Мониторинг аномалий в мультисервисных сетях

Размещено на http://www.allbest.ru/

Автореферат

диссертации на соискание степени

магистра техники и технологии

Мониторинг аномалий в мультисервисных сетях

210200.68-05б - Информационные технологии

проектирования электронных средств

Орел - 2012

Работа выполнена на кафедре «Электроника, вычислительная техника и информационная безопасность» Учебно-научно-исследовательского института информационных технологий (УНИИ ИТ).

Научный руководитель:

к.т.н., профессор

Лобанова В.А.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

мониторинг мультисервисный сеть

Актуальность проблемы. В настоящее время нет ни одной области человеческой деятельности, которая не использовала бы возможности современных информационных технологий (ИТ) на базе телекоммуникаций. Сегодня мы являемся свидетелями стремительного развития мультисервисных сетей передачи данных (СПД), выполняющих обработку и передачу всех типов данных и информации, доступ к которым можно получить в любой точке мира.

Функционирование такой сложной системы обеспечивает система управления сетью, которая выполняет полный и непрерывный контроль за всеми элементами сети, своевременное обнаружение ошибок, неисправностей, сбоев и отказов оборудования, программного обеспечения, управление конфигурациями сетевых узлов, резервное копирование и восстановление всех элементов сети, управление сетевым трафиком и политикой безопасности.

С ростом размеров и топологии сети усложняется задача управления всеми процессами. Традиционный подход основан на наблюдении за сетью и сборе информации (этот процесс называется мониторингом сети). В случае сложной сети трактовка результатов наблюдения - это задача для специалиста-эксперта по сетевому управлению. Таким образом, администратор современной СПД должен вовремя и в полном объеме получать информацию о состоянии сети и происходящих в ней процессах.

В связи с этим, поиск эффективных моделей и алгоритмов диагностики и мониторинга аномальных состояний в работе СПД, являющихся следствием технических или технологических сбоев, отказов и неисправностей, в настоящее время является актуальной научно-технической задачей.

Цель работы. Повышение эффективности средств мониторинга аномалий сети передачи данных за счет создания моделей, алгоритмов поддержки профессиональной деятельности специалистов-руководителей в области сетевого управления.

Задачи исследования:

- проведение анализа основных видов деятельности администраторов СПД по управлению программно-аппаратным комплексом и сетевыми службами;

- проведение анализа существующих методов диагностики сетевых аномалий, являющихся причинами нарушения нормального функционирования сети;

- разработка математических моделей сигнатурного и статистического анализаторов потока пакетов сетевого трафика;

- разработка алгоритмов мониторинга состояния сети передачи данных.

Научная новизна:

- теоретически обоснован комплексный подход к решению задач мониторинга и диагностики СПД;

- исследовано содержание основных видов деятельности должностных лиц, методов и приемов для задач мониторинга и диагностики СПД;

- разработаны математические модели сигнатурного и статистического анализаторов потока пакетов сетевого трафика;

- разработан алгоритм мониторинга состояния сети передачи данных.

Практическая ценность. Разработаны математические модели сигнатурного и статистического анализаторов потока пакетов сетевого трафика, также разработан алгоритм мониторинга состояния сети передачи данных.

Апробация работы. Основные положения работы докладывались на двух Всероссийских научных и научно-технических конференциях, в том числе: на III Международной научно-практической конференции «Моделирование и прогнозирование в управлении: методы и технологии» (Орёл, 2011 г.) и V Международной научно-технической конференции «Информационные технологии в науке, образовании и производстве» (Орёл, 2012).

Публикации. По теме диссертации опубликовано 2 печатные работы (статьи).

Основные положения, выносимые на защиту:

- математические модели сигнатурного и статистического анализаторов потока пакетов сетевого трафика;

- алгоритмическая реализация основных методов и этапов для мониторинга и диагностики СПД.

Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав и заключения, изложенных на ??? страницах, ? приложений и списка использованной литературы (?? наименований).

КРАТКОЕ СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обоснована актуальность темы исследования, сформулирована цель работы, изложены полученные автором основные результаты проведенных исследований, показана их научная новизна, практическая значимость, отражены основные положения, выносимые на защиту.

В первой главе проведен анализ современных систем управления телекоммуникационных сетей, в том числе задач мониторинга, анализа и диагностики сетевых процессов. Описаны 2 этапа процесса контроля работы сети специалистами по сетевому управлению: мониторинг и анализ.

Предложена классификация сетевых аномалий, так как существующие подходы к классификации СА не отражают всех характеристик изучаемого явления и являются ограниченными. Согласно выбранному подходу можно поделить СА на две основные группы: программно-аппаратные отклонения и проблемы безопасности.

Рисунок 1 - Классификация сетевых аномалий

Проведен анализ основных видов деятельности администраторов СПД по управлению программно-аппаратным комплексом и сетевыми службами. Показано, какие задачи входят в критическое множество задач по управлению сетевыми ресурсами и для их решения требуется активное участие специалиста и использование различных (в том числе и компьютерных) систем обеспечения его деятельности.

Проведен анализ методов диагностики СА (сигнатурный, статистический анализ, использование интеллектуальных (экспертных) систем, генетических алгоритмов, нейросетей и др.). На основании сравнительного анализа моделей диагностики СА сделан вывод о целесообразности применения комплексного подхода к решению задач диагностики СПД, включающего статистические методы, в дополнении к применяющимся на практике сигнатурным системам. В заключении главы сформулированы цели и задачи исследования.

Во второй главе приведены теоретические основы и математическое обеспечение мониторинга аномалий и диагностики состояния сети передачи данных.

Определены подходы для обнаружения сигнатур. Приводится механизм функционирования сигнатурного анализатора. Представлена блок-схема алгоритма обнаружения сетевых аномалий. Представлена математическая модель сигнатурного анализатора

Пакеты из сетевой карты телекоммуникационного оборудования поступают в модуль захвата. - сетевой трафик в виде потока пакетов, где n - общее количество пакетов.

База сигнатур - Множество B, объединяющего кластеры типов сигнатур :

где m - количество кластеров сигнатур;

Вj -j-й кластер, являющийся множеством однотипных сигнатур, ;

K - общее количество сигнатур в j-м кластере.

Аномалия считается найденной, если выполняется следствие: . На вход модуля реагирования подается сигнал T, который принимает два значения: «0», если есть совпадение с сигнатурой; «1» - в противном случае.

Также была проведена оценка вычислительной сложности сигнатурного метода.

Из рассмотренных при анализе существующих статистических методов диагностики СА, была выбрана модель на основе анализа среднего значения и среднеквадратичного отклонения параметров сетевого трафика. Выбор этого метода объясняется тем, что он наиболее легко реализуем на практике. Данный метод обнаружения СА основан на сравнении текущих характеристик потока пакетов с усредненными за некоторый промежуток времени (назовем эти характеристики глобальными). Если текущие характеристики значительно отличаются от глобальных, то делается вывод об аномальном поведении потока пакетов и вполне вероятны сбои в работе оборудования, ПО или нарушения политики безопасности.

Для выявления СА в потоке пакетов в качестве статистических характеристик используются:

- локальная характеристика;

- глобальная характеристика, определяемая на этапе настройки и обучения системы.

- установленное пороговое значение.

Вычисление текущих характеристик трафика сети передачи данных. В качестве статистической характеристики потока событий будем использовать среднее арифметическое функции f(X) от величины X

(1)

Для определения текущих характеристик будем вычислять не для всего потока N событий, а только для последних n событий. С этой целью введем понятие весовой функции F(z) (3) и значение текущих характеристик W(N) определим как

(2)

(3)

Выбор этой функции обусловлен тем, что для вычисления W(N) она позволяет получить простые рекуррентные соотношения. Параметр t задает временной интервал, на котором вычисляется W(N). Коэффициент kS введен для нормировки Fs(z).

Учитывая, что величины X1, X2, ..., Xn характеризуют события, происходящие в последовательные временные интервалы t1, t2, ..., tn формула (4) позволяют вычислять текущие характеристики W(N-1), W(N), W(N+1), ... в режиме реального времени, по мере поступления новых пакетов и получения числовых характеристик ХN, ХN+1, ... трафика СПД.

Таким образом, использование весовой функции Fs(z) при вычислении усредненных значений W эквивалентно нахождению среднего значения функции f(X) от n последних элементов в последовательности Х1,Х2, ...,ХN.

Выбор статистических характеристик потока пакетов сети передачи данных. Статистические характеристики потока пакетов СПД задаются видом функции f(X) в выражении (2). Если функция f(X) имеет вид f(X) = X. То значение текущих характеристик

соответствует среднему арифметическому величины X для n последних пакетов сетевого трафика.

Если , то

а это есть начальный выборочный момент порядка m и т.д.

В случае использования критерия согласия , необходимо разбить величину Х на В интервалов

[xmin, xmax)Ўж[x0, x1)[x1, x2)[x2, x3) … [xB-1, xB),

где xmin = x0, xmax = xB

и подсчитать количество попаданий величины X в тот или иной интервал.

Для определения текущих (локальных) характеристик будем учитывать количество попаданий событий в соответствующие интервалы [xmin, xmax) не для всего потока, а только для n последних событий. Локальные характеристики вычисляются по формулам (2) и (3).

Также определены критерии аномального поведения сетевого трафика СПД для статистического анализатора сетевого трафика:

1. Выборочное среднее числовой характеристики X

(4)

2. Выборочная дисперсия

, (5)

3. Статистика

(6)

Признаком появления аномалий в потоке пакетов считается значительное отклонение (например, более 5%) локальных статистических характеристик.

На рисунке 2 представлены графики использования критериев присутствия аномалий в сетевом трафике СПД.

Рисунок 2 - Графики поведения локальных статистических характеристик

Третья глава посвящена разработке структуры, состава и алгоритмической реализации интеллектуальной системы мониторинга сети передачи данных.

В состав системы, представленной на рисунке 3, входят:

- подсистема мониторинга, выполняющая процедуру сбора первичной информации о работе сетевого оборудования и ПО. Источниками информации являются: журналы событий, базы данных управляющей информации (базы MIB) маршрутизаторов, коммутаторов, межсетевых экранов и другого телекоммуникационного оборудования;

- блоки анализаторов, определяющих степень серьезности i-й СА. При проведении сигнатурного анализа осуществляется выявление СА в поступающих данных с помощью поиска соответствующих правил аномального поведения, содержащихся в периодически обновляемой базе сигнатур;

Рисунок 3 - Структурная схема системы мониторинга и диагностики состояния СПД

В данной главе представлена также алгоритмическая реализация подсистемы мониторинга состояния СПД, статистического и сигнатурного анализаторов сетевого трафика. Показаны структура и состав входных данных, используемых для контроля состояния сетевого оборудования и ПО.

В заключении главы изложены особенности программной реализации элементов системы. При разработке подсистемы мониторинга, статистического анализатора необходимо использовать объектно-ориентированный язык программирования для объединения разнородных модулей, в частности модуля сигнатурного анализа системы Snort. Для выполнения сигнатурного анализа сетевого трафика использован блок, реализующий эти функции в системе Snort.

В заключении приводится обобщение основных результатов диссертационной работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

В диссертации разработана, математическое и программное обеспечение интеллектуальной системы для задач мониторинга и диагностики. Получены следующие научные и практические результаты.

1. Проведен анализ существующих методов и приемов поддержки принятия решений для задач управления СПД.

2. Исследованы современные методы диагностики СА (сигнатурный анализ, статистические методы, использование интеллектуальных (экспертных) систем, нейросетей и генетических алгоритмов), определены их достоинства и недостатки. Сделан вывод о необходимости применения комплексного подхода к решению задач диагностики СПД.

3. Проведен анализ основных видов деятельности системных администраторов СПД виде множества задач. Проведено ранжирование задач по степени их важности. Методами математической статистики проведено исследование наличия корреляционных связей между группами задач.

4. Разработаны математические модели сигнатурного и статистического анализаторов потока пакетов сетевого трафика.

5. Определены критерии аномального поведения сетевого трафика.

6. Разработан алгоритм системы мониторинга состояния сети передачи данных, включая саму подсистему мониторинга, статистический и сигнатурный анализаторы сетевого трафика.

Размещено на Allbest.ru