Автоматизированная система мониторинга компьютерной сети

Размещено на http://allbest.ru

Областной центр новых информационных технологий

Тульский государственный университет

Автоматизированная система мониторинга компьютерной сети

Мерцалов Александр Анатольевич

Программист, к.т.н., доцент

г. Тула

Одной из сложнейших задач администрирования крупных корпоративных сетей является отслеживание паразитного трафика, создаваемого компьютерными вирусами, заразившими рабочие станции пользователей.

В Тульском государственном университете система дистанционного обучения (СДО) и контроля знаний основана на web-технологии. Кроме того, СДО активно используется преподавателями ВУЗа и при обучении студентов дневного отделения, применяя большое количество графики, видео и аудио данных.

В связи с этим, возросли нагрузки на локальную сеть и основной сервер СДО, пиковые значения которых приходятся на периоды аттестаций, сдачи зачетов и сессий.

Структурная схема сети

Ситуация осложняется тем, что подавляющее количество компьютеров в сети работают под операционной системой Windows и пользователи зачастую не следят за работой своего компьютера вовремя не обновляя программное обеспечение, в том числе и антивирусные приложения. Кроме того, возможны и умышленные действия пользователей, направленные на снижение работоспособности сети.

Это приводит к тому, что в сети появляется большой объем паразитного трафика, который заметно снижает ее пропускную способность и, как следствие, негативно влияет на качество работы СДО.

Была создана система мониторинга сети, позволяющая минимизировать загрузку сети, поддерживая ее высокую эффективность. Основной проблемой мониторинга является то, что сеть состоит из множества сегментов, разделенных между собой посредством технологии vlan. Система мониторинга состоит из 2-х основных частей. Одна из них отслеживает и анализирует ip-трафик, вторая учитывает интенсивность прохождения пакетов через сетевые интерфейсы свичей (switch) и марштуризаторов. паразитный трафик компьютерный вирус сеть

Для анализа интенсивности прохождения пакетов существует приложение, отслеживающее эту интенсивность на «транковом» интерфейсе одного из свичей.

Примерный среднестатистический нормальный трафик известен, поэтому определить подозрительную активность в сети можно с высокой долей вероятности. В случае обнаружения большого количества пакетов, система проверяет все интерфейсы всех свичей, делая попытку определить интерфейс, к которому подключен загружающий сеть компьютер.

Так же производится попытка определить ip-адрес такого компьютера. Для этого с маршрутизатора зеркалируется весь проходящий через него трафик и направляется на администраторский компьютер для анализа. Как показала практика, анализировать трафик вручную (даже с применением вспомогательных средств мониторинга сети), в данном случае, достаточно сложно, тем более, что в крупной сети делать это необходимо постоянно. Поэтому, для облегчения решения этой задачи, предполагается использовать систему поддержки принятия решений, основанную на лингвистической модели.

Суть в следующем: взаимосвязь между входами (трафиком) X = (x_l,x₂,...,x_n) и выходом (оценкой трафика) у определяется нечеткой базой знаний следующего формата:

где -- лингвистический терм, которым оценивается переменная (признак или совокупность признаков исследуемого трафика) x_i в строке с номером j_p (р = 1,…,k_j); k_j -- количество строк-конъюнкций, в которых выход у оценивается лингвистическим термом (характеристика, данного вида трафика) b_j;

m -- количество термов, используемых для лингвистической оценки выходной переменной у(вывод, является ли трафик паразитным).

Таким образом, нечеткая база знаний представляется как разбиение пространства признаков паразитного трафика на подобласти с размытыми границами, в каждой из которых значение функции отклика рассчитывается как функциональная модель, доопределение которой требует решения задачи параметрической идентификации.

То есть можно было бы систематизировать трафик по классам сетевых приложений и затем с достаточно высокой вероятностью выделять подозрительные потоки данных.

Следует отметить, что работа ряда сетевых приложений (например, таких, как популярное ныне приложение для распределенного скачивания edonkey2000) очень похожа на компьютерный вирус по ряду признаков. Базу знаний для такой системы легко создать в процессе работы, используя в качестве входных данных реальный трафик, часть из которого систематизирована сетевым администратором.

Систематизация производится на основе ряда признаков, присущих, например, компьютерным вирусам.

Таким же образом, возможно использование статистики, собираемой антивирусной программой, обслуживающей почтовый сервер, информации, содержащейся в log-файлах серверов.

Все это позволит в автоматическом режиме определять ip-адреса компьютеров зараженных (как правило) компьютерным вирусом(ми) или целенаправленно пытающихся снизить работоспособность сети.

Литература

1. Мерцалов А.А. Система выявления паразитного трафика в региональной научно-образовательной сети //Всероссийская научно-методическая конференция “Телематика-2005”, Санкт-Петербург, 2005, с. 344-345

2. Мерцалов А.А. Лингвистическая модель в системах поддержки принятия решений // Вестник компьютерных и информационных технологий. Научно-производственный журнал. М., Машиностроение, №6, 2005г с.10 - 13

Annotation

Computer network monitoring system. A.A. Mertsalov

Is presented principle of construction automatized system of computer net monitoring. As the base it's proposed to use integrated system of arrival decisions support realized on the base of the linguistic model. The main idea of the present paper is detection of extraneous traffic generators influencing to capacity for work in the net as a whole.

Размещено на Allbest.ru