Выявление аномальных сетевых состояний и причин их возникновения

Рекомендовано редакционно-издательской
комиссией по фундаментальным наукам

в качестве учебного пособия

САМАРА 2017

УДК СГАУ: 004.9

ББК СГАУ: 32.973-18

И741

Авторы: А.А. Гальцев, Е.С. Сагатов, А.М. Сухов

Рецензенты: д-р техн. наук, проф. С.Б. Попов

д-р физ.-мат. наук, проф. А.Ю. Привалов

В741 Выявление аномальных сетевых состояний и причин их возникновения: учеб. пособие / А.А. Гальцев [и др.] / – Самара: Изд-во Самар. гос. аэрокосм. ун-та, 2017 – 112 с. : ил.

Учебное пособие посвящено изложению принципов безопасной эксплуатации компьютерных сетей, причем рассматриваются как теоретические основы, так и их программная реализация. В частности, излагается классификация сетевых состояний на основе потокового подхода, выводятся критерии аномальных состояний для применения их в алгоритмах программ, предназначенных для обнаружения и противостояния сетевым вторжениям.

Учебное пособие ориентировано на подготовку магистров, на его основе может читаться отдельный курс. Технологии, которые рассматриваются в рамках данного учебного пособия, были разработаны как результат исследований, проведенных авторами. Это пособие может быть полезно также для других категорий студентов, которым необходимы знания по современным сетям и основам сетевой безопасности. Учебное пособие подготовлено при финансовой поддержке Министерства образования и науки.

УДК СГАУ: 004.9

ББК СГАУ: 32.973-18

® Самарский национальный

исследовательский университет, 20

ВВЕДЕНИЕ

Курсы по современным компьютерным сетям и сетевой безопасности входят в учебные планы практически всех специальностей из группы информатика. В настоящее время имеются хорошие учебные пособия по данным дисциплинам, однако все эти учебные пособия излагают ставшие уже стандартными методы, никак не отражая текущую ситуацию, которая постоянно меняется. Появляются новые угрозы и инструменты их реализации. Поэтому, на уровне магистерской подготовки необходимы курсы, которые опираются на современные исследования и отражают современные подходы, а также учат студентов навыкам самостоятельных исследований и применения на практике их результатов.

Настоящее учебное пособие является попыткой изложить для студентов теоретические модели, описывающую состояние сети с использованием понятия потоков (flow), а также аудиторию пользователей интернет сервиса с выделением ее ядра. На основе этих моделей разработаны алгоритмы обнаружения аномальных состояний сети и источников, осуществляющих несанкционированное воздействие.

При чтении данного курса предполагается выполнение вместо лабораторных работ ряда проектных заданий на основе данных, собранных на реальных сетях. Поэтому данное пособие содержит листинг рядя программ для обработки данных, которые должны быть доработаны и запущены студентами.

Данный курс разработан на основе исследований, проведенных авторами учебного пособия в рамках государственного задания. Учебное пособие подготовлено при поддержке Министерства образования и науки.

1 МОДЕЛИРОВАНИЕ ИНТЕРНЕТ ТРАФИКА

1.1 Обзор существующих моделей трафика

Трафик — это объем данных или количество сообщений, переданных через канал за определенный промежуток времени. Трафик также включает отношение между попытками вызова оборудования, чувствительного к трафику, и скоростью выполнения этих вызовов.

Анализ трафика дает возможность определить необходимую ширину полосы пропускания каналов передачи данных и голосовых вызовов. Проектирование трафика направлено на решение проблем качества связи, так как дает возможность определить уровень обслуживания и коэффициент блокирования. Сеть, спроектированная надлежащим образом, имеет низкий коэффициент блокирования и высокий уровень использования канала, т.е. качество обслуживания повышается, а затраты уменьшаются.

В настоящее время существуют различные подходы к описанию трафика, при этом четкой классификации разрабатываемых моделей трафика не существует. В то же время можно выделить два основных направления, в которых идет развитие исследований моделей трафика.

Первое направление основано на описании моделей трафика в виде пакетов. Основная методика паспортизации пакетных сетей дается в рекомендации RFC-2544 [1], в которой определены следующие характеристики сети, используемые для оценки качества ее работы:

? уровень загрузки канала (utilization level);

? время доставки пакета (one way delay), которое в простейшем случае может быть оценено по данным команды ping;

? вариация в задержке пакета или джиттер (Latency Distribution);

? количество потерянных пакетов (packet loss rate).

Последние три характеристики служат в основном для оценки качества соединения между двумя удаленными точками (end-to-end). Характеристика уровня загрузки канала применяется для мониторинга канала между двумя соседними маршрутизаторами (hop).

Крупные зарубежные компании руководствуются своими собственными техническими условиями для оценки пиковых нагрузок магистральных соединений, по достижению которых требуется расширение каналов. Эти пиковые значения варьируются в пределах 35-60%. Так, международный телекоммуникационный гигант Спринт (Sprint) считает невозможным эксплуатацию каналов с пиковой загрузкой выше 50% [2] Подобные вопросы постоянно обсуждаются на ведущих конференциях, таких, как ACM SIGCOMM, IEEE Infocom и др., однако накопленные знания еще не достигли того уровня, когда появляется возможность выработать единый стандарт и соответствующее программное обеспечение для измерений.

К сожалению, пока не сформировалось единое мнение по оценке качества связи, получаемой на магистральной сети и определению узких мест. Правило 50-ти процентной средней загрузки сети также не всегда работает.

При моделировании трафика на уровне пакетов необходимо учитывать следующие параметры:

? Модели поступления вызовов

? Заблокированные вызовы

? Количество источников

? Время удержания

После определения моделей поступления вызовов и заблокированных вызовов, количества источников и времени удержания вызова можно выбирать модель трафика, которая наилучшим образом подходит для вашего окружения. Хотя никакая модель трафика не может точно соответствовать реальной ситуации, эти модели предполагают средние значения для каждой ситуации. Существует множество различных пакетных моделей трафика, и главным является выбор модели, наиболее подходящей существующему окружению.

Модели трафика на уровне пакетов, которые используются чаще всего, — это Эрланг B, Расширенный Эрланг В и Эрланг С. Другие распространенные модели трафика — Энгсет, Пуассон, EART/EARC и Нил-Уилкерсон.

Моделирование трафика на пакетном уровне ? задача довольно сложная, так как канальный трафик есть результат суммирования трафика огромного числа отдельных соединений. Обработка таких данных достаточно сложна, в первую очередь из-за их больших объемов, и требует высокопроизводительного оборудования, сложного программного обеспечения и квалифицированных программистов.

1.2 Понятие потока (flow)

Также существует альтернативный подход к описанию трафика основанный на представлении трафика в виде совокупности потоков (flow).

Большинство реализаций методов анализа трафика в виде потоков основаны на протоколе NetFlow. NetFlow – это сетевой протокол, разработанный компанией Cisco Systems для сбора информации об IP-трафике. NetFlow стал промышленным стандартом для мониторинга и биллинга трафика. Протокол поддерживается платформами, отличными от Cisco IOS (Internetwork Operating System) и NX-OS (Nexus Operating System).

Существует несколько определений сетевого потока, в классическом определении компании Cisco поток описывается как семипараметрический объект. То есть поток — это однонаправленная последовательность пакетов со следующими неизменными параметрами:

– IP-адрес источника;

– IP-адрес назначения

– Порт источника для протоколов UDP или TCP, 0 для других протоколов

– Порт назначения для протоколов UDP или TCP, тип и код для ICMP, или 0 для других протоколов

– IP протокол передачи

– Входящий интерфейс (SNMP ifIndex)

– Тип IP-услуг

Преимущество исследования поведения сетей на основе потоковых технологий перед пакетными заключается в том, что в методах, основанных на потоках, требуется обрабатывать только часть из всего объема данных. Было показано, что потоковые данные составляют только 1% от пакетных, при этом не теряя ценности. Поэтому такие подходы оказываются более производительными и масштабируемыми, требуя при этом намного меньших затрат, в результате чего являются наиболее перспективным направлением в изучении трафика.

Многочисленные авторы [3] проанализировали интернет-трафик и показали, что он ведет себя как самоподобный процесс. Это открытие сделало революционный шаг, положив начало отхода от марковских моделей.

Другие работы (например, [4], [5]) посвящены исследованию вопросов моделирования интернет-трафика на потоковом уровне. Основной целью является показать, каким образом пропускная способность сети является общей для различных потоков, или, что равнозначно, для вычисления длительности потоков. Теория очередей процессоров с разделением во времени используются для моделирования перегруженных каналов сети. В работе [4], предложена модель M/G/? количество активных потоков для неперегруженных участков сети. Оно совпадает с частным случаем нашей модели, где все потоки имеют одинаковую скорость. В работе [5], модель очереди в многопроцессорной системе с разделением во времени используется для вычисления длины очереди и вероятности потери пакетов в буфере управления активной очередью, пересекаемом потоками TCP разных размеров. В результате было получено среднее значение длительности потока TCP. Заметим, что во всех вышеназванных моделях на основе потоков делается предположение, что потоки прибывают в соответствии с однородным процессом Пуассона.

Чади Баракат и др. [5] предложили модель, которая позволяет на основе информации о потоках построить модель суммарного трафика на магистральном участке. В процессе моделирования предполагается, что наблюдаемый трафик представляет собой суперпозицию большого количества потоков, которые прибывают случайным образом и остаются активными в течение случайного периода времени.

1.3 Модель Бараката

Математическая модель Интернет-трафика на уровне потоков базируется на теории стохастических сетей. Основы этой модели были представлены на конференции ACM SIGCOMM в августе 2001 года Беном Фреди и др. [4]. На основе представленной модели Чади Баракат и др. [5] исследовали, в частности, трафик магистральных каналов сети Sprint OC-12 (622 Мбит/с) и усовершенствовали модель. Предложенная модель трафика для неперегруженных участков магистральной сети достаточно проста, и ее можно использовать в управлении сетью. Здесь мы кратко воспроизведем все важнейшие результаты, полученные в этих работах.

Модель Чади Бараката опирается на пуассоновскую модель белого шума [5]. С помощью трех параметров

  • – интенсивность входного числа потоков (число новых потоков в единицу времени)
  • – средний размер потока в битах
  • – среднее значение для отношения квадрата размера потока к его длительности

можно выразить среднее значение для скорости передачи данных в канале

и его вариацию на моделируемом канале

Выявление аномальных сетевых состояний и причин их возникновения

Следует отметить, что уравнение (1.1) справедливо только для идеального случая, когда исследуемый участок сети имеет неограниченную пропускную способность. Это уравнение можно применять только к слабо загруженным участкам. Основной недостаток этого уравнения заключается в отсутствии четко определенной области применения, что объясняется тем фактом, что переменные ? и никак не связаны с текущим состоянием сети. Средний размер потока не зависит от конкретной сети, а является универсальной величиной и определяется эмпирически, в результате исследования свойств глобальной сети.

Постоянная прибытия потоков ? (величина обратная к среднему значению промежутка времени между двумя последовательными интервалами) описывает поведение пользователей сети и не зависит от состояния сети или ее загрузки. Суммарное число потоков (запросов от пользователей), которые прибывают на данный участок сети, остается линейно зависящим от времени наблюдения, даже если сеть начинает испытывать проблемы и не может удовлетворить все запросы пользователей. Данная модель опирается на следующие основные предпосылки:

1. Появление новых потоков на исследуемом участке магистральной сети описывается однородным Пуассоновским процессом. Измерения, проведенные в работе Бараката и др. говорят о том, что остается постоянной в течении, как минимум, 30-ти минутного интервала. В общем случае, приведенные соотношения могут воспроизводится, если процесс прибытия потоков описывается более общими типами процессов, такими как Марковский процесс или неоднородный процесс Пуассона.

Обозначим как время прибытия n-го потока, ? его размер в байтах и ? его длительность в секундах. Поток считается активным в период времени . Определим , как скорость n-го потока в бит/с в момент времени , причем равно нулю для и . Другими словами, равно нулю, если поток n неактивен в момент времени t. зависит от и и от динамики, регулирующей скорость потока. Например, для потоков TCP, динамика скорости потока есть функция изменения размера окна, которая в свою очередь является функцией от двусторонней задержки (RTT — Round Trip Time — время между отправкой запроса и получением ответа) и потери пакетов. Отметим, что:

Выявление аномальных сетевых состояний и причин их возникновения

2. Последовательности и независимы друг от друга и идентично распределены. Утверждение о независимости функций скорости потоков основаны на следующих фактах:

  • под каналом связи понимается магистральный канал, не перегруженный инженерными настройками. Поэтому это не результат накопленного опыта, а также это не говорит о зависимости между функциями скорости потоков;
  • потоки, проходящие по этому каналу, имеют большое число различных источников и получателей, и используют большое число различных маршрутов движения перед тем, как быть объединенными на магистральном канале. Прямым следствием предположения 2 является то, что последовательности и также образуют независимые и идентично распределенные последовательности, хотя для больших n, и явно коррелируют: чем больше , тем больше (в целом). Наконец, мы считаем, что конечно.

Точный тип распределения зависит от типов рассматриваемых участков сети, однако представляется разумным, что его форма является типичным распределением Парето с тяжелым хвостом (heavy tailed):

Выявление аномальных сетевых состояний и причин их возникновения

с такое распределение имеет конечное среднее и бесконечно большую вариацию.

Обозначим через величину траффика (в bit/s), обслуживаемого на моделируемом канале в момент времени . Данный трафик можно рассматривать как совокупность различных потоков его составляющих

Выявление аномальных сетевых состояний и причин их возникновения

Сетевое состояние из уравнения (1) может быть также описано числом активных потоков в момент времени с учетом очереди [11a], если для , где — время начала потока, а его длительность.

Далее, необходимо найти моменты процесса в стационарном режиме. Предполагается, что стационарный режим существует для конечных ? и . Приведем результат для преобразований Лапласа Стилтьеса (ПЛС) функции , что позволяет вычислить все моменты , а также ее распределение первого порядка. Для частных случаев функции скорости потока, представленных на рисунке 1.1, видно, что всего с тремя параметрами (?, , ) с помощью данной модели можно вычислитье средние значения парметров магистрального трафика и их вариацию.

Положим, что — изображение функции , где . Пусть N(t) — число активных потоков в момент времени t. Предположения 1 и 2 подразумевают, что скорость передачи данных B(t) в момент времени t — это сумма произвольного числа N(t) независимых и идентично распределенных случайных переменных, являющихся скоростями активных потоков. Тогда изображение функции будет равно:

Дифференцируя данное выражение по , и полагая затем равной нулю, можно получить все моменты суммарной скорости потоков в стационарном режиме. Первые два момента будут следующие: среднее значение суммарной скорости , а вариация среднего значения .

Среднее значение суммарной скорости потоков и его вариация являются двумя важными показателями производительности и качества предоставляемых услуг провайдеров Интернет. В отличие от других моделей трафика, данная модель говорит о том, что вариация суммарной скорости потоков есть функция длительности потоков и функций их скоростей. Это требует некоторых предположений (или более детальной информации) о поведении скорости потоков. Далее приведем аппроксимации вариации для некоторых частных случаев функций скорости потоков. На рисунке 1.1 показаны различные варианты форм функции

Выявление аномальных сетевых состояний и причин их возникновения

Рисунок 1.1. Модели функции скорости потоков

Рассмотрим два частных случая, показанных на рисунке 1.1a и 1.1b.

1) Прямоугольный вид: в данном случае скорость потока постоянна и равна (на рисунке 1.1a получается прямоугольник длиной и шириной ). Тогда вариация равна . Данное предположение является самым простым. Им мы охватываем только вариацию суммарной скорости, вызванной вариацией и вариацией скорости . Несложно показать, что среди всех возможных форм функции скорости потоков при прямоугольной форме достигается наименьшая вариация .

2) Треугольный вид: скорость потока линейно возрастает со временем (Рисунок 1.1b). Данное предположение взято из динамики передачи данных TCP-соединений, из которых в большинстве случаев и состоят потоки в магистральных каналах. Далее будет показано, что скорость потоков треугольной формы действительно описывает TCP-потоки при определенных условиях. Для размера потока и длительности , предполагается, что скорость увеличивается линейно от нуля до , со средним значением, равным . В момент времени t между и , можно сказать, что . Тогда вариация B(t) равна . Как и в первом случае, получается вариация, кратная . Как ожидалось, варация получилась больше, чем в случае с прямоугольной формой.

Средний размер потока характеризует глобальную сеть в целом, он не меняется в зависимости от конкретного канала, так же, как и интенсивность входящего числа потоков характеризует поведение пользователей сети, а не конкретную сетевую инфраструктуру. В представленной модели переменные ? и никак не связаны с текущим состоянием сети. Средний размер потока не зависит от конкретной сети, а является универсальной величиной, характеризующей свойства глобальной сети. Постоянная прибытия потоков ? (величина обратная к среднему значению промежутка времени между двумя последовательными интервалами) описывает поведение пользователей сети и не зависит от состояния сети или ее загрузки. Суммарное число потоков (запросов от пользователей), которые прибывают на данный участок сети, остается линейно зависящим от времени наблюдения, даже если в сети начинаются проблемы, и она не может удовлетворить все запросы пользователей.

В заключение данного раздела приведем еще один закон, который описывает состояние сети. Это закон Литтла

который связывает число активных потоков и среднюю длительность потока.

Следует отметить, что этот закон будет выполняться для любых, в том числе и сильно загруженных каналов связи, с произвольным типом распределения размера потока. Разница в подходах, рассмотренных в уравнениях (1.1) и (1.7), состоит в том, что для описания сети применяются средний размер и длительность потока. В отличии от среднего размера потока , средняя длительность потока может изменяться и зависит от текущего состояния сети.

1.4 Область эксплуатации сети

В данном разделе хотелось бы представить метод диагностики магистральных каналов связи и его апробацию на действующей сети. Для того чтобы проанализировать качество связи на магистральном канале недостаточно одной переменной, характеризующей загрузку канала из уравнения (1.1). Ибо одну и ту же загрузку может генерировать различное количество пользователей и их сессий связи.

Представленный метод основывается на модели трафика [6], согласно которой число активных потоков может рассматриваться в качестве важней характеристики реального сетевого состояния. Две переменные, число активных потоков совместно с утилизацией канала , наиболее полно описывают текущее сетевое состояние, см. уравнения (1.1) и (1.7). Анализ этих уравнений показывает, что зависимость утилизации от числа активных потоков на уровне потоков соответствует зависимости размера потока от его длительности . Так как размер потока меняться не может, то изменяется только его длительность. И именно эту зависимость можно достаточно просто построить и проанализировать.

Данные о сетевом состоянии представлены отдельными точками на плоскости с осями, на которых отложены число активных потоков и утилизация сети . Подобный подход позволяет выделить на графике 1.2 три участка, соответствующие качественно различным состояниям сети.

Выявление аномальных сетевых состояний и причин их возникновения

Рисунок 1.2. Сетевые состояния в области эксплуатации сети

При накоплении статистических данных можно перейти от отдельных точек, характеризующих текущее сетевое состояние к кривой, составленной из усредненных значений. Эта кривая будет описывать различные сетевые состояния.

Первая часть кривой, составленной из усредненных значений данных, образует прямую линию, которая заканчивается точкой перегиба. Она соответствует рабочему участку сети и характеризуется отсутствием потерь IP-пакетов. В этой области поведение сети близко к идеальному, при росте размера потока прямо пропорционально увеличивается время его передачи . При этом угол наклона прямой с графика 1.2 представляет собой среднюю скорость потока . Сетевые администраторы должны стремиться, чтобы их сеть всегда эксплуатировалась в пределах рабочего участка.

При эксплуатации сети выход за пределы рабочего участка крайне нежелателен, так как он сопровождается ухудшением качества связи. Конец рабочего участка определяется точкой перегиба, которая может быть найдена экспериментально. Положение этой точки зависит от множества факторов, таких как протокол транспортного уровня (ATM, SDH, Ethernet и т.д.), топология сети, размер буфера маршрутизатора и т.д.

Вторая, изогнутая часть кривой соответствует перегруженной сети и характеризуется возможными потерями пакетов до 1 %, что приводит к снижению эффективного размера передаваемого сегмента TCP/IP. Сеть уже не справляется с предложенной нагрузкой, что приводит к снижению средней скорости потока .

Следует также упомянуть и о точке перегрузки сети, которая совпадает с концом области определения для уравнения (1.7). После этой точки в сети начинаются необратимые явления, приводящие к значительным потерям пакетов – свыше 1%.

Третий, почти горизонтальный, участок кривой соответствует полностью неработоспособной сети со значительной потерей пакетов свыше 1%. Потери пакетов для этого сетевого состояния неизбежны. Сетевые администраторы должны избегать эксплуатации сети на данном участке.

1.5 Доверительный интервал

Напомним еще раз, что конкретные сетевые состояния представляют собой точки на графике с рисунка 1.2. Для того, чтобы построить кривую усредненных значений требуется достаточно большой период времени для сбора статистики, а делать выводы о аномальном сетевом состоянии необходимо достаточно быстро. Для этого можно ввести понятие доверительного интервала для рабочего участка сети.

Поскольку суммарная нагрузка исследуемого канала есть результат мультиплексирования большого количества активных потоков данных , независимых друг от друга, распределение суммарной нагрузки стремится к нормальному (Гауссову) распределению.

Уравнение (1.2) дает нам выражение для вариации скорости передачи данных в канале, следовательно, отдельные точки, характеризующие текущие сетевые состояния, должны распределяться внутри интервала с вероятностью . Здесь нормальная квантильная функция (probit).

С учетом уравнений (1.1) и (1.7) и теорем о среднем можно получить следующее выражение для доверительного интервала с учетом того, что величины и распределены независимо:

где — нормальная квантильная функция, это средняя скорость потока, – нормировочная константа, определяемая экспериментально. Уравнение (1.8) говорит о том, что реальное состояние сети, описываемое числом активных потоков и скоростью потока данных , будет находиться вне указанных пределов только в доле от общего времени наблюдения. Доверительный интервал ограничивает двумя параболами область нормальных сетевых состояний.

В случае, если исследуемая сеть получает значительные помехи, то результатом являются отклонения от области нормальных состояний. Такие отклонения должны наблюдаться при отключении одного или нескольких внешних или внутренних каналов, DDoS атаки или сканировании портов и т.д. В этом случае новые состояния сети должны покидать доверительный интервал из уравнения (1.8).

Представленная модель трафика позволяет также сформулировать простой критерий для поиска аномальных состояний сети: если несколько последовательных измерений выйдут за пределы доверительного интервала с =0.05, то можно уверенно говорить о проблемах на сети. Если снимать данные каждые несколько минут, то статистика за несколько часов даст возможность определить с достаточной точностью все параметры уравнения (1.8).

Основными признаками аномальных состояний являются:

1. Большое число потоков с одного IP-адреса. В данном случае есть большая вероятность осуществления сетевой атаки от источника данных с подобным IP-адресом.

2. Большее число потоков при неизменной загрузке канала.

3. Большая загрузка канала при неизменном числе потоков. Возможно осуществление сетевой атаки типа DDoS.

4. Общее уменьшение загрузки канала при неизменном количестве активных потоков — возможно отказа одного из узлов сети.

Все данные сетевые аномалии позволяет обнаружить предлагаемая модель трафика на уровне потоков. По сравнению с анализом трафика только на основе утилизации канала данная модель дает возможность определить более детально тип аномалии. Также она имеет преимущество перед пакетными моделями, поскольку требуется намного меньше вычислительных ресурсов для обработки данных на уровне потоков.

Для успешного обнаружения сетевой аномалии в предлагаемой модели трафика необходимо сформулировать определение оптимального периода сбора данных о состоянии сети. В зависимости от выбранного интервала сбора данных будут зависеть параметры распределения утилизации канала. Основными из них являютсясреднее значение и дисперсия. Среднее значение будет примерно оставаться на том же уровне. Дисперсия же будет меняться обратно пропорционально периоду измерения: чем меньше период измерения, тем большее значение будет иметь дисперсия. Поэтому при анализе данных с разными периодами измерения предполагается, что получится нормальные распределения с примерно одинаковым средним, но различными дисперсиями.

При выборе интервала измерения также важным моментом является то, насколько оперативно необходимо обнаружить сетевую аномалию. Понятно, что наименьшим временем обнаружения будет являться выбранный период измерения. В случае, если вероятность ? достаточно высока (несколько %), то выход за пределы доверительного интервала будет происходить достаточно часто. Вероятность повторного последовательного выхода из доверительного интервала будет уже намного меньше, порядка ?. Это позволяет сделать вывод, что если два последовательных измерения выйдут за пределы доверительного интервала, то в сети возникла 1аномалия.

Таким образом, имеется несколько критериев выбора интервала сбора данных:

1. Оперативность обнаружения аномального состояние: чем меньше период измерения, тем лучше. Оперативность зависит от периода измерения и количества последовательных выходов за пределы доверительного интервала, после которых будет считаться, что аномальное состояние обнаружено.

2. Вероятность ложного срабатывания системы: также необходимо минимизировать. Данный критерий будет зависеть от двух параметров: вероятности выхода за пределы доверительного интервала и количества последовательных выходов за пределы доверительного интервала, после которых будет считаться, что аномальное состояние обнаружено.

1.5 Сетевая инфраструктура

Для того чтобы выяснить детали несанкционированного вторжения в разные годы, начиная с 2007, была проведена серия экспериментов, имитирующих попытки атак. Они проводились на сетях российской научно-образовательной сети FREEnet, ирландской национально-образовательной сети HEAnet, самарского регионального коммерческого провайдера СамараТелеком и Самарского национального исследовательского университета. Каждая из этих сетей имела многочисленные внешние и внутренние каналы. В начале экспериментов пропускная способность магистральных каналов составляла 155 Мбит/с и 622 Мбит/с, с течением времени эта величина росла.

Следует отметить, что поддержка NetFlow должна быть включена на всех задействуемых интерфейсах, иначе результаты измерений будут некорректными.

Для сбора информации о трафике по протоколу NetFlow требуются следующие компоненты:

  • Сенсор. Собирает статистику по проходящему через него трафику. Обычно это L3-коммутатор или маршрутизатор, хотя можно использовать и отдельно стоящие сенсоры, получающие данные путем зеркалирования порта коммутатора. Сенсор слушает сеть и фиксирует данные сеанса. Также как Snort или любая другая система обнаружения вторжений, сенсор должен иметь возможность подключиться к хабу, зеркалированному порту коммутатора или любому другому устройству, для просмотра сетевого трафика. Если вы используете систему пакетной фильтрации на базе BSD или Linux, то это превосходное место для сенсора Netflow, так как весь трафик будет проходить через эту точку. Сенсор будет собирать информацию о сеансах и сбрасывать ее в коллектор.

Тревожность. Причины тревоги и как с ними бороться?


Похожие статьи.

Понравилась статья? Поделиться с друзьями: