Системы устранения сетевых аномалий и методики построения их архитектуры

Проблема обнаружения аномалий в сетях. Характеристика различных этапов проектирования архитектуры систем обнаружения и противодействия сетевым аномалиям. Исследование основ технологии для построения архитектуры систем обнаружения и устранения аномалий.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид статья
Язык русский
Дата добавления 19.05.2017
Размер файла 119,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

УДК 004.652.4

05.00.00 Технические науки

UDC 004.652.4

Technical sciences

СИСТЕМЫ УСТРАНЕНИЯ СЕТЕВЫХ АНОМАЛИЙ И МЕТОДИКИ ПОСТРОЕНИЯ ИХ АРХИТЕКТУРЫ

SYSTEMS OF REMOVING NETWORK ANOMALIES AND METHODS OF CREATION THEIR ARCHITECTURE

Кучер Виктор Алексеевич

к.т.н

Магомадов Алексей Сайпудинович

д.т.н.

Kucher Viktor Alekseevich

Cand.Tech.Sci.

Magomadov Aleksey Saipudinovich

Dr.Sci.Tech.

Чигликова Надежда Дмитриевна

к.т.н.

Chiglikova Nadezhda Dmitrievna

Cand.Tech.Sci.

Дьяченко Роман Александрович

д.т.н.

Dyachenko Roman Aleksandrovich

Dr.Sci.Tech.

Кубанский государственный технологический университет, Краснодар, Россия

Kuban State Technological University, Krasnodar, Russia

В статье анализируются различные этапы проектирования архитектуры систем обнаружения и противодействия сетевым аномалиям. Указывается, что для определения ситуаций состояния сети возможна их обобщенно-признаковая классификация: «нормальные», «критические» и «аварийные». Предлагаются основы технологий для построения архитектуры систем обнаружения и устранения аномалий

Different stages of designing architecture of detection systems and opposition to network anomalies are analyzed in this article. It is pointed that common classification can be to determine state of network: “normal”, “critical”, “faulted”. Bases for building architecture of detection and removing anomalies are offered

Ключевые слова: СЕТЕВЫЕ АНОМАЛИИ, БАЗА ДАННЫХ, СОСТОЯНИЕ СЕТИ, УСТРАНЕНИЕ АНОМАЛИЙ

Keywords: NETWORK ANOMALIES, DATA BASES, STATE OF NETWORK, REMOVING ANOMALIES

Введение

аномалия сетевой обнаружение архитектура

Задача обнаружения аномалий в современных распределенных, гетерогенных сетях требует для своего решения целого комплекса мер, организационных, технических и программных, а также разработки соответствующего алгоритмического обеспечения. В настоящее время на рынке представлен ряд решений и продуктов, позволяющих реализовать необходимый функционал алгоритмического, математического и программного обеспечения [3, 4, 6].

Разнообразие сетевых аномалий (СА), их природа и характеристические признаки подробно изучены и классифицированы как отечественными, так и зарубежными исследователями. Однако, до сих пор при разработке стандартов, практик и рекомендаций по управлению и обеспечению эффективности функционирования сетей недостаточное внимание уделяется принципам, алгоритмам и единым методологическим основам построения архитектуры системы обнаружения и противодействия СА (особо отметим стандарты сетевой безопасности CISCO и линейку архитектур, начиная с CISCO NGN, где эти вопросы вообще начали рассматриваться с практической точки зрения).

Укажем, что в качестве составных элементов разрабатываемая архитектура должна включать:

- способы обработки исходных данных (наблюдений) - т.е. принципы организации и функционирования подсистем сетевого мониторинга - для разработки адекватных математических моделей и эффективной алгоритмизации;

- методику выбора информативных показателей, характеризующих состояние сети;

- методику оценки состояния сети и аналитической обработки результатов ее мониторинга;

- модели оценки состояния, обнаружения и классификации выявляемых аномалий;

- методику адаптивного управления и принятия решений по устранению выявленных аномалий;

- модели и методы оценки эффективности предложенных решений.

Эти методики и модели должны охватывать все этапы проектирования, развертывания и поддержания функционирования сетей с учетом их архитектуры, режимов работы и используемых видов обеспечения.

Разрабатываемый в данной работе подход основывается на методологии ситуационного моделирования и управления, что позволяет повысить уровень формализации процедур принятия решений за счет классификации возникающих ситуаций и выбора способов их обработки на основе экспертных знаний и применения формальных методов. Применение алгоритмических и математических моделей в системе ситуационного управления повышает точность распознавания текущих ситуаций в сети, оценки времени на их обработку в соответствии с нормативными данными по выполнению операций, формирование решений по выполнению нового технологического цикла работ на основе базы знаний.

Использование в автоматизированной системе как формальных, так и эвристических, адаптивных методов и алгоритмов обнаружения создает предпосылки для повышения точности принимаемых решений в текущих ситуациях, что способствует снижению непроизводственных затрат на выполнение последующих циклов работ [2].

Для формального описания системы управления сетью используем кортеж, описывающий подсистему, характеризующую сеть как объект управления (рисунок 1):

S ={It, Im, Ic, Ix}; Z; K; W; R; U >, (1)

где It - массив используемой технологической (протоколы, технологии) информации о сети,

Im - управленческая информация, набор сетевых политик,

Ic - коммуникационная (топология, инфраструктура) информации,

Ix - информация о внешних и управляющих воздействиях,

Z - формальное описание целей управления,

K- набор характеристик информационных ресурсов сети,

W - возмущающие воздействия (внешние),

R -множество отношений между элементами сети (схемы и реализации политик),

U - управляющие воздействия.

Разнообразие архитектуры и режимов функционирования современных сетей (гетерогенность, распределенность и т.д.) обуславливают необходимость использования в системе обнаружения и устранения аномалий ряда математических моделей [3,5,6], позволяющих учесть имеющиеся неопределенности и неточности знаний относительно предполагаемых аномалий.

Рисунок 1 - Общая схема системы обнаружения и выявления аномалий в сети

Высокую неоднородность информационных ресурсов сети также необходимо учитывать при выборе используемых в системе управления математических моделей, которые должны иметь универсальный характер, не зависящий от конкретных особенностей того или иного вида данных ресурсов.

Разработки математического и алгоритмического обеспечений такой системы обнаружения требует обращение внимания на следующие архитектурные особенности программно-аппаратной реализации решения в условиях разнородной и территориально распределенной сети:

- множество источников и большой объем данных по мониторингу;

- используются программируемые математические модели для оценки текущей ситуации, прогнозирования ее развития с учетом сделанных предположений, анализа "что, если…" (такой функционал, например, представляет платформа CISCO MARS и архитектуры TRUST SEC);

- информация по мониторингу часто представляется в агрегированном виде, но необходимо иметь возможность детализации до требуемого уровня - т.е. знать о том, из каких источников и на основе каких преобразований она получена;

- большой объем подготовительной работы с анализом всех доступных данных и моделированием ситуаций.

Система ситуационного управления обнаружения аномалий сети строится на основе набора математических моделей. Все множество ситуаций разбивается на иерархически вложенное множество классов ситуаций. Структура классификатора ситуаций соответствует уровням полномочий по принятию решений в структуре сети. Таким образом, например, для определенных ситуаций состояния сети возможна их обобщенно-признаковая классификация: «нормальные», «критические», «аварийные» [3,4].

В ситуациях класса «нормальные» управляющее воздействие определяется в соответствии с принятой схемой управления, являющейся неотъемлемой частью проектных данных сети. За реализацию управляющего воздействия в таком режиме отвечает контур программного управления.

В ситуациях класса «критические» и «аварийные» управляющее воздействие интерактивно определяется системным администратором сети или администратором безопасности. Для этого нештатная ситуация должна быть отнесена к определенному классу ситуаций, проанализированы рекомендации, при необходимости проведен сбор дополнительной информации и на основе полученных данных принята схема управляющего воздействия.

При отборе управляющего воздействия целесообразно использование формируемой и подключаемой базы знаний прецедентов, для оценки допустимости воздействия используется его экстраполяция на последующие фазы в соответствии с математической моделью объекта и проверкой соответствия системе ограничений. Эта процедура позволяет снизить количество неэффективных решений, выявляемых на заключительных этапах.

Разрабатываемая автоматизированная система обнаружения аномалий представляет собой интерактивный человеко-машинный программный комплекс, исходными моделями которого являются имитационные, структурно-функциональные, математические и иные модели сети. Свойства формальной ситуационной модели определяются функциональными свойствами механизмов преобразования в формальные математические модели (рисунок 2).

Рисунок 2 - Функциональная модель обнаружения аномалий на множестве классификационных признаков

Внедрение на практике предлагаемых подходов к обнаружению и противодействию сетевым аномалиям подразумевает включение в состав системы баз данных и знаний, содержащих как характеристические описания прецедентов (аналог сигнатур), так и БД моделей и мониторинга состояния сети. Таким образом, контур адаптивного ситуационного управления на основе результатов мониторинга состояния сети в режиме реального времени определяет (формирует) и реализует механизмы и решения эффективного противодействия.

Отметим ещё раз, что в комплексе значительная роль отведена взаимодействию с экспертами (лицами, принимающими решения) о тех или иных мероприятиях и управляющих воздействиях в тех случаях, когда это невозможно или нецелесообразно автоматизировать.

Представляется необходимым использование методики формализации на основе вероятностного подхода, повышающая надежность и достоверность результатов математического моделирования. Учитывая модель (1) формального описания системы управления сетью, запишем интегральный показатель оценки эффективности обнаружения аномалии следующим образом:

J = F1(x,y,w,u), (2)

где - совокупность входных параметров,

- совокупность выходных параметров,

- совокупность неконтролируемых внешних воздействий,

- совокупность управляющих воздействий, .

Задача выбора закона управления для противодействия обнаруженной и классифицированной аномалии заключается в определении , приводящего при существующих значениях к оптимальному значению J. При этом состояние сети (т.е. характеристика предполагаемой аномалии) характеризуется совокупностью контролируемых параметров х, где X - область возможных значений вектора x.

На этапе практической реализации (алгоритмизации) в сети математической модели закона управления модель интегрируется в сетевую политику (например, противодействия аномалиям) путем введения - конечной совокупность меток, индексирующих множество возможных методов противодействия.

В разработанном подходе обнаружения аномалий режимов работы сети , характеристики решаемых задач и выходные параметры, результаты могут быть описаны нечеткими переменными на множествах Необходимо выбрать управление , которое переводит процесс из заданного состояния в состояние, соответствующее требуемому выходному показателю .

При выборе стратегии противодействия аномалиям мы остановились на принципе ситуационного управления, который сводится к формированию однородных классов состояний (т.е. классов аномалий), требующих одного и того же метода противодействия. Таким образом, предлагаемая методика обнаружения и противодействия аномалиям в ходе своей практической реализации в рамках распределенной сети строится на двух группах алгоритмов:

- сбора, обработки и анализа информации о состоянии сети, т.е. характеристик той или иной аномалии в моменты времени. Результаты мониторинга и анализа (выявленные аномалии) группируются оптимальным образом в классы исходных ситуаций. Формируется приближенное представление классификационной модели;

- алгоритмы управления: ситуация, наблюдаемая в момент времени или относится к классу наиболее близких к ней ситуаций (для которых установлена стратегия управления с помощью отображения), или «дает начало» образованию нового класса ситуаций, стратегия управления для которых не совпадает ни с одной из стратегий, идентифицированных на предыдущем этапе.

Сравнительный анализ результатов практического использования при выявлении аномалий в разнородной сети, полученных на основе методик с применением аналитических и статистических моделей, показал эффективность предлагаемой методики даже в условиях недостаточной и нечеткой информации относительно классификационных признаков предполагаемых аномалий при работе в распределенных гетерогенных сетях.

Заключение

В заключении отметим, что практическое применение описанных технологий, построенных на алгоритмах ситуационного анализа и моделирования, "эвристического" обнаружения аномалий и использовании баз данных и знаний (классификационные признаки, ретроспективный анализ, БД/БЗ ситуаций и моделей и т.д.) совместно с экспертными знаниями позволяет существенно повысить качество процессов выявления и управления уязвимостями в распределённых сетях и, следовательно, предлагаемые технологии могут являться основой построения архитектуры системы обнаружения и устранения аномалий.

Литература

1. Симанков В.С. Автоматизация системных исследований: Монография (научное издание). Кубанский государственный технологический университет. - Краснодар, 2002. - 376 с.

2. Симанков В.С., Шпехт И.А. Автоматизация системных исследований на основе неформальных процедур: Монография.-М.: БиномПресс, 2012. 358 с

3. A. Clemm: Network Management Fundamentals. CiscoPress, 2011

4. Д. Раттнер. "Анализ рисков в управлении сетевой безопасностью.". Northeastern University, 2010.

5. А. Ю. Гребешков. Стандарты и технологии управления сетями связи, Эко-Трендз, 2009

6. Я.С. Дымарский, Н.П. Крутякова, Г.Г. Яновский. Управление сетями связи: принципы, протоколы, прикладные задачи, Москва, 2010

Размещено на Allbest.ru

...

Подобные документы

  • Анализ особенностей построения систем обнаружения. Определение основных показателей качества. Расчет периода ложных тревог, вероятности обнаружения нарушителя и стоимости системы обнаружения. Алгоритм решения поставленной задачи. Параметры надежности.

    курсовая работа [1,0 M], добавлен 10.02.2013

  • Принципы технологии DWDM. Технологии мультиплексирования, источники излучения. Реализация усилителей EDFA. Выбор одномодового оптического волокна для построения ВОЛС. Исследование аномалий линии Иркутск-Чита. Расчет линии связи по затуханию и дисперсии.

    дипломная работа [5,4 M], добавлен 06.06.2013

  • Обзор современного состояния систем охранной сигнализации. Характеристика комбинированных датчиков обнаружения технических средств охраны. Помехи, влияющие на работу одноканальных датчиков обнаружения. Оценка финансовых затрат на установку и эксплуатацию.

    дипломная работа [2,3 M], добавлен 05.11.2016

  • Назначение, виды и основные характеристики радиоволновых и радиолучевых средств обнаружения. Передатчик, антенная система и приемник как блок формирования полезного сигнала. Основные подходы построения радиоволновых и радиолучевых средств обнаружения.

    реферат [1,1 M], добавлен 26.08.2009

  • Использование радиолокационных и оптических тепловых пеленгационных систем. Борьба за дальность обнаружения при разработке теплопеленгационных систем и их применение для обнаружения объектов по излучению выхлопных газов их двигателей и нагретых частей.

    курсовая работа [997,5 K], добавлен 24.11.2010

  • Радиолокационные станции системы управления воздушным движением, задачи их использования. Расчёт дальности обнаружения. Отношение сигнал-шум, потери рассогласования. Зависимости дальности обнаружения от угла места и сетки. Построение зоны обнаружения.

    курсовая работа [65,4 K], добавлен 20.09.2012

  • Тенденции развития современных систем безопасности. Технические средства обнаружения, их классификация и разновидности, отличительные признаки и функциональные особенности. Микроволновый метод обнаружения, его специфика и необходимое оборудование.

    реферат [2,2 M], добавлен 16.03.2012

  • Коды обнаружения или обнаружения и исправления ошибок в вычислительных машинах. Способы представления различных информационных комбинаций двоичным кодом. Предназначение преобразователей кодов. Определение максимальной потребляемой мощности схемы.

    курсовая работа [538,0 K], добавлен 01.07.2013

  • Сетевые модели: одноранговые, комбинированные, с централизованным управлением. Технология клиент-сервер. Системы управления базами данных. Принцип построения сетевых соединений: шина, кольцо, звезда. Основные сетевые архитектуры: Ethernet, Token Ring.

    презентация [268,9 K], добавлен 25.06.2013

  • В работе рассмотрена тема характера воздействия помех на работу систем и принципов их защиты. Разделение помех на группы: шумы, мешающие излучения и мешающие отражения. Помехи и их классификация. Спектр шумов. Теория обнаружения. Функции времени.

    реферат [1,9 M], добавлен 21.01.2009

  • Показатели подсистемы обнаружения: вероятность выявления и период ложных тревог. Рассмотрение способов вторжения нарушителя в зону обнаружения. Расчет характеристик надежности системы: вероятности безотказной работы и средней наработки до первого отказа.

    курсовая работа [476,5 K], добавлен 20.12.2012

  • Проблемы современной радиотехники. Преимущества сверхширокополосных сигналов в сравнении с узкополосными. Эллипсные функции и их связь с круговой тригонометрией. Использование оптимального алгоритма обнаружения радиоимпульсов с эллипсными несущими.

    дипломная работа [2,2 M], добавлен 09.03.2015

  • Определение основных показателей качества системы обнаружения и оптимального алгоритма обработки информации. Расчет периода ложных тревог. Алгоритм решения поставленной задачи. Расчет вероятности безотказной работы и средней наработки до первого отказа.

    курсовая работа [256,5 K], добавлен 20.12.2012

  • Исследование внутреннего устройства и архитектуры современных модемов. Изучение их видов, интеллектуальных возможностей и компонентов. Основные функции универсального процессора. Характеристика модемов для цифровых систем передачи и сотовых систем связи.

    контрольная работа [79,5 K], добавлен 13.10.2016

  • Назначение, классификация и основные характеристики оптических средств обнаружения, принцип действия, универсальность и особенности применения. Сущность сигналообразования, классификация помех, сравнительный анализ методов повышения помехоустойчивости.

    реферат [1,8 M], добавлен 27.08.2009

  • Анализ методов обнаружения и определения сигналов. Оценка периода следования сигналов с использованием методов полных достаточных статистик. Оценка формы импульса сигналов для различения абонентов в системе связи без учета передаваемой информации.

    дипломная работа [3,0 M], добавлен 24.01.2018

  • Исследование работы тепловизора "Скат", применяемого для обнаружения чрезвычайных ситуаций в условиях городской застройки. Пространственное и температурное разрешение как основные характеристики прибора. Измерение характеристик инфракрасных систем.

    реферат [5,4 M], добавлен 24.03.2012

  • Описание характеристик антенны, предназначенной для радиолокационного обнаружения. Выбор формы и расчет амплитудного распределения поля раскрыва зеркала. Определение параметров облучателя и фидерного тракта. Конструкция антенны и согласующего устройства.

    курсовая работа [514,1 K], добавлен 23.12.2012

  • Особенности архитектуры и принцип работы конвейерных аналого-цифровых преобразователей. Использование цифровой корректировки для устранения избыточности. Схемы КМОП ключа, выборки-хранения, компаратора, умножающего цифро-аналогового преобразователя.

    курсовая работа [2,4 M], добавлен 06.02.2013

  • Обоснование необходимости использования и развития радионавигационных систем. Анализ принципа построения и передачи сигналов радионавигационных систем. Описание движения спутников. Принцип дифференциального режима и методы дифференциальной коррекции.

    курсовая работа [654,2 K], добавлен 18.07.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.