализа являлись результаты регистрации числа пакетов и общего объема переданных данных в Кбит за каждые пять минут как по общему трафику входа и выхода сети MSUNet на один из зарубежных каналов (канальный провайдер РОСТЕЛЕКОМ), так и по отдельным протоколам. Данные фиксировались программой NetFlow и сохранялись в специально разработанной базе данных. В ходе исследования рассматривались следующие задачи: Выяснение распределения среднего размера пакета по различным протоколам и устойчивости этого распределения во времени. Определение распределения общего трафика по различным протоколам и выяснения характерных флуктуаций этих характеристик. Выяснение корреляционных связей между трафиками основных протоколов и общим трафиком. Построение стохастических моделей общего пятиминутного трафика и трафиков по основным протоколам и выяснения устойчивости этих моделей. Некоторые предварительные результаты работы в перечисленных выше направлениях могут быть сформулированы следующим образом. Общая среднесуточная загрузка входа и выхода сети MSUNet находится на уровне 60-80% емкости канала. Около 50% общего трафика формируется за счет протокола WWW. Трафик по протоколу FTP составляет около 15% от общего трафика, трафик протокола SMTP – 5%. Пятиминутный трафик по протоколам WWW и FTP неплохо описывается моделями авторегрессии 4-6 порядков. Коэффициенты этих моделей довольно устойчивы в различные дни. Для протокола WWW характерны максимальные значения коэффициентов авторегрессии на первой и второй задержке. С увеличением задержки значения коэффициентов авторегрессии уменьшаются и становятся незначимыми на четвертой-пятой задержке. Другими словами в протоколе WWW преобладают 5-ти и 10-минутные сеансы передачи данных. Для протокола FTP максимальные значения коэффициентов авторегрессии наблюдаются обычно на 3-5 задержках. Это соответствует более длинным сеансам связи, порядка 15-25 минут. Поведение общего трафика также можно описать моделью авторегрессии 5-6 порядка. Однако в зависимости от изменения долей, которые составляют в общем трафике протоколы WWW и FTP, можно выделить два набора характерных коэффициентов в этой модели в зависимости от соотношения долей протоколов WWW и FTP в суммарном трафике. Литература 1. Васенин В.А., Макаров А.А. Проблемы и методики анализа трафика телекоммуникационных компьютерных сетей. Тез. докл. Международной научнопрактической конференции, Новосибирск, 1997 - с.173. 2. Васенин В.А. Российские академические сети и Internet. - М:, из-во РЭФИА, 1997 - 173 с. 3. Тюрин Ю.Н., Макаров А.А. Статистический анализ данных на компьютере. Изд. 2-е перераб. и доп. - М.: ИНФРА-М, 1998. - 528 c. 4. Васенин В.А., Макаров А.А. Статистические модели трафика телекоммуникационных компьютерных сетей и их использование. Тез. докл. Всероссийской научнометодической конференции "Телематика-97", С.-Петербург, 1997.